gifts2017

О защите информации в вычислительной сети.

Опубликовал Александр Рытов (Арчибальд) в раздел Администрирование - Системное

Защитит ли БД одноэсник с админом на пару?

 

 

 

Введение

Защита информации предполагает принятие организационных и технических мер охраны аппаратных и программных средств, а также данных с целью предотвратить случайный или преднамеренный несанкционированный доступ (включая раскрытие, модификацию, разрушение) к информации, а также обеспечить восстановление информации после аварий технического или гуманитарного характера. Следует отметить, что проблема защиты весьма многогранна, и при ее решении возникает множество частных задач – от разграничения сфер ответственности до технико-экономической оценки эффективности принимаемых мер.

 

На рис. 1. представлена графически взаимосвязь защитных мер и уровней окружения защищаемых данных. Каждый следующий уровень базируется на предыдущем (предыдущих). Например, если доступ к сети не контролируется, любые попытки защиты программ и данных будут тщетными.

Организационные меры защиты

Эти меры охватывают решения и процедуры, принимаемые руководством для обеспечения защиты. Хотя некоторые из этих решений могут определяться внешними факторами, например нормативными актами, большинство проблем решается внутри организации. С переходом от неавтоматизированных информационных систем к автоматизированным требуются решения и действия, которые ранее не являлись необходимыми, например, классификация информации по уровню важности. При этом в работу по подготовке таких решений с необходимостью должны включаться все подразделения организации, охватываемые информационной системой.

Ключевым понятием в определении сути защиты информационной системы является понятие санкционирования доступа, или установления полномочий. Поэтому важной проблемой управления является правильное решение следующих вопросов: кому должны быть предоставлены полномочия? Как их установить? Как проконтролировать установленные полномочия?

На рис. 2. приведены проблемы, связанные с организационными мерами защиты, и соответствующие процедуры.

 

Другие меры защиты

Кратко охарактеризуем  последующие уровни окружения и соответствующие меры защиты.

Меры непосредственной защиты

К этим мерам относится меры по защите от стихийных бедствий, защите от злоумышленников (грабителей), а также обеспечение нормальных условий эксплуатации техники.

            Защита сети в целом

Сводится в основном к обеспечению контролируемого доступа к сети (рабочим станциям и серверам). При этом контролю подлежит не только момент входа в сеть, но и все время сеанса доступа. Новая задача в этой сфере – защита от компьютерных вирусов.

            Защита программного обеспечения

Огромное разнообразие существующего программного обеспечения не позволяет воспользоваться какими-то общими правилами. Однако в любом случае необходима инвентаризация и верификация имеющихся программ.

Программы фирм-производителей зачастую оснащены встроенными средствами защиты. Однако эти средства зачастую не применяются из-за существенного повышения трудоемкости работы с программой с включенными защитными механизмами. При этом для квалифицированного злоумышленника не составит труда взломать стандартную защиту.

            Защита баз данных.

Защита данных из баз от раскрытия возможна только в рамках системы управления базой данных (СУБД). Реально применяется обычно только защита от разрушения в виде резервирования. Периодичность резервного копирования данных определяется при классификации данных по их степени важности.

Выводы

Что происходит обычно на этапе этап внедрения (а потом по инерции переходит на этап эксплуатации)? Никак не регламентированы права, обязанности и ответственность пользователей вычислительной сети в сфере защиты. Данные не персонифицированы (т.е. никто не несет ответственности за содержимое баз данных). Данные не разграничены по конфиденциальности. Не определены функции должностных лиц по разработке и реализации политики защиты. В итоге защищенность информационной системы предприятия оказывается весьма неудовлетворительной.

Все перечисленное относится к сфере организационных мер защиты. Повышение уровня защищенности системы не представляется возможным без решения перечисленных на рис. 2. проблем.

Меры по защите информации  не могут быть предприняты одномоментно. Необходимо их тщательное планирование и постоянный контроль выполнения, а в дальнейшем постоянное совершенствование системы защиты.

И главное, эти меры не могут быть осуществлены в рамках подразделения ИТ!. Этим должны заниматься специально обученные и наделенные полномочиями специалисты.

 

Скачать файлы

Наименование Файл Версия Размер Кол. Скачив.
infosecurity.zip
.zip 276,49Kb
22.07.10
107
.zip 276,49Kb 107 Скачать

См. также

Подписаться Добавить вознаграждение

Комментарии

1. Александр Рытов (Арчибальд) 22.07.10 12:56
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
- Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять человек, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Еще Учитель сказал:
- А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.

http://infostart.ru/public/57404/
2. Сергей Рудаков (fishca) 22.07.10 13:22
И главное, эти меры не могут быть осуществлены в рамках подразделения ИТ!

