О защите информации в вычислительной сети.

22.07.10

Защитит ли БД одноэсник с админом на пару?

Скачать файл

ВНИМАНИЕ: Файлы из Базы знаний - это исходный код разработки. Это примеры решения задач, шаблоны, заготовки, "строительные материалы" для учетной системы. Файлы ориентированы на специалистов 1С, которые могут разобраться в коде и оптимизировать программу для запуска в базе данных. Гарантии работоспособности нет. Возврата нет. Технической поддержки нет.

Наименование		По подписке [?]	Купить один файл
infosecurity.zip .zip 276,49Kb 108	108	Скачать (1 SM)	Купить за 1 850 руб.

Введение

Защита информации предполагает принятие организационных и технических мер охраны аппаратных и программных средств, а также данных с целью предотвратить случайный или преднамеренный несанкционированный доступ (включая раскрытие, модификацию, разрушение) к информации, а также обеспечить восстановление информации после аварий технического или гуманитарного характера. Следует отметить, что проблема защиты весьма многогранна, и при ее решении возникает множество частных задач – от разграничения сфер ответственности до технико-экономической оценки эффективности принимаемых мер.

На рис. 1. представлена графически взаимосвязь защитных мер и уровней окружения защищаемых данных. Каждый следующий уровень базируется на предыдущем (предыдущих). Например, если доступ к сети не контролируется, любые попытки защиты программ и данных будут тщетными.

Организационные меры защиты

Эти меры охватывают решения и процедуры, принимаемые руководством для обеспечения защиты. Хотя некоторые из этих решений могут определяться внешними факторами, например нормативными актами, большинство проблем решается внутри организации. С переходом от неавтоматизированных информационных систем к автоматизированным требуются решения и действия, которые ранее не являлись необходимыми, например, классификация информации по уровню важности. При этом в работу по подготовке таких решений с необходимостью должны включаться все подразделения организации, охватываемые информационной системой.

Ключевым понятием в определении сути защиты информационной системы является понятие санкционирования доступа, или установления полномочий. Поэтому важной проблемой управления является правильное решение следующих вопросов: кому должны быть предоставлены полномочия? Как их установить? Как проконтролировать установленные полномочия?

На рис. 2. приведены проблемы, связанные с организационными мерами защиты, и соответствующие процедуры.

Другие меры защиты

Кратко охарактеризуем последующие уровни окружения и соответствующие меры защиты.

Меры непосредственной защиты

К этим мерам относится меры по защите от стихийных бедствий, защите от злоумышленников (грабителей), а также обеспечение нормальных условий эксплуатации техники.

Защита сети в целом

Сводится в основном к обеспечению контролируемого доступа к сети (рабочим станциям и серверам). При этом контролю подлежит не только момент входа в сеть, но и все время сеанса доступа. Новая задача в этой сфере – защита от компьютерных вирусов.

Защита программного обеспечения

Огромное разнообразие существующего программного обеспечения не позволяет воспользоваться какими-то общими правилами. Однако в любом случае необходима инвентаризация и верификация имеющихся программ.

Программы фирм-производителей зачастую оснащены встроенными средствами защиты. Однако эти средства зачастую не применяются из-за существенного повышения трудоемкости работы с программой с включенными защитными механизмами. При этом для квалифицированного злоумышленника не составит труда взломать стандартную защиту.

Защита баз данных.

Защита данных из баз от раскрытия возможна только в рамках системы управления базой данных (СУБД). Реально применяется обычно только защита от разрушения в виде резервирования. Периодичность резервного копирования данных определяется при классификации данных по их степени важности.

Выводы

Что происходит обычно на этапе этап внедрения (а потом по инерции переходит на этап эксплуатации)? Никак не регламентированы права, обязанности и ответственность пользователей вычислительной сети в сфере защиты. Данные не персонифицированы (т.е. никто не несет ответственности за содержимое баз данных). Данные не разграничены по конфиденциальности. Не определены функции должностных лиц по разработке и реализации политики защиты. В итоге защищенность информационной системы предприятия оказывается весьма неудовлетворительной.

Все перечисленное относится к сфере организационных мер защиты. Повышение уровня защищенности системы не представляется возможным без решения перечисленных на рис. 2. проблем.

Меры по защите информации не могут быть предприняты одномоментно. Необходимо их тщательное планирование и постоянный контроль выполнения, а в дальнейшем постоянное совершенствование системы защиты.

И главное, эти меры не могут быть осуществлены в рамках подразделения ИТ!. Этим должны заниматься специально обученные и наделенные полномочиями специалисты.

+11 –

См. также

Скрипт на языке командных файлов (BAT), который проверяет наличие интернет-соединения и доступность роутера по адресу

Сети Системный администратор Бесплатно (free)

Бывает такое, что по не понятным причинам отваливается интернет соединение на каком-то компьютере, и помогает только сброс сети. Этот скрипт на языке командных файлов (BAT) предназначен для мониторинга интернет-соединения и доступности роутера. В случае отсутствия интернет-соединения и недоступности роутера, скрипт автоматически выполняет команды ipconfig /release, ipconfig /flushdns и ipconfig /renew для обновления сетевых настроек. Все события записываются в лог-файл на диске D.

24.09.2024 560 TorVolD90 1

Моя СПРАВКА администратора ( Windows/Linux) , 1C

Linux Сети Сервера Администрирование СУБД Системный администратор Программист Россия Абонемент ($m)

Подборка решений различных задач по администрированию систем (Windows/Linux) и 1C, оформленная в виде стандартной справки.

