среда, 22 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 6.

Очередное продолжение нескончаемой серии…

Процедуры и регламенты.

"если запретить пользователям все плохое, то сеть станет неуязвимой". Ага. Прямо сразу. Вот только носки погладит... Что, Ваша сеть не умеет гладить носки? Ну так и неуязвимой она тоже быть не умеет. И в любом случае, запреты сами по себе ничего не решают. У нас запрещено нарушать правила дорожного движения, и что? =(

Правила, запреты, регламенты и прочая бумажная белибердень очень важны. Без них не может быть безопасности. Пусть они не всегда оформлены в виде документов (что на самом деле хорошо бы), но там где нет правил - там нет безопасности. Однако и сказать, что наличие правил от чего-то защищает само по себе - тоже ерунда. Правила нужно:

  1. Написать (еще здорово бы хорошо написать, но это тема отдельного разговора).

  2. Донести до пользователей и научить, как их выполнять (легко сказать "каждый пользователь должен менять пароль раз в месяц", но баба Клава может не знать, как это делается).

  3. Проследить за выполнением, а еще лучше, обеспечить выполнение техническими средствами.

Вот после этого комплекса мероприятий политика безопасности, если она была написана разумно, будет работать на благо безопасности Ваших данных.

Принцип наименьших полномочий.

"А вот мы пользователю админских прав не дадим и можно антивирус даже не ставить"... Защититься от дурака - можно. От изобретательного дурака - тоже, но на порядки сложнее. Защиты от пользователя, имеющего полный физический доступ к своему компьютеру задачи архисложная. И лучше уж и права ограничить и антивирус поставить и вообще не расслабляться. Для компьютеров, на которых обрабатывается суперважная информация, можно и нужно еще и отдельный контроль надо всем и вся, а вот за обычными порой так пристально не следят.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

3 комментария:

Анонимный комментирует...

Помимо капитального ограничения пользователя в правах, отключения встроенной учетной записи администратора, запрета доступа к инструментам управления системой (хотя бы посредством групповой политики) и установки многочисленных средств защиты от угроз информационной безопасности я бы порекомендовал запретить в настройках BIOS загрузку с чего либо кроме ИМЕННО установленного службой ИТ жесткого диска, поставить пароль на просмотр и изменение настроек BIOS, а также заблокировать открытие системного блока замком. Ещё лучше использовать системные блоки с функцией отслеживания и журналирования событий открытия системного блока.

Alexander Trofimov комментирует...

Ээээ... Это все гут. Только... На каждую задницу с нарезкой найдется свой...
В общем, если по пунктам:
1) встроенной учетной записи администратора - ERD Commander, etc...
2) запрета доступа к инструментам управления системой (хотя бы посредством групповой политики) - для талантливого идиота с физическим доступом к машине - не преграда.
3) запретить в настройках BIOS загрузку с чего либо кроме ИМЕННО установленного службой ИТ жесткого диска - буквосочетание "awardSW" ни о чем не говорит? =) Раньше еще на мамах была батарейка. Сейчас не знаю как. =)
4) а также заблокировать открытие системного блока замком - все виденные мной такие замки или фуфел или удорожают системный блок чуть ли не в два раза.
5) Ещё лучше использовать системные блоки с функцией отслеживания и журналирования событий открытия системного блока - дорого и само по себе ничего не решает - нужны дополнительные меры в виде полиси по мониторингу и реагированию и ее исполнения.

Анонимный комментирует...

Саша, тебе объяснить как сделать системный блок не вскрываемым? :) Я это обычно на первой лекции рассказываю.
Так вот.
1. Делаем вместо стандартного винтика что-то типа винта с каплеобразной головкой, чтобы плоскогубцами не ухватить.
2. Делаем специальный (лучше круглый или хитрой формы) вырез (что-то типа стандартных болтов с секретом для автомобильных колес)
3. Делаем инструмент к нему же
Причем все это делается в другом городе за наличные, чертеж и инструменты забираем сразу. Желательно делать от подстваной фирмы "Рога и копыта" или вообще за нал без документов.
ВСЕ!
Да, еще можно для того чтобы знать точно. Вокруг дырки под винт смажь стандартным женским лаком для ногтей, его сегодня около 4 000 000 оттенков. Если будут вскрывать - увидишь сразу:)
Вырвать такой винт можно только со стойкой