Понедельник, 26.08.2019, 03:25

ALEX-STUDIO
Творческая Мастерская Василия А.Федотова 
- - - Linkedin

Меню

Публикации | Система обучения и допуска персонала к работе с бизнес информацией

Федотов В.А., Портал ALEX-STIDIO, портал компании "Интерфейс" (http://www.interface.ru),11 ноября 2009 г. 

   Введение

Сегодня почти в каждой компании существует автоматизированная/информационная система учета и манипулирования бизнес данными и, причем ни одна. Если выделить только основные, среди них будут: системы управления клиентами, продажами, документооборотом, технологическими/бизнес процессами, запасами/продукцией, человеческим капиталом и финансовыми потоками и т.д. Как этот "зоопарк" в рамках одной компании уживается и сочетается между собой, является отдельной темой. Мы же рассмотрим более узко заданный вопрос, а именно качество работы «армии» пользователей этих ИС и организация доступа. 

    Во всех информационных системах присутствуют как минимум три участника:

1. Инициаторы информации. Физическое оборудование, преобразующее свою деятельность в данные для загрузки в БД; Операторы, вносящие данные вручную или с помощи «самых современных средств автоматизации»; 
2. Получатели информации. Физическое оборудование, преобразующие команды из БД в действия; операторы, выполняющие действия на основе полученных данных; руководство, пользующееся обработанной отчетной информацией для анализа; 
3. Хранители информации. Серверное и коммуникационное оборудование, а также «яркие» представители Администраторов БД, системных и сетевых администраторов, разработчиков ПО.

    Из теории и практики управлениям угрозами информационной безопасности (ИБ) известно, что самое слабое звено при обеспечении ИБ любой системы это – сотрудники компании, т.е. звено получателей и инициаторов информации, представленных группой «операторы». Нельзя сказать, что остальные группы не являются потенциальным источником угроз для ИС, но в данном материале исследуется проблематика работы именно с этим, самым массовым и неоднородным источником угроз для ИС. 
    Ответ на вопрос, почему свои сотрудники являются наиболее массовой категорией нарушителей целостности и правильности данных, а также безопасности, нанося наибольшей ущерб компании, лежит в плоскости особенностей строения человеческого сознания. 

   Ничего нельзя сделать с желанием человека видеть, говорить, писать, брать, наживаться, ошибаться, обманывать, завидовать, любить, мстить и т.д. и т.п. 

    Существуют хорошо изученные и реализуемые методики «борьбы» с пользователями (операторами) ИС. В компаниях разрабатываться различные меры по обеспечению ИБ, создаются так называемые модели нарушителей, а также меры противодействия для каждой из них. Однако, даже самые защищенные, как физически, так и информационно компании могут получить очень сильный урон от преднамеренного и/или непреднамеренного вмешательства своих сотрудников в работу ИС.

   Существующие схемы организации допуска к ИС

    Но только ли трудовая дисциплина, правообязательство или технически меры контроля могут справиться с ошибочной или некомпетентной работой пользователей с ИС? Первопричиной такой ситуации является, прежде всего, не надлежащая подготовка персонала к правильной работе на своем рабочем месте, к работе на ПК в целом, и в конкретной ИС в частности. Для решения этой проблемы в каждом случаи разрабатываются различные схемы обучения, допуска, контроля и наказания, которые можно сгруппировать следующим образом:

1. Схема «Устроился в компанию – получил доступ ко всему что есть». Здесь нет какой-либо градации уровня допуска к информации, ни на логическом, ни на программном уровне. Устройство человека на работу предоставляет ему право общего для всех допуска в ИС компании. Схема допустима для малого и отчасти среднего бизнеса, но совсем не подходит для тех, кто имеет более сложную, разветвленную и секретную бизнес информацию; 
2. Схема «Устроился в компанию – получил допуск согласно принадлежности к отделу или ко всему, что захотел сам или его руководитель». В компании имеется документированный регламент допуска к информации сотрудников, и на определенном уровне он воссоздан в ИС программно. При этом тот или иной допуск определятся фактом принадлежности сотрудника к структурному подразделению, а не его непосредственными обязанностями в рамках этого подразделения или же компетенцией. Здесь имеет место принцип устного или письменного «выклянчивания» себе новых полномочий в ИС, если ранее данные права не дают делать то же, что делают «все остальные» в отделе. Важным моментом является то, что новый сотрудник работе с ИС в своем сегменте информации не обучается вовсе или обучается сотрудниками, работающими с ним вместе; 
3. Схема «Устроился в компанию – прошел специальное обучение – получил начальный допуск согласно результату обучения». Идеальный вариант, при котором хорошо существует документированный регламент допуска к информации, который гибко реализован в ИС программно. Новый сотрудник проходит обучение специальными людьми и/или внутри своего отдела, но с соответствующим документальным оформлением, после чего ему присваивается доступ, но не ранее чем обучение будет завершено успешно.

