Правила доступа и промышленный шпионаж



Правила доступа и промышленный шпионаж
О случаях промышленного шпионажа мы слышим ежедневно. Независимо от того, занимаются ли этим крупные корпорации, мелкие "выскочки", или даже правительственное шпионское ведомство, промышленный шпионаж представляет собой попытку одной компании (или страны) похитить информационные активы другой. Существует масса способов хищения информации. Один из методов заключается в полунении доступа к сети и серверам, где хранится интересующая информация. Идея разработки правил управления доступом состоит в том, чтобы не допустить к информационным активам тех, кто занимается шпионажем. Для этого персонал, обеспечивающий безопасность компании, должен знать, кому разрешен доступ.

Одним из требований может быть проверка протоколов управления доступом, включая проверку журналов, в которых записываются те, кто посещал охраняемые зоны. Следует отметить, что это стандартные требования для тех, кто работает над секретными проектами федерального правительства. В любом случае в правила управления доступом должна быть включена четкая формулировка, требующая вести такие журналы и протоколы.

Управление доступом к оборудованию должно обеспечиваться автоматической идентификацией сотрудников, которая предусматривает процедуры добавления или исключения персонала из баз данных или списков. Эти процедуры должны быть контролируемые. Более того, должны храниться записи о том, кому дозволен доступ в каждую зону, где установлено определенное оборудование, а также журналы, по которым можно идентифицировать каждого, кто входил и выходил из охраняемой зоны.

Следует обратить внимание, что в этой простой формулировке правил не определены никакие технологии или процедуры. Таким образом, остается свобода выбора необходимых процедур. Если вопросами управления доступом в организации занимается отдел кадров, чтобы наделить его соответствующими полномочиями, можно дополнить формулировку:

...что касается разрешения доступа к оборудованию. Процедуры для управления доступом должны быть определены отделом кадров...

Что делать, когда ответственный работник, который занимался управлением доступом, подал заявление на увольнение? Естественно, вы захотите ограничить его или ее право доступа, но до какой степени? В некоторых компаниях уволившимся служащим позволено прийти в свой офис, чтобы забрать личные вещи. В других - для этого требуются сопровождающие и, в случае, если дело касается зон, требующих правительственного допуска, может даже потребоваться вооруженная охрана. Независимо от конкретной ситуации в вашей организации, в правилах должны быть учтены подобные моменты, касающиеся доступа. Следует учесть, что отдел кадров мог бы также заниматься этими вопросами, поэтому необходимо поработать с ними для включения в документ правил безопасности приемлемой для них формулировки.



Содержание раздела