ИЗМЕНЕНИЕ  СТРУКТУРЫ  РАБОТЫ  ИТ  СЛУЖБЫ,  КАК  СПОСОБ  ЗАЩИТЫ  ОРГАНИЗАЦИИ  ОТ  ВРЕДОНОСНЫХ  ДЕЙСТВИЙ  ИТ  СПЕЦИАЛИСТОВ

Калинина  Надежда  Александровна

магистрант  1  курса,  кафедра  стратегического  менеджмента,  Школа  экономики  и  менеджмента  ДВФУ,  РФ,  г.  Владивосток

E-mail:  kalinina.na@dvfu.ru

Шумский  Алексей  Евгеньевич

научный  руководитель  профессор,  д-р  техн.  наук,  Школа  экономики  и  менеджмента  ДВФУ,  РФ,  г.  Владивосток

E-mail:  shumsky@mail.primorye.ru

В  данный  момент  распространена  следующая  структура  работы  ИТ  службы.  Обычно  ИТ  служба  выделена  в  отдельную  организационную  единицу.  В  малых  организациях  задачи  ИТ  службы  может  выполнять  один  человек,  но  обычно  это  группа  людей,  объединенных  в  ИТ-отдел  или  ИТ-департамент.

Для  организации,  получающей  доход  не  от  продуктов  информационных  технологий,  работа  ИТ  службы  представлена,  как  работа  вспомогательного  персонала,  задачи,  которого  поддержания  работоспособности  и  развития  информационных  систем  в  организации.  Заказчиками  на  выполнение  работ  ИТ  специалистами  в  организации  выступают:  пользователи  информационных  систем,  директор  организации  и  директор  ИТ  службы.  Обычно  с  определенной  периодичностью  на  основании  заявок  от  заказчиков  на  выполнение  работ  формируется  отчет  о  выполненных  работах.

В  данном  подходе  к  организации  работы  ИТ  специалистов  ряд  недостатков,  один  из  них  это  вопрос  безопасности  информации  и  информационных  систем  от  вредоносных  действий  самих  ИТ  специалистов.

Отличительная  особенность  ИТ  специалиста  от  других  сотрудников  организации  заключается  в  том,  что  ИТ  специалисты  имеют  полный  доступ  к  техническим  и  программным  средствам,  к  тому  же,  они  точно  понимают,  как  функционируют  технические  и  программные  средства  и  как  настроен  к  ним  доступ  [1].

Существующий  подход  к  организации  работы  предоставляет  для  ИТ  специалистов  большие  возможности  и  малые  ограничения  для  злоупотребления  своими  должностными  обязанностями.

В  статье  «Атрибуты  оценки  возможного  ущерба  от  вредоносных  действий  ИТ  специалистов»  обсуждался  вопрос  о  нанесения  ущерба  организации  ИТ  специалистом,  такого  как:

разрушение  информационных  файлов  или  систем  доступа  к  ним;

видоизменение  информации;

нарушение  целостности  информации;

подделка  и  изменение  данных;

отказы  технических  средств;

сбои  программного  обеспечения  в  информационных  системах  и  телекоммуникациях;

нарушения  регламентов  сбора,  обработки,  хранения  и  передачи  информации;

хищение  (кража  секретов,  патентов,  стратегических  планов,  паролей  и  кодов,  номеров  кредитных  карт  и  другое)  [2].

Есть  методы  для  анализа  возможного  ущерба  и  стоимость  последствий  ущерба.  Но  на  текущий  момент  все  методы  носят  не  упреждающий  характер,  а  корректирующий  [3].

Я  вижу  одну  из  причин  существования  описанной  выше  проблемы  в  принципе  организации  работы  ИТ  специалистов,  позволяя  им  беспрепятственно  иметь  доступ  к  техническим  средствам,  и  соответственно,  к  информации  обрабатываемой  данными  техническими  средствами.  Таким  образом  сложно  предупредить  какие-либо  вредоносные  действия  ИТ  специалиста,  если  в  принципе  неизвестно,  когда  и  что  он  делает.

Предлагаемая  схема  направлена  на  контроль  доступа  к  техническим  средствам  и  фиксацию  действий  ИТ  специалистов.

Как  было  описано  выше,  заказчикам  на  выполнения  работ  ИТ  специалистами  выступают:  пользователи  информационных  систем,  директор  организации  и  директор  ИТ  службы  (далее  —  пользователи).  Обычно  поставленные  задачи  перед  ИТ  специалистами  можно  разделить  на  задачи,  связанные  с  локальными  проблемами  технического  средства  пользователя,  и  на  задачи,  связанные  с  настройками  технических  средств  ИТ  сервиса.

Изменение  в  схеме  работы  ИТ  специалистов  касается  только  второй  части  задач,  так  как  первая  не  требуется  доступа  к  ИТ  сервисам  и  информации  обрабатываемой  ими.

Центром  работы  ИТ  специалистов  должна  стать  система  мониторинга,  задача  которой  отслеживать  состояние  технических  средств,  а  так  же  отслеживать  несанкционированный  доступ  к  ним.  Такие  системы  существуют  сейчас  в  достаточном  количестве  и  носят  мультиплатформенный  характер  [4].

Но  на  текущий  момент  системы  мониторинга  используются  ИТ  специалистами  только  как  средство  контроля  состояния  технических  средств.

Систему  мониторинга  необходимо  сделать  центральным  средством.  Разделить  ИТ  специалистов  на  тех,  кто  следит  за  результатами  работы  системы  мониторинга  (далее  —  операторы),  и  ИТ  специалисты,  которые  выполняют  задачи  от  пользователей.

Операторы  системы  мониторинга  не  имеет  доступ  к  техническим  средствам  и  информации  обрабатываемой  ими,  в  их  задачи  входит  фиксировать  состояние  системы,  отслеживать  неисправности,  подтверждать  доступ  к  выполнению  работ  на  технических  средствах,  если  доступ  был  не  санкционированный,  сообщать  о  данном  инциденте  выделенному  лицу.

ИТ  специалисты  для  выполнения  задач,  связанных  с  неполадкой  в  работе  технического  средства,  проведения  диагностики  технического  средства,  изменения  настроек  и  других  задач,  для  которых  необходим  доступ  к  техническому  средству  и  информации  обрабатываемому  им,  должны  запрашивать  разрешения  на  доступ  к  данным  техническим  средствам  для  проведения  работ,  с  описанием  действия,  исполнителя  и  времени  проведения.  После  завершения  выполнения  работ,  результат  работ  фиксируется  и  проверяется.

Запрос  доступа  должен  быть  оформлен  и  согласован  заинтересованными  сторонами,  среди  них  может  быть  владелец  ИТ  сервиса,  специалист  безопасности  организации,  ИТ  директор  и  другие  сотрудники.

Таким  образом  ИТ  специалист  не  имеет  постоянный  доступ  к  техническим  средствам,  к  информации  и  процессам  по  обработки  данной  информации. 

Кроме  этого  организация  получает  прозрачность  в  работе  ИТ  специалистов,  с  возможность  сопоставления  стоимости  данной  работы  на  рынке  с  тратами  организация  на  содержание  ИТ  специалистов,  так  же  данную  схему  удобно  использовать  в  организации  перешедшие  на  ИТ  аутсорсинг.

При  этой  схеме  для  организации  требуется  постоянное  наличие  в  штате  только  операторов  системы  мониторинга,  остальных  ИТ  специалистов  можно  приглашать  на  время  проводимых  работ.

Таким  образом  данное  изменение  организационной  схемы  работы  ИТ  службы  обеспечивает:

безопасность  от  угроз  со  стороны  ИТ  специалистов,

уменьшение  ресурсов  на  мониторинг  действий  ИТ  специалистов,

независимость  организации  от  конкретного  ИТ  специалиста

оценку  стоимости  ИТ  специалистов,

прозрачность  функционирования  ИТ  сервисов,

фиксирование  настроек  и  состояния  ИТ  структуры  в  организации.

Список  литературы:

1. Калинина  Н.А.,  Шумский  А.Е  «Атрибуты  оценки  возможного  ущерба  от  вредоносных  действий  ИТ  специалистов»  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://sibac.info/15380  (дата  обращения  —  15.08.2014).
2. Мельников  В.П.  Информационная  безопасность  и  защита  информации:  учебное  пособие,  М.  2008.  —  332  с.
3. Михаил  Башлыков:  Управление  привилегированным  доступом  имеет  особое  значение  для  бизнеса  //  Аналитический  центр  Anti-Malware.ru  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.anti-malware.ru/node/14183  (дата  обращения  —  7.07.2014);
4. Общая  информация  о  мониторинге  ИТ  инфраструктуры//  IT  аутсорсинг  и  проекты  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.alp.ru/itsm/monitoring  (дата  обращения  —  15.08.2014).