Но без ИТ не обойтись никак ;)
3. Александр Рытов (Арчибальд) 22.07.10 13:31
(2) Не обойтись, конечно. Однако предпринимать оргмеры они не полномочны. Нужно понимание руководством проблем защиты и немалый административный ресурс. А главная проблема, кадры, вообще им не подвластна.
4. Игорь Исхаков (Ish_2) 22.07.10 14:51
(3) Ударил по-больному.
Раз так то напиши уж какие оргмеры должны быть приняты.
Каким ты видишь взаимодействие специалистов по организации эффективной защиты данных ?
5. Игорь Исхаков (Ish_2) 22.07.10 14:53
Ну и для приличия , ссылки какие-нибудь...
6. Александр Рытов (Арчибальд) 22.07.10 15:06
7. Игорь Исхаков (Ish_2) 22.07.10 15:09
8. Александр Рытов (Арчибальд) 22.07.10 15:13
9. Александр Шишкин (Шёпот теней) 22.07.10 15:41
... а чего защищать-то ... ?

... берЁте свою базу и попробуёте её продать ... сразу станет понятно ... ВСЁ ...

... остальное это ЗА всяких там департаментов охраны ...

... смЕЕЕшно-ссс ... вот ...
Alraune; Арчибальд; +2 Ответить 2
10. Александр Рытов (Арчибальд) 22.07.10 15:48
(9) Собственно говоря, я о том же. Никаких внешних угроз в природе не существует. Реально требуется только защита от неправильных действий пользователей (включая одноэсников). И воспитание этих пользователей, чтобы не лезли, куда не просят.
11. Игорь Исхаков (Ish_2) 22.07.10 18:01
(9) ,(10) Вы оба молодые еще.
Послушайте меня, я пожил.
Внешние угрозы на хозпредприятии существуют !
Формальные требования IT-безопасности нужно знать назубок .
При "сведении счетов" на предприятии - пригодится.
12. gilv (Gilev.Vyacheslav) 22.07.10 19:14
выделю главное:
автор еще не достиг "просветления" у Инь Фу Во

но попытки конечно это сделать должны быть

подсказка

а сколько платят на Вашем конкретно предприятии "за безопасность" каждый месяц и кому?



13. Ирина Пятакова (Alraune) 22.07.10 22:10
Не привыкли еще, мне кажется, у нас к тому, что информация чего-то стоит, причем иногда много. Когда год назад меня позвали на теперешнюю работу (холдинг в Городе Трех Революций, а не сельская лавочка – должны бы, кажется, задуматься о элементарной защите), я сказала, что неплохо бы посмотреть на их учет, в результате мне через третьи руки передали на флешке все основные базы, УПП и бухгалтерии.
С другой стороны, иногда ИБ посмотришь – а там будто все специально делается для того, чтобы врагов запутать, если они ее украдут.
dddxddd; Шёпот теней; +2 Ответить
14. Вячеслав Кадацкий (marsohod) 23.07.10 02:13
Чтобы избежать ... розыгрышей Microsoft рекомендует уделять особое внимание информационной безопасности. При работе в офисе или дома достаточно установить пароль на компьютер: это позволит гарантировать, что во время отсутствия пользователя никто не сможет войти в его персональное информационное пространство или изменить настройки операционной системы.
Источник: soft.mail.ru

А много ли пользователей в вашем офисе установили пароль на свой аккаунт?..
(Типа: ты записался в добровольцы?)
15. Александр Рытов (Арчибальд) 23.07.10 07:09
(12) Заместитель ген.дира. Много.
16. Александр Рытов (Арчибальд) 23.07.10 07:36
(14) У нас с этим строго. Пароли генерирует сисадмин и (нерегулярно) их меняет. При увольнении сотрудника его аккаунт "живет" не более недели...
17. Александр Рытов (Арчибальд) 23.07.10 07:38
(11) Фиговый листок из бронзового литья, прикрепляемый сзади? Их есть у меня :D
Честно говоря, эта статейка - фрагмент моей служебной записки восьмилетней давности. Писана по итогам разворачивания и начала эксплуатации сеть. Должен сказать, она возымела свое действие: процесс пошел.
MaxDavid; Шёпот теней; +2 Ответить
18. Игорь Исхаков (Ish_2) 23.07.10 08:25
(18) Хм... Подошел к зеркалу ,повернулся , посмотрел на себя сзади.
А листок -то НЕБРОНЗОВЫЙ - бумажка жалкая..
Арчибальд , дашь поносить ?
Сойдет волна новомодной компании повышения IT-безопасности (читай - "сведения счетов" ) - отдам.
19. gilv (Gilev.Vyacheslav) 23.07.10 11:14
(15) только если заместитель ген.дира делает всю целиком работу по обеспечению безопасности, а у остальных прямо сказано, что они за это деньги не получают и это не их дело, можно сказать что есть шанс организовать безопасность

но поскольку у вас скорее всего тот же админ пароли меняет и т.п., то изначально это "тупик"

врочем, то что пароли меняются, не совсем все безнадежно, сами технические меры лучше конечно делать
но еще правильней за это получать часть ЗП фиксировано

