CRM и информационная безопасность (А. Школьников, "Банковское дело в Москве", N 5, май 2005 г.)

CRM и информационная безопасность

Если задать вопрос, обязана ли любая информационная система банка учитывать требования по обеспечению информационной безопасности, практически со стопроцентной вероятностью получишь ответ - конечно, это необходимое условие. К чести сотрудников банков и фирм-поставщиков, вопросы защиты информации обязательно поднимаются во время переговоров. Правда, складывается впечатление, будто участвуешь в некоем ритуале: "А у вас есть?" - "Есть", - и все довольны. Хорошо бы еще не забывать, что защита информации и обеспечение информационной безопасности - совсем не одно и то же.

Наиболее часто случается, что все вопросы по информационной безопасности в CRM-системе сводят исключительно к проблемам разграничения доступа. Тем самым подразумевается, что большего от программы и не требуется - ведь все организационные аспекты уже регулируются внутренними положениями банка. Здесь и кроется принципиальная ошибка, ибо подобное отношение к системам CRM полностью игнорирует тот факт, что это не столько программа, сколько методика работы.

Когда меня просят кратко и просто объяснить, зачем, помимо покупки лицензий, требуется еще и внедрение, я "для доходчивости" сравниваю CRM-систему с набором кубиков, из которых и происходит в процессе внедрения создание уникальной системы, максимально приспособленной к требованиям конкретной организации. Так почему бы именно на стадии внедрения не задуматься над защитой? Разумеется, при таком подходе от поставщика потребуется понимание основ информационной безопасности (особенно влияние "человеческого фактора"), умение анализировать информационные потоки, но самое главное - желание все это делать. Не имеет смысла лишний раз напоминать про конфиденциальный характер любой собранной в CRM-системе информации. Ее распространение без согласия клиента может иметь весьма неприятные последствия. Когда же речь идет о банке, последствия могут оказаться скандальными, и иметь катастрофические последствия для его репутации.

Выделим основные каналы утечки информации из CRM-системы и, учитывая "человеческий фактор", посмотрим, можно ли минимизировать риски, связанные с возможной нечестностью того или иного сотрудника?

Технические каналы. В кредитных организациях, где вопросы сохранности финансовой информации ставятся во главу угла, эти каналы должен быть наиболее защищенными.

Программные каналы. Обеспечение информационной безопасности в программных каналах передачи данных должно обеспечиваться функционалом системы разграничения доступа, политикой безопасности и внедрением. Излишне говорить, что защищать информацию от технических специалистов, урезая им права доступа в программе, недостаточно. В дополнение необходимы организационные меры по ограничению физического доступа к серверам. Как проверить достаточность функционала системы разграничения доступа? Довольно просто. Если в CRM-системе возможно только настройкой создать схему документооборота (без цифровой подписи), то этого функционала хватит.

Кардинальная мера, препятствующая хищению данных с использованием штатных средств, - отключение всех функций экспорта и печати. Правда, это может заметно повредить работе. Приведу некоторые конкретные рекомендации, направленные на минимизацию риска хищения информации:

- отсутствие у пользователей возможности выгрузки информации в электронные форматы (для штатной работы достаточно печати отчетов);

- отказ от выгрузки в табличные форматы (все аналитические расчеты должны выполняться в CRM-системе);

- на печатной форме отчетов не должно быть много данных (то есть отчет типа "Все клиенты со всеми контактами" на сотне страниц недопустим, оптимальное ограничение - не более четырех страниц);

- по умолчанию запрещается печать любой новой печатной формы или OLAP-отчета - требуется отдельное решение по каждой форме. Например, если нужно распечатать карточку клиента, решение принимается один раз, и для всех остальных видимых клиентов этот отчет становится доступным.

Если следовать данным рекомендациям еще на стадии проектирования, результат не заставит себя ждать. Любая попытка сотрудника унести большое количество информации приведет к увеличению количества напечатанных отчетов - а это не так сложно отследить, введя в систему несколько показателей активности.

Социальные каналы. Работая с информацией, легко забыть, что банк в первую очередь - социотехническая система. И именно "человеческий фактор" - наиболее распространенная причина нарушений информационной безопасности. Не искушай понапрасну. Эта фраза как нельзя лучше подходит к теме, которую мы рассматриваем. Элементарный порядок в документообороте, самые обычные требования к трудовой и исполнительской дисциплине способны сделать не меньше, нежели самые совершенные технические средства защиты. Поэтому не стоит лишний раз провоцировать сотрудников на нарушения - абсолютное большинство людей изначально не имеет злого умысла. Так что проще не создавать предпосылок к появлению ситуаций, провоцирующих нежелательные действия, чем потом бороться с их последствиями.

А. Школьников,

менеджер проектов ЗАО "ИНИСТ"

"Банковское дело в Москве", N 5, май 2005 г.