2 стартмани

03.11.2023 4867 35 NeSPEC 16

Руководство по переходу на IPv6 в домашней сети или небольшом офисе

Сети Системный администратор Бесплатно (free)

Руководство по переходу на IPv6 в домашней сети или небольшом офисе.

30.05.2023 10089 cdiamond 5

Запрет глобального поиска в конфигурации

Защита ПО и шифрование Программист Платформа 1С v8.3 1С:Бухгалтерия 3.0 Абонемент ($m)

Представляю вам микрорасширение, которое запрещает глобальный поиск по вашей конфигурации.

1 стартмани

09.02.2023 2772 12 aximo 5

Как защитить pdf файл

Защита ПО и шифрование Программист Абонемент ($m)

Для установки защиты pdf документа, полученного в 1С, написано консольное приложение на c#., использующее одну зависимость pdfSharp.dll. В результате работы приложения ограничены операции над документом и записаны метаданные. С помощью аргументов командной строки можно управлять работой приложения.

2 стартмани

30.01.2023 2177 2 olevlasam 3

Значения полей структуры сертификата криптографии

Защита ПО и шифрование Программист Платформа 1С v8.3 Бесплатно (free)

Что означают поля структуры сертификата криптографии.

13.12.2022 2561 janit 3

Универсальный синтаксический анализатор ASN.1 для декодирования .key, .cer, .der, .p7m, .p7s, .crt, .pem

Защита ПО и шифрование Программист Платформа 1С v8.3 Конфигурации 1cv8 Абонемент ($m)

Универсальный синтаксический анализатор ASN.1, который может декодировать любую допустимую структуру ASN.1 DER или BER, независимо от того, закодирована ли она в кодировке Base64 (распознаются необработанные base64, защита PEM и begin-base64) или в шестнадцатеричном кодировании.

1 стартмани

04.12.2022 3616 16 keyn5565` 0

Замена имени сервера в файле ibases.v8i у пользователей в домене через GPO

Сети Сервера Системный администратор Платформа 1С v8.3 Абонемент ($m)

При переезде на новый сервер 1С возникла необходимость подготовить всех пользователей (а их 300+) к этому переезду и желательно не мешая их работе. А если быть точнее, то заменить в их списках информационных баз имя сервера. Итак, что имеем в условии. Есть сервер 1С с именем WIN2016. Необходимо перенастроить всех пользователей на новый сервер с именем SRV1C. Для этого придется либо руками у каждого пользователя исправить записи по каждой базе через открытие 1С, либо поправить файл ibases.v8i, который находится в папке профиля пользователя. Второй вариант более интересен, но лезть на 300+ компьютеров не наш метод.

1 стартмани

30.11.2022 3839 2 dungeonkeeper 13

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. Арчибальд 2709 22.07.10 12:56 Сейчас в теме

Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
- Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять человек, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Еще Учитель сказал:
- А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.

http://infostart.ru/public/57404/

2. fishca 1259 22.07.10 13:22 Сейчас в теме

И главное, эти меры не могут быть осуществлены в рамках подразделения ИТ!

Но без ИТ не обойтись никак ;)

3. Арчибальд 2709 22.07.10 13:31 Сейчас в теме

(2) Не обойтись, конечно. Однако предпринимать оргмеры они не полномочны. Нужно понимание руководством проблем защиты и немалый административный ресурс. А главная проблема, кадры, вообще им не подвластна.

4. Ish_2 1113 22.07.10 14:51 Сейчас в теме

(3) Ударил по-больному.
Раз так то напиши уж какие оргмеры должны быть приняты.
Каким ты видишь взаимодействие специалистов по организации эффективной защиты данных ?

6. Арчибальд 2709 22.07.10 15:06 Сейчас в теме

(4) Файлик прикрепил

7. Ish_2 1113 22.07.10 15:09 Сейчас в теме

(6) Где файлик-то ?

8. Арчибальд 2709 22.07.10 15:13 Сейчас в теме

(7) Ну вот же он :)

5. Ish_2 1113 22.07.10 14:53 Сейчас в теме

Ну и для приличия , ссылки какие-нибудь...

9. Шёпот теней 1782 22.07.10 15:41 Сейчас в теме

... а чего защищать-то ... ?

... берЁте свою базу и попробуёте её продать ... сразу станет понятно ... ВСЁ ...

... остальное это ЗА всяких там департаментов охраны ...

... смЕЕЕшно-ссс ... вот ...

10. Арчибальд 2709 22.07.10 15:48 Сейчас в теме

(9) Собственно говоря, я о том же. Никаких внешних угроз в природе не существует. Реально требуется только защита от неправильных действий пользователей (включая одноэсников). И воспитание этих пользователей, чтобы не лезли, куда не просят.

11. Ish_2 1113 22.07.10 18:01 Сейчас в теме

(9) ,(10) Вы оба молодые еще.
Послушайте меня, я пожил.
Внешние угрозы на хозпредприятии существуют !
Формальные требования IT-безопасности нужно знать назубок .
При "сведении счетов" на предприятии - пригодится.

17. Арчибальд 2709 23.07.10 07:38 Сейчас в теме

(11) Фиговый листок из бронзового литья, прикрепляемый сзади? Их есть у меня :D
Честно говоря, эта статейка - фрагмент моей служебной записки восьмилетней давности. Писана по итогам разворачивания и начала эксплуатации сеть. Должен сказать, она возымела свое действие: процесс пошел.