20. Александр Рытов (Арчибальд) 23.07.10 11:40
(19) Не может безопасность быть возложена на одного человека принципиально. Вон в прилоченной методичке пример: пользователь звонит админу и вешает ему на уши лапшу о забытом пароле. А теперь оргмероприятие: утвержденный регламент на случай дискредетированного (в т.ч., забытого пароля): пользователь ПИШЕТ заявку на новый пароль, согласовывает со своим начальником (скажем, главбухом), утверждает у зама по безопасности и только потом может обратиться к админу. За пароль без такой заявки получает дыню админ - соответственно, в гипотетическом телефонном разговоре пользователь будет послан. А чтобы не получить дыню в процессе согласования заявки пользователь уж как-нибудь позаботится о своих мнемонических способностях.
Наличие регламента всегда лучше, чем отсутствие такового, даже если регламент несовершенен.
21. Александр Рытов (Арчибальд) 23.07.10 11:47
+(19) Кстати, регламент выдачи паролей и задействованные должностные лица прекрасно расписан в УГКС (Устав гарнизонной и караульной службы). :)
MaxDavid; Шёпот теней; +2 Ответить 1
22. gilv (Gilev.Vyacheslav) 23.07.10 12:39
(20) жалко что не уловили суть
не один человек должен обеспечивать безопасность
а те кто обеспечивают ее, должны именно за это получать отдельно и постянно
23. MaxDavid (MaxDavid) 23.07.10 14:28
(21)
Ах, как хорошо сказано!
Я, по основной работе связанный с военнизированной охраной, постоянно вижу пробелы, бреши в системах безопасности предприятий. И информационной безопасности тоже. Но, блин, насколько мало людей в руководстве, которые хотя бы держали в руках УГКС! Высшее образование, увы, культивирует снобистскую уверенность в том, что все армейское - это для быдла.
Шёпот теней; Арчибальд; +2 Ответить
24. Александр Шишкин (Шёпот теней) 23.07.10 16:23
... всЁ армейское это 100% надёжность ... как народные поговорки и пословицы ... как библия ... !

... просто ! поэтому работает где угодно + полная защита от дурака ! ...

... вот ...
Борода; +1 Ответить
25. Сергей Д (dddxddd) 26.07.10 11:24
(16) :?: :!: :?: Это как это??? Может это шутка?!? Какое право имеет сисадмин, "генерить" единственное, что дает юзеру возможность думать что он застрахован от действий (любых) от его имени - это пароль.
А тут вы говорите админ генерит, а после этого что хочет то и делает от имени юзера причем у последнего нет ни единого шанса на доказательства того что он этого не делал!!!
Только я вас умоляю, не надо расказывать про процедуру и "невидимость" админом пароля...
Второе, аккаунт зачем живет неделю после, он должен быть заблокирован немедленно, теоретически как только юзер написал заявление...
(20) :!: Юзер 350 раз запишет свой пароль где угодно, чтобы не попадать под такие процедуры деятелей от безопасности... Вы то сами хоть понимаете, что описанная Вами процедура, не решает ни единого вопроса настоящей информационной безопасности...
26. Александр Шишкин (Шёпот теней) 26.07.10 11:37
(25) ... ВАШИ предложения товарищЪ "маузер" ... вотКритикуешьВОТпредлагайВОТ ...
27. Сергей Д (dddxddd) 26.07.10 11:42
(16) :?: :!: :?: Это как это??? Может это шутка?!? Какое право имеет сисадмин, "генерить" единственное, что дает юзеру возможность думать, что он застрахован от (любых) действий от его имени - это пароль.
А Вы говорите админ генерит. Другими словами, после этого, сисадмин, что хочет то и делает от имени юзера. Причем у последнего, нет ни единого шанса на доказательства того, что он этого не делал!!!... Только я вас умоляю, не надо расказывать про процедуру и "невидимость" админом пароля...
Второе, зачем аккаунт живет неделю после? Теоретически, как только юзер написал заявление аккаунт должен быть заблокирован немедленно... Т.е. для пароликов туману напустили, а процедура передачи данных юзера у Вас не расписана. Могу предположить, что после увольнения юзера, паролик на аккаунт является собственностью неизвестного количества ваших юзеров.
(20) :!: Юзер 350 раз запишет свой пароль где угодно(причем на самом видном месте), чтобы не попадать под такие процедуры деятелей от безопасности... (Пройдитесь, например, по переворачивайте клавы юзеров, много интересного можете найти ;) ...)
Интересно, Вы то сами хоть понимаете, что описанная в посте процедура, не решает ни единого вопроса настоящей информационной безопасности. Единственная ее видимая задача, это создание у нового юзера или недалекого шефа, ложного образа что ИТ безопасностью занимаются проФФесионалы и в вашей конторе "все круто" :o ...
28. Александр Рытов (Арчибальд) 26.07.10 11:48
(25) А откуда еще может взяться пароль у нового юзера, кроме как от сисадмина? Мне другого способа допуска к системе встречать не доводилось. Можно указать альтернативу?
Неделю после, аккаунт жить, конечно, не должен. В идеале. К сожалению, заявление на увольнение подается не в ИТ отдел, а совсем в другое место.
Никакая процедура, тем более, в одиночку, не решает ни единого вопроса безопасности. Однако наличие регламентированных процедур снижает уровень хаоса, что несомненно ведет к повышению уровня безопасности.

Шёпот теней; +1 Ответить 4
29. Сергей Д (dddxddd) 26.07.10 12:34
(28) Если речь о винде, то простая галка о смене пароля при первом входе, решает проблему "генерации" - первоначального стандартного, удовлетворяющего политике безопасности паролей, в домене windows. Собтвенно, другого способа я тоже не знаю. Дальнейшая "генерация" решается именно этой доменной политикой - пароль действителен ХХ дней, помнить ХХ последних паролей... И никакого другого участия сисадмина! Кстати ХХ могут и должны быть заменены конкретными значениями людьми из той самой другой службы ИТ безопасности.
(26) Про ИБ много уже сломали и еще сломают копий...
Если к теме сайта ближе... Скажите, сколько кто-то из ВаАс видел (сделал) боевых конфигураций, в которых бы велся посчет напечатанных копий документа. Наверно таких много, но я видел только ону, сделанную по моему настоянию. Или вот пример, прикрутили в конфу емыл клиента, типа теперь можно документики и отчтитки слать, круто! А кто скажите об ACL списках подумал, причем детально, применительно задача решаемым платформой 1С. Где, скажите, механизм в конфигурации (разработанной большой и уважаемой фирмой), обеспечивающий разделение прав и возможностей рассылки конкретного документа у конкретного юзера... А без этого, емыл клиента в конфе запускать, это всеравно что разрешить видеть все и всем... Вот конкретные пару вопросов по ИБ применительно к 1С.
В (1) написано очень правильно, особенно во последней части. Вот их то и бояться надо...
А статья, как обычно, попытка научить тому, о чем автор имеет поверхностное понимание и ничего конкретного сказать не может, набор стандартных прописных общих фраз. Иначе, зачем на сайте, где люди выкладывают свои практические работы, писать общие слова и не ставить конкретные темы по безопасности, которые зачастую, реально упускаются из вида программистами?
P.S. :( Сорри за 25 и 27 посты, как то с кукисасми ие проглючило...
30. Сергей Д (dddxddd) 26.07.10 12:40
Собственно вопрос к Шепоту теней, с уважением, но позвольте спросить, Ваш плюс в (28) сообщении Арчибальда, к каким его словам относится?
(21) УГКС слабо натягивается на пароли в компьютерных сетях, правда а знакомился с ним в 82-84 годах, может с тех пор воды много утекло...
Шёпот теней; +1 Ответить 1
31. Александр Рытов (Арчибальд) 26.07.10 13:04
(29) А после ХХ дней сисадмин дает другой стартовый пароль. И юзер меняет его на старый, привычный. Т.е. по факту пароль становится вечным...
Касательно остального... Суть моей статьи в том, что программные средства защиты создают иллюзию безопасности, но на самом деле бесполезны в отсутствие комплексности применяемых мер. Ну что даст информация о том, что дакумент печатался из 1С однократно? Уж точно она не оповестит о реальном количестве копий оного документа. А уж рассылки из 1С отслеживать - вообще изготовление гемора собственными руками. Их не должно существовать как класса. Естественно, "большая и уважаемая фирма" делать такого не будет.
УГКС упомянут как пример регламента работы с паролями. С паролями компьютерными, конечно, регламент должен быть другим. Главное, он должен быть.
32. Александр Шишкин (Шёпот теней) 26.07.10 13:08
(30) ...

... к сожалению не ВСЕ из нас являются "взрослыми" людьми ...

... пока МЫ ВСЕ говорим о "идеальном" - будет всЁ "круто" и "реально" ... НО! ... чем ближе к практике тем "крутизна" становится "куртизной" и "реально" - банальной "реальностью" ...

... извечная проблема объятьНЕобъятное ...

... комментарию (28) я поставил плюс за реальность без кавычек ... ! ...

... с Уважением "Шёпот теней" в миру Шишкин Александр ...

п.с. целостность системы оценивается наименее ЗАщищЁнной частью ... защищать "НЕсистему" и "НЕсистемно" смысла не имеет ... вот ...
33. Сергей Д (dddxddd) 26.07.10 13:23
(28) Собсно а что решает и какой порядок наводит описанная в (16) процедура
пользователь ПИШЕТ заявку на новый пароль, согласовывает со своим начальником (скажем, главбухом), утверждает у зама по безопасности и только потом может обратиться к админу.

Я вижу только одну, засветить пароль юзера как минимум ещетрем (главбуху, своему начальнику, заму по безовасности) четырем человекам акромя админа. О каком порядке Вы говорите?
Вот пример, скажем утекли коммерческие данные, владельцем которых (с точки зрения решаемых задач) был юзер, фирме нанесен вполне конкретный материальный ущерб, скажем ввиде недополученной прибыли от сорванной сделки. Устраивается внутренняя разборка.
Вопрос: на кого фирма должна подать в суд за нанесение ущерба? (отмазки на нереальность задачи не принимаются)
Ну, как по вашему методическому примеру, решить эту практическую ситуацию???

Проблема заключается в том, что писать регламенты пытаются многие. Но очень не многие ПОНИМАЮТ, какие задачи написанный регламент реально моежет решить.;)

Кстати Вы Арчибальд ошибаетесь даже в том, что если регламент утвержден по регламенту (по закону), то он реально РЕШАЕТ (в реальной крутой ситуации) кого могут посадить в ТЮРЬМУ!!! И вот в это я Вам скажу, есть очень большая проблема, что автор этой так называемой методички не осознает, что в результате его спозволения сказать "работы по просветлению темных", у конкретного юзера может быть поломана судьба!!!!!!!!!!!!!!!
Так, что иногда есть время говорить, а иногда...

...Вот... (копирайт не мой)
34. Александр Шишкин (Шёпот теней) 26.07.10 13:26
(33) ... ещё ОДНА теоритически-"гламурная" вывеска ... вот ...

... практика - АРЧИ - рулит ... !

... вот ...
35. Сергей Д (dddxddd) 26.07.10 13:43
(31) Оказывается Вы еще и не являетесь админом или человеком в этом что-то понимающим, но беретесь учить про ИБ. Я поясню свои слова. Любой админ винды вам скажет что есть несколько пунктов политики безопасности паролей в виндовс.
1. длина пароля
2. сложность пароля
3. частота его смены
4. сколько последних версий пароля юзера системе помнить (чтобы Вы поняли, не дать повторно воспользоваться)
А кто вам сказал, что надо просто считать копии, надо еще спрашивать для чего или кого ее печатают, если единственная разрешенная была напечатана! Вы не задумывались, почему на справках (скажем о составе семьи) пишут для чего она выдана?
А вообще меня умиляет, АСЛ быть не должно это гемор на голову, но про безопасность я тут порассуждаю... гы-ы-ы-ы... Извините за фамильярность.

(32) Я понял... проникся... ... ... ... Если... в рАсходную накладнУ-ую-ю... завернуть немного... дУ-ури...
... и покурить,.... то может получиться оченЪ-Ъ-Ъ.... дажИ.... неплАхой ПРИХОДНЫЙ приходный дАкумент....
Ну если другими словами, тоесть поставил просто так, по корефански...

... вот ... (копирайт шепота теней)
36. Сергей Д (dddxddd) 26.07.10 13:52
Кстати Арчибальд я обоими руками подпишусь под Вам выводом в посте Монтень и 1С по поводу обнаучивания и использования запутанной терминологии...
Какое отношение имеют эти принципы к автоматизации, в том числе, одноэсной? А то отношение, что продвижение (продажа, внедрение и т.д.) чего-то сложного, туманно описанного, содержащего непонятные функциональные возможности оказывается существенно выгоднее, чем «обыкновенная» автоматизация учета. Сказать «бизнес-процесс» вместо «хозяйственная операция»,... - и вот ты уже кажешься потенциальному покупателю передовым, жутко квалифицированным специалистом, а продаваемый продукт, ... – вершиной учетной технологии.

и далее
Итак, изобретайте непонятные термины. Закладывайте в систему экзотические функции. Отзывайтесь с пренебрежением об известных обкатанных, успешно работающих системах – они, мол, вчерашний день. И будет вам счастье со многими нулями.

Не в бровь а в глаз, просто прямое и непосредственное отношение к этому топику...
37. Сергей Д (dddxddd) 26.07.10 14:06
в (35) по поводу паролей, я пропустил главное, представляете, винда делает это сама без участия админа.

... вот так однакО...
38. Александр Рытов (Арчибальд) 26.07.10 14:32
Встреть я коммент (35) в чужой ветке, я бы мгновенно его удалил. Здесь же попробуем разобраться.
С какой это стати подписанты заявки на пароль будут ознакомлены с паролем? Я такого не писал, да и представить себе не мог, что чья-то буйная фантазия такое родит.
Воспрепятствовать пользователю завести повторно старый пароль, конечно, можно. Об этом я, честно говоря, просто забыл - в NT 4 этого не было, а на 2000 и далее админят уже другие люди.
Насчет копий - я продолжаю утверждать, что количество копий, распечатанных из 1С не имеет никакого отношения к количеству копий вообще, за исключением " <= ".
Доступ 1С к служебной переписке - это грандиозный косяк безопасников. Или свидетельство их (безопасников) отсутствия.
В общем рисуется Ваш образ в виде безбашенного компьютерщика из Экслеровских "Записок невесты программиста". Нет мыши/клавы - и нет человека...
39. Михаил Ражиков (tango) 26.07.10 14:37
40. Александр Рытов (Арчибальд) 26.07.10 14:48
41. Сергей Д (dddxddd) 26.07.10 17:15
Перед тем как писать в ветке, я смотрел в профиля Авторов, с которыми решил "зацепиться" - поэтому:
1. Я понимаю, что на инфостарте я никто, и зовут меня никак (я на полном серьезе), поэтому смысл, который я пытаюсь вложить в пост - не оскорблять авторов и комментаторов, а зацепиться за суть топик стартера и его каментов.
2. Если вдруг мои фразы и обороты могут трактоваться двояко или оскорбительно, то я утверждаю, что не вкладываю в них оскорбительного смысла, но прошу прощения за неудачную формулировку мысли.

Начну с вопросов и предположений по (38)
А что собственно побуждает Вас удалить этот пост, будь это другая ветка?
Утверждение про то, что вы далеки от администрирования? Это не оскорбление. Если обидел извините! А в NT4 была политика использования паролей, про нетаврь не помню...
Может мой абзац про накладную...?
Дык, тут у Вас, у старожилов и людей уважаемых, принято так особенно развернуто как (32) или аргументировано как (34) отвечать на вопросы и каменты, может я просто не понял?
Наверно я оказался не просветленный, поэтому попытался изложить уважаемому(без иронии) Шепоту теней, свои ассоциации навеянные мне его содержательными ответами... Встречаются иногда нигилисты, которые не привыкли ловить каждое божественное мановение мастера...
И теперь конкретно по цитатам (38)
С какой это стати подписанты заявки на пароль будут ознакомлены с паролем? Я такого не писал, да и представить себе не мог, что чья-то буйная фантазия такое родит

Согласен не писали, наверно я не правильно понял. НО объясните, какой такой ФАКТ, регистрируют(отмечают, согласовывают и т.п.) те самые подписанты. В чем смысл регистрации этого факта, с точки зрения решения задачи обеспечения безопасности корпоративных данных? Ссылка на то, что регламент не совершенен, мне не интересна. Я интересуюсь целью написания именно этого регламента описанного в (20) .
Насчет копий - я продолжаю утверждать, что количество копий, распечатанных из 1С не имеет никакого отношения к количеству копий вообще, за исключением " <= ".

Простите, честно, я не понял, что Вы хотели этим сказать, и какое исключение означает знак меньше или равно...
Но, я утверждаю (подтверждение можно легко найти в инете), что увеличением количества автоматизированных рабочих мест в мире, бумажный документооборот не уменьшается, а растет!!! А происходит это только по тому, что поставить цифирьку ХХ-копий и нажать на пимпочку "печать документа" в МИЛЛИОНЫ РАЗ ПРОЩЕ, чем сделать тоже самое ХХ копий под копирку.
Вы дальше готовы утверждать, что контроль за количеством напечатанных копий не нужен? А тем более не нужен персонализированный адресат какждой копии?
Доступ 1С к служебной переписке - это грандиозный косяк безопасников. Или свидетельство их (безопасников) отсутствия.
Простите опять не понял, о чем Вы...
Я имел ввиду почтовый клиент встроенный типовые настройки 8-ки, собственно о нем я писал. Зачем фирма 1С его наваяла, не доработав соответствующими механизмами, предназначенными для решения задач безопасности конфиденциальных, коммерческих и бухгартерских данных, перимущественно обрабатываемых в этом продукте? Заточка самого механизма, это уже дело франчей и заказчиков, но его отсутствие это потенциальная дыра в периметре информационной безопасности любого предприятия.
Дальше уже как в классике :D
В общем рисуется Ваш образ в виде безбашенного компьютерщика из Экслеровских "Записок невесты программиста". Нет мыши/клавы - и нет человека...
Что это было? Это типа, красиво (по жванецкому ;) про прописочку ) переходим на личности или я на такого похож? Вы мне льстите упоминая мой образ и Экслера рядом, а какие хоть слова навеяли образ безбашенного компьютерщика? :)
Наверно это мой вопрос в (33) на (16) (20) и оставленный Вами без ответа, правильно зачем отвечать если положение, авторитет или админская возможность (удалить сообщение) позволяет просто сказать собеседнику, что он просто безбашенный компьютерщик...
И всеже повторюсь с вопросом:
Вот пример, скажем утекли коммерческие данные, владельцем которых (с точки зрения решаемых задач) был юзер, фирме нанесен вполне конкретный материальный ущерб, скажем ввиде недополученной прибыли от сорванной сделки. Устраивается внутренняя разборка.
Вопрос: на кого фирма должна подать в суд за нанесение ущерба? (отмазки на нереальность задачи не принимаются)
Ну, как по вашему методическому примеру, решить эту практическую ситуацию???
Есть шанс у безбашенного немного поправить башню, получить ответ?

... уф-ф-ф-ф ... (копирайт мой)
42. Александр Рытов (Арчибальд) 26.07.10 17:47
Оставив в стороне выяснение отношений (достаточно об этом поговорили), займемся вопросом из (33).
Раз речь идет о передаче дела в суд, значит собраны (самостоятельно или следственными органами) доказательства по делу. Политика безопасности (виндовская) поможет понять, была ли возможность украсть информацию только у юзера и админа (у них она всегда есть) или еще у кого-нибудь. Вот и все. А дальше среди этих лиц ведется обычная следственная работа - выявление мотивов, исследование связей с конкурентами, психологических качеств и т.п.
И это при любом построении системы защиты.
PS Термин "безбашенный" снимаю :oops:
43. Сергей Д (dddxddd) 26.07.10 18:07
Оставив в стороне выяснение отношений (достаточно об этом поговорили), займемся вопросом из (33).
Поддерживаю...

Раз речь идет о передаче дела в суд, значит собраны (самостоятельно или следственными органами) доказательства по делу.
Вот тут и кроется сермяжная правда. Чтобы собрать доказательства, надо определиться, кто виноват но как? Поднимаются все приказы регламенты и прочие установочные документы касающиеся темы. Т.К. мы о регламенте (считаем что он утвержден согласовам подписан и введен в работу по законам) Именно регламент и должен помочь определить кто виноват в утечке данных через компрометацию пароля. Так вот как поможет именно тот регламент решить данный вопрос, тем более что если вчитаться в само его описание в (20) то можно подумать, что согласователи знают пароли. Но пусть не знают, но по Вашему утверждению админ то его точно знает?
Собственно все остальные юридические социальные и прочие составляюще примера не важны, в разрезе топик статьи.
44. Александр Рытов (Арчибальд) 26.07.10 18:21
(43) Да неважно, знает админ пароль, или не знает. Информация-то кроме зашифрованной ему точно доступна.
45. Сергей Д (dddxddd) 26.07.10 18:34
возможность украсть информацию только у юзера и админа (у них она всегда есть)

Особенно интересно про админов. Например в моей конторе есть огромное количество папок в которые даже доменные админы не имеют доступа. Включение в группы и логи изменения прав и владельцев контролируют разные люди. Я сознательно упрощенно пишу, чтобы за деталями на скрывалась суть...
Паролей админы не знают хотя и могут поменять, но смена пароля однозначно выдает админа... Вопрос какое значение имеет именно описанный в (20) регламент?

P.S. Сейчас конечно же, найдется много желающих развести флейм как можно обмануть винду. Да можно и это проблема ИТ и идиотов из мелкософта которые практически ставят знак равенства между домашним юзером на своей машине и доменным администратором у которого их сотни... Но таким каментарам я посоветую перечитать топик статью и понять что тема не об этом.
46. Александр Рытов (Арчибальд) 26.07.10 18:49
(45) Здесь фигурирует метод распределения прав администрирования - и, разумеется, это один из методов повышения защищенности информации. В моем же 20 посте речь шла о системе с единственным админом - наиболее распространенный случай.
Да собственно, мой пример регламента иллюстрирует не топик-статью, а прикрепленную методичку. Суть же статьи - что защита дело серьезное, и сисадмину на пару с одноэсником ее не решить.
47. Сергей Д (dddxddd) 26.07.10 18:49
А вообще мы ушли в детали, а статья об общих и правильных принципах. Но с утверждениями в конце тоже можно не согласиться. Например тут на инфостарте есть много наработок по контролю изменения данных, анализу прав пользователей в системе и т.п. Вопрос в том, что разработчики как могут так и пекутся (в рамках отведенных им бюджетов) о целостности данных (элемент безопасности данных), но сама платформа мало им предоставляет системных механизмов расчитанных именно на обеспечение безопасности.
И поэтому я понимаю, что особенно молодые разработчики, должны на конкретных примерах видеть и учится системности подхода к данной проблеме. Простым нахрапом и "примитивным" разделением прав или только программированием проблема информационной безопасности данных затронутая Вами - не решается.
Регламенты важны, но правильные, которые четко развешивают заны ответственности на всех участников процесса и не понимание того, что регламент это документ ведет к дополнительному хаосу. Представьте что бы было если бы правила дорожного движения были бы как приведенный регламент ИБ с поправкой на не совершенство. Хотя конечно и про правила можно сказать, что они не совершенны, но виновность они развешивают практически однозначно.
48. Александр Рытов (Арчибальд) 26.07.10 18:58
(47) Я же не отрицаю нужность программных средств защиты данных. Я упираю на опасность того, что система защиты программными средствами и ограничится...
49. Сергей Д (dddxddd) 26.07.10 19:02
Да собственно, мой пример регламента иллюстрирует не топик-статью, а прикрепленную методичку. Суть же статьи - что защита дело серьезное, и сисадмину на пару с одноэсником ее не решить.
Про статью я полностью согласен, вопрос важный и решать только одинэснику с админом его не правильно, даже если они могут его решить (в некотором объеме).
А вот собственно, что меня зацепило, так это качество примера иллюстрирующего значение регламента. Ну скажем так, ну неудачный пример, этот регламент ничего реального не решает, только усложняет простейший вопрос. Более того, если у юзера вознило желание изменить свой пароль (ну заподозрил он что пароль подсмотрели) этот регламент мешает есу осуществить свое законное право, быстро его поменять.
Вот поэтому я тут и развел флейм... :) Вдумчивые поймут, а другим этого не надо...
P.S. А вот проблема с печатью, не такая уж простая. Когда служба экономической безопасности находит ксеру документа у низового работника с текстом в футере документа "копия главного бухгатлера" у нее появляется много интересных вопросов. Причем такие же вопросы появляются у хозяина мелкой фирмочки, которому показывают сводные отчеты в соответствующих органах :( даже не утруждаясь скрыть, кто его сдал... но это совсем другая история :D ...
50. Сергей Д (dddxddd) 26.07.10 19:08
мля, перечитал свои же посты, стало стыдно за очепятки и отсутствие запятых...
Ну виноват...
51. Александр Рытов (Арчибальд) 26.07.10 19:19
(49)Еще раз пост 20:
Не может безопасность быть возложена на одного человека принципиально. Вон в приложенной методичке пример: пользователь звонит админу и вешает ему на уши лапшу о забытом пароле.
Ключевые слова - один человек безопасность не обеспечит, сферу полномочий в обеспечении безопасности надо распределять. Если же админ самостоятельно принимает решение о восстановлении забытого пароля - то это не безопасность.
Мы достаточно долго спорим, хотя практически не расходимся во мнениях ;)
52. B0P0H (B0P0H) 29.07.10 14:21
Ключевые слова - один человек безопасность не обеспечит, сферу полномочий в обеспечении безопасности надо распределять. Если же админ самостоятельно принимает решение о восстановлении забытого пароля - то это не безопасность.
Мы достаточно долго спорим, хотя практически не расходимся во мнениях smile;)


да один человек не обеспечит безопасноть...
да и обсолютной безопасности не бывает....

по поводу того что мол будет юзверь лапшу на уши вешать по поводу забытого пароля - пункт не помню какой "Восстановление забытых учетных данных, только по письменной заявке руководителя отдела, после согласования ее с моим руководством".

"В случае если данные были утерянны, испорчены, украдены, и об этом не было сообщено, применить меры административного воздействия" так между нами говоря... приравнивается к распитию спиртных напитков на рабочем месте, ну имеется по силе внушения :)

это так кратенько если...

и вылететь можно не по собственному желанию... а по статье :)
53. Александр Шишкин (Шёпот теней) 29.07.10 14:35
(52) ... "и вылететь можно не по собственному желанию... а по статье ..." .. а что ? ... и примеры есть ... ? или это гипоТЕТически .. ?

... вот ...
54. Михаил Ражиков (tango) 29.07.10 14:47
Вышел я из своего кабинета в соседний на 5 мин. и в этот момент ко мне зашел сотрудник службы безопасности предприятия. Увидев, что меня нет на месте, он отключил принтер и унес в свой кабинет и начал писать служебку, что сотрудник айти отдела за халатность, а именно за открытую дверь в кабинете, должен быть оштрафован на 5% оклада.
Меня это не на шутку встревожило. Охраняемый этаж. Вход на этаж по пропускам. На этаже работает 25 человек, которых я прекрасно знаю и больше никого постороннего окромя начальства на этаж не заходит. Вынести ничего не возможно ибо охрана. Везде по коридору камеры наблюдения. Комп через минуту паролится. Двери во время работы никто никогда не закрывал. Поэтому пожаловался начальству. Мне же начали объяснять, что айти отдел самое уязвимое место "ПОЧЕМУТА".
45 мин. назад зашел в пустой кабинет к службе безопасности и отключил 2 монитора и вынес в свой кабинет.
В данный момент меня пытаются лишить еще 5%.
http://www.bestfree.ru/humor/2010/07.php#July
55. Александр Рытов (Арчибальд) 29.07.10 14:51
56. Александр Шишкин (Шёпот теней) 29.07.10 15:11
(54) ... веселится и ликует весь народ. И быстрее, шибче воли, поезд мчится в чистом поле ... ужжж ... ВОТ ...
57. B0P0H (B0P0H) 29.07.10 23:32
"и вылететь можно не по собственному желанию... а по статье ..." .. а что ? ... и примеры есть ... ? или это гипоТЕТически .. ?

У меня "режимный объект" не надо буквально понимать... Да пропускная система, и т.п...
Слава богу до увольнений еще не доходило - народ пока что адекватен к требованиям...
58. Александр Рытов (Арчибальд) 30.07.10 08:10
(57) А у меня и до увольнения доходило. Потом, правда, ограничились лишением премии. А там уж человек сам ушел...
59. Дмитрий Воробьев (vde69) 02.08.10 08:09
все не осилил, из минусов - картинки, все смешано в кучу и цели и средства в паралельных потоках. А на первой картинки защита это подсистема аудита :)))

Аудит - это дополнение защиты, и вообще вся защита должно строится не только на вложеных уровнях но и на параленых линиях взаимо контроля (например СБ контролирует доступ в серверную и действия админов ведя специальные журналы: посещения, и даже введенных команд).

По этому посмотрев картинки сильно вникать не стал.

хотя отдельные моменты расписаны правильно... и тема эта довольно актуальна

Для написания сообщения необходимо авторизоваться
Прикрепить файл
Дополнительные параметры ответа