примеры неудачных политик

Кража оборудования

Производитель электроники приобрел необходимое дорогостоящее тестовое оборудование. Отдел безопасности решил, что для обеспечения сохранности этого оборудования следует предоставить доступ к нему всего нескольким сотрудникам. На входе в помещение с оборудованием установили электронные замки со смарт-картами, а ключи выдали старшему менеджеру. Попасть в это помещение сотрудникам, имеющим доступ, можно было только со старшим менеджером.

Первоначально требования данной политики добросовестно выполнялись. Однако со временем менеджеру надоело выполнять функции по сопровождению сотрудников. Производительность труда снизилась, поскольку менеджер периодически оказывался недоступен, а кроме него некому было открывать помещение. Отдел безопасности отказался удовлетворить просьбу менеджера о выдаче дополнительных ключей. В итоге была достигнута неформальная договоренность о том, что ключи будут находиться в ящике стола.

Однажды, когда менеджер и его сотрудники были на собрании, оборудование похитили. Ключа тоже найти не удалось. Отдел безопасности предпринял расследование, которое, впрочем, успехом не увенчалось.

Просуммируем результаты внедрения данной политики. Было потеряно дорогостоящее оборудование. У менеджеров и сотрудников организации сложилось крайне негативное отношение к любым мерам и политикам обеспечения безопасности. Ворам удалось избежать ответственности. Дорогостоящие меры защиты не оправдали себя.

Данная политика безопасности потерпела неудачу, потому что оказалась неудобной для сотрудников организации, а ее требования было легко обойти. Разработчики политики не учли ее влияние на производительность труда. Ошибки можно было избежать, если бы они вовлекли в процесс разработки политики безопасности сотрудников организации. Отдел безопасности не заметил (или не пожелал заметить) тот факт, что требования данной политики безопасности не соответствовали бизнес-процессам организации. Наличие внутреннего контроля над ее внедрением позволил бы выявить это противоречие и разработать более эффективную политику.

Утечка информации

Сетевые администраторы решили, что в организации слишком много неиспользуемых учетных записей пользователей электронной почты, и разработали политику безопасности, требующую для создания учетной записи пользователя подписей трех вице-президентов компании.

Запросы на создание учетных записей поступали ежедневно, а получить одновременно подписи всех трех вице-президентов было крайне затруднительно. Как правило, вице-президенты понятия не имели, для кого учетные записи создавались. В результате некоторые из них просто стали подписывать пачку пустых служебных записок и распространять их среди менеджеров.

Файлы, содержащие конфиденциальную информацию, были похищены и опубликованы в Internet анонимным пользователем. Изучение журналов аудита на файловом сервере показало, что доступ к скомпрометированным файлам был получен пользователем под именем JQPUBLIC. B ходе дальнейшего расследования выяснилось, что запрос на создание соответствующей учетной записи был санкционирован несколько месяцев назад. Оказалось, что никто не имеет представления о том, за кем была закреплена эта учетная запись и кем был сделан соответствующий запрос.

Просуммируем результаты внедрения политики. Была скомпрометирована конфиденциальная информация, репутация компании подорвана. Злоумышленнику удалось избежать ответственности.

Разработчики данной политики, как и в предыдущем случае, не учли ее жизнеспособность. Подписи, требуемые для создания учетных записей, являлись чисто формальными и не представляли практической модели идентификации пользователей. Риски, связанные с предоставлением пользователям учетных записей, не были надлежащим образом разъяснены вице-президентам, хотя это входит в обязанности любой службы безопасности.

Отдел безопасности также должен был знать о том, что пустые служебные записки распространялись, будучи уже подписанными. При наличии процедур аудита безопасности, предусматривающих проверку новых учетных записей, стало бы очевидным, что вице-президенты не имели представления о том, для кого и когда они создавались. По результатам аудита политику безопасности необходимо доработать либо провести разъяснительную работу с руководством организации с целью осознанного следования правилам установленной политики.

Потеря данных и оборудования

Все оборудование Web-серверов компании размещалось в центральной серверной комнате в головном офисе. Такая политика обеспечивала хороший уровень безопасности и системной поддержки. Однако с расширением диапазона предоставляемых услуг увеличилось количество запросов на установку дополнительных серверов, которые сложно было удовлетворить.

Процедура выделения дополнительного места в серверной комнате и биллинга для различных подразделений была довольно сложной. Поэтому некоторые подразделения решили разместить необходимые им серверы на своей территории и самостоятельно осуществлять их поддержку. Одно подразделение, предоставлявшее Web-сервисы на основе подписки, поместило сервер в шкаф, где хранились канцелярские принадлежности и туалетная бумага, что в один прекрасный день привело к возгоранию сервера, вызванному его перегревом. Огонь уничтожил сервер вместе с частью здания.

Так как служба технической поддержки не отвечала за эксплуатацию сервера, выяснилось, что резервное копирование данных не осуществлялось уже в течение года. Процедуры восстановления после аварии оказались в данном случае непригодными; клиентов, подписавшихся на Web-сервис, идентифицировать не удалось, поскольку не представлялось возможным определить их текущие балансы для выставления счетов на оплату услуг.

Просуммируем результаты. Часть клиентской базы была безвозвратно потеряна, критичная информация уничтожена, здание и имущество организации повреждены. Организацию оштрафовали за нарушение правил пожарной безопасности.

Из-за того что процедура выделения места в серверной комнате и выставления счетов за ее использование была слишком сложной, служба технической поддержки не знала о существовании дополнительных незащищенных серверов. Необходимо, чтобы служба безопасности располагала достаточной информацией о пользователях и системах, которые она должна защищать. Если бы стало известно о том, что производственные серверы находятся в незащищенных помещениях и их резервное копирование не производится, проблема могла быть решена на соответствующем уровне руководства.

За два года не было замечено, что некоторые производственные серверы не охвачены системой резервного копирования. Своевременно проведенный аудит систем, подключенных к сети, установил бы, что этот сервер являлся производственным, а резервное копирование данных на нем не производится.

Факт размещения сервера в шкафу с туалетной бумагой создавал впечатление, что это оборудование не представляет ценности. Обнаружив его в шкафу, вы вряд ли уделили бы ему больше внимания, чем остальным находящимся там предметам.

Во всех приведенных примерах политики безопасности потерпели неудачу по целому ряду причин.

1. Политики безопасности были неудобны для сотрудников организации и оказывали негативное влияние на эффективность бизнес-процессов.

2. Сотрудники и менеджеры не привлекались к разработке политики безопасности, ее требования не согласовывались со всеми заинтересованными сторонами.

3. Сотрудники и руководство организации не были осведомлены о причинах, обусловливающих необходимость выполнения правил политики безопасности.

4. Контроль выполнения политики безопасности в ходе их внедрения не осуществлялся.

5. Аудит безопасности не проводился.

6. Правила политики безопасности не пересматривались.