Консультации экспертов по вопросам защиты бизнеса

Наши сайты Линия консультаций +7 (495) 748-02-22
7000@7000.ru

Служебное расследование

Служебное расследование

Проведение служебного расследования

 

Служебное расследование — довольно широкое понятие, включающее в себя процедуры сбора и анализа материалов по факту дисциплинарного проступка, либо невыполнения сотрудниками функциональных обязанностей. В данной статье мы поговорим о той части этих мероприятий, которая непосредственно касается нашей предметной области: информационной безопасности.

 

Цели

Итак, каковы же основные цели служебного расследования? Во-первых, это выяснение причин и условий, способствовавших совершению дисциплинарного проступка, для принятия управленческого решения, направленного на недопущение подобных ситуаций.

Дисциплинарным проступком считается неисполнение сотрудником своих обязанностей, предусмотренных трудовым законодательством и внутренними документами работодателя, такими как трудовой договор, соглашение о конфиденциальности, должностная инструкция и прочие.

В качестве примеров, с которыми приходится сталкиваться подразделению информационной безопасности, можно привести всевозможные нарушения режима конфиденциальности (передача секретных сведений по открытым каналам связи без использования необходимых мер защиты, предоставление личной парольной информации другим сотрудникам и т. д.), а также правил эксплуатации программно-технических средств.

Во-вторых, в ходе служебного расследования определяется перечень лиц, причастных к выявленному нарушению, и их степень вины.

И в-третьих, такое разбирательство призвано оценить возможный ущерб и другие последствия, к которым привело нарушение трудовой дисциплины.

 

Источники информации

Необходимые электронные «улики», а также места, откуда они могут быть получены меняются, в зависимости от целей расследования, а также специфики организации работы. Как правило, основными источниками являются перечисленные ниже:

1. Компьютеры сотрудников

·        файлы почтовых программ, содержащие служебную переписку;

·        различные журналы (доступа к сети, работы антивирусного программного обеспечения);

·        файлы документов;

·        перечень установленного программного обеспечения;

·        конфигурационные файлы;

2. Серверы

·        файлы пользователей (параметры учетной записи, документы);

·        служебные файлы (журналы работы различных сервисов, конфигурационные файлы);

3. Сетевое оборудование

·        конфигурационные файлы (версия установленного программного обеспечения, параметры доступа к оборудованию, сетевые настройки).

 

Методы сбора данных

1. Выезд на место совершения нарушения

В ходе выездных мероприятий проводится обследование рабочих мест, съемных носителей информации, всевозможных «аналоговых» журналов учета, опрос сотрудников. Не самый эффективный подход, зато максимально эффектный: проверяющий находится в центре внимания, от работы отвлекаются как проверяемый работник, так и его заинтересованные коллеги.

В идеале, если позволяют ресурсы и условия, осуществляется снятие побитных образов со всех носителей информации для дальнейшего анализа. Это можно сделать, загрузив обследуемый компьютер со съемного накопителя информации с необходимым программным обеспечением и подключив внешний жесткий диск для копирования образа; либо воспользоваться мобильной рабочей станцией и набором переходников для подключения накопителей с различными интерфейсами.

2. Удаленное обследование

Проводится с помощью средств удаленного доступа к рабочим местам сотрудников. Позволяет не привлекать к проверочным мероприятиям лишнего внимания, снижает время простоя сотрудников. Так, например, можно, не прерывая активной сессии пользователя, удаленно просматривать файлы на жестких дисках исследуемых компьютеров, подключив их с использованием привилегированной учетной записи.

3. Анализ журналов систем мониторинга

Зачастую, такая процедура является поводом к проведению самого разбирательства, позволяя получить первичную информацию о нештатных ситуациях.

Если в организации внедрена система управления инцидентами информационной безопасности, то она выполняет такие действия, как сбор всей информации в едином хранилище, объединение записей из различных журналов в события информационной безопасности, анализ и обобщение больших объемов собираемых данных, их наглядное представление. Это существенно облегчает работу сотрудника, проводящего служебное разбирательство.

В противном случае ему приходится работать с различными форматами журналов многочисленных систем мониторинга в их исходном виде, что значительно более трудозатратно и приводит к увеличению времени реакции на нарушение.

 

Организация

Для проведения служебных расследований в компании должна быть подготовлена нормативная база:

·        описаны зоны ответственности, права и обязанности пользователей автоматизированных систем, руководителей, сотрудников, подразделений информационной безопасности и персонала, обслуживающего сети передачи данных и вычислительную технику.

·        обеспечено ознакомление всех перечисленных категорий работников с необходимыми документами под роспись;

·        разработана инструкция по проведению служебного расследования, содержащая перечень участников соответствующих мероприятий и их полномочия, порядок работы и оформления полученных результатов;

·        все мероприятия должны проводиться с ведома и согласия руководителя проверяемого подразделения. По его указанию подчиненные должны оказывать содействие проверяющим сотрудникам.

В зависимости от обстоятельств к участию в служебном расследовании могут привлекаться различные специалисты. Как правило, это сотрудники подразделения информационной безопасности и персонал, обслуживающий вычислительную технику. В задачу первых входит сбор сведений, касающихся инцидента, в то время как последние обеспечивают доступ к исследуемому оборудованию под привилегированными учетными записями и следят за тем, чтобы проводимые мероприятия не нарушили бизнес-процессы, обслуживаемые автоматизированными системами.

В зависимости от используемых способов проведения служебного расследования сотрудникам подразделения информационной безопасности может потребоваться различное оснащение, которое им необходимо предоставить:

·        мобильные рабочие станции для работы со специализированным программным обеспечением;

·        съемные жесткие диски большого объема для копирования информации, имеющей отношение к инциденту;

·        загрузочные съемные накопители для полного доступа к файловой системе исследуемых компьютеров;

·        рабочее место, позволяющее получить доступ ко всем используемым в организации системам мониторинга, а также к сети Интернет для загрузки необходимого программного обеспечения, технической и справочной документации.

 

Практика

Если не вдаваться в технические детали служебных расследований в сфере информационной безопасности, то одним из наиболее непростых аспектов является работа в условиях активного противодействия со стороны сотрудников, а зачастую и руководителей проверяемых подразделений.

Так, на моей практике были случаи, когда за время между официальным уведомлением руководства проверяемого подразделения о проводимом служебном расследовании и его непосредственным началом нарушители успевали принять меры по сокрытию следов своих действий.

Например, однажды сотрудник перед ожидаемой проверкой отдал свой системный блок специалистам, обслуживающим вычислительную технику, с жалобами на нерабочую операционную систему. В результате к моменту начала проверки жесткий диск компьютера был отформатирован, а операционная система переустановлена, что значительно затруднило получение необходимой информации в ходе служебного расследования.

В таких случаях приходится использовать фактор внезапности, что не всегда согласуется с бизнес-процессами организации. Однако служебное расследование — неотъемлемая часть работы подразделения информационной безопасности. И если не использовать эти меры для оказания давления на сотрудников, а стремиться сократить количество случаев нарушения трудовой дисциплины, авторитет руководства в глазах подчиненных возрастет.




Комментарии


Комментарии отсутсвуют

Оставить комментарий

Комментарий будет опубликован после модерации.




CAPTCHA

Нажимая кнопку, я принимаю условия Оферты по использованию сайта и согласен с Политикой конфиденциальности