Продолжение, начало в “Свежем компаньоне” №19 от 10 июня, №20 от 17 июня, №21 от 1 июля 2003 года. Наконец, вы совершили - реально или же в режиме заседания - предлагаемый мною в предыдущей публикации опыт. И уже (или же через семь дней) вся корпоративная информация станет централизована на файловом сервере. Какие еще плюсы выделяет эта централизация? Централизовав данные, вы не только встали на защиту ее (резервным копированием) от утраты или же искажения. Вы и уже имеете возможность самим и в любое время взять к ней доступ. Что данное выделяет?
Да совсем многое! К примеру, у вас есть возможность, в конце концов, выяснить, что за документ каждый день набивает ваш секретарь, (не)проворно сворачивая окно Wоrd’а при вашем выходе в свет. Что там - безобидный реферат для подруги или же перечень ваших путешествий на обозримые пару дней? И в случае если второе - то для чего она его ведет, да еще тайком?
Или же, пробежавшись по собственной папке определенного клерка по продажам, убедиться в том, что все посетители, с коими он контактирует, приобретают продукцию непосредственно у вашей компании, или же с изумлением найти обратное. В случае если в вашей фирмы уже имеется “казачки”, то еще на рубеже понудительного копирования папки “Мои документы” на сервер они станут больше всех выказывать свое недовольство и протестовать. Или же, в случае если их “шпионская квалификация” гораздо повыше, нежели предполагалось, - при движении папки на сервер она крепко “сбросит лишний вес”, данное также признак. В случае если работнику имеется что скрывать от фирмы - данное предлог глубоко задуматься о первопричинах и последствиях таковой скрытности.
(В некой из грядущих публикаций я поведаю более детально о методах раскрытия “казачков” в организации.). Приверженцам “неприкосновенности собственной жизни” я заявлю так: личная жизнь - до и в последствии службы. Компания дает работнику рабочее место, оснащенное компьютером, подключенным к сети и практически уже повсеместно имеющим доступ в онлайн, не чтобы развлекать его смешными рассказ или же “клубничкой”. Сотрудник обучается и сообщает на службе реферат? Пускай и реферат лежит на сервере.
Не смотря на то, что бы чтобы не утратить и его также при неожиданной смерти всей информации на рабочей станции. В случае если же вы как начальник фирмы так прогрессивны во взорах, что разрешаете работникам смотреть на службе (ну, к примеру, в последствии 18:30) фильмы и слушать mр3-музыку - не пожалейте пару сотен долларов на пару-тройку твёрдых дисков громадного размера и предложите создать “развлекательный сервер” в фирмы.
В первую очередь, с таковой вольницей вы, скорее всего, будете экономить гораздо больше на трафике из webа, а так же, когда вы так решите прекратить данное безобразие, достаточно станет отключить всего один сервер, а диски дать под что-нибудь нужное. Польза от доступа ко всей корпоративной информации - не только в полномочия “подглядывать” за работой работников. В случае если сотрудник держит документы на своему автомобилю, то для передачи их иным работникам он обязан или же напечатать документ и дать бумажную копию, или же скопировать документ на автомашину коллеги, создав так два однообразных документа. Данное дурно не только тем, что документ занимает в два (три, четыре…
- какое количество работников с ним трудится) раза больше места, не смотря на то, что имел возможность себе тихо лежать на сервере в некоем экземпляре. И доступ к нему станет у всех, кому надо. Как скоро работники внесут перемены в документ, вы получите два (три, четыре и т. Д.) различных документа, синхронизировать кои после этого - зубодробительная цель. Еще в полной мере настояща обстановка, когда сотрудник ушел в отпуск или же заболел, а принципиальная информация осталась на его компьютере, да еще и под паролем. При централизации данные “болезного отпускника” взять несложнее несложного.
Классический же пример, с коим вы не далее как не столкнулись, то непременно столкнетесь, - удаление всей приобретенной информации увольняемым работником. Три случая из десяти, когда ко мне или же к моим привычным навевают жесткий диск с пожеланием вернуть удаленные файлы, оказываются непосредственно этими. Сделать похожую мерзость в завершении работнику не получится, в случае если информация сберегается на сервере и подвергается резервному копированию как положено.
И мой вам совет: перед тем, как сказать работнику об уходе с работы, вызовите вашего “админа” и попросите перекрыть увольняемому доступ ко всем сетевым и компьютерным ресурсам. Сбережете и время, и нервы, и наличные средства. Очередная важная возможность, кою вы приобретаете, централизовав хранение информации, - возможность ее почти что мгновенного удаления. Не безвозвратного, еще бы, поскольку у вас в банковском хранилище или же бытовом сейфе сберегается резервная копия. Такое может совсем оказать помощь фирмы при поползновения силового изъятия корпоративной информации.
Разновидностей обороны масса - от “красной кнопки”, запускающей процесс необратимого стирания этих на сервере, до несложного вытаскивания дисков и выбрасывания их в окно серверной на лужайку, где их подыщет и унесет куда надо заблаговременно проинструктированный сотрудник. Или же вот еще “метод”: в некой фирмы вооруженный секьюрити круглые сутки дежурил на посту в серверной. У поста была одна-единственная инструкция: “При нападения на офис произвести три выстрела в круг, нарисованный на корпусе сервера”.
Круг, как вы уже додумались, был нарисован напрямик наоборот дисков со всей информацией фирмы. Как человек, реально сталкивавшийся с попыткой силового изъятия, заявлю - для ее удачи на подготовленном к этому событию предприятии квалификация людей, ее предпринимающих, обязана быть не менее, нежели у Джеймса Бонда. У защищающейся стороны, если соблюдать условие централизации информации, вероятностей во много раз больше, нежели у нападающей. Информация в фирмы - данное не только файлы. Данное, к примеру, еще и электронные сообщения. И адресные книги, в коих сберегаются электронные адреса посетителей и генпоставщиков.
И, перенося файлы на сервер, от случая к случаю забывают, что электронная почта - также совсем принципиальная часть корпоративной информации. Централизовать данный тип информации уже довольно сложно, как простые файлы. Но но даже это вероятно. Требуется пару больше упрочнений, нежели при централизации файлов, но расходы себя непременно оправдают. Централизация и резервное копирование - два принципиальных шага на пути обороны корпоративной информации. Третий шаг, по важности, наверное, равный сумме первых двух - наложение разрешений на доступ к информации.
Упоминавшиеся в заметке “Вопрос терминологии” (”Компаньон” №19 от 10 июня 2003 года) “аксесс контрол страницы” - именно это имеется они, перечни управления доступом. Для упрощения описания данного настолько же не простой, сколь и принципиального, шага сформулирую пару базовых правил. Первое правило: “Не разрешено все то, что запрещено”. Информационная безопасность - не свобода и демократия, а напротив - твёрдое ограничение свободы доступа к этим.
Второе правило: “Любой сотрудник обязан иметь доступ к минимальному количеству информации, важному ему для действенного претворения в жизнь своей работы”. Данное, наверное, самое не простой для олицетворения в жизнь правило. Так как для определения “важного и действенного минимального количества” надо подробно дать ответ на вопрос: нежели же сотрудник занимается? Может помочь все это же процессирование, которое мы уже оговаривали. Отыскать компромисс меж уверенностью свободой и тотальной закрытостью этих - сложная цель. Третье правило: “Нужно будет непрерывно смотреть за поползновениями нарушения первого и второго правил”.
Под “следить” я имею в виду установить особую “сторожевую” программу, вовремя информирующую о поползновениях юзеров взять доступ к перекрытым для них этим. И совсем пристально подвергать анализу казенные записки работников об изменении разрешений на доступ.
В случае если сотрудник непрерывно сообщает “служебки” с просьбами дать разрешения на “те, те и тут еще те” файлы или же становиться причиной срабатывание “сторожевой” программы - он быть может как “казачком” со собственными интересами, не схожими с интересами фирмы, но и в полной мере лояльным работником, коему “закрыли кислород”, правильнее, доступ к важным для его службы этим. И в таком случае, как и при кадровых перестановок работников, надо использовать четвертое правило: “Нужно будет вовремя изменять разрешения на доступ к информации”. Вовремя - означает перед назначением на вышестоящую должность заблаговременно открывать доступ, а на нижестоящую должность - заблаговременно закрывать доступ к информации. При “горизонтальных” движениях - изменять разрешения тогда же.
Из вышеизложенных правил плавно вытекают неочевидные, как не прискорбно, для множества начальников и IТ-менеджеров, вещи. Как, к примеру, машина найдёт, кому возможно просматривать содержимое папки “Сервер/Компания/Директор”, а кому невозможно? “Админ” имеет возможность прописать автомашине перечень контролирования доступа: “Васе - возможно, а Пете - невозможно”. А как она выяснит, что с ней сейчас трудится Вася, но не Петя? Автомобили еще не обучились выяснять нас в лицо или же по голосу (правильнее, уже обучились, но внедрение этих систем стоит пока неистовых наличных средств).
Исходя из этого используют ветхий хороший, проверенный временем метод: перед началом службы в сети сотрудник вводит собственное сетевое имя и пароль. Вот тут и наступает богатое разнообразие разновидностей. Сотрудник ушел на обед, а автомашину покинул незаблокированной - “заходи, кто пытаешься, бери, что пытаешься”. Сотрудник информирует свой пароль коллеге, дабы тот имел возможность взглянуть документ в замкнутой папке. Сотрудник назначает пароль 12345 (свой юбилей, имя супруги/любовницы…); “клинический” случай - пароль “пароль” или же “password”.
Записывает пароль на стикере и приклеивает его к монитору и т. Д., и т. П. Первопричин, по коим пароль делается именит иным людям, - очень много, перечислять их - не хватит места ни в некой публикации. И самое нехорошее в данном то, что машина практически ничего не имеет возможности с данным сделать. Ей заявили “Я - Vasya, пароль - BMW”, и она разрешит войти в каталог и Васю, и Петю, коей легко понимает, как Вася обожает собственную BMW, и додумался, что пароль Васи иным, помимо “BMW”, быть не имеет возможности.
Машина имеет возможность слегка усложнить жизнь Васе, и - совсем сильно - Пете, отрекшись при еще один смене пароля (пароли обязаны изменяться не реже, нежели ежемесячно, и машина имеет возможность вынудить работников данное делать) принять пароль “BMW” в общем-то каждый пароль, состоящий “меньше, нежели из восьми символов, не имеющий немалые и небольшие буквы, значения и символы препинания”. Данное, к слову, основное правило организации парольной обороны. Но заметить стикер на мониторе она не имеет возможности.
Но его имеет возможность заметить “админ”, коей и еще в отсутствии особенных упрочнений имеет возможность выяснить, используют работники фамилиями и паролями друг друга или же нет, пробует ли кое-кто выяснить пароль соседа и т. Д. Но перед тем как у него появится возможность предъявить недобросовестному работнику или же его начальнику подтверждения нерадивости, сотрудник обязан быть подробно осведомлен, что с паролем, к тому же вообще с сетью, он делать имеет возможность, а что не обязан делать ни за что под страхом лишения премии причем даже увольнения.
Чтобы достичь желаемого результата в организации обязан существовать документ, подробно обрисовывающий правила службы в компьютерной сети. Любое слово толково составленных правил сокращает возможность “смерти” или же “инвалидности” вашей организации в следствии утечки ключевой информации. Еще правила закрепляют права “админа” по проверке их исполнения работниками (он делается неким внутренним “инспектором ГИБДД”), а и еще санкции за нарушения разной степени тяжести. И любой должен быть ознакомлен с правилами “под роспись”.
Вот тогда уже сотрудник, выбежавший “на минутку, проверяй мою почту любые полчаса”, быть может совершенно объективно оштрафован за незаблокированную рабочую станцию в свое отсутствие, вне зависимости от того, какое количество еще человек сидит в комнате и пускают или же нет в офис чужих в отсутствии присмотра. Настоятельно требую не брать на себя вышеописанное за утопию. Мне реально удавалось добиться того, дабы в организациях средней величины эти правила делались, внедрялись и производятся по этот день.
Степень информационной безопасности таковой организации в сравнении со среднестатистической компанией возможно выразить метафорой: “бронированная дверь с глазком видеонаблюдения против крестьянской калитки на щеколде с веревочкой, выведенной наружу”. Констатируем тезис, вынесенный в заголовок. - Информация в фирмы обязана храниться централизованно. - Обязано производиться периодическое резервное копирование информации. - На любой объект - носитель информации обязаны быть положены разрешения доступа. - В организации обязаны существовать и неукоснительно выполняться правила службы в сети.
Главные их пункты: - сотрудник для службы в сети должен вводить свое неповторимое имя и пароль, коей он ни при каких обстоятельствах и никогда не обязан никуда записывать, равняется как информировать кому-либо, в том числе и “админу” (важность данного станет понятна, когда мы дойдем до противодействия “некомпьютерным” способам получения информации); - пароли работников обязаны отвечать притязаниям стереотипов информационной защищенности, кроме того данное обязано быть строго установлено настройками сервера; - пароли работников обязаны регулярно, не реже раза ежемесячно, понудительно изменяться.
Каждая активность работника в сети обязана подробнейшим образом протоколироваться. Протоколы службы обязаны в настоящем времени анализироваться особыми программами насчет раскрытия “сомнительной” активности. И не: самое не сильный звено в произвольной системе - данное человек. Юрий КОТОВ.