Рубрика «Допустим, Петя»
Тема: ОРМ головного мозга или вредные советы при расследовании инцидентов ИБ работниками собственной безопасности.
Зовут меня, допустим, Петя. Работал достаточное количество времени (чтобы сойти с ума) сотрудником отдела ИБ в организации N, которая является государственным монополистом в N-сфере.
В первом тексте, я сразу расскажу про ситуацию, которая началась неделю назад и происходит до сих пор.
Работник отдела IT создал на общем файловом ресурсе папку, куда временно бэкапит информацию с АРМ работников, так как шагает импортозамещение и идет замена Win на Linux.
Исходя из внутренних регламентов по ИБ, он:
1. Создал папку без заявки на создание ресурса
2. В этой папке может оказаться в свободном доступе для работников Общества информация ограниченного доступа (вдруг он туда АРМ бухгалтера бэкапит)
3. Не ограничил доступ к этой папке
Казалось бы, все просто - налицо нарушение прав разграничения доступа и несанкционированное создание сетевой папки. Внутренними регламентами по ИБ и прочим бумажкам все решается просто - заблокировать/удалить папку, дать по рукам айтишнику, лишить премии (опционально).
Но данный инцидент попал в поле зрения СБ и началось…
В соответствии со статьей 193 ТК РФ решили запросить у него объяснительную. Вопросы к объяснительной пишут уже 7 дней, вовлечены 5 (!) работников СБ, бегают друг за другом, совещаются, консультируются. Второй день пытаются понять, в чем разница формулировок «нарушил» и «не исполнил». Ниже приложен запрос к работнику (еще даже не финальный). 10 вопросов 5 человек пытаются сочинить уже больше недели.
Но больше всего радует, как один ответственный за составление запроса работник от СБ, после получения правок/предложений по составлению - начинает обходить остальных четверых и показывать рассказывать кто какие предложения дал, почему он их дал и тд.
Думаете, на этом история закончится? Нет. Впереди беседа с работником, протокол беседы с работником, протокол осмотра рабочего места и АРМ. А между этими мероприятиями надо написать несколько докладных и пару служебок.
Но вишенка на торте - это начальник отдела СБ (бывший СКшник). Который в упор не видит других путей расследования. Вторая вишенка - то, что отдел ИБ в расследовании не участвует.
А ведь делается это все просто (даже в рамках организации) - работник нарушил 3 пункта двух нормативных документов по ИБ. Согласно внутреннему классификатору инцидентов - срок расследования 3 дня, принимаемые меры такие то, наказание такое то (в зависимости от ущерба, если он нанесен) + отзыв админских прав на период расследования.
Заглянем в будущее - если столько времени в муках рождается запрос объяснений, сколько будут рожать акты/протоколы/докладные? А ведь там нужны заумные и страшные пугающие фразы, из разряда «Ивановым И.И. созданы предпосылки к увеличению риска возникновения инцидента ИБ, утечки К и КТ, с дальнейшим нанесением ущерба Обществу и Компании, а также компрометацией сетевой инфраструктуры».
История еще не закончилась и даже не не близка к завершению.
А материалы поменьше выходят в канале по ссылочке