Раз у нас есть риски, то должна быть и политика управления ими. Причем речь идет не о самой простой из них, которая заключается в полном запрете социальных сетей (хотя нашим чиновникам хотят такое запретить на высочайшем уровне — слишком уж много глупостей они пишут). И даже не о той, которая хорошо иллюстрируется приведенной картинкой (спасибо Alex Toparenko) и известной поговоркой «молчание — золото». Речь идет о полноценной политике использования социальных сетей в контексте информационной безопасности.
В целом данная политика должно состоять из 3-х блоков «об общего к частному»:
- Общее отношение компании к социальным медиа. Что используется, а что нет; для чего; какие полномочия даны пользователям; будет ли проводиться модерация контента и т.д.?
- Что могут и что не могут сотрудники делать в онлайн-пространстве. При этом данный раздел должен включать в себя не только требования, но и лучшие практики и советы, как вести себя в той или иной ситуации, а также в зависимости от роли — пользователь, как частное лицо, или пользователь, как сотрудник компании. Общим должно быть правило «думай, прежде чем что-то опубликовать в социальной сети». Стоит лишний раз напомнить пользователям, что все, что опубликовано в Интернет, уже врядли может быть оттуда удалено. Поэтому надо взвешивать последствия любого своего действия в социальных сетях; и взвешивать ДО, а не ПОСЛЕ.
- Что могут и что не могут публиковать сотрудники на социальных ресурсах, в которых им разрешено участвовать от имени компании. Очевидно, что врядли работодатель будет рад, если его сотрудники на ресурсах, ассоциированных с компанией, будут поливать грязью действующую власть или выкладывать контент, нарушающий чью-то интеллектуальную собственность (да и от своего собственного имени это не очень-то приветствуется).
С точки зрения числа документов — это может быть одна политика, две, три и даже четыре. Количество не так важно — фокус смещается на содержание, а не форму. Описывая правила поведения в социальных сетях стоит акцентироваться не только на том, что нельзя, но и на том, что можно, чтобы для каждого из требований/положений можно было провести четкую грань разрешенного и запрещенного поведения.
И не забудьте включить в эту политику раздел о том, кто отвечает за ее реализацию и с какой частотой ее надо пересматривать. В отличие от парольной политики, не меняющейся годами, работа в социальной сети претерпевает изменения достаточно часто. Кто должен быть владельцем данной политики? Вопрос не простой, т.к. работа в социальной сети предполагает затрагивание интересно разных подразделений — PR, маркетинг, HR, юридическое, ИТ, безопасность, работа с клиентами и т.д.
Поэтому службе ИБ не стоит брать на себя всю тяжесть ответственности за данное направление, но свое слово она должна сказать и внести свою лепту в формируемый документ (а также отслеживать его изменени и предлагать их по необходимости). Какие разделы данной политики могут принадлежать перу безопасников:
- Использование определенных платформ Social Media. Например, работникам может быть разрешен доступ к Facebook, LinkedIn и Twitter, но запрещен к «Одноклассникам» и «ВКонтакте». Это может быть как глобальное правило «для всех», так и гибкая политика доступа для разных групп пользователей, затем реализуемая на межсесетевом экране. При этом можно ограничивать доступ не только к сайту целиком, а к отдельным его разделам или микро-приложениям, которые в нем используются, или применять иные гибкие настройки разграничения доступа. Такие прикладные межсетевые экраны (application firewall или next generation firewall) сейчас есть у некоторых производителей (мы вот тоже имеем такой продукт — Cisco ASA CX).
- Помимо ограничения на конкретные платформы или разделы социальной сети политика может ограничивать доступ и к материалам на определенную тему — от банальных порнография, реклама суицида и наркотиков, до посещения социальных сетей для поиска работы (исключая сотрудников HR) или страниц конкурентов на социальных сетях (исключая сотрудников отделов экономической безопасности или маркетинга).
- Ответственность пользователей за нарушения правил общей политики информационной безопасности. Не мешает лишний раз напомнить, что нет никакой разницы как осуществлена кража и передача конфиденциальной информации — по e-mail, USB или через «Мой Круг» или Google+. Сюда же будет включаться и перечень наказаний за нарушения, например, отлучение от Интернет или иные формы дисциплинарного воздействия, согласуемые с Трудовым Кодексом.
- Пароли и учетные записи. Хорошей практикой является включение в политику требования, чтобы пароли к учетным записям социальных сетей (исключая быть может корпоративные, если реализована единая система Identity Management) не совпадали с паролями, используемыми в корпоративной сети.
- Время и цель доступа в социальные сети. Это вообще-то не функция ИБ, но уж слишком часто навешивают на безопасников контроль действий сотрудников в Интернет, контроль посещаемых сайтов, скачиваемых файлов и т.д. Если и у вас это так, то тогда стоит зафиксировать соответствующие правила. Например, «использование социальных сетей в личных целях в рабочее время запрещено» или «использование социальных сетей в личных целях в рабочее время разрешено в течение 30 минут ежедневно с 9.30 до 10.00 утра и с 17.30 до 18.00 вечера». На межсетевом экране это правило также легко зафиксировать, если межсетевой экран оперирует не IP-адресам в своих правилах, а именами пользователей.
