Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Адаптация защиты данных под модель организации труда

Рогачков А.А.
Выпускник группы MBA CSO 01
Школа IT-менеджмента
РАНХиГС при Президенте РФ

На современном предприятии существует возможность реализации различных моделей организации труда, выбор которых определяется потребностями бизнеса. Модель организации труда – понятие, которое может иметь многочисленные толкования в зависимости от обсуждаемого контекста. В аттестационной работе ключевым аспектом рассмотрения является вопрос защиты данных, которые используют сотрудники в своей деятельности, поэтому под моделью организации труда в рамках работы понимаются варианты расположения рабочих мест сотрудников, разрешенные политикой компании. Для удобства рассмотрения основных моделей организации труда с точки зрения доступа к данным и их корреляции с потребностями бизнеса, можно отталкиваться от географической удаленности и используемых для доступа к данным устройств. В этом случае можно выделить три основных варианта:

  1. Сотрудник получает доступ к данным через корпоративное устройство, находясь исключительно в офисе. Существуют области, где использование для доступа к данным стационарного устройства, установленного в офисе, продолжает являться основным способом работы с данными. Данная модель может быть необходима в случаях, когда организации необходима максимальная защита данных, изоляция рабочего места, а так же в случае, когда сотрудники выполняют специфический, узко очерченный и строго определенный набор задач. Подобный подход можно встретить в компаниях, занимающихся исследованиями и разработками; организациях, имеющих дело с засекреченной информацией – к примеру, госструктурах, госкорпорациях, их подрядчиках; в банковском секторе, розничных магазинах. Подобная организационная модель позволяет достигнуть максимальной защиты данных в компании, поскольку обеспечивает полный контроль над всей цепочкой доступа к данным: известно, что за сотрудник получает доступ к данным, известно, где он находится, известно устройство, с которого осуществляется доступ. В аттестационной работе рассмотрены технические методы защиты при использовании сотрудниками стационарных ПК и при работе в режиме терминального доступа.
  2. Сотрудник получает доступ к данным, как из офиса, так и из удаленных точек, используя устройство, соответствующее политикам компании. Данный вариант является широко распространенной схемой, обеспечивающей гибкость и высокую продуктивность работы. Кроме того, в отличие от первого варианта, он не ограничивает мобильность сотрудника, но в то же время позволяет IT контролировать устройство, с которого осуществляется доступ к данным. Количество сотрудников, имеющих возможность удаленного доступа к данным, продолжает увеличиваться и для большинства организаций возможность дистанционной работы стала нормой, способом увеличения продуктивности и контроля над расходами. В аттестационной работе рассмотрены методы защиты при доступе к данным с использованием персональных компьютеров и компактных мобильных устройств, смартфонов и планшетов, включая особенности использования для работы личных устройств сотрудников.
  3. Сотрудник получает доступ к данным из любой точки, используя любое устройство. В данной модели обеспечивается максимальная мобильность сотрудников в виду минимизации ограничений и требований соответствия на используемое устройство. Кроме того, данная модель является наименее затратной с точки зрения расходов на устройства, которые используются для доступа к данным. С одной стороны, такой подход можно быть применим для отдельных, нишевых сценариев работы, таких как оффшорная разработка, различные виды поддержки, при организации работы внештатных сотрудников или постоянно находящихся в полях. С другой стороны, данный подход может быть рассмотрен как следующий этап зрелости ИТ-сервисов после этапа реализации удаленного доступа к данным, когда необходимые сервисы доступны сотруднику вне зависимости от его местоположения и типа устройства, к которому у него в данный момент есть доступ. В аттестационной работе методы защиты в рамках данной модели организации труда рассмотрены для случаев доступа к данным через облачные сервисы, использования терминального доступа или виртуальных рабочих мест, а также при использовании компьютера на накопителе.

Разделение на данные модели следует считать условным, поскольку в рамках одной организации может быть реализована комбинация из одной-двух или даже иметь место все три модели организации труда: к примеру, для разных департаментов компании в зависимости от их специфики работы. Однако, для обеспечения безопасности данных в случае каждого из описанных подходов, необходимо использовать различный набор инструментов.

Для каждой из моделей организации труда в аттестационной работе проведена качественная оценка рисков, определены области фокуса для применения методов защиты в случае конкретной организационной модели и составлена схема методов защиты. В схемах методов защиты отражены рекомендуемые технические средства и оценена их применимость для каждой из трех моделей организации труда. В аттестационной работе рассмотрены следующие средства защиты: антивирусное ПО, доверенная загрузка, механизмы контроля доступа, системы предотвращение утечек, политики настроек безопасности, межсетевой экран, системы предотвращения вторжений, средства обнаружения уязвимостей, методы защита канала, шифрование данных, системы      управления мобильными устройствами, системы управления событиями ИБ, средства восстановления данных. При описании методов защиты рассмотрены принципы работы, сфера применения, актуальные на момент написания работы технологические решения.

В заключительной части работы составлена единая матрица, в которой консолидированы рассмотренные модели организации труда и рекомендуемые методы защиты данных. С практической точки зрения, аттестационная работа может быть наиболее полезна на этапе планирования организации защиты современного бизнеса.

Рубрика: 
Информационная безопасность
Голосов пока нет
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009