12. Gilev.Vyacheslav 1917 22.07.10 19:14 Сейчас в теме

выделю главное:
автор еще не достиг "просветления" у Инь Фу Во

но попытки конечно это сделать должны быть

подсказка

а сколько платят на Вашем конкретно предприятии "за безопасность" каждый месяц и кому?

15. Арчибальд 2709 23.07.10 07:09 Сейчас в теме

(12) Заместитель ген.дира. Много.

19. Gilev.Vyacheslav 1917 23.07.10 11:14 Сейчас в теме

(15) только если заместитель ген.дира делает всю целиком работу по обеспечению безопасности, а у остальных прямо сказано, что они за это деньги не получают и это не их дело, можно сказать что есть шанс организовать безопасность

но поскольку у вас скорее всего тот же админ пароли меняет и т.п., то изначально это "тупик"

врочем, то что пароли меняются, не совсем все безнадежно, сами технические меры лучше конечно делать
но еще правильней за это получать часть ЗП фиксировано

20. Арчибальд 2709 23.07.10 11:40 Сейчас в теме

(19) Не может безопасность быть возложена на одного человека принципиально. Вон в прилоченной методичке пример: пользователь звонит админу и вешает ему на уши лапшу о забытом пароле. А теперь оргмероприятие: утвержденный регламент на случай дискредетированного (в т.ч., забытого пароля): пользователь ПИШЕТ заявку на новый пароль, согласовывает со своим начальником (скажем, главбухом), утверждает у зама по безопасности и только потом может обратиться к админу. За пароль без такой заявки получает дыню админ - соответственно, в гипотетическом телефонном разговоре пользователь будет послан. А чтобы не получить дыню в процессе согласования заявки пользователь уж как-нибудь позаботится о своих мнемонических способностях.
Наличие регламента всегда лучше, чем отсутствие такового, даже если регламент несовершенен.

22. Gilev.Vyacheslav 1917 23.07.10 12:39 Сейчас в теме

(20) жалко что не уловили суть
не один человек должен обеспечивать безопасность
а те кто обеспечивают ее, должны именно за это получать отдельно и постянно

45. dddxddd 26.07.10 18:34 Сейчас в теме

возможность украсть информацию только у юзера и админа (у них она всегда есть)

Особенно интересно про админов. Например в моей конторе есть огромное количество папок в которые даже доменные админы не имеют доступа. Включение в группы и логи изменения прав и владельцев контролируют разные люди. Я сознательно упрощенно пишу, чтобы за деталями на скрывалась суть...
Паролей админы не знают хотя и могут поменять, но смена пароля однозначно выдает админа... Вопрос какое значение имеет именно описанный в (20) регламент?

P.S. Сейчас конечно же, найдется много желающих развести флейм как можно обмануть винду. Да можно и это проблема ИТ и идиотов из мелкософта которые практически ставят знак равенства между домашним юзером на своей машине и доменным администратором у которого их сотни... Но таким каментарам я посоветую перечитать топик статью и понять что тема не об этом.

46. Арчибальд 2709 26.07.10 18:49 Сейчас в теме

(45) Здесь фигурирует метод распределения прав администрирования - и, разумеется, это один из методов повышения защищенности информации. В моем же 20 посте речь шла о системе с единственным админом - наиболее распространенный случай.
Да собственно, мой пример регламента иллюстрирует не топик-статью, а прикрепленную методичку. Суть же статьи - что защита дело серьезное, и сисадмину на пару с одноэсником ее не решить.

21. Арчибальд 2709 23.07.10 11:47 Сейчас в теме

+(19) Кстати, регламент выдачи паролей и задействованные должностные лица прекрасно расписан в УГКС (Устав гарнизонной и караульной службы). :)

23. MaxDavid 127 23.07.10 14:28 Сейчас в теме

(21)
Ах, как хорошо сказано!
Я, по основной работе связанный с военнизированной охраной, постоянно вижу пробелы, бреши в системах безопасности предприятий. И информационной безопасности тоже. Но, блин, насколько мало людей в руководстве, которые хотя бы держали в руках УГКС! Высшее образование, увы, культивирует снобистскую уверенность в том, что все армейское - это для быдла.

13. Alraune 1504 22.07.10 22:10 Сейчас в теме

Не привыкли еще, мне кажется, у нас к тому, что информация чего-то стоит, причем иногда много. Когда год назад меня позвали на теперешнюю работу (холдинг в Городе Трех Революций, а не сельская лавочка – должны бы, кажется, задуматься о элементарной защите), я сказала, что неплохо бы посмотреть на их учет, в результате мне через третьи руки передали на флешке все основные базы, УПП и бухгалтерии.
С другой стороны, иногда ИБ посмотришь – а там будто все специально делается для того, чтобы врагов запутать, если они ее украдут.

14. marsohod 123 23.07.10 02:13 Сейчас в теме

Чтобы избежать ... розыгрышей Microsoft рекомендует уделять особое внимание информационной безопасности. При работе в офисе или дома достаточно установить пароль на компьютер: это позволит гарантировать, что во время отсутствия пользователя никто не сможет войти в его персональное информационное пространство или изменить настройки операционной системы.

Источник: soft.mail.ru

А много ли пользователей в вашем офисе установили пароль на свой аккаунт?..
(Типа: ты записался в добровольцы?)

16. Арчибальд 2709 23.07.10 07:36 Сейчас в теме

(14) У нас с этим строго. Пароли генерирует сисадмин и (нерегулярно) их меняет. При увольнении сотрудника его аккаунт "живет" не более недели...

25. dddxddd 26.07.10 11:24 Сейчас в теме

(16) :?: :!: :?: Это как это??? Может это шутка?!? Какое право имеет сисадмин, "генерить" единственное, что дает юзеру возможность думать что он застрахован от действий (любых) от его имени - это пароль.
А тут вы говорите админ генерит, а после этого что хочет то и делает от имени юзера причем у последнего нет ни единого шанса на доказательства того что он этого не делал!!!
Только я вас умоляю, не надо расказывать про процедуру и "невидимость" админом пароля...
Второе, аккаунт зачем живет неделю после, он должен быть заблокирован немедленно, теоретически как только юзер написал заявление...
(20) :!: Юзер 350 раз запишет свой пароль где угодно, чтобы не попадать под такие процедуры деятелей от безопасности... Вы то сами хоть понимаете, что описанная Вами процедура, не решает ни единого вопроса настоящей информационной безопасности...

26. Шёпот теней 1782 26.07.10 11:37 Сейчас в теме

(25) ... ВАШИ предложения товарищЪ "маузер" ... вотКритикуешьВОТпредлагайВОТ ...

28. Арчибальд 2709 26.07.10 11:48 Сейчас в теме

(25) А откуда еще может взяться пароль у нового юзера, кроме как от сисадмина? Мне другого способа допуска к системе встречать не доводилось. Можно указать альтернативу?
Неделю после, аккаунт жить, конечно, не должен. В идеале. К сожалению, заявление на увольнение подается не в ИТ отдел, а совсем в другое место.
Никакая процедура, тем более, в одиночку, не решает ни единого вопроса безопасности. Однако наличие регламентированных процедур снижает уровень хаоса, что несомненно ведет к повышению уровня безопасности.

29. dddxddd 26.07.10 12:34 Сейчас в теме

(28) Если речь о винде, то простая галка о смене пароля при первом входе, решает проблему "генерации" - первоначального стандартного, удовлетворяющего политике безопасности паролей, в домене windows. Собтвенно, другого способа я тоже не знаю. Дальнейшая "генерация" решается именно этой доменной политикой - пароль действителен ХХ дней, помнить ХХ последних паролей... И никакого другого участия сисадмина! Кстати ХХ могут и должны быть заменены конкретными значениями людьми из той самой другой службы ИТ безопасности.
(26) Про ИБ много уже сломали и еще сломают копий...
Если к теме сайта ближе... Скажите, сколько кто-то из ВаАс видел (сделал) боевых конфигураций, в которых бы велся посчет напечатанных копий документа. Наверно таких много, но я видел только ону, сделанную по моему настоянию. Или вот пример, прикрутили в конфу емыл клиента, типа теперь можно документики и отчтитки слать, круто! А кто скажите об ACL списках подумал, причем детально, применительно задача решаемым платформой 1С. Где, скажите, механизм в конфигурации (разработанной большой и уважаемой фирмой), обеспечивающий разделение прав и возможностей рассылки конкретного документа у конкретного юзера... А без этого, емыл клиента в конфе запускать, это всеравно что разрешить видеть все и всем... Вот конкретные пару вопросов по ИБ применительно к 1С.
В (1) написано очень правильно, особенно во последней части. Вот их то и бояться надо...
А статья, как обычно, попытка научить тому, о чем автор имеет поверхностное понимание и ничего конкретного сказать не может, набор стандартных прописных общих фраз. Иначе, зачем на сайте, где люди выкладывают свои практические работы, писать общие слова и не ставить конкретные темы по безопасности, которые зачастую, реально упускаются из вида программистами?
P.S. :( Сорри за 25 и 27 посты, как то с кукисасми ие проглючило...

31. Арчибальд 2709 26.07.10 13:04 Сейчас в теме

(29) А после ХХ дней сисадмин дает другой стартовый пароль. И юзер меняет его на старый, привычный. Т.е. по факту пароль становится вечным...
Касательно остального... Суть моей статьи в том, что программные средства защиты создают иллюзию безопасности, но на самом деле бесполезны в отсутствие комплексности применяемых мер. Ну что даст информация о том, что дакумент печатался из 1С однократно? Уж точно она не оповестит о реальном количестве копий оного документа. А уж рассылки из 1С отслеживать - вообще изготовление гемора собственными руками. Их не должно существовать как класса. Естественно, "большая и уважаемая фирма" делать такого не будет.
УГКС упомянут как пример регламента работы с паролями. С паролями компьютерными, конечно, регламент должен быть другим. Главное, он должен быть.

35. dddxddd 26.07.10 13:43 Сейчас в теме

(31) Оказывается Вы еще и не являетесь админом или человеком в этом что-то понимающим, но беретесь учить про ИБ. Я поясню свои слова. Любой админ винды вам скажет что есть несколько пунктов политики безопасности паролей в виндовс.
1. длина пароля
2. сложность пароля
3. частота его смены
4. сколько последних версий пароля юзера системе помнить (чтобы Вы поняли, не дать повторно воспользоваться)
А кто вам сказал, что надо просто считать копии, надо еще спрашивать для чего или кого ее печатают, если единственная разрешенная была напечатана! Вы не задумывались, почему на справках (скажем о составе семьи) пишут для чего она выдана?
А вообще меня умиляет, АСЛ быть не должно это гемор на голову, но про безопасность я тут порассуждаю... гы-ы-ы-ы... Извините за фамильярность.

(32) Я понял... проникся... ... ... ... Если... в рАсходную накладнУ-ую-ю... завернуть немного... дУ-ури...
... и покурить,.... то может получиться оченЪ-Ъ-Ъ.... дажИ.... неплАхой ПРИХОДНЫЙ приходный дАкумент....
Ну если другими словами, тоесть поставил просто так, по корефански...

... вот ... (копирайт шепота теней)

37. dddxddd 26.07.10 14:06 Сейчас в теме

в (35) по поводу паролей, я пропустил главное, представляете, винда делает это сама без участия админа.

... вот так однакО...

38. Арчибальд 2709 26.07.10 14:32 Сейчас в теме

Встреть я коммент (35) в чужой ветке, я бы мгновенно его удалил. Здесь же попробуем разобраться.
С какой это стати подписанты заявки на пароль будут ознакомлены с паролем? Я такого не писал, да и представить себе не мог, что чья-то буйная фантазия такое родит.
Воспрепятствовать пользователю завести повторно старый пароль, конечно, можно. Об этом я, честно говоря, просто забыл - в NT 4 этого не было, а на 2000 и далее админят уже другие люди.
Насчет копий - я продолжаю утверждать, что количество копий, распечатанных из 1С не имеет никакого отношения к количеству копий вообще, за исключением " <= ".
Доступ 1С к служебной переписке - это грандиозный косяк безопасников. Или свидетельство их (безопасников) отсутствия.
В общем рисуется Ваш образ в виде безбашенного компьютерщика из Экслеровских "Записок невесты программиста". Нет мыши/клавы - и нет человека...

41. dddxddd 26.07.10 17:15 Сейчас в теме

Перед тем как писать в ветке, я смотрел в профиля Авторов, с которыми решил "зацепиться" - поэтому:
1. Я понимаю, что на инфостарте я никто, и зовут меня никак (я на полном серьезе), поэтому смысл, который я пытаюсь вложить в пост - не оскорблять авторов и комментаторов, а зацепиться за суть топик стартера и его каментов.
2. Если вдруг мои фразы и обороты могут трактоваться двояко или оскорбительно, то я утверждаю, что не вкладываю в них оскорбительного смысла, но прошу прощения за неудачную формулировку мысли.
Начну с вопросов и предположений по (38)
А что собственно побуждает Вас удалить этот пост, будь это другая ветка?
Утверждение про то, что вы далеки от администрирования? Это не оскорбление. Если обидел извините! А в NT4 была политика использования паролей, про нетаврь не помню...
Может мой абзац про накладную...?
Дык, тут у Вас, у старожилов и людей уважаемых, принято так особенно развернуто как (32) или аргументировано как (34) отвечать на вопросы и каменты, может я просто не понял?
Наверно я оказался не просветленный, поэтому попытался изложить уважаемому(без иронии) Шепоту теней, свои ассоциации навеянные мне его содержательными ответами... Встречаются иногда нигилисты, которые не привыкли ловить каждое божественное мановение мастера...
И теперь конкретно по цитатам (38)

С какой это стати подписанты заявки на пароль будут ознакомлены с паролем? Я такого не писал, да и представить себе не мог, что чья-то буйная фантазия такое родит

Согласен не писали, наверно я не правильно понял. НО объясните, какой такой ФАКТ, регистрируют(отмечают, согласовывают и т.п.) те самые подписанты. В чем смысл регистрации этого факта, с точки зрения решения задачи обеспечения безопасности корпоративных данных? Ссылка на то, что регламент не совершенен, мне не интересна. Я интересуюсь целью написания именно этого регламента описанного в (20) .

Насчет копий - я продолжаю утверждать, что количество копий, распечатанных из 1С не имеет никакого отношения к количеству копий вообще, за исключением " <= ".

Простите, честно, я не понял, что Вы хотели этим сказать, и какое исключение означает знак меньше или равно...
Но, я утверждаю (подтверждение можно легко найти в инете), что увеличением количества автоматизированных рабочих мест в мире, бумажный документооборот не уменьшается, а растет!!! А происходит это только по тому, что поставить цифирьку ХХ-копий и нажать на пимпочку "печать документа" в МИЛЛИОНЫ РАЗ ПРОЩЕ, чем сделать тоже самое ХХ копий под копирку.
Вы дальше готовы утверждать, что контроль за количеством напечатанных копий не нужен? А тем более не нужен персонализированный адресат какждой копии?

Доступ 1С к служебной переписке - это грандиозный косяк безопасников. Или свидетельство их (безопасников) отсутствия.

Простите опять не понял, о чем Вы...
Я имел ввиду почтовый клиент встроенный типовые настройки 8-ки, собственно о нем я писал. Зачем фирма 1С его наваяла, не доработав соответствующими механизмами, предназначенными для решения задач безопасности конфиденциальных, коммерческих и бухгартерских данных, перимущественно обрабатываемых в этом продукте? Заточка самого механизма, это уже дело франчей и заказчиков, но его отсутствие это потенциальная дыра в периметре информационной безопасности любого предприятия.
Дальше уже как в классике :D

В общем рисуется Ваш образ в виде безбашенного компьютерщика из Экслеровских "Записок невесты программиста". Нет мыши/клавы - и нет человека...

