В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
Внутренние нормативные акты предприятия тоже часто создаются по этому образцу. Когда бюрократ пишет или утверждает явно неисполнимый документ, он оправдывает себя одним из следующих соображений:
Такая практика повелась в России издавна. И кстати, не помешала ей быть великой державой на протяжении нескольких веков. Многие считают ее естественной, а умение жить по неписаным нормам и пренебрегать писаными - полезным свойством ума и показателем профессиональной квалификации.
Но тут появились компьютеры, и они сразу же отказались следовать российским традициям. Машины выполняют только писаные инструкции (программы), причем буквально. Безо всяких скидок на "по понятиям", "это формальность", "надо же понимать" и "уважаемых людей не трогай". Поэтому в западном обществе со старыми легистскими традициями автоматизация предприятий пошла легко. А в России ей встретились специфические препятствия.
Она охраняет периметр информационной системы по заранее определенным правилам. Правила эти могут быть достаточно сложны, изменчивы, с массой условий и взаимозависимостей. Но они детерминированные. Мы в своей работе неоднократно наблюдали, как наши клиенты, приобретая DLP, пытались перевести существовавшую у них на бумаге политику безопасности в электронные правила. Обычно это заканчивалось неудачей. Обнаруживались нормы, которые либо невозможно выполнить (без ущерба для бизнеса), либо они с самого начала не предназначались для исполнения. В итоге правила для DLP-системы писались "по мотивам" или вообще с нуля.
Зато показал свою плодотворность обратный подход. DLP-система ставится в тестовом режиме, собирается статистика, создаются правила, испытываются, вводятся в действие. Затем на базе этих машинных правил пишется уже приказ для людей. Когда даже компьютер способен выполнить указание, то человек - тем более.
Давно известно, что с точки зрения бизнеса мягкая исполняемая политика безопасности лучше, чем жесткая неисполняемая. Требования ИБ надо снизить до того предела, при котором большинство работников соблюдают их добровольно - в силу сознательности, понимания их необходимости. Тогда оставшееся меньшинство можно принудить без особых проблем. Общая защищенность системы равна защищенности слабейшего звена. Учитывая это, подтягивать слабейшие места гораздо выгоднее, чем закручивать гайки в других. Надо подгонять отстающих, а не тех, кто идет в середине. Тем более что это вызывает меньше всего недовольства.
В Европе, когда на определенного пользователя не приходит уведомлений о нарушении политик ИБ, офицер безопасности может расслабиться и считать, что с ним все в порядке. А в российских офисах ситуация прямо противоположная. Если на действия какого-то пользователя нет уведомлений (ситуация, кстати, довольно редкая), это означает, что он - главный нарушитель политики безопасности. Либо этот пользователь пробросил VPN-туннель в обход системы, либо принес ЗG-модем и подключился через него, либо работает под чужим аккаунтом. Отсутствие фиксируемых нарушений говорит не о послушности данного пользователя, а о том, что контроль над ним не работает.
Здесь дело уже не в том, что слишком много запретов, которые невозможно не нарушить. Здесь дело снова в вековых традициях народа, у которого лояльность и законопослушность - суть взаимно противоречивые качества. Жить строго по правилам считается не вполне приличным. Требовательность этих правил можно снижать до уровня, приемлемого для подавляющего большинства работников. Но приемлемость и исполнимость не дадут автоматически исполняемости. Поток уведомлений от DLP-системы (и вовсе не ложных срабатываний) не удается свести к нулю. Он будет всегда. Служба ИБ предприятия не может, как служба IT, все автоматизировать, настроить и отдыхать. СИ Б вынуждена будет всегда обрабатывать некий поток внутренних инцидентов ИБ и постоянно выносить некоторый поток взысканий работникам.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013