 Рынок IT развивается стремительно. Чрезвычайно сложно следить за всеми новинками, появляющимися день ото дня. Да и у уже существующих продуктов постоянно добавляются, порой даже экзотические, новые функции и возможности. Разбираться в них порой просто не хватает времени. Но зачастую это и не надо. Приобретая комплект офисных программ, мы заранее представляем, для чего он нам нужен - для составления и редактирования документов и т. д. Некоторые особенности данного продукта, к примеру - возможность вставки в тело документа видеоклипа или задания звукового сопровождения, просто могут нас потом приятно порадовать. К сожалению, подходя к выбору средств безопасности, зачастую даже специалисты, подчиняется этому стереотипу. Многие только в общих чертах представляют, для чего им необходим тот или иной продукт.
Возьмем, к примеру, важную задачу - построение системы контроля корпоративной электронной почты. Ее основные задачи - обнаружения спама, выявление неблагонадежных сотрудников, предотвращение утечки конфиденциальной информации, контроль за целевым использованием корпоративной электронной почты, обнаружения вирусов и троянских коней, блокировка передачи файлов запрещенного типа, - перечислит каждый. Но когда дело доходит до внедрения - администраторы только разводят руками: как настроить систему, кто будет определять полномочия пользователей, от чего отталкиваться и чем руководствоваться при назначении полномочий и т. д.А ведь спектр средств защиты информации довольно обширен. Поэтому, прежде чем приобретать любую систему защиты, прежде всего, необходимо задуматься о том, какие цели планируется достичь после ее внедрения. Этот процесс называется построением политики безопасности использования тех или иных ресурсов. В итоге, из таких фрагментов строится обще корпоративная политика безопасности использования информационных технологий. Без наличия четкой политики безопасности любая система защиты, даже самая совершенная, будет бесполезной тратой денег. К тому же, имея четкие представления о том, что вам необходимо, проще будет определиться и с необходимым функционалом продукта. Но как же подойти к этой задаче? Ответственными за построение политики безопасности следует назначить комиссию из представителей отделов безопасности и отделов автоматизации. Строить политику безопасности им целесообразно будет начать с рассмотрение предмета, над которым производится действие. Во взятом к рассмотрению примере это будут электронные письма. Самыми главными атрибутами писем являются адреса отправителя и получателя. Все письма делятся на две большие категории (по направлению их движения): входящие и исходящие. Очевидно, что к этим категориям писем предъявляются различные требования. С внешними, по отношению к вашей организации, адресами все понятно: весь внешний мир делится на ваших партнеров, с которыми вас связывают некоторые доверительные отношения, и всех остальных. К последней категории писем следует относиться особо осторожно, так как в это множество, помимо родственников и друзей ваших сотрудников входят и ваши конкуренты. Взаимоотношения с партнерами тоже могут иметь разную степень доверия. Внутренние почтовые адреса вашей организации - это второй критерий создаваемой политики. В каждой организации параллельно существуют две структуры упорядочивания сотрудников: организационно-штатная и ролевая. Поясню сказанное. Организация делится на руководство и (по нисходящей) департаменты, управления, отделы, отделения, рабочие группы и т. д. (с точностью до названий и порядка их следования в конкретной структуре). На каждом уровне этой иерархии существует начальник, его помощники и рядовые сотрудники. Это и есть организационно-штатная структура. Идея ролевой структуры состоит в том, что у каждого индивидуума из множества рядовых сотрудников могут быть особые, отличные от других, обязанности и сферы деятельности даже в рамках одной рабочей группы. После того, как мы определились с этими двумя основными составляющими, нам осталось выполнить еще два шага. Первый - это составить модель взаимодействия между внешними и внутренними адресатами. К примеру, это можно реализовать по следующей схеме. Вся почта организации разделяется на входящую и исходящую:- Исходящая почта может идти:- от подразделения 1 к партнеру 1, к партнеру 2 и к прочим адресам - от подразделения 2 только к партнеру 3- и т. д.- Входящая почта может идти:- от партнера 1, партнера 2 и с прочих адресов в подразделение 1- от партнера 3 и с прочих адресов в подразделение 2- и т. д.Затем необходимо опуститься на следующий уровень иерархии: подразделение 1 состоит из таких-то структурных единиц, которые в свою очередь… и так до каждого конкретного сотрудника. Насколько глубоко необходимо опускаться при построении модели взаимодействия подскажут руководители структурных подразделений. Ведь именно они знают, какие роли отведены их подчиненным. Иллюстрацией к сказанному может служить отдел продаж гипотетической фирмы, который общается со всеми клиентами фирмы, но в котором каждый менеджер общается со своей и только со своей группой клиентов. Как видим, уже на этом этапе накладываются весьма существенные ограничения на свободу электронной переписки сотрудников.
|