- Контроль контента. Поскольку социальная сеть подразумевает общение по принципу «один ко многим» или «многие к одному», то в отличие от переписки, где главенствует принцип «один к одному», контроль любого контента, размещаемого в социальных сетях от имени компании и с ресурсов, принадлежащих компании, никаких конституционных прав не нарушает. Поэтому в политике должно найти отражение правило, что любой контент может быть проверен сотрудниками с соответствующими привилегиями; обычно это ИБ, юристы и HR. Сюда же могут попасть правила, связанные с регистрацией действий и архивацией контента, связанными с сотрудником, сидящим в социальных сетях. Правда, прописывая условие регистрации и архивации будьте готовы реализовать его на практике, что не просто, т.к. требует немалых вычислительных ресурсов под данную задачу. Что же касается функции DLP для Web-контента, то это также возможно сегодня в некоторых продуктах.
- Вредоносный код и фишинг. В приведенной по ссылке выше презентации описаны различные риски, связанные с открытием ссылок или запуском файлов от посторонних людей. Понятно, что этого делать не надо, но лишний раз напомнить (желательно с примерами скриншотов) не помешает. Это для безопасников очевидно, а для рядовых пользователей ничего не стоит кликнуть на флеш-ролик с «котэ», который в скрытом режиме устанавливает трояна или крадет пароли доступа.
- Интеллектуальная собственность. Запрет на нарушение прав на чужую интеллектуальную собственность очевиден, но… его просто записать, но сложно контролировать на практике. По крайней мере по отношению к мультимедиа-контенту. Поэтому в некоторых случаях проще запретить выкладывание таких файлов или ввести их премодерацию.
- Персональные данные. Также нелишним будет еще раз напомнить про правила работы с персональными данными клиентов, партнеров и иных лиц, которые оставили свои ПДн в социальных сетях, контролируемых компанией. Это если говорить о сотрудниках. Если же у вас есть собственная социальная сеть, то не забудьте опубликовать в ней политику работы с ПДн, выполнив тем самым требование ФЗ-152. Правда, не всегда понятно, как это сделать на чужих социальных ресурсах, на которых у вас всего лишь «страничка».
- Информационные войны. Это нередкость в Интернет-пространстве. Ждать от сотрудников, что они будут уметь воевать, не стоит. Но лишний раз напомнить им, чтобы они не ввязывались в такие войны (троллинг, флейм и т.п.) стоит. Также можно включить рекомендацию сообщать обо всех случаях публикации негатива о компании. Главное, четко определить границы между негативом и шуткой (хотя это непросто). Этот тот случай, когда простого требования недостаточно, — необходимо чуть больше описания, рассмотрение примеров и т.д.
- Спам. У нас на корпоративном блоге российского офиса Cisco нередко появляется спам в комментариях к заметкам. Бороться с ним можно разными методами, которые также должны найти отражение в политике работы с социальными сетями. Это и CAPTCHA, и запрет на публикацию комментов анонимами (так сделано у меня на этом блоге), и использование специализированных движков для контроля спама (так сделано, например, у Алексея Волкова) и т.п., включая и ручной просмотр, если комментариев немного.
Очевидно, что данная политика должна быть не только написана, но и доведена до сведения всех сотрудников (тренинг, в т.ч. и онлайн, будет нелишним), а ее положения должны найти отражение в конкретных технических и организационных мерах, реализация которых ляжет на ответственные подразделения, включая и службу ИБ.
ЗЫ. Кстати, 1.5 года назад я уже давал ссылку на интересный документ по тому, что включать в политику работы с социальными сетями. Документ по-прежнему актуален.
Интересно, на основе чего Вы разделили (Facebook, LinkedIn и Twitter) и ("Одноклассники" и "ВКонтакте")?
Только по производителю? Что русское — запрещаем? Или есть более глубокая методика оценки опасности?
…И было у него три … тысячи политик, и занимали они вместе с инструкции и т.п. документами ни много ни мало 10 тысяч страниц шрифтом ньюроман 12 размера с нулевым межстрочным интервалом. И знали ВСЕ сотрудники его эти документы НАИЗУСТЬ со всеми изменениями и выполняли буковка в буковку. А если находился кто забывавший об одном из правил, то подлежал он казни неминучей за нарушение подпункта 123 пункта 218 статьи 3831 главы 290 "Инструкции по выполнению "Второстепенной Политики по доступу к кнопке button16 на страничке аккаунта в социальной сети "ВКонтакте"… И жили все счастливо. и умерли в один день :_(
Я это к чему? У Минцберга есть понятие "индоктринации", т.е. в высшем смысле "пропитывание" сотрудника духом организации (ну не без политик/религии конечно, просто ничего нового пока не придумали). Вот формирование такого духа, способы пропитывания сотрудников духом и сутью организации — вот высшая цель сотрудника ИБ 🙂
Забыл написать, что в службе ИБ, т.к. НИКТО из "нормальных" людей не способен ПОМНИТЬ ВСЕ требования политик и инструкций, было нанято два сотрудника с "альтернативным мышлением", которых использовали в качестве рал-тайм энциклопедий знаний.
