[МУЗЫКА] Далее рассмотрим управление персоналом, как одну из форм административных мер защиты информации. Управление персоналом, как правило, включает в себя следующие мероприятия. Внедрение должностных инструкций сотрудников, которые, как мы помним из прошлой лекции, основаны на двух больших принципах. Первый принцип — это разделение обязанностей, второй — это минимизация привилегий. Эти принципы были нами сформулированы в прошлой лекции, но я еще раз уточню, что под ними подразумевается. Разделение обязанностей подразумевает, что в случае, если какая-то функция сотрудника подразумевает большую ответственность и может привести к серьезным последствиям в случае ошибок, халатности или злого умысла, то с точки зрения безопасности информации целесообразно разделить эту функцию между несколькими сотрудниками с тем, чтобы они могли бы осуществлять взаимный контроль над реализацией этой функции. Например, если в информационной системе создаются учетные записи новых пользователей с серьезными привилегиями в системе, то целесообразно, чтобы администратор информационной системы и администратор безопасности оба были бы включены в эту процедуру, и, например, один создавал бы эту учетную запись, а другой ее утверждал или активизировал. Другой пример — это различные денежные переводы в финансовых организациях, например, в банках. Здесь целесообразно, чтобы один из сотрудников, например, готовил все документы для денежного перевода, еще один сотрудник, например, начальник отдела, согласовывал бы это поручение на осуществление перевода денежных средств, ну а еще один, например, какой-нибудь сотрудник службы финансовой безопасности утверждал бы это поручение о переводе денежных средств. Это — принцип разделения обязанностей. Второй принцип — минимизация привилегий — заключается в том, что каждый сотрудник должен иметь в системе только те привилегии, которые действительно необходимы ему для реализации его должностных обязанностей. Если какие-то привилегии, возможности в системе являются избыточными по отношению к тому, что ожидается от сотрудника, и не являются необходимыми в связи с его прямыми обязанностями, то по сути это уязвимость. Это то, что может быть использовано, например, им же самим по халатности или по злому умыслу для реализации различных угроз безопасности. Управление персоналом включает также информирование и обучение персонала, о котором уже упоминалось, и внедрение инструкций по работе со средствами защиты информации. Этот этап также весьма важен, и нельзя недооценивать его важность, поскольку именно от наличия инструкций по работе со средствами защиты информации, подробных и понятных персоналу, зависит, насколько эффективно эти средства защиты информации будут им использоваться и будут ли использоваться вообще. Особенно в ситуациях, когда на усмотрение сотрудников остается, например, выбор режима использования средства защиты, выработка различных секретных ключей этих средств защиты информации, в случае, если нет понятных инструкций или не проведено обучение персонала, можно столкнуться с тем, что пользователи будут действовать тривиально, то есть таким способом, который наиболее желателен для злоумышленника, например, выбирать простые пароли, при требовании сменить пароль раз, ну, допустим, в месяц пытаться его повторить или сделать пароль по тому же шаблону, который был использован прежде, отключать различные средства безопасности, если они мешают им работать, ну и так далее. Управление персоналом включает также такие мероприятия, как внедрение инструкций для нештатных ситуаций, то есть подробные последовательности действий, которые должны быть предприняты сотрудниками при наступлении различных ситуаций, нарушающих политику безопасности, нарушающих упорядоченную обработку информации, ее хранение и передачу. Разграничение доступа сотрудников — еще одна важная задача управления персоналом. С одной стороны, управление логического доступа сотрудников в рамках информационной системы, то есть учетные записи, права и привилегии пользователей в системе, а также разграничение физического доступа сотрудников в рамках объекта информатизации, то есть доступа в различные помещения. Например, в помещения, являющиеся критичными с точки зрения функционирования информационной системы, не имеет смысла давать доступ всем сотрудникам, а более разумно предоставить туда доступ только тем, кому по должностным обязанностям требуется там находиться: администраторам безопасности, администратору системы и, возможно, сотрудникам, ответственным за техническое обслуживание информационной системы. Наконец, контроль, протоколирование и аудит действий персонала — еще одна категория мер, которые входят в понятие «управление персоналом». О таком мероприятии, как разграничение доступа сотрудников, у нас также будет отдельная лекция, в которой мы подробно рассмотрим различные факторы аутентификации пользователей, различные приемы контроля и управления их доступом как на территорию организации, так и их действиями в рамках информационной системы. Перед управлением персоналом, как правило, ставятся руководством следующие задачи. Во-первых, это разделение сферы ответственности сотрудников, то есть понимание того, кто из них отвечает за каждое конкретное действие, а следовательно, и за их последствия. Требуется, чтобы в случае наступления любой ситуации можно было четко сказать, по какой причине она наступила, и кто за это отвечает. В противном случае можно ожидать, что сотрудники будут действовать халатно, и во многих случаях не будет конкретно назван виновник той или иной ситуации, а значит, ситуация будет повторяться. Противодействие злоумышленным действиям внутренних нарушителей — также одна из задач управления персоналом. Рассматривая различные модели нарушителей, мы говорили о том, что нарушители бывают внутренние и внешние, а также часть внешних нарушителей может вступать в сговор с сотрудниками организации, превращая их во внутренних нарушителей. Так вот, управление персоналом в качестве одной из задач может стремиться противодействовать злоумышленным действиям таких внутренних нарушителей, то есть тех, кто действует, например, из корыстного интереса или из сговора с кем-то из внутренних нарушителей. Управление персоналом также должно стремиться к снижению угроз, реализуемых из-за халатности или недостаточной квалификации сотрудников. За достижение этой задачи, как правило, отвечает комплекс действий, связанных с обучением и информированием сотрудников, повышением их осведомленности, например, в области актуальных угроз в сфере информации. Сотрудники, например, знающие о том, что в письмах электронной почты могут пересылаться компьютерные вирусы, менее склонны, допустим, нажимать на ссылки в тексте электронных писем. Или, если они правильно обучены, то вместо того, чтобы, например, переходить по этим ссылкам или удалять эти письма и забывать о них, такие сотрудники могут информировать службу безопасности о факте прихода таких писем, которые в дальнейшем могут их корректно обрабатывать. Например, собирать статистику подобных писем, возможно, отслеживать их отправителей, предпринимать какие-то меры для, например, правильной настройки спам-фильтров на почтовом сервере организации. Еще одной задачей, на достижение которых может быть направлено управление персоналом, является снижение последствий угроз, имеющих техногенные или стихийные источники. Ее решение может быть достигнуто за счет разработки конкретных инструкций для персонала, которые должны им выполняться в случае наступления тех или иных внештатных ситуаций, ну, как правило, стихийных бедствий, каких-то аварий, сбоев и подобных ситуаций. О таких инструкциях, об их разработке и их задачах мы поговорим далее. [МУЗЫКА] [МУЗЫКА]
