Только собачьи будки строятся без чертежей.
ГрейдиБуч
Проблемы в одной из крупных торговых компаний начались с обычного ДТП. Попал в беду единственный в СБ компании специалист по техническим средствам защиты. К счастью, до фатального исхода дело не дошло, но врачи, под чью опеку попал страдалец, пообещали вернуть его не то что в строй, а хотя бы в сознание не ранее как через две недели.
Для начальника СБ эти две недели превратились в кошмар. Три логистических центра, свыше 20 складов, собственное автохозяйство. И постоянно возникают проблемы, требующие изучения видеозаписей. У специалиста все получалось легко, но повторить его успехи начальнику СБ не удалось. Промаявшись несколько дней, он был вынужден обратиться к услугам стороннего консультанта. При ближайшем рассмотрении ситуация оказалась весьма печальной. Вся система видеонаблюдения на объектах была лично смонтирована чудо-специалистомиз отдельных частей, при этом никакой документации по ее эксплуатации составлено не было. Схемы, IP-адреса видеосерверов, порты, пароли– да кто же их знает? Консультанту пришлось вспомнить навыки computerforensic и буквально по крупицам восстанавливать данные на компьютере прихворнувшего специалиста. Через два дня система в основном заработала. Удалось найти три из четырех видеосерверов1, выловить в кеше браузера пароли к ним, с участием сведущих людей опознать демонстрируемые камерами пейзажи и догадаться, как осуществлялся просмотр архивных записей. Такой «успех» в конечном итоге стал причиной проблем в компании– два вовремя не замеченных хищения, странная путаница с грузами, работник правоохранительных органов, не получивший вовремя ответ на запрос.
Увы, такая ситуация не уникальна. Всего лишь несколько дней назад автору пришлось принять участие в спасении другой компании.Здесь было решено вынести на аутсорсинг все, что связано с системой контроля и управления доступом (СКУД). В лучших традициях законодательства о закупках была выбрана фирма-подрядчик, предложившая наименьшую цену. Результат до поры до времени устраивал всех: СКУД работает, раз в полгода откуда-то приезжает техник для наладки и профилактического обслуживания, ежегодно по договору платятся не столь уж и большие деньги. Вот только в одну прекрасную ночь СКУД вышла из строя – просто сгорел один из контроллеров.
Утром перед дверями офиса встречали новый трудовой день все 200 работников компании, потрясая карточками-пропусками. Сквозь окно на них печально смотрел охранник – штыревые замки надежно хранили неприкосновенность периметра. Самым же печальным событием стала пропажа фирмы-аутсорсера. Оказалось, что за пять месяцев, прошедшие с последнего осмотра, эта фирма прекратила свою деятельность, закрыла офис и самоликвидировалась. Никаких документов об используемой СКУД, кроме бухгалтерских, у ее клиентов не осталось. Поскольку окна первого этажа в офисе компании были защищены решетками, а запрыгивать в окна второго этажа работники почему-то отказывались, бизнес-процесс оказался под угрозой. Впрочем, все закончилось хорошо – сообщение с внешним миром было восстановлено через пожарный выход, довольные сотрудники2 добрались до рабочих мест, вышедший из строя контроллер заменен. Особенно помогла быстро восстановить работоспособность СКУД предусмотрительность аутсорсера, не поменявшего пароли по умолчанию. Сейчас пострадавшая компания подыскивает нового аутсорсера. Желательно за прежнюю цену.
Увы, подобные коллизии могут случиться практически в любой российской компании. Из самых лучших побуждений начальник корпоративнойСБ не допускает специалистов IT-отдела к обслуживанию вверенной ему техники, а у работников СБ зачастую отсутствует культура обеспечения непрерывности бизнеса. В результате используемое СБ оборудование – видеонаблюдение, СКУД,изготовление пропусков, антивирусная защита, DLP-система и т.д. – работает в режиме артефакта, без какого-то внятного описания и чертежей. Разумеется, такая работа продолжается до первого сбоя, после которого выясняется, что восстановить нормальное функционирование системы не так-то просто.
Работа СБ по принципу «сапожник без сапог» характерна для многих российских компаний вне зависимости от их размера и репутации на рынке. Так, в крупной компании нефтегазового сектора директор департамента защиты интересов бизнеса для большей секретности лично в обход IT-отдела заказал себе настольный компьютер. Когда же на этом компьютере произошел программный сбой, уважаемый руководитель был вынужден работать за дисплеем 640480, поскольку модель его видеокарты никто не знал.
Жертвами обстоятельств оказываются даже самые надежные «конспиративные» схемы технической защиты. Наиболее часто встречаются ситуации, когда:
• всей информацией об используемой СБ технике владеет некий Абсолютно Лояльный Специалист, устно передавая ее преемнику. Проблемы начинаются в случае внезапного выхода из строя этого специалиста. В случае его недобровольного увольнения, неизлечимого заболевания или смерти проблемы могут оказаться неразрешимыми;
• обслуживание тех или иных систем ведется фирмой-аутсорсером. При этом считается, что в этой фирме уж точно есть вся необходимая документация. Проблемы начинаются в случае неожиданного разрыва с аутсорсером или просто при возникновении внештатной ситуации. Оказывается, что и аутсорсер не посчитал нужным вести документацию – восстановление нормального функционирования системы может продолжаться неопределенно долго;
• вся документация на систему вроде бы существует и хранится «в надежном месте». Когда что-то случается, выясняется, что документация неполная либо относится к предыдущим вариантам эксплуатируемых систем. В тяжелых случаях либо не удается разыскать «надежное место», либо там ничего не оказывается, как в пиратском кладе;
• вследствие повышенной нагрузки на СБ (например, по причине недостаточной штатной численности) основное внимание технических специалистов уделяется непосредственной эксплуатации вверенного им оборудования. Составление же документации откладывается до лучших времен.
Единственным способом профилактики такого исхода является строгое документирование всех операций по установке, настройке и эксплуатации технических средств. Здесь необходима не меньшая ответственность, чем при работе с нормативными документами компании или материалами служебных расследований.
Как минимум для начала работы необходимо получить в IT-отделе компании и силами этого же отдела поддерживать в актуальном состоянии следующую документацию:
• Схема корпоративной сети с указанием IP-адресации во всех подсетях, адресов всех маршрутизаторов, межсетевых экранов и серверов.
• Полный актуальный перечень компьютеров, закрепленных за работниками компании, с указанием символических имен (или NETBIOS-имен) этих компьютеров и MAC-адресов их сетевых плат. Эта информация может оказаться весьма ценной при срочном поиске нарушителя.
• Если в компании используется собственная офисная телефония, следует обеспечить регулярное получение от обслуживающего подразделения протоколов работы (логов) офисной АТС и хранение их на сервере СБ.
Технический специалист службы безопасности должен самостоятельно вести (сохранять) следующую документацию в бумажном и электронном виде:
• Инструкции по эксплуатации и технические паспорта всего используемого СБ оборудования. Если какие-либо документы утрачены, следует заблаговременно их восстановить,в случае нештатной ситуации эти документы должны быть под рукой. Здесь же следует хранить контактные данные поставщиков соответствующего оборудования и программного обеспечения. Документацию, изначально представленную в бумажном виде, целесообразно отсканировать для дальнейшего хранения в электронной форме, а электронную документацию распечатать.
• Паспорт (карточку) на каждый используемый СБ компьютер с указанием всех его аппаратных комплектующих, а также версий используемого программного обеспечения. Эта информация незаменима при восстановлении работоспособности систем.
• Библиотеку всех необходимых для работы компьютеров СБ драйверов. При обновлении драйверов или операционной системы следует обязательно сохранять и старые версии.
• Библиотеку эталонных дистрибутивов всех используемых в работе СБ системных и прикладных программ. Вместе с этой библиотекой следует хранить серийные номера, лицензионные файлы и другие реквизиты, обеспечивающие корректное функционирование этих программ.
• Файлы настроек (при наличии технической возможности) либо записи настроек всего используемого СБ оборудования (компьютеры, серверы, видеорегистраторы, СКУД и т.д.).
• Журнал работы специалиста, содержащий перечень всех выполненных с оборудованием СБ сервисных операций, обновлений программного обеспечения, изменений аппаратной части, сведений о произведенном ремонте и т.д. Все эти записи должны также содержать сведения об актуализации соответствующей документации и библиотек.
• Все необходимые для эксплуатации и обслуживания технических средств СБ пароли. В целях безопасности хранение паролей осуществляется либо в запечатанном конверте в сейфе начальника СБ, либо на хранящемся там же flash-накопителе.
Помимо этого необходимо обеспечить регулярное резервное копирование следующих материалов:
• Все хранимые библиотеки дистрибутивов, электронной документации, файлы настроек и паролей.
• Используемые в работе СБ базы данных, в том числе CRM, DLP-системы, персональные данные работников и т.д.
При этом специалисты СБ должны признать ведение документации и резервное копирование важной частью производственного процесса. Все изменения в документацию вносятся одновременно с производимыми в системе изменениями, а не когда-нибудь впоследствии. Резервное копирование осуществляется строго по расписанию, вне зависимости от степени загруженности персонала СБ.
Если те или иные функции СБ вынесены на аутсорсинг, обязательным условием договора должно быть ведение аутсорсером подробной эксплуатационной документации и ежегодная передача этой документации заказчику.
Помимо изложенного на случай нештатных ситуаций желательно иметь в помещении СБ несколько простых инструментов. Конечно, хороший специалист легко починит контроллер СКУД или сигнализацию перочинным ножиком3, но работать специальными инструментами быстрее и удобнее. Во время нештатной ситуации не всегда можно быстро найти нужные инструменты где-то в других подразделениях. Поэтому целесообразно иметь в своем распоряжении:
• набор отверток с различными шлицами;
• токоискатель;
• комбинированный прибор – симбиоз вольтметра, амперметра, омметра и проч.;
• тестер локальной сети;
• несколько патч-кордов;
• карманный фонарик.
Собственно резервное копирование также далеко не везде организуется правильно. «Резервирование» важной информации в другой каталог на том же жестком диске может обеспечить лишь спокойствие работников СБ, но никак не восстановление информации в случае краха диска.
Стандартный регламент такого копирования предполагает создание отдельно ежемесячных, еженедельных и ежедневных4 резервных копий с регулярной их актуализацией. Как правило, резервное копирование осуществляется на внешние носители. Необходимо предусмотреть соответствующую маркировку этих носителей и хранение их в надежном хранилище вне офиса компании (например, в банковском сейфе, у нотариуса или где-то еще). Как альтернативу можно использовать системы облачного копирования. Однако недопустимо использовать в качестве облака для резервного копирования бесплатные сервисы типа GoogleDisk, YandexDisk и т.п.
Поскольку как внешние носители, так и облачные серверы могут быть захвачены посторонними лицами, резервные копии должны быть зашифрованы. Обычно подсистема шифрования уже встроена в конкретный продукт или сервис.
Может показаться, что следование этим рекомендациям может повысить нагрузку на персонал СБ и затруднить ее работу. Но после первого же инцидента, связанного с потерей данных, эта иллюзия развеивается. Предварительная подготовка к таким инцидентам сокращает время восстановления работоспособности всех систем на порядки. И раз уж каждый начальник СБ старается проводить этот принцип в своей компании, настало время применить его и в самой СБ.
1 С четвертым сервером горе-специалист для большей надежности работал с личного планшета.
2 Увы, не так довольны остались прибывшие на сработавшую сигнализацию работники МВД и МЧС; высказанные ими оценки деятельности фирмы-аутсорсера и лично автора опущены по этическим соображениям.
3 Автору несколько раз приходилось видеть и даже осуществлять самому подобный «ремонт».
4 На практике в большинстве корпоративных СБ ежедневные копии не создаются.
Информация и фото с http://www.tzmagazine.ru/jpage.php?uid1=1749&uid2=1775&uid3=1778