Оформление внедрения и использования DLP

Наткнулся на интересную запись в блоге на CNews. Вкратце речь идет о представлении на увольнение директора Cisco Systems  в России П.Бетсиса от профсоюза работников. Основанием послужило то, что в отношении работников организации проводилось служебное расследование (насколько я понял). Основанием для служебного расследования явились данные полученные из перехвата частной переписки по Gmail полученные якобы негласно. Интересная ситуация. С точки зрения сотрудников я согласен. Нельзя негласно собирать информацию. И тем более передавать ее кому то. 

Однако с точки зрения работодателя все немного по другому. Получается, что процесс использования DLP системы не был должным образом оформлен. 

Как я уже писал ранее, в таких случаях нужно получать письменное согласие работника на проведение контроля. Уведомлять работника о наличии системы DLP. Доводить под роспись запрет на обработку личных данных, а также запрет на личную переписку. В этом случае, сразу отпадает уголовно наказуемый негласный сбор информации. А имея согласие работника на контроль за его работой (в том числе и перепиской) и его обязательство не использовать средства для личной переписки будет сложно ссылаться на конституционное право.

В общем я надеюсь, что компания Cisco все таки грамотно внедряет свои системы. 

А работникам желаю, чтобы наоборот.

Исключения из правил

Очень часто возникает ситуация. В компании принимается какой либо документ регламентирующий вопросы ИБ. При этом, как правило, вводятся некие ограничения. И практически всегда возникает некий руководитель подразделения, который не согласен с ограничениями. Его аргументы сводятся обычно к тому, что безопаснник мешает им работать. Что они зарабатывают деньги для компании. Что им удобно работать по старому. И т.д. При этом руководитель требует сделать для его подразделения исключение. 

В данной ситуации большую роль играет поддержка руководства компании. Если такая поддержка есть, то скорее всего победит безопасник, либо будет разработано некое компромиссное решение. В случае когда с поддержкой есть проблемы, мне кажется, выходом из ситуации будет следующий вариант. Руководителю исключительного подразделения предлагается подписать бумагу, в которой он указывает, что осознает все риски и принимает их. Кроме этого, берет ответственность на себя за возможное возникновение инцидентов ИБ связанных с данным исключением из правил. Желательно, чтобы эту же бумагу подписал руководитель компании, после разъяснения всех рисков и последствий. Тогда претензий к безопаснику, в случае ЧП, уже быть не может. Он предупреждал. Хотя в действительности, все равно будут претензии, но их можно будет сгладить такой бумагой. 

Возможен и вариант, когда после таких заявлений уволят безопасника. Но в этом случае мне кажется делать в такой компании абсолютно нечего.

Человеческий фактор

Был как то случай. Зафиксировал несанкционированный вход на WEB сервер. Стали разбираться. По всему получается. что зашли через ошибки phpMyAdmin. Подобрали пароль к учеткам. Потом залили backdoor на php. После этого стали творить всякие безобразия. В ходе проверки выяснилось, что администратор сервера не выполнял требования парольной политики. Пароль от учетной записи администратора был простым, из списка часто используемых паролей. Написал администратору сменить пароли всех учетных записей. Через некоторое время проверил. Пароль сменил только на root. На остальных пароль не менял. Да и на root опять поставил пароль из списка часто используемых. Пришлось ругаться и объяснять, что он не прав. И что все может плохо кончиться. Вот только не уверен. что он все понял. И вот здесь я начал задумываться о системах типа Balabit Shell Control Box. Чтобы как то контролировать процесс.  Или двухфакторную аутентификацию. 

В целом в жизни все как всегда "Сапожник без сапог". Надеюсь. что таких администраторов все таки меньшинство.

А носит ли сапожник сапоги?

Мне стало интересно: выполняют ли безопасники требования ИБ, которые устанавливают в компании? Я работал в нескольких крупных компаниях и всегда старался выполнять требования. Например, если устаналвивали использование Internet Explorer, то пользовался им. Если закрыт доступ на YouTube, то и не ходил. И много всего остального. Правда со временем часть правил приходилось обходить. В том плане, что для проведения каких-нибудь расследований приходилось запрашивать и открывать себе доступ на тот же самый YouTube, потому что кто то там разместил плохое видео про компанию. Но в любом случае пытался такой доступ получать только в случае возникновения реальной потребности, а не потому что я безопасник и мне все можно. Хотя у пользователей зачастую было мнение: "Вот какой, всем запретил, а себе то наверняка оставил...", Пытался объяснять, что живу в целом как все. Люди удивлялись.

Вообще я считаю, что безопасник в первую очередь должен выполнять те требования которые устанавливает в компании. Чтобы, так сказать, быть примером для всех.

Интересно как у других?