Что это было? Это типа, красиво (по жванецкому ;) про прописочку ) переходим на личности или я на такого похож? Вы мне льстите упоминая мой образ и Экслера рядом, а какие хоть слова навеяли образ безбашенного компьютерщика? :)
Наверно это мой вопрос в (33) на (16) (20) и оставленный Вами без ответа, правильно зачем отвечать если положение, авторитет или админская возможность (удалить сообщение) позволяет просто сказать собеседнику, что он просто безбашенный компьютерщик...
И всеже повторюсь с вопросом:

Вот пример, скажем утекли коммерческие данные, владельцем которых (с точки зрения решаемых задач) был юзер, фирме нанесен вполне конкретный материальный ущерб, скажем ввиде недополученной прибыли от сорванной сделки. Устраивается внутренняя разборка.
Вопрос: на кого фирма должна подать в суд за нанесение ущерба? (отмазки на нереальность задачи не принимаются)
Ну, как по вашему методическому примеру, решить эту практическую ситуацию???

Есть шанс у безбашенного немного поправить башню, получить ответ?

... уф-ф-ф-ф ... (копирайт мой)

30. dddxddd 26.07.10 12:40 Сейчас в теме

Собственно вопрос к Шепоту теней, с уважением, но позвольте спросить, Ваш плюс в (28) сообщении Арчибальда, к каким его словам относится?
(21) УГКС слабо натягивается на пароли в компьютерных сетях, правда а знакомился с ним в 82-84 годах, может с тех пор воды много утекло...

32. Шёпот теней 1782 26.07.10 13:08 Сейчас в теме

(30) ...

... к сожалению не ВСЕ из нас являются "взрослыми" людьми ...

... пока МЫ ВСЕ говорим о "идеальном" - будет всЁ "круто" и "реально" ... НО! ... чем ближе к практике тем "крутизна" становится "куртизной" и "реально" - банальной "реальностью" ...

... извечная проблема объятьНЕобъятное ...

... комментарию (28) я поставил плюс за реальность без кавычек ... ! ...

... с Уважением "Шёпот теней" в миру Шишкин Александр ...

п.с. целостность системы оценивается наименее ЗАщищЁнной частью ... защищать "НЕсистему" и "НЕсистемно" смысла не имеет ... вот ...

33. dddxddd 26.07.10 13:23 Сейчас в теме

(28) Собсно а что решает и какой порядок наводит описанная в (16) процедура

пользователь ПИШЕТ заявку на новый пароль, согласовывает со своим начальником (скажем, главбухом), утверждает у зама по безопасности и только потом может обратиться к админу.

Я вижу только одну, засветить пароль юзера как минимум еще~~трем~~ (главбуху, своему начальнику, заму по безовасности) четырем человекам акромя админа. О каком порядке Вы говорите?
Вот пример, скажем утекли коммерческие данные, владельцем которых (с точки зрения решаемых задач) был юзер, фирме нанесен вполне конкретный материальный ущерб, скажем ввиде недополученной прибыли от сорванной сделки. Устраивается внутренняя разборка.
Вопрос: на кого фирма должна подать в суд за нанесение ущерба? (отмазки на нереальность задачи не принимаются)
Ну, как по вашему методическому примеру, решить эту практическую ситуацию???

Проблема заключается в том, что писать регламенты пытаются многие. Но очень не многие ПОНИМАЮТ, какие задачи написанный регламент реально моежет решить.;)

Кстати Вы Арчибальд ошибаетесь даже в том, что если регламент утвержден по регламенту (по закону), то он реально РЕШАЕТ (в реальной крутой ситуации) кого могут посадить в ТЮРЬМУ!!! И вот в это я Вам скажу, есть очень большая проблема, что автор этой так называемой методички не осознает, что в результате его спозволения сказать "работы по просветлению темных", у конкретного юзера может быть поломана судьба!!!!!!!!!!!!!!!
Так, что иногда есть время говорить, а иногда...

...Вот... (копирайт не мой)

34. Шёпот теней 1782 26.07.10 13:26 Сейчас в теме

(33) ... ещё ОДНА теоритически-"гламурная" вывеска ... вот ...

... практика - АРЧИ - рулит ... !

... вот ...

42. Арчибальд 2709 26.07.10 17:47 Сейчас в теме

Оставив в стороне выяснение отношений (достаточно об этом поговорили), займемся вопросом из (33).
Раз речь идет о передаче дела в суд, значит собраны (самостоятельно или следственными органами) доказательства по делу. Политика безопасности (виндовская) поможет понять, была ли возможность украсть информацию только у юзера и админа (у них она всегда есть) или еще у кого-нибудь. Вот и все. А дальше среди этих лиц ведется обычная следственная работа - выявление мотивов, исследование связей с конкурентами, психологических качеств и т.п.
И это при любом построении системы защиты.
PS Термин "безбашенный" снимаю :oops:

43. dddxddd 26.07.10 18:07 Сейчас в теме

Оставив в стороне выяснение отношений (достаточно об этом поговорили), займемся вопросом из (33).

Поддерживаю...

Раз речь идет о передаче дела в суд, значит собраны (самостоятельно или следственными органами) доказательства по делу.

Вот тут и кроется сермяжная правда. Чтобы собрать доказательства, надо определиться, кто виноват но как? Поднимаются все приказы регламенты и прочие установочные документы касающиеся темы. Т.К. мы о регламенте (считаем что он утвержден согласовам подписан и введен в работу по законам) Именно регламент и должен помочь определить кто виноват в утечке данных через компрометацию пароля. Так вот как поможет именно тот регламент решить данный вопрос, тем более что если вчитаться в само его описание в (20) то можно подумать, что согласователи знают пароли. Но пусть не знают, но по Вашему утверждению админ то его точно знает?
Собственно все остальные юридические социальные и прочие составляюще примера не важны, в разрезе топик статьи.

44. Арчибальд 2709 26.07.10 18:21 Сейчас в теме

(43) Да неважно, знает админ пароль, или не знает. Информация-то кроме зашифрованной ему точно доступна.

27. dddxddd 26.07.10 11:42 Сейчас в теме

(16) :?: :!: :?: Это как это??? Может это шутка?!? Какое право имеет сисадмин, "генерить" единственное, что дает юзеру возможность думать, что он застрахован от (любых) действий от его имени - это пароль.
А Вы говорите админ генерит. Другими словами, после этого, сисадмин, что хочет то и делает от имени юзера. Причем у последнего, нет ни единого шанса на доказательства того, что он этого не делал!!!... Только я вас умоляю, не надо расказывать про процедуру и "невидимость" админом пароля...
Второе, зачем аккаунт живет неделю после? Теоретически, как только юзер написал заявление аккаунт должен быть заблокирован немедленно... Т.е. для пароликов туману напустили, а процедура передачи данных юзера у Вас не расписана. Могу предположить, что после увольнения юзера, паролик на аккаунт является собственностью неизвестного количества ваших юзеров.
(20) :!: Юзер 350 раз запишет свой пароль где угодно(причем на самом видном месте), чтобы не попадать под такие процедуры деятелей от безопасности... (Пройдитесь, например, по переворачивайте клавы юзеров, много интересного можете найти ;) ...)
Интересно, Вы то сами хоть понимаете, что описанная в посте процедура, не решает ни единого вопроса настоящей информационной безопасности. Единственная ее видимая задача, это создание у нового юзера или недалекого шефа, ложного образа что ИТ безопасностью занимаются проФФесионалы и в вашей конторе "все круто" :o ...

18. Ish_2 1113 23.07.10 08:25 Сейчас в теме

(18) Хм... Подошел к зеркалу ,повернулся , посмотрел на себя сзади.
А листок -то НЕБРОНЗОВЫЙ - бумажка жалкая..
Арчибальд , дашь поносить ?
Сойдет волна новомодной компании повышения IT-безопасности (читай - "сведения счетов" ) - отдам.

24. Шёпот теней 1782 23.07.10 16:23 Сейчас в теме

... всЁ армейское это 100% надёжность ... как народные поговорки и пословицы ... как библия ... !

... просто ! поэтому работает где угодно + полная защита от дурака ! ...

... вот ...

36. dddxddd 26.07.10 13:52 Сейчас в теме

Кстати Арчибальд я обоими руками подпишусь под Вам выводом в посте Монтень и 1С по поводу обнаучивания и использования запутанной терминологии...

Какое отношение имеют эти принципы к автоматизации, в том числе, одноэсной? А то отношение, что продвижение (продажа, внедрение и т.д.) чего-то сложного, туманно описанного, содержащего непонятные функциональные возможности оказывается существенно выгоднее, чем «обыкновенная» автоматизация учета. Сказать «бизнес-процесс» вместо «хозяйственная операция»,... - и вот ты уже кажешься потенциальному покупателю передовым, жутко квалифицированным специалистом, а продаваемый продукт, ... – вершиной учетной технологии.

и далее

Итак, изобретайте непонятные термины. Закладывайте в систему экзотические функции. Отзывайтесь с пренебрежением об известных обкатанных, успешно работающих системах – они, мол, вчерашний день. И будет вам счастье со многими нулями.

Не в бровь а в глаз, просто прямое и непосредственное отношение к этому топику...

39. tango 546 26.07.10 14:37 Сейчас в теме

чё эта? Арчи бьют?

40. Арчибальд 2709 26.07.10 14:48 Сейчас в теме

(39) Не бывает :D

47. dddxddd 26.07.10 18:49 Сейчас в теме

А вообще мы ушли в детали, а статья об общих и правильных принципах. Но с утверждениями в конце тоже можно не согласиться. Например тут на инфостарте есть много наработок по контролю изменения данных, анализу прав пользователей в системе и т.п. Вопрос в том, что разработчики как могут так и пекутся (в рамках отведенных им бюджетов) о целостности данных (элемент безопасности данных), но сама платформа мало им предоставляет системных механизмов расчитанных именно на обеспечение безопасности.
И поэтому я понимаю, что особенно молодые разработчики, должны на конкретных примерах видеть и учится системности подхода к данной проблеме. Простым нахрапом и "примитивным" разделением прав или только программированием проблема информационной безопасности данных затронутая Вами - не решается.
Регламенты важны, но правильные, которые четко развешивают заны ответственности на всех участников процесса и не понимание того, что регламент это документ ведет к дополнительному хаосу. Представьте что бы было если бы правила дорожного движения были бы как приведенный регламент ИБ с поправкой на не совершенство. Хотя конечно и про правила можно сказать, что они не совершенны, но виновность они развешивают практически однозначно.

48. Арчибальд 2709 26.07.10 18:58 Сейчас в теме

(47) Я же не отрицаю нужность программных средств защиты данных. Я упираю на опасность того, что система защиты программными средствами и ограничится...

49. dddxddd 26.07.10 19:02 Сейчас в теме

Да собственно, мой пример регламента иллюстрирует не топик-статью, а прикрепленную методичку. Суть же статьи - что защита дело серьезное, и сисадмину на пару с одноэсником ее не решить.

Про статью я полностью согласен, вопрос важный и решать только одинэснику с админом его не правильно, даже если они могут его решить (в некотором объеме).
А вот собственно, что меня зацепило, так это качество примера иллюстрирующего значение регламента. Ну скажем так, ну неудачный пример, этот регламент ничего реального не решает, только усложняет простейший вопрос. Более того, если у юзера вознило желание изменить свой пароль (ну заподозрил он что пароль подсмотрели) этот регламент мешает есу осуществить свое законное право, быстро его поменять.
Вот поэтому я тут и развел флейм... :) Вдумчивые поймут, а другим этого не надо...
P.S. А вот проблема с печатью, не такая уж простая. Когда служба экономической безопасности находит ксеру документа у низового работника с текстом в футере документа "копия главного бухгатлера" у нее появляется много интересных вопросов. Причем такие же вопросы появляются у хозяина мелкой фирмочки, которому показывают сводные отчеты в соответствующих органах :( даже не утруждаясь скрыть, кто его сдал... но это совсем другая история :D ...

51. Арчибальд 2709 26.07.10 19:19 Сейчас в теме

(49)Еще раз пост 20:

Не может безопасность быть возложена на одного человека принципиально. Вон в приложенной методичке пример: пользователь звонит админу и вешает ему на уши лапшу о забытом пароле.

Ключевые слова - один человек безопасность не обеспечит, сферу полномочий в обеспечении безопасности надо распределять. Если же админ самостоятельно принимает решение о восстановлении забытого пароля - то это не безопасность.
Мы достаточно долго спорим, хотя практически не расходимся во мнениях ;)

50. dddxddd 26.07.10 19:08 Сейчас в теме

мля, перечитал свои же посты, стало стыдно за очепятки и отсутствие запятых...
Ну виноват...

52. B0P0H 29.07.10 14:21 Сейчас в теме

да один человек не обеспечит безопасноть...
да и обсолютной безопасности не бывает....

по поводу того что мол будет юзверь лапшу на уши вешать по поводу забытого пароля - пункт не помню какой "Восстановление забытых учетных данных, только по письменной заявке руководителя отдела, после согласования ее с моим руководством".

"В случае если данные были утерянны, испорчены, украдены, и об этом не было сообщено, применить меры административного воздействия" так между нами говоря... приравнивается к распитию спиртных напитков на рабочем месте, ну имеется по силе внушения :)

это так кратенько если...

и вылететь можно не по собственному желанию... а по статье :)

53. Шёпот теней 1782 29.07.10 14:35 Сейчас в теме

(52) ... "и вылететь можно не по собственному желанию... а по статье ..." .. а что ? ... и примеры есть ... ? или это гипоТЕТически .. ?

... вот ...

55. Арчибальд 2709 29.07.10 14:51 Сейчас в теме

(52) Пост 20

54. tango 546 29.07.10 14:47 Сейчас в теме

Вышел я из своего кабинета в соседний на 5 мин. и в этот момент ко мне зашел сотрудник службы безопасности предприятия. Увидев, что меня нет на месте, он отключил принтер и унес в свой кабинет и начал писать служебку, что сотрудник айти отдела за халатность, а именно за открытую дверь в кабинете, должен быть оштрафован на 5% оклада.
Меня это не на шутку встревожило. Охраняемый этаж. Вход на этаж по пропускам. На этаже работает 25 человек, которых я прекрасно знаю и больше никого постороннего окромя начальства на этаж не заходит. Вынести ничего не возможно ибо охрана. Везде по коридору камеры наблюдения. Комп через минуту паролится. Двери во время работы никто никогда не закрывал. Поэтому пожаловался начальству. Мне же начали объяснять, что айти отдел самое уязвимое место "ПОЧЕМУТА".
45 мин. назад зашел в пустой кабинет к службе безопасности и отключил 2 монитора и вынес в свой кабинет.
В данный момент меня пытаются лишить еще 5%.
http://www.bestfree.ru/humor/2010/07.php#July

56. Шёпот теней 1782 29.07.10 15:11 Сейчас в теме

(54) ... веселится и ликует весь народ. И быстрее, шибче воли, поезд мчится в чистом поле ... ужжж ... ВОТ ...

57. B0P0H 29.07.10 23:32 Сейчас в теме

"и вылететь можно не по собственному желанию... а по статье ..." .. а что ? ... и примеры есть ... ? или это гипоТЕТически .. ?

У меня "режимный объект" не надо буквально понимать... Да пропускная система, и т.п...
Слава богу до увольнений еще не доходило - народ пока что адекватен к требованиям...

58. Арчибальд 2709 30.07.10 08:10 Сейчас в теме

(57) А у меня и до увольнения доходило. Потом, правда, ограничились лишением премии. А там уж человек сам ушел...

59. vde69 925 02.08.10 08:09 Сейчас в теме

все не осилил, из минусов - картинки, все смешано в кучу и цели и средства в паралельных потоках. А на первой картинки защита это подсистема аудита :)))

Аудит - это дополнение защиты, и вообще вся защита должно строится не только на вложеных уровнях но и на параленых линиях взаимо контроля (например СБ контролирует доступ в серверную и действия админов ведя специальные журналы: посещения, и даже введенных команд).

По этому посмотрев картинки сильно вникать не стал.

хотя отдельные моменты расписаны правильно... и тема эта довольно актуальна

Оставьте свое сообщение

E-mail:

Автор:

Александр Рытов (Арчибальд)

Рейтинг: 2709

Для получения уведомлений о новых публикациях автора подