15.1.13

Что включить в политику работы в социальных сетях с точки зрения ИБ?

Многие пользуются социальными сетями (читая эту заметку, вы уже ими пользуетесь). Кто-то в формате "read-only", кто-то активно участвуя в дискуссиях; кто-то трепется с бывшими одноклассниками в "Одноклассниках", а кто-то активно обменивается опытом с коллегами в Facebook; кто-то является членом публичных "ВКонтакте", а кто-то наборот предпочитает закрытые междусобойчики. Все эти ситуации объединяет одно - использование нового канала коммуникации, который несет с собой не только преимущества, но и риски. Причем риски не только типичные для любого Web-сайта и описанные мной ранее, но и риски утечки информации, нарушение этических норм, нарушения прав на интеллектуальную собственность и т.п.

Раз у нас есть риски, то должна быть и политика управления ими. Причем речь идет не о самой простой из них, которая заключается в полном запрете социальных сетей (хотя нашим чиновникам хотят такое запретить на высочайшем уровне - слишком уж много глупостей они пишут). И даже не о той, которая хорошо иллюстрируется приведенной картинкой (спасибо Alex Toparenko) и известной поговоркой "молчание - золото". Речь идет о полноценной политике использования социальных сетей в контексте информационной безопасности.


В целом данная политика должно состоять из 3-х блоков "об общего к частному":
  • Общее отношение компании к социальным медиа. Что используется, а что нет; для чего; какие полномочия даны пользователям; будет ли проводиться модерация контента и т.д.?
  • Что могут и что не могут сотрудники делать в онлайн-пространстве. При этом данный раздел должен включать в себя не только требования, но и лучшие практики и советы, как вести себя в той или иной ситуации, а также в зависимости от роли - пользователь, как частное лицо, или пользователь, как сотрудник компании. Общим должно быть правило "думай, прежде чем что-то опубликовать в социальной сети". Стоит лишний раз напомнить пользователям, что все, что опубликовано в Интернет, уже врядли может быть оттуда удалено. Поэтому надо взвешивать последствия любого своего действия в социальных сетях; и взвешивать ДО, а не ПОСЛЕ.
  • Что могут и что не могут публиковать сотрудники на социальных ресурсах, в которых им разрешено участвовать от имени компании. Очевидно, что врядли работодатель будет рад, если его сотрудники на ресурсах, ассоциированных с компанией, будут поливать грязью действующую власть или выкладывать контент, нарушающий чью-то интеллектуальную собственность (да и от своего собственного имени это не очень-то приветствуется).
С точки зрения числа документов - это может быть одна политика, две, три и даже четыре. Количество не так важно - фокус смещается на содержание, а не форму. Описывая правила поведения в социальных сетях стоит акцентироваться не только на том, что нельзя, но и на том, что можно, чтобы для каждого из требований/положений можно было провести четкую грань разрешенного и запрещенного поведения.

И не забудьте включить в эту политику раздел о том, кто отвечает за ее реализацию и с какой частотой ее надо пересматривать. В отличие от парольной политики, не меняющейся годами, работа в социальной сети претерпевает изменения достаточно часто. Кто должен быть владельцем данной политики? Вопрос не простой, т.к. работа в социальной сети предполагает затрагивание интересно разных подразделений - PR, маркетинг, HR, юридическое, ИТ, безопасность, работа с клиентами и т.д.

Поэтому службе ИБ не стоит брать на себя всю тяжесть ответственности за данное направление, но свое слово она должна сказать и внести свою лепту в формируемый документ (а также отслеживать его изменени и предлагать их по необходимости). Какие разделы данной политики могут принадлежать перу безопасников:
  • Использование определенных платформ Social Media. Например, работникам может быть разрешен доступ к Facebook, LinkedIn и Twitter, но запрещен к "Одноклассникам" и "ВКонтакте". Это может быть как глобальное правило "для всех", так и гибкая политика доступа для разных групп пользователей, затем реализуемая на межсесетевом экране. При этом можно ограничивать доступ не только к сайту целиком, а к отдельным его разделам или микро-приложениям, которые в нем используются, или применять иные гибкие настройки разграничения доступа. Такие прикладные межсетевые экраны (application firewall или next generation firewall) сейчас есть у некоторых производителей (мы вот тоже имеем такой продукт - Cisco ASA CX).
  • Помимо ограничения на конкретные платформы или разделы социальной сети политика может ограничивать доступ и к материалам на определенную тему - от банальных порнография, реклама суицида и наркотиков, до посещения социальных сетей для поиска работы (исключая сотрудников HR) или страниц конкурентов на социальных сетях (исключая сотрудников отделов экономической безопасности или маркетинга).
  • Ответственность пользователей за нарушения правил общей политики информационной безопасности. Не мешает лишний раз напомнить, что нет никакой разницы как осуществлена кража и передача конфиденциальной информации - по e-mail, USB или через "Мой Круг" или Google+. Сюда же будет включаться и перечень наказаний за нарушения, например, отлучение от Интернет или иные формы дисциплинарного воздействия, согласуемые с Трудовым Кодексом.
  • Пароли и учетные записи. Хорошей практикой является включение в политику требования, чтобы пароли к учетным записям социальных сетей (исключая быть может корпоративные, если реализована единая система Identity Management) не совпадали с паролями, используемыми в корпоративной сети.
  • Время и цель доступа в социальные сети. Это вообще-то не функция ИБ, но уж слишком часто навешивают на безопасников контроль действий сотрудников в Интернет, контроль посещаемых сайтов, скачиваемых файлов и т.д. Если и у вас это так, то тогда стоит зафиксировать соответствующие правила. Например, "использование социальных сетей в личных целях в рабочее время запрещено" или "использование социальных сетей в личных целях в рабочее время разрешено в течение 30 минут ежедневно с 9.30 до 10.00 утра и с 17.30 до 18.00 вечера". На межсетевом экране это правило также легко зафиксировать, если межсетевой экран оперирует не IP-адресам в своих правилах, а именами пользователей.
  • Контроль контента. Поскольку социальная сеть подразумевает общение по принципу "один ко многим" или "многие к одному", то в отличие от переписки, где главенствует принцип "один к одному", контроль любого контента, размещаемого в социальных сетях от имени компании и с ресурсов, принадлежащих компании, никаких конституционных прав не нарушает. Поэтому в политике должно найти отражение правило, что любой контент может быть проверен сотрудниками с соответствующими привилегиями; обычно это ИБ, юристы и HR. Сюда же могут попасть правила, связанные с регистрацией действий и архивацией контента, связанными с сотрудником, сидящим в социальных сетях. Правда, прописывая условие регистрации и архивации будьте готовы реализовать его на практике, что не просто, т.к. требует немалых вычислительных ресурсов под данную задачу. Что же касается функции DLP для Web-контента, то это также возможно сегодня в некоторых продуктах.
  • Вредоносный код и фишинг. В приведенной по ссылке выше презентации описаны различные риски, связанные с открытием ссылок или запуском файлов от посторонних людей. Понятно, что этого делать не надо, но лишний раз напомнить (желательно с примерами скриншотов) не помешает. Это для безопасников очевидно, а для рядовых пользователей ничего не стоит кликнуть на флеш-ролик с "котэ", который в скрытом режиме устанавливает трояна или крадет пароли доступа.
  • Интеллектуальная собственность. Запрет на нарушение прав на чужую интеллектуальную собственность очевиден, но... его просто записать, но сложно контролировать на практике. По крайней мере по отношению к мультимедиа-контенту. Поэтому в некоторых случаях проще запретить выкладывание таких файлов или ввести их премодерацию.
  • Персональные данные. Также нелишним будет еще раз напомнить про правила работы с персональными данными клиентов, партнеров и иных лиц, которые оставили свои ПДн в социальных сетях, контролируемых компанией. Это если говорить о сотрудниках. Если же у вас есть собственная социальная сеть, то не забудьте опубликовать в ней политику работы с ПДн, выполнив тем самым требование ФЗ-152. Правда, не всегда понятно, как это сделать на чужих социальных ресурсах, на которых у вас всего лишь "страничка".
  • Информационные войны. Это нередкость в Интернет-пространстве. Ждать от сотрудников, что они будут уметь воевать, не стоит. Но лишний раз напомнить им, чтобы они не ввязывались в такие войны (троллинг, флейм и т.п.) стоит. Также можно включить рекомендацию сообщать обо всех случаях публикации негатива о компании. Главное, четко определить границы между негативом и шуткой (хотя это непросто). Этот тот случай, когда простого требования недостаточно, - необходимо чуть больше описания, рассмотрение примеров и т.д.
  • Спам. У нас на корпоративном блоге российского офиса Cisco нередко появляется спам в комментариях к заметкам. Бороться с ним можно разными методами, которые также должны найти отражение в политике работы с социальными сетями. Это и CAPTCHA, и запрет на публикацию комментов анонимами (так сделано у меня на этом блоге), и использование специализированных движков для контроля спама (так сделано, например, у Алексея Волкова) и т.п., включая и ручной просмотр, если комментариев немного.
Очевидно, что данная политика должна быть не только написана, но и доведена до сведения всех сотрудников (тренинг,  в т.ч. и онлайн, будет нелишним), а ее положения должны найти отражение в конкретных технических и организационных мерах, реализация которых ляжет на ответственные подразделения, включая и службу ИБ.

ЗЫ. Кстати, 1.5 года назад я уже давал ссылку на интересный документ по тому, что включать в политику работы с социальными сетями. Документ по-прежнему актуален.

19 коммент.:

Softreanimator комментирует...

Интересно, на основе чего Вы разделили (Facebook, LinkedIn и Twitter) и ("Одноклассники" и "ВКонтакте")?
Только по производителю? Что русское - запрещаем? Или есть более глубокая методика оценки опасности?

ZZubra комментирует...

...И было у него три ... тысячи политик, и занимали они вместе с инструкции и т.п. документами ни много ни мало 10 тысяч страниц шрифтом ньюроман 12 размера с нулевым межстрочным интервалом. И знали ВСЕ сотрудники его эти документы НАИЗУСТЬ со всеми изменениями и выполняли буковка в буковку. А если находился кто забывавший об одном из правил, то подлежал он казни неминучей за нарушение подпункта 123 пункта 218 статьи 3831 главы 290 "Инструкции по выполнению "Второстепенной Политики по доступу к кнопке button16 на страничке аккаунта в социальной сети "ВКонтакте"... И жили все счастливо. и умерли в один день :_(

ZZubra комментирует...

Я это к чему? У Минцберга есть понятие "индоктринации", т.е. в высшем смысле "пропитывание" сотрудника духом организации (ну не без политик/религии конечно, просто ничего нового пока не придумали). Вот формирование такого духа, способы пропитывания сотрудников духом и сутью организации - вот высшая цель сотрудника ИБ :)

ZZubra комментирует...

Забыл написать, что в службе ИБ, т.к. НИКТО из "нормальных" людей не способен ПОМНИТЬ ВСЕ требования политик и инструкций, было нанято два сотрудника с "альтернативным мышлением", которых использовали в качестве рал-тайм энциклопедий знаний.

Unknown комментирует...

Мне очень понравилось понятие «альтернативное мышление» от Zzubra, причем «не написание» таких инструкций-политик и будет тем альтернативным мышлением. Отсутствие мотивации к работе и слабое руководство его (пользователя) бизнес-процессами и порождают желание «отвиснуть» где-нибудь в сети. Дополнительные затраты (якобы) и не желание (не умение) отрегулировать бизнес-процессы на предприятии дают мотив руководству компании вводить ограничения. Решим эти проблемы – решим поставленную задачу. И чем быстрее мы это поймем, тем быстрее что-то изменится.
p.s. Ну а ИБ всегда будет выступать в таких ситуациях крайним. Отсюда и отношение, и повод, и ……

Алексей Лукацкий комментирует...

Одноклассники ничего полезного для работы не несут - там нет эффективных инструментов. ВК - это рассадник порнухи, спама, пиратства

Алексей Лукацкий комментирует...

А вы сказочники, господа ;-) Воспитание культуры - это хорошо, но до этого дожить надо. А пока культуры нет, соблюдайте политики!

ZZubra комментирует...

Альтернативно мыслящие люди - это политкорректное название людей, больных синдромом Дауна. Дело в том, что из-за особенностей их мышления некоторые из них способны не забывать все что прочитано (люди-библиотеки). Я собственно это подразумевал.

ZZubra комментирует...

А политики ведут к зарождению культуры?

Анонимный комментирует...

Есть мнение, что политикой проблему не решить...
Все упирается в особенность социальной сети: ее Доступность.
Доступность из-за периметра, контролируемого организацией.
Контролировать личное пространство пользователя? Когда он дома? Когда он варит картошку и чистит лук?

Единственное, что можно сделать - расширить соглашение о конфиденциальности и "сотрудник принимает меры по исключению распространения, конфликтов и бла бла бла связанного с организацией, ее репутацией и бла бла..."

Прежде всего нужно разделить и уточнить что такое "работа в социальных сетях" - и от этого плясать...

ZZubra комментирует...

Или еще радикальнее:
1. определить, а как вообще можно влиять на человека и его действия
2. определить степень влияния каждого воздействия
3. определить трудоемкость/времяёмкость каждого воздействия
4. определить долгосрочность каждого воздействия
5. в зависимости от задачи и ресурсов выбирать подходящие воздействия

А политикой, как и кучей ФЗ, добиться безопасности/исполнения невозможно. Давеча в блоге infowatch поднималась аналогичная тема http://infowatch.livejournal.com/370906.html

Из личного опыта: попытка уместить в голове новый закон об образовании в течении почти трех недель все еще не увенчалась успехом. А прочитают ли его учителя и ученики?

Алексей Лукацкий комментирует...

Политика - это способ осветить проблему и возможные пути ее решения, чтобы пользователи об этом помнили. По мере активного вовлечения пользователей в процесс ИБ появляется культура, но этим мало кто может похвастаться. Особенно для такой новой темы, как социальные сети

Андрей Ерин комментирует...

А давайте отменим ПДД и будем все ездить в соответствии с "духом и сутью" :)

Андрей Ерин комментирует...

Правда, я ездил три года по Тбилиси когда там вообще не соблюдали ПДД. Аварий практически не было, так все соблюдали некие неписанные правила выживания.
Как сделать политики ИБ подобными неписанными правилами - вот в чем вопрос. Думаю, в Коза Ностра политики ИБ не пишут, а передают из уст в уста :)

Unknown комментирует...

Активное вовлечение пользователя в процессы ИБ чревато навязыванием ему не свойственных функций отвлекающих от основной деятельности, что недопустимо при производственном процессе. Автоматизация процессов ИБ с минимальным участием пользователя – то к чему необходимо стремиться. А культура это отдельный вопрос и разработанной политикой его не решить и даже к «засчитыванию» попытки решить вопрос культуры – не подходит. Это напоминает лозунг: «Культуру – в массы!».
Зачем далеко ходить: разработанная куча документации по ПД окультурила много пользователей ИСПДн?

Алексей Лукацкий комментирует...

Знание правил ПДД тоже отвлекает от несвойственных функций и основной деятельности ;-)

А культура именно внедряется, в т.ч. и через политики. Сама по себе культура не появляется

Unknown комментирует...

А вот это уже подмена понятий, если ты за рулем, то знание ПДД - твоя обязанность, а если твоя работа не связана с ПДД, то и знать не знай их. Кстати знание ПДД при пешем передвижении по улице необходимо т.к. ты в этом случае считаешься пешеходом и выполняешь его обязанности, закрепленые в ПДД.

Алексей Лукацкий комментирует...

А знание компьютерное гигиены требуется при работе за компьютером ;-)

ZZubra комментирует...

Не хочу искать, поверьте на слово))))), в Компьютерре, когда она еще была бумажной, была тема про дорожное движение, так вот рассказывалось о двух эксперементальных городах в Европе, где были отменены правила - количество аварий снизилось практически до нуля. Так что при определенном уровне "духа и сути" строгие правила уже не нужны.