    Самой нежелательной из всех является вторая схема, т.к. если в первой такой подход может быть оправдан очень скромной бизнес информацией, а в третьей сложная информационная структура хорошо описана и защищена, то именно вторая схема, используясь в компании со сложными ИС, является источником серьезных угроз для ее бизнес информации. Очевидно, что для большой компании лучше не экономить и использовать делопроизводственные регламенты и программные механизмы, соответствующие наиболее безопасной третьей схеме. 
    Понятно, что каждая компания вольна сама выбирать подходящую для себя схему работы сотрудников с ИС. Однако сегодня уважающий себя бизнес вкладывает не малые ресурсы на внедрение в свою работу стандартов качества из семейства ISO или ГОСТ на их основе. Управление качеством работы всех составляющих компании в процессе выпуска продукции и/или предоставления услуг, обеспечивает «система менеджмента качества» СМК, регламентируемая стандартами линейки ISO9000/9001 и т.д. Помимо этого, область обеспечения ИБ регламентируется еще и стандартом ISO27001:2005 «построение, документальное оформление и сертификация системы менеджмента информационной безопасности». Естественно, что если при внедрении в работу компании философии норм и практик указанных стандартов не подходить формально или даже безразлично, то именно это и позволит подготовить в компании ту самую, оптимальную схему взаимодействия персонала и ИС. В этом случае также может быть достигнуто максимальное соблюдение принципа баланса интересов безопасности бизнес информации с одной стороны, и прав пользователей (сотрудников) этой информации с другой стороны. 
    Но, как же быть если в реальности даже очень хорошо продуманная схема больше состоит из «бумажных» этапов или в компании применяются несколько разнородных ИС, к которым нужно индивидуально разрабатывать свои схемы. Решение может быть в попытки объединения всех схем в единую политику компании в этом вопросе и созданием на этой основе отдельной интеллектуальной надстройки, которая охватит в себе всю логику управления информацией об ИС и сотрудниках компании, а также об их тренингах, результатов тестов и уровне предоставленного доступа.

   Система авторизованного обучения, тестирования, допуска и контроля

    Рассмотрим работу схемы, выбранной ними в качестве идеальной на уровне регламентов. Итак, что сие означает и каким требованиям должно отвечать. Для начала зададим критерии, по которым можно определить наличие или задатки наличия в компании той «совершенной» схемы, на базе которой может строиться надстройка в виде системы авторизованного обучения и допуска.

Во-первых, компания должна обладать одной или несколькими крупными ИС, причем под объемом больше подразумевается число разнородный пользователей, нежели физический объем занимаемого места в хранилищах данных (БД). 
Во-вторых, бизнес информация в одной или нескольких ИС должна быть разветвленной, сложной по составу, но при этом хорошо структурированной и документально описанной в соответствии с требованиями стандарта качества, применяемого в компании. 
В-третьих, допуск и работа большого числа сотрудников в ИС должна быть также документально описана и регламентирована в соответствии с требованиями стандарта качества, применяемого в компании. 
В-четвертых, регламенты допуска и прав при работе с информацией должны быть, хотя бы частично, реализованы программно в самой ИС и/или надстроенных над неё сервисах.

    Если все пункты или их большая часть соответствует вашей компании, то можно смело начинать разработку новой концепции. Суть ее заключается в том, что можно создать интеллектуальную надстройку, в виде новой единой ИС внутреннего авторизованного обучения и допуска сотрудников, которая дополнит и объединит в себе существующие для всех ИС компании документальные регламенты и частично реализованные программные механизмы управления доступом. При этом новая ИС должна охватить полный цикл процессов связанных с обучением, тестированием, наделением и отзывом полномочий, информационной поддержкой и контролем сотрудников в период их работы с различными ИС компании. 

В результате на выходе мы можем получить следующую схему, из которой будет состоять новая ИС:

1. Единая БД для учета всех сотрудников компании, имеющих или претендующих на права доступа к одной или несколько ИС; 
2. Единый программный комплекс (интерфейс), построенный как клиент-серверное приложение или как WEB технология, позволяющий проводить предварительное обучение и авторизованное тестирование сотрудника по темам тех ИС, на работу с которыми он претендует. Уже в процессе работы с различными ИС комплекс служит банком справочной информацией по темам для каждой из ИС, а также формой обратной связи со службой внутренней технической поддержки; 
3. Интеллектуальный программный комплекс взаимодействия между всеми ИС, который вносит данные о пользователе и его полномочиях в соответствующие ИС на основе информации из своей БД, после успешного прохождения сотрудником авторизованного тестирования. Комплекс может частично управляться специалистом, специально выделенным для обеспечения контроля доступа к ИС компании, например администратором БД или домена.

 То как может работать и взаимодействовать такая система, можно проследить по алгоритму ее функционирования:

1. Новый сотрудник принимается на работу и заводится в необходимые начальные ИС как объект информации; 
2. Новый сотрудник добавляется в ИС обучения, допуска и контроля, где в соответствии с регламентом и штатным расписанием ему устанавливается пакет из ИС компании, с которыми он будет работать в будущем; 
3. На рабочем месте с помощью инструктора и/или самостоятельно сотрудник в интерактивном режиме изучает материалы по предстоящей работе с соответствующими ИС; 
4. После прохождения тренинга, так же на рабочем месте и/или в специальном центре, сотрудник сдает итоговые авторизованные тесты, которые выполнены в виде защищенной компьютерной программы; 
5. По результатам тестов и в соответствии с заявленными категориями, сама система автоматически определяет успешность пройденной проверки и уровень знаний сотрудника в заданной области; 
6. На основе определенного уровня выдается предписание (программное или иное) для предоставления данному сотруднику минимально необходимого и достаточного доступа к той или иной ИС компании уже как субъекту информации; 
7. На основе предписания в каждую ИС вносятся данные (программно или по-иному) для организации доступа сотрудника к работе с ИС как субъекту информации; 
8. В процессе дальнейшей работы сотрудник может/должен проходить регулярные тренинги или новые курсы, результате которых может/должен изменяться уровень доступа к ИС и их число, как в большую, так и меньшую сторону; 
9. При существовании системы фиксации ошибок в различных ИС компании, данная информация может быть направлена в ИС обучения, допуска и контроля, где на ее основе будет инициироваться вопрос о дополнительном тренинге/тесте; 
10. В случаи увольнения сотрудника в обязательном порядке обхода должно быть получено заключение об удалении учетных записей сотрудника, как из ИС обучения, допуска и контроля, так и из остальных ИС компании. При этом желательно, чтобы удаление учетных записей из остальных ИС компании было произведено автоматически именно ИС обучения, допуска и контроля.

 


   Преимущества и недостатки концепции внешней надстройки

    Необходимо понимать, что любая ИС, а тем более выполняющая роль интеллектуальной надстройки над существующими, должна быть не только хорошо продумана и реализована, но и отвечать нуждам самой компании с понимаем необходимости ее внедрения вообще. Помимо критериев определения потребности компании в новой ИС, описанных выше, отметим возможные основные преимущества и недостатки, связанные с разработкой и эксплуатацией.

Преимущества: 
1. Сосредоточение всей информации о сотрудниках и их отношению к ИС компании, что исключает дублирование части информации о сотрудниках в каждой ИС; 
2. Сосредоточение учебных материалов по каждой ИС, что позволяет гарантировать единообразие методов подготовки и организовать дистанционное обучение персонала прямо на рабочем месте, вне зависимости от размера компании; 
3. Организация вводного обучения и последующего обмена опытом через систему специальных сотрудников-тренеров и/или самостоятельно на основе четкого учебного плана; 
4. Ведение данных об изученном сотрудниками материале и уровне сданных тестов, что должно обеспечить обратную связь и объективную историю развития сотрудника в период после прохождения обучения и во время дальнейшей работы; 
5. Предоставление доступа в определенную ИС согласно регламента и на основе уровня показанных знаний, что снижает риск причинения ущерба от некорректных действий сотрудника, не имевшего необходимые знания, но получившего излишний доступ к ИС компании.

Недостатки: 
1. Самостоятельная реализация данной надстройки в компании потребует качественное проведение комплексного анализа всех ИС, технологических схем, создания и разработки новой ИС, что будет стоить немалых усилий и может быть недоступно компаниям с малым бюджетом и/или не имеющих соответствующих квалифицированных специалистов; 
2. Не качественная реализация в целом или одного участка цепочки новой ИС, может привести к сбою и ошибке в работе с другими ИС компании. Это в свою очередь, может принести ощутимые убытки для компании, т.к. помимо нарушения безопасности информации может быть отказано в технической поддержке тех ИС, которые были приобретены у сторонних производителей и пострадали от действий новой программной надстройки; 
3. При попытке приобрести и внедрить существующие готовые коммерческие решение в области конгломерации персональных данных сотрудников и управления уровнем доступов для ИС, возможны большие несоответствия требованиям и особенностям данной компании, что не позволит в полной мере реализовать задуманное, а затраты будут существенно выше чем при самостоятельной разработке.

   Заключение

    При решении вопроса о необходимости реализации в той или иной компании описанной интеллектуальной надстройки, необходимо руководствоваться, прежде всего, интересами компании и ее возможностями. 
    Не стоит городить лишнюю систему там, где существует одна или две малые ИС, или же в них самих хорошо реализованы методики доступа и контроля. 
    Если в компании налицо необходимость приведения всего ассортимента ИС к единому принципу управления, то сначала должны быть разработаны логичные документальные регламенты, которые в новой ИС просто примут форму программного продукта. Нужно учесть, что регламенты должны еще и соблюдаться самой компанией, а то может быть так, что если кого из новых сотрудников руководство «захочет» принять на работу, то потребуют выдать ему доступ к нужным ИС без всякого обучения и тестов! 
    Так что «… думайте сами, решайте сами, иметь или не иметь…».