Мне очень понравилось понятие «альтернативное мышление» от Zzubra, причем «не написание» таких инструкций-политик и будет тем альтернативным мышлением. Отсутствие мотивации к работе и слабое руководство его (пользователя) бизнес-процессами и порождают желание «отвиснуть» где-нибудь в сети. Дополнительные затраты (якобы) и не желание (не умение) отрегулировать бизнес-процессы на предприятии дают мотив руководству компании вводить ограничения. Решим эти проблемы – решим поставленную задачу. И чем быстрее мы это поймем, тем быстрее что-то изменится.
p.s. Ну а ИБ всегда будет выступать в таких ситуациях крайним. Отсюда и отношение, и повод, и ……
Одноклассники ничего полезного для работы не несут — там нет эффективных инструментов. ВК — это рассадник порнухи, спама, пиратства
А вы сказочники, господа 😉 Воспитание культуры — это хорошо, но до этого дожить надо. А пока культуры нет, соблюдайте политики!
Альтернативно мыслящие люди — это политкорректное название людей, больных синдромом Дауна. Дело в том, что из-за особенностей их мышления некоторые из них способны не забывать все что прочитано (люди-библиотеки). Я собственно это подразумевал.
А политики ведут к зарождению культуры?
Есть мнение, что политикой проблему не решить…
Все упирается в особенность социальной сети: ее Доступность.
Доступность из-за периметра, контролируемого организацией.
Контролировать личное пространство пользователя? Когда он дома? Когда он варит картошку и чистит лук?
Единственное, что можно сделать — расширить соглашение о конфиденциальности и "сотрудник принимает меры по исключению распространения, конфликтов и бла бла бла связанного с организацией, ее репутацией и бла бла…"
Прежде всего нужно разделить и уточнить что такое "работа в социальных сетях" — и от этого плясать…
Или еще радикальнее:
1. определить, а как вообще можно влиять на человека и его действия
2. определить степень влияния каждого воздействия
3. определить трудоемкость/времяёмкость каждого воздействия
4. определить долгосрочность каждого воздействия
5. в зависимости от задачи и ресурсов выбирать подходящие воздействия
А политикой, как и кучей ФЗ, добиться безопасности/исполнения невозможно. Давеча в блоге infowatch поднималась аналогичная тема http://infowatch.livejournal.com/370906.html
Из личного опыта: попытка уместить в голове новый закон об образовании в течении почти трех недель все еще не увенчалась успехом. А прочитают ли его учителя и ученики?
Политика — это способ осветить проблему и возможные пути ее решения, чтобы пользователи об этом помнили. По мере активного вовлечения пользователей в процесс ИБ появляется культура, но этим мало кто может похвастаться. Особенно для такой новой темы, как социальные сети
А давайте отменим ПДД и будем все ездить в соответствии с "духом и сутью" 🙂
Правда, я ездил три года по Тбилиси когда там вообще не соблюдали ПДД. Аварий практически не было, так все соблюдали некие неписанные правила выживания.
Как сделать политики ИБ подобными неписанными правилами — вот в чем вопрос. Думаю, в Коза Ностра политики ИБ не пишут, а передают из уст в уста 🙂
Активное вовлечение пользователя в процессы ИБ чревато навязыванием ему не свойственных функций отвлекающих от основной деятельности, что недопустимо при производственном процессе. Автоматизация процессов ИБ с минимальным участием пользователя – то к чему необходимо стремиться. А культура это отдельный вопрос и разработанной политикой его не решить и даже к «засчитыванию» попытки решить вопрос культуры – не подходит. Это напоминает лозунг: «Культуру – в массы!».
Зачем далеко ходить: разработанная куча документации по ПД окультурила много пользователей ИСПДн?
Знание правил ПДД тоже отвлекает от несвойственных функций и основной деятельности 😉
А культура именно внедряется, в т.ч. и через политики. Сама по себе культура не появляется
А вот это уже подмена понятий, если ты за рулем, то знание ПДД — твоя обязанность, а если твоя работа не связана с ПДД, то и знать не знай их. Кстати знание ПДД при пешем передвижении по улице необходимо т.к. ты в этом случае считаешься пешеходом и выполняешь его обязанности, закрепленые в ПДД.
А знание компьютерное гигиены требуется при работе за компьютером 😉
Не хочу искать, поверьте на слово))))), в Компьютерре, когда она еще была бумажной, была тема про дорожное движение, так вот рассказывалось о двух эксперементальных городах в Европе, где были отменены правила — количество аварий снизилось практически до нуля. Так что при определенном уровне "духа и сути" строгие правила уже не нужны.