Омерт@. Учебник по информационной безопасности для больших боссов
Шрифт:
Шифровка под контролем старины Мюллера
«Капусточка – это хорошо, мама, но в доме должна быть и мясная закуска», - говорил персонаж одного очень забавного российского фильма с совершенно незапоминаемым для иностранца названием.
Шифрование, PGP и секретные диски – это всё очень хорошо, но не следует забывать, что только от тебя или особо доверенных людей должны исходить все механизмы шифрования в офисе. Не следует позволять работникам использовать свои собственные механизмы шифрования – в дальнейшем это чревато очень серьёзными проблемами.
Твоя мясная закуска среди офисной капусты – это строгий контроль над тем, что именно происходит с корпоративными документами и корпоративной почтой разных пользователей. Недопустима ситуация,
Есть чёткая схема действий – все документы и почта хранятся на сервере, причём на зашифрованном диске - вот пусть они этой схеме и следуют. Как только у кого-то появляется желание создать свой островок совершенно приватной безопасности среди моря корпоративной безопасности – тебе следует объяснить, что в этом офисе нет босса кроме босса, и админ – пророк его.
В офисе не может быть приватной безопасности без четкой санкции сверху. Это Фил Циммерман может бороться за право индивидуума хранить свои секреты от государства – мы его в этом полностью одобряем, - однако схема взаимоотношений на фирме не имеет ничего общего со схемой взаимоотношения граждан с государством.
Ты же не требуешь от людей раскрывать тебе их личные приватные секреты! Тебя не волнует кто там с кем спит, кто кому сколько денег проиграл на выходные в покер и кто у кого отбил любовницу. Однако все что касается их работы на тебя – уже никоим образом не относится к их privacy, а следовательно – не может от тебя скрываться ни под каким видом. Даже в нашей несвободной и политкорректной Америке есть понятие «разумного ожидания частной жизни» - «reasonable expectation of privacy», - и самый Большой судья вынес постановление, что эту прайваси нечего ожидать на офисном компьютере, который принадлежит компании.
Кроме того, когда каждый сотрудник, считающий себя великим спецом по безопасности, начинает самостоятельно «защищать» свои документы, - это подставляет под удар всю фирму, потому что чёрт его, сотрудника, знает, что именно он подразумевает под защитой – возможно, простое архивирование с паролем «123».
Ну и с другой стороны, если сотрудник вполне хорошо зашифровал свои документы, а потом ты по каким-то причинам решил его уволить, – это чревато ситуацией, когда вам с админом нужно будет расшифровать десять мегатонн зашифрованных PGP файлов, чтобы найти то что вам нужно. Ну, не десять. Ну, пять. Или даже один. Но PGP вы с админом не расшифруете, мы об этом уже говорили…
Колпак старины Мюллера
Раз уж мы затронули тему личной жизни сотрудников в твоем офисе, вполне имеет смысл поговорить о том, как именно лёгкое нарушение их личной жизни может вполне благотворно влиять на безопасность всей фирмы.
Тебе нужно контролировать каждого сотрудника – это аксиома. Не грубо, и даже не зримо. Простая дружеская проверка, как говаривал старина Мюллер, а этот человек понимал толк в подобных вещах.
Не нужно устанавливать камеры наблюдения во всех комнатах – это очень сильно деморализует сотрудников. В конце концов, это уже действительно privacy – может, женщинам нужно поправить модные трусики, впившиеся в попку, а мужикам хочется после обеда положить щеку на монитор и поспать пять минут, иначе он не человек. Они не хотят, чтобы ты это видел – имеют право. Тебе и не нужно это видеть. А вот что творится на их компьютерах – видеть не просто нужно, но и необходимо!
Как это сделать? Административными методами. Точнее, методами компьютерного администрирования. Твой админ должен на каждый персональный компьютер поставить маленькую программку-шпиона, которая просто-напросто будет записывать все действия сотрудника: когда он включил компьютер, когда выключил, какие программы запускал, какие действия с файлами производил. Все это аккуратненько пишется в обычный отчёт на сервере, который
Ну и конечно, админ, налаживая компьютер каждого пользователя, должен предусмотреть возможность входа в этот компьютер с полными правами доступа. А пользователь не должен иметь админских прав на своем собственном компьютере.
Вроде бы это звучит как само собой разумеющееся, но я неоднократно встречался с ситуацией, когда нужно было покопаться в компьютере крысы и выяснялось, что у этого сотрудника был админский вход, благодаря которому он сменил все пароли и достаточно надежно закрыл свой жёсткий диск от посторонних. Я-то с такими вещами справляться умею, но местные админы были в некоторой растерянности. На вопрос, какого чёрта они оставили пользователю админские привилегии, эти деятели лепетали, что, дескать, у них-то самих оставался админский вход. Как будто было сложно предположить заранее подобную ситуацию: пользователь с админским входом возьмет да и поменяет пароли других админских входов. Детский сад, трусы на лямках, но тем не менее это было неоднократно.
Безбумажный офис безбашенных секретарш
Любые бумаги в офисе – страшное зло! Это аксиома. Потому что бумаги:
Неудобно хранить, они занимают кучу места;
Почти невозможно искать;
Крайне сложно копировать;
Невозможно редактировать;
Очень тяжело уничтожать;
Жутко неудобно каталогизировать.
И действительно, в наш век невиданного прогресса науки и техники, когда космические корабли бороздят соответствующие пространства, дикое количество офисов до сих пор занимаются всей этой бумажной волокитой и, что самое страшное, вовсе не собираются от этого отказываться!
Между тем, с бумагами действительно не сделать ничего путного. Попробуй найти нужную бумажку даже среди документов одной офисной папки! А среди разных папок одного шкафа?!! А среди разных шкафов одного офиса?!! Да от этого же просто башню сорвёт! То ли дело на компьютере: нажал кнопочку, вбил слово для поиска и через несколько секунд получил список всех документов с данным словом, выбранных хоть из сотни, хоть из тысячи, хоть из десятков и сотен тысяч файлов…
Кроме того, что делать с бумажками в случае всё того же времени Ч? Бумажки не шифруются, через шредер уничтожаются крайне медленно, сжигаются – ещё медленнее, а кроме того, от процесса горения очень много грязи… Вот в «Логовазе» крысы сожрали девять тонн документов, но где же сейчас найти таких крыс?
Поэтому единственный разумный выход – безбумажный офис! Ну, не то чтобы совсем безбумажный – пока электронная подпись ещё не досконально закреплена законодательно, невозможно на сто процентов избавиться от бумажных документов, - но по крайней мере нужно создать такой документооборот, при котором всё, что можно, переводится в электронную форму.
Каким образом? Да сканером, разумеется. Приобрети в контору несколько сканеров и попроси админа расставить их по всем отделам. (Для подобной задачи годятся сами обычные любительские сканеры, а эти устройства сейчас стоят едва ли дороже обеда на двоих в очень среднем ресторанчике Нью-Йорка. Да, покупая сканер, прикажи админу убедиться, что на нём есть автоподатчик, - это сократит время сканирования многостраничных документов в разы.) После этого заставь всех сотрудников каждую бумажку сканировать и заносить получившийся файл в полагающуюся папку на сервере.