Архив за день: 22 октября, 2008

>“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 6.

>

Очередное продолжение нескончаемой серии…

Процедуры и регламенты.

«если запретить пользователям все плохое, то сеть станет неуязвимой». Ага. Прямо сразу. Вот только носки погладит… Что, Ваша сеть не умеет гладить носки? Ну так и неуязвимой она тоже быть не умеет. И в любом случае, запреты сами по себе ничего не решают. У нас запрещено нарушать правила дорожного движения, и что? =(

Правила, запреты, регламенты и прочая бумажная белибердень очень важны. Без них не может быть безопасности. Пусть они не всегда оформлены в виде документов (что на самом деле хорошо бы), но там где нет правил — там нет безопасности. Однако и сказать, что наличие правил от чего-то защищает само по себе — тоже ерунда. Правила нужно:

  1. Написать (еще здорово бы хорошо написать, но это тема отдельного разговора).

  2. Донести до пользователей и научить, как их выполнять (легко сказать «каждый пользователь должен менять пароль раз в месяц», но баба Клава может не знать, как это делается).

  3. Проследить за выполнением, а еще лучше, обеспечить выполнение техническими средствами.

Вот после этого комплекса мероприятий политика безопасности, если она была написана разумно, будет работать на благо безопасности Ваших данных.

Принцип наименьших полномочий.

«А вот мы пользователю админских прав не дадим и можно антивирус даже не ставить»… Защититься от дурака — можно. От изобретательного дурака — тоже, но на порядки сложнее. Защиты от пользователя, имеющего полный физический доступ к своему компьютеру задачи архисложная. И лучше уж и права ограничить и антивирус поставить и вообще не расслабляться. Для компьютеров, на которых обрабатывается суперважная информация, можно и нужно еще и отдельный контроль надо всем и вся, а вот за обычными порой так пристально не следят.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC