Поганий мир кращий за добру сварку
Як провести процедуру звільнення системного адміністратора так, щоб.
Костянтин П'янзін, Яна Абрамова
Як провести процедуру звільнення системного адміністратора так, щоб мінімізувати збиток, який він може нанести організації? Як захистити при цьому інформаційні системи і дані?
Звільнення системного адміністратора -проблема, непроста у багатьох відношеннях
Незадоволений звільненням системний адміністратор може залишити «на добру пам'ять» своєму керівництву масу неприємностей. Як провести процедуру звільнення цього співробітника, щоб мінімізувати збиток, який він може нанести організації? Як захистити при цьому інформаційні системи і дані?
Звільнення або зміну системного адміністратора часто можна прирівняти до стихійного лиха. У більшості випадків він звільняється добровільно і досить швидко (хоча по трудовому законодавству повинен відпрацювати два тижні). Нерідко він залишає після себе недороблену роботу. Випадки ж, коли його звільняють, цілком можна прирівняти до ПП. У будь-якому випадку оголошується аврал, все планові роботи служби системного адміністрування припиняються, починається зміна паролів, сканування всього програмного забезпечення (у всякому разі, мережевого). Якщо звільнення відбулося дійсно несподівано, то потрібно дуже швидко увійти в курс справи і взяти ситуацію під повний контроль. Слід пам'ятати, що системний адміністратор має доступ до надзвичайно цінної інформації - фактично до будь-якої інформації, за збереження якої він відповідає.
Контроль за персоналом
Серйозність проблем, що виникають при звільненні системного адміністратора, сильно залежить не тільки від причин звільнення, але і від таких параметрів, як розмір підприємства, його організаційна структура, місце в ній служби системного адміністрування, і навіть від того, як ставляться до служби. І звичайно ж, від компетенції вищого керівництва підприємства.
На великих підприємствах, а також там, де доводиться мати справу з дуже цінною, важливою, закритою інформацією, пов'язаною, наприклад, з персональними даними клієнтів, існують спеціалізовані служби інформаційної безпеки. Вони визначають правила роботи служби системного адміністрування по забезпеченню безпеки і спостерігають за їх виконанням. Ці служби займаються також аудитом інформаційної безпеки (зрозуміло, для цього адміністратори служби безпеки не повинні поступатися системним адміністраторам за рівнем кваліфікації). При цьому системний адміністратор не входить до складу служби аудиту і позбавлений можливості контролювати її.
Доводиться визнати, що організувати ефективну взаємодію між службою безпеки і службою системного адміністрування так, щоб їх повноваження не перетиналися, буває непросто. Однак, як правило, на підприємствах, де вдалося вибудувати таку взаємодію, проблем, пов'язаних зі звільненням системного адміністратора, виявляється значно менше.
Зауважимо, що навіть в звичайних операційних системах і в ряді бізнес-додатків передбачена можливість проведення незалежного аудиту. Але нерідко це лише видимість аудиту, оскільки в звичайних операційних системах і поширеному програмному забезпеченні адміністратор (системний, баз даних та ін.), Маючи максимум повноважень, за допомогою нескладних маніпуляцій може обійти, нейтралізувати або обдурити систему аудиту, особливо там, де служба безпеки здійснює моніторинг нерегулярно. Хоча спеціалізовані програми і деякі операційні системи обмежують повноваження адміністратора.
Якщо у вас служби немає.
У переважній більшості вітчизняних організацій немає служби інформаційної безпеки. З точки зору проблем, що виникають при звільненні сисадміна, дуже важлива організаційна модель побудови служби системного адміністрування. Зокрема, слід враховувати, за яким принципом ця служба будується - за функціональним або за територіальним. На малих підприємствах та підприємствах з невеликими філіями упор робиться на територіальний принцип: один-два адміністратора «відповідають» за всю ІТ-інфраструктуру, розгорнуту на їх території (бази даних, операційні системи, програми та т. Д.). У великих організаціях, а також там, де розгорнуті складні системи, практикується функціональний принцип, згідно з яким різними ділянками робіт з системного адміністрування займаються різні відділи (наприклад, відділ підтримки ключових бізнес-додатків, або служба адміністрування баз даних, або Help Desk і т. п.) Правда, в «чистому» вигляді такий поділ зустрічається нечасто.
Розглянемо як приклад організацію, де є невеликий центральний офіс і дві філії. Найімовірніше, служба адміністрування тут побудована за територіальним принципом: на кожній території знаходиться системний адміністратор, який повністю відповідає за все, що у нього є для ІТ-підтримки клієнтів, і майже за все, що пов'язано з серверами і мережевими службами. Як правило, все одно кожен з адміністраторів має додаткові обов'язки: один відповідає ще й за тонке налаштування всіх баз даних, в обов'язки іншого крім загального кола завдань додатково входить адміністрування Unix-серверів, третій відповідає за кошти колективної роботи користувачів. Тобто в цій організації спостерігається територіальний принцип, але реалізований він не в «чистому» вигляді.
Очевидно, що найбільше число проблем при звільненні виникають в тому випадку, коли служба організована за територіальним принципом: людина, яка прийшла на заміну свого попередника, повинен увійти в курс всього комплексу завдань.
При звільненні, наймі, заміні, розширенні або, навпаки, скорочення штату системних адміністраторів правильна організація роботи всієї служби здатна значно полегшити життя підприємству. Дуже гарною підмогою при вирішенні не тільки питань, пов'язаних зі звільненням сисадмінів, а й самих звичайних завдань служби, є документування. Зокрема, дуже корисно мати документацію з докладним описом покрокової установки кожного сервера. Також важливо заздалегідь готувати керівництва для адміністраторів, які містять алгоритми дій у ряді певних ситуацій (наприклад, в разі виявлення несанкціонованого входу в систему зловмисників, раптової аварії, пожежі та ін.). Дуже важливо також постійно підтримувати в актуальному стані журнали подій. Слід нагадати і про таку просту річ, як адміністративні паролі: їх повинні знати як мінімум дві людини. (Це істотно навіть не стільки при звільненні, скільки на випадок хвороби, відпустки або навіть звичайної забудькуватості.)
Як звільнити системного адміністратора
Терміновість і важливість процедур, які необхідно провести при звільненні, залежать від причин, за якими адміністратор звільняється.
Однак проблему слід розглянути в більш широкому контексті і уважно вивчити, як побудована система не тільки звільнення сисадмінів, а й прийому їх на роботу. Набагато менше проблем виникає, коли найм персоналу відбувається за рекомендацією або через знайомих. Людина, що зарекомендував себе десь раніше як сумлінний працівник, з більшою охотою береться на службу, на додачу до цього за нього хтось вже несе відповідальність. При звільненні рекомендованого співробітника ризик отримати неприємні сюрпризи виявляється менше, ніж при звільненні того, хто прийнятий з вулиці і без надійної рекомендації.
У будь-якому випадку краще розлучатися по-хорошому. Зрозуміло, для цього і обстановка в колективі теж повинна бути доброзичлива.
Системний адміністратор може звільнитися сам або його можуть змусити піти з організації. Можливий і третій варіант: він переходить на іншу роботу на цьому ж підприємстві. Цей випадок найпростіший і безпечний: процедури, пов'язані зі змінами паролів, наймом нового адміністратора і передачею йому повноважень, зазвичай проходять безболісно і без суєти, а колишній співробітник, як правило, допомагає своєму наступнику в освоєнні інформаційної інфраструктури, так як він в цьому сам зацікавлений.
Менше ризики і в разі, коли системний адміністратор звільняється у зв'язку з переходом на нову роботу з підвищенням на посаді або заради свого кар'єрного росту. Хоча і в цьому випадку необхідно провести всі заходи, передбачені при звільненні. Зрозуміло, потрібно знайти час, щоб підібрати наступника і організувати передачу йому справ.
Часто доводиться стикатися з ситуацією, коли системного адміністратора звільняють навіть не через його некомпетентності, а за недисциплінованість, нехлюйство: за його запізнення на роботу, невиконання наказів і розпоряджень, неакуратне ведення документації, за недбалість (скажімо, якщо системний адміністратор поставив нове програмне забезпечення і відправився в навчальний відпустку, так і не перевіривши його роботу). У таких випадках на його місце тихо підшукується наступник. Дуже важливо, щоб новий системний адміністратор увійшов в курс справи, не викликаючи підозр і не привертаючи до себе увагу кандидата на звільнення. Це не так просто, але необхідно. Після того як новий співробітник увійде в курс справ, в один з найближчих вихідних слід провести масову зміну паролів.
При звільненні системного адміністратора рекомендується по можливості згладити ситуацію (якщо керівництво підприємство визнає це за доцільне): виплатити компенсацію, надати додаткову відпустку, допомогти йому в пошуку нового місця роботи - в загальному, зробити максимум можливого для того, щоб звільнений працівник не відчував себе скривдженим. (Зрозуміло, ця рекомендація не може бути універсальним рецептом, кожне звільнення необхідно розглядати всебічно і індивідуально. Більш того, подібна м'якість не повинна виглядати як «м'якотілість» або навіть боягузтво.) Але навіть в разі «м'якого» звільнення часто доводиться скасовувати всі відпустки і термінові справи у залишаються співробітників служб системного адміністрування та інформаційної безпеки.
Найскладніший випадок - коли працівник звільняється сам через те, що незадоволений своєю роботою, конфліктує з начальством або обурюється з приводу низької зарплати. У цій ситуації хороший керівник служби системного адміністрування, знаючи, яким характером володіє системний адміністратор, повинен передбачати можливі варіанти розвитку подій і здійснити попереджувальні заходи. У будь-якому випадку краще не доводити справу до крайнощів.
Не варто особливо сподіватися на Кримінальний кодекс. Спіймати за руку колишнього системного адміністратора дуже непросто, ще складніше довести його провину в суді. У нашій країні поки не відомо жодного випадку покарання колишнього співробітника за злом, якщо це не спричинило прямих фінансових втрат. Крім того, не завжди точно відомо, чому «завис» ваш головний сервер - від дій зловмисника (їм може бути не тільки колишній системний адміністратор) або від помилок в системному або прикладному програмному забезпеченні.
Потрібно також пам'ятати, що дуже часто системний адміністратор може знати паролі інших користувачів. Тому при заміні цього співробітника треба обов'язково змінити паролі всіх користувачів, що мають доступ до особливо важливої, цінним чи конфіденційної інформації - бухгалтерської звітності, персональних даних співробітників, документам перспективних проектів, відомостями про організаційну структуру компанії, інформаційних об'єктів, що становлять інтелектуальний капітал і т.п .
Працюючи з поширеними операційними системами і додатками в межах своїх повноважень, системний адміністратор в змозі зробити практично все, особливо, якщо в компанії застосовується територіальний принцип організації служби системного адміністрування. Він може змінювати або перлюструвати інформацію, включаючи закриту (наприклад, що стосується документів про виплату зарплати співробітників або листування деяких посадових осіб), включати «закладки», створювати потаємні входи, в тому числі для віддаленого доступу. Незадоволений системний адміністратор може все це здійснювати в процесі звільнення. Якщо цей фахівець має достатню кваліфікацію, то схопити його за руку практично неможливо. Не допоможуть ніякі системи аудиту!
Є ще одна проблема: системний адміністратор знає (він просто зобов'язаний знати) логічну структуру побудови мережі організації. Він пам'ятає, на яких серверах і які програми запущені, як організована система безпеки, як працюють міжмережеві екрани, де яка інформація зберігається і як користувачі здійснюють до неї доступ, які програми і як взаємодіють один з одним.
Таким чином, звільнився системний адміністратор представляє потенційну небезпеку навіть в тому випадку, якщо він не вдається до допомоги «закладок» і не знає паролів. Навіть через рік або два він зможе завдати неприємностей. Справа в тому, що коли готується «злом» мережі, то найперший крок - це зібрати інформацію. А колишній адміністратор знає практично все. Навіть через роки може практично нічого не змінитися з того, що він знав про структуру роботи підприємства.
· Чи потрібен цілий «стратегічний» план. Спочатку підбирається кандидат. Співбесіда і перевірка проводяться в вихідний. Після затвердження кандидата вирішується питання про час заміни. Ідеально - коли сисадмін знаходиться у відпустці або на навчанні. Повернувшись, він вже не має доступу до систем. А взагалі краще розходитися по-хорошому. Я, наприклад, знайшла свого більш високооплачувану роботу, і він «сам прийняв рішення».
· Що цінніший зберігається інформація і більше залежність організації від ІТ, тим складніше і ретельніше процедура звільнення.
Багато адміністратори настільки модифікують настройки системи під себе, що легше буває просто перевстановити її, ніж розбиратися в настройках. Особливо це актуально в разі, якщо новий співробітник погано орієнтується в «чужий» системі. Перевстановлення - грубий метод і мало де проходить, але закладок не залишиться точно.
Якщо в конторі є грамотно служба безпеки, потрібно звільняти спільними зусиллями. Який іде людині потрібно дати зрозуміти, що якщо щось трапиться з програмним забезпеченням, то першим під підозру потрапить він.
Хоча, з іншого боку, треба визнати, що доказова база в середньостатистичної ІТ-системі зазвичай дорівнює нулю: знайти сліди діяльності системного адміністратора можна тільки при жорстко налагодженої і захищеною системі аудиту.
· В першу чергу треба вимагати в письмовому вигляді всі паролі суперкористувачем (адміністраторів) у вашій системі за підписом працівника, що звільняється сисадміна. Зробіть для нього копію - на випадок, якщо з паролями щось буде не так.
Друге: вимагайте від нього створити повну резервну копію всіх серверів і баз даних, а також всіх логів. З нього візьміть роздруківку системного журналу резервного копіювання, шлях він запевнить його своїм підписом. Зробіть для нього копію цієї роздруківки (теж на всякий випадок). Наявна резервна копія і роздруківка її журналу будуть служити для вас «слабкою» доказом. Заберіть носій з резервною копією ваших систем, після це виключіть для нього будь-яку можливість фізичного доступу до мережі. Новий системний адміністратор при цьому повинен приступити до процедури зміни паролів і передати вам новий список паролів.
Третє: після того, як перше і друге зроблено, треба попередити, що звільняється про кримінальну відповідальність за умисне псування систем і баз даних.
· Можна замовити послуги з перевстановлення системи у сторонньої компанії, підписавши з нею довгостроковий договір. Всі наймані системні адміністратори не отримують повного доступу до системи, а служать виконавцями компанії на місці (відповідно, вартість їх послуг може бути нижче). У той же час відповідальність за стан систем буде нести компанія, послугами якої ви користуєтеся. Хоча витрати в цьому випадку будуть більше, але і надійність - вище.
· Не треба сваритися з адміністратором. Поясніть йому по-людськи, чому він вас не влаштовує, оплатіть йому вже відпрацьовані дні.
· По-перше, непогано було б розібратися в причинах звільнення. Адже людей не звільняють «просто так». По-друге, навіщо брати на роботу людину, якій не довіряєте і якого припадає звільняти?
· Якщо звільняти культурно, то проблем не буде. Якщо ж фірма бере співробітника «з випробувальним терміном», протягом якого платить копійчану зарплату, змушує його виконати величезну роботу по розширенню мережі, встановлювати нові сервіси, а по завершенні робіт звільняє зі словами «вибачте, ви нам не підходите». В цьому випадку розраховувати на те, що все буде працювати після звільнення працівника, щонайменше наївно. Боротися з цим можна тільки шляхом зміни ставлення до працівника, наймаючи його саме для виконання заздалегідь обумовлених робіт і заздалегідь попереджаючи, що в подальшому його послуги не будуть потрібні.
· Керівник повинен чітко знати, що незамінних немає. Цією фразою можна кидатися в своїх підлеглих, але незамінних НЕ ІСНУЄ.
· Документування, документування і ще раз документування. І дуже швидко поміняти паролі.