Что включить в политику работы в социальных сетях с точки зрения ИБ?

Стратегия
Многие пользуются социальными сетями (читая эту заметку, вы уже ими пользуетесь). Кто-то в формате «read-only», кто-то активно участвуя в дискуссиях; кто-то трепется с бывшими одноклассниками в «Одноклассниках», а кто-то активно обменивается опытом с коллегами в Facebook; кто-то является членом публичных «ВКонтакте», а кто-то наборот предпочитает закрытые междусобойчики. Все эти ситуации объединяет одно — использование нового канала коммуникации, который несет с собой не только преимущества, но и риски. Причем риски не только типичные для любого Web-сайта и описанные мной ранее, но и риски утечки информации, нарушение этических норм, нарушения прав на интеллектуальную собственность и т.п.

Раз у нас есть риски, то должна быть и политика управления ими. Причем речь идет не о самой простой из них, которая заключается в полном запрете социальных сетей (хотя нашим чиновникам хотят такое запретить на высочайшем уровне — слишком уж много глупостей они пишут). И даже не о той, которая хорошо иллюстрируется приведенной картинкой (спасибо Alex Toparenko) и известной поговоркой «молчание — золото». Речь идет о полноценной политике использования социальных сетей в контексте информационной безопасности.

В целом данная политика должно состоять из 3-х блоков «об общего к частному»:

  • Общее отношение компании к социальным медиа. Что используется, а что нет; для чего; какие полномочия даны пользователям; будет ли проводиться модерация контента и т.д.?
  • Что могут и что не могут сотрудники делать в онлайн-пространстве. При этом данный раздел должен включать в себя не только требования, но и лучшие практики и советы, как вести себя в той или иной ситуации, а также в зависимости от роли — пользователь, как частное лицо, или пользователь, как сотрудник компании. Общим должно быть правило «думай, прежде чем что-то опубликовать в социальной сети». Стоит лишний раз напомнить пользователям, что все, что опубликовано в Интернет, уже врядли может быть оттуда удалено. Поэтому надо взвешивать последствия любого своего действия в социальных сетях; и взвешивать ДО, а не ПОСЛЕ.
  • Что могут и что не могут публиковать сотрудники на социальных ресурсах, в которых им разрешено участвовать от имени компании. Очевидно, что врядли работодатель будет рад, если его сотрудники на ресурсах, ассоциированных с компанией, будут поливать грязью действующую власть или выкладывать контент, нарушающий чью-то интеллектуальную собственность (да и от своего собственного имени это не очень-то приветствуется).

С точки зрения числа документов — это может быть одна политика, две, три и даже четыре. Количество не так важно — фокус смещается на содержание, а не форму. Описывая правила поведения в социальных сетях стоит акцентироваться не только на том, что нельзя, но и на том, что можно, чтобы для каждого из требований/положений можно было провести четкую грань разрешенного и запрещенного поведения.

И не забудьте включить в эту политику раздел о том, кто отвечает за ее реализацию и с какой частотой ее надо пересматривать. В отличие от парольной политики, не меняющейся годами, работа в социальной сети претерпевает изменения достаточно часто. Кто должен быть владельцем данной политики? Вопрос не простой, т.к. работа в социальной сети предполагает затрагивание интересно разных подразделений — PR, маркетинг, HR, юридическое, ИТ, безопасность, работа с клиентами и т.д.

Поэтому службе ИБ не стоит брать на себя всю тяжесть ответственности за данное направление, но свое слово она должна сказать и внести свою лепту в формируемый документ (а также отслеживать его изменени и предлагать их по необходимости). Какие разделы данной политики могут принадлежать перу безопасников:

  • Использование определенных платформ Social Media. Например, работникам может быть разрешен доступ к Facebook, LinkedIn и Twitter, но запрещен к «Одноклассникам» и «ВКонтакте». Это может быть как глобальное правило «для всех», так и гибкая политика доступа для разных групп пользователей, затем реализуемая на межсесетевом экране. При этом можно ограничивать доступ не только к сайту целиком, а к отдельным его разделам или микро-приложениям, которые в нем используются, или применять иные гибкие настройки разграничения доступа. Такие прикладные межсетевые экраны (application firewall или next generation firewall) сейчас есть у некоторых производителей (мы вот тоже имеем такой продукт — Cisco ASA CX).
  • Помимо ограничения на конкретные платформы или разделы социальной сети политика может ограничивать доступ и к материалам на определенную тему — от банальных порнография, реклама суицида и наркотиков, до посещения социальных сетей для поиска работы (исключая сотрудников HR) или страниц конкурентов на социальных сетях (исключая сотрудников отделов экономической безопасности или маркетинга).
  • Ответственность пользователей за нарушения правил общей политики информационной безопасности. Не мешает лишний раз напомнить, что нет никакой разницы как осуществлена кража и передача конфиденциальной информации — по e-mail, USB или через «Мой Круг» или Google+. Сюда же будет включаться и перечень наказаний за нарушения, например, отлучение от Интернет или иные формы дисциплинарного воздействия, согласуемые с Трудовым Кодексом.
  • Пароли и учетные записи. Хорошей практикой является включение в политику требования, чтобы пароли к учетным записям социальных сетей (исключая быть может корпоративные, если реализована единая система Identity Management) не совпадали с паролями, используемыми в корпоративной сети.
  • Время и цель доступа в социальные сети. Это вообще-то не функция ИБ, но уж слишком часто навешивают на безопасников контроль действий сотрудников в Интернет, контроль посещаемых сайтов, скачиваемых файлов и т.д. Если и у вас это так, то тогда стоит зафиксировать соответствующие правила. Например, «использование социальных сетей в личных целях в рабочее время запрещено» или «использование социальных сетей в личных целях в рабочее время разрешено в течение 30 минут ежедневно с 9.30 до 10.00 утра и с 17.30 до 18.00 вечера». На межсетевом экране это правило также легко зафиксировать, если межсетевой экран оперирует не IP-адресам в своих правилах, а именами пользователей.
  • Контроль контента. Поскольку социальная сеть подразумевает общение по принципу «один ко многим» или «многие к одному», то в отличие от переписки, где главенствует принцип «один к одному», контроль любого контента, размещаемого в социальных сетях от имени компании и с ресурсов, принадлежащих компании, никаких конституционных прав не нарушает. Поэтому в политике должно найти отражение правило, что любой контент может быть проверен сотрудниками с соответствующими привилегиями; обычно это ИБ, юристы и HR. Сюда же могут попасть правила, связанные с регистрацией действий и архивацией контента, связанными с сотрудником, сидящим в социальных сетях. Правда, прописывая условие регистрации и архивации будьте готовы реализовать его на практике, что не просто, т.к. требует немалых вычислительных ресурсов под данную задачу. Что же касается функции DLP для Web-контента, то это также возможно сегодня в некоторых продуктах.
  • Вредоносный код и фишинг. В приведенной по ссылке выше презентации описаны различные риски, связанные с открытием ссылок или запуском файлов от посторонних людей. Понятно, что этого делать не надо, но лишний раз напомнить (желательно с примерами скриншотов) не помешает. Это для безопасников очевидно, а для рядовых пользователей ничего не стоит кликнуть на флеш-ролик с «котэ», который в скрытом режиме устанавливает трояна или крадет пароли доступа.
  • Интеллектуальная собственность. Запрет на нарушение прав на чужую интеллектуальную собственность очевиден, но… его просто записать, но сложно контролировать на практике. По крайней мере по отношению к мультимедиа-контенту. Поэтому в некоторых случаях проще запретить выкладывание таких файлов или ввести их премодерацию.
  • Персональные данные. Также нелишним будет еще раз напомнить про правила работы с персональными данными клиентов, партнеров и иных лиц, которые оставили свои ПДн в социальных сетях, контролируемых компанией. Это если говорить о сотрудниках. Если же у вас есть собственная социальная сеть, то не забудьте опубликовать в ней политику работы с ПДн, выполнив тем самым требование ФЗ-152. Правда, не всегда понятно, как это сделать на чужих социальных ресурсах, на которых у вас всего лишь «страничка».
  • Информационные войны. Это нередкость в Интернет-пространстве. Ждать от сотрудников, что они будут уметь воевать, не стоит. Но лишний раз напомнить им, чтобы они не ввязывались в такие войны (троллинг, флейм и т.п.) стоит. Также можно включить рекомендацию сообщать обо всех случаях публикации негатива о компании. Главное, четко определить границы между негативом и шуткой (хотя это непросто). Этот тот случай, когда простого требования недостаточно, — необходимо чуть больше описания, рассмотрение примеров и т.д.
  • Спам. У нас на корпоративном блоге российского офиса Cisco нередко появляется спам в комментариях к заметкам. Бороться с ним можно разными методами, которые также должны найти отражение в политике работы с социальными сетями. Это и CAPTCHA, и запрет на публикацию комментов анонимами (так сделано у меня на этом блоге), и использование специализированных движков для контроля спама (так сделано, например, у Алексея Волкова) и т.п., включая и ручной просмотр, если комментариев немного.

Очевидно, что данная политика должна быть не только написана, но и доведена до сведения всех сотрудников (тренинг,  в т.ч. и онлайн, будет нелишним), а ее положения должны найти отражение в конкретных технических и организационных мерах, реализация которых ляжет на ответственные подразделения, включая и службу ИБ.

ЗЫ. Кстати, 1.5 года назад я уже давал ссылку на интересный документ по тому, что включать в политику работы с социальными сетями. Документ по-прежнему актуален.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Softreanimator

    Интересно, на основе чего Вы разделили (Facebook, LinkedIn и Twitter) и ("Одноклассники" и "ВКонтакте")?
    Только по производителю? Что русское — запрещаем? Или есть более глубокая методика оценки опасности?

    Ответить
  2. ZZubra

    …И было у него три … тысячи политик, и занимали они вместе с инструкции и т.п. документами ни много ни мало 10 тысяч страниц шрифтом ньюроман 12 размера с нулевым межстрочным интервалом. И знали ВСЕ сотрудники его эти документы НАИЗУСТЬ со всеми изменениями и выполняли буковка в буковку. А если находился кто забывавший об одном из правил, то подлежал он казни неминучей за нарушение подпункта 123 пункта 218 статьи 3831 главы 290 "Инструкции по выполнению "Второстепенной Политики по доступу к кнопке button16 на страничке аккаунта в социальной сети "ВКонтакте"… И жили все счастливо. и умерли в один день :_(

    Ответить
  3. ZZubra

    Я это к чему? У Минцберга есть понятие "индоктринации", т.е. в высшем смысле "пропитывание" сотрудника духом организации (ну не без политик/религии конечно, просто ничего нового пока не придумали). Вот формирование такого духа, способы пропитывания сотрудников духом и сутью организации — вот высшая цель сотрудника ИБ 🙂

    Ответить
  4. ZZubra

    Забыл написать, что в службе ИБ, т.к. НИКТО из "нормальных" людей не способен ПОМНИТЬ ВСЕ требования политик и инструкций, было нанято два сотрудника с "альтернативным мышлением", которых использовали в качестве рал-тайм энциклопедий знаний.

    Ответить
  5. Unknown

    Мне очень понравилось понятие «альтернативное мышление» от Zzubra, причем «не написание» таких инструкций-политик и будет тем альтернативным мышлением. Отсутствие мотивации к работе и слабое руководство его (пользователя) бизнес-процессами и порождают желание «отвиснуть» где-нибудь в сети. Дополнительные затраты (якобы) и не желание (не умение) отрегулировать бизнес-процессы на предприятии дают мотив руководству компании вводить ограничения. Решим эти проблемы – решим поставленную задачу. И чем быстрее мы это поймем, тем быстрее что-то изменится.
    p.s. Ну а ИБ всегда будет выступать в таких ситуациях крайним. Отсюда и отношение, и повод, и ……

    Ответить
  6. Алексей Лукацкий

    Одноклассники ничего полезного для работы не несут — там нет эффективных инструментов. ВК — это рассадник порнухи, спама, пиратства

    Ответить
  7. Алексей Лукацкий

    А вы сказочники, господа 😉 Воспитание культуры — это хорошо, но до этого дожить надо. А пока культуры нет, соблюдайте политики!

    Ответить
  8. ZZubra

    Альтернативно мыслящие люди — это политкорректное название людей, больных синдромом Дауна. Дело в том, что из-за особенностей их мышления некоторые из них способны не забывать все что прочитано (люди-библиотеки). Я собственно это подразумевал.

    Ответить
  9. ZZubra

    А политики ведут к зарождению культуры?

    Ответить
  10. Анонимный

    Есть мнение, что политикой проблему не решить…
    Все упирается в особенность социальной сети: ее Доступность.
    Доступность из-за периметра, контролируемого организацией.
    Контролировать личное пространство пользователя? Когда он дома? Когда он варит картошку и чистит лук?

    Единственное, что можно сделать — расширить соглашение о конфиденциальности и "сотрудник принимает меры по исключению распространения, конфликтов и бла бла бла связанного с организацией, ее репутацией и бла бла…"

    Прежде всего нужно разделить и уточнить что такое "работа в социальных сетях" — и от этого плясать…

    Ответить
  11. ZZubra

    Или еще радикальнее:
    1. определить, а как вообще можно влиять на человека и его действия
    2. определить степень влияния каждого воздействия
    3. определить трудоемкость/времяёмкость каждого воздействия
    4. определить долгосрочность каждого воздействия
    5. в зависимости от задачи и ресурсов выбирать подходящие воздействия

    А политикой, как и кучей ФЗ, добиться безопасности/исполнения невозможно. Давеча в блоге infowatch поднималась аналогичная тема http://infowatch.livejournal.com/370906.html

    Из личного опыта: попытка уместить в голове новый закон об образовании в течении почти трех недель все еще не увенчалась успехом. А прочитают ли его учителя и ученики?

    Ответить
  12. Алексей Лукацкий

    Политика — это способ осветить проблему и возможные пути ее решения, чтобы пользователи об этом помнили. По мере активного вовлечения пользователей в процесс ИБ появляется культура, но этим мало кто может похвастаться. Особенно для такой новой темы, как социальные сети

    Ответить
  13. Андрей Ерин

    А давайте отменим ПДД и будем все ездить в соответствии с "духом и сутью" 🙂

    Ответить
  14. Андрей Ерин

    Правда, я ездил три года по Тбилиси когда там вообще не соблюдали ПДД. Аварий практически не было, так все соблюдали некие неписанные правила выживания.
    Как сделать политики ИБ подобными неписанными правилами — вот в чем вопрос. Думаю, в Коза Ностра политики ИБ не пишут, а передают из уст в уста 🙂

    Ответить
  15. Unknown

    Активное вовлечение пользователя в процессы ИБ чревато навязыванием ему не свойственных функций отвлекающих от основной деятельности, что недопустимо при производственном процессе. Автоматизация процессов ИБ с минимальным участием пользователя – то к чему необходимо стремиться. А культура это отдельный вопрос и разработанной политикой его не решить и даже к «засчитыванию» попытки решить вопрос культуры – не подходит. Это напоминает лозунг: «Культуру – в массы!».
    Зачем далеко ходить: разработанная куча документации по ПД окультурила много пользователей ИСПДн?

    Ответить
  16. Алексей Лукацкий

    Знание правил ПДД тоже отвлекает от несвойственных функций и основной деятельности 😉

    А культура именно внедряется, в т.ч. и через политики. Сама по себе культура не появляется

    Ответить
  17. Unknown

    А вот это уже подмена понятий, если ты за рулем, то знание ПДД — твоя обязанность, а если твоя работа не связана с ПДД, то и знать не знай их. Кстати знание ПДД при пешем передвижении по улице необходимо т.к. ты в этом случае считаешься пешеходом и выполняешь его обязанности, закрепленые в ПДД.

    Ответить
  18. Алексей Лукацкий

    А знание компьютерное гигиены требуется при работе за компьютером 😉

    Ответить
  19. ZZubra

    Не хочу искать, поверьте на слово))))), в Компьютерре, когда она еще была бумажной, была тема про дорожное движение, так вот рассказывалось о двух эксперементальных городах в Европе, где были отменены правила — количество аварий снизилось практически до нуля. Так что при определенном уровне "духа и сути" строгие правила уже не нужны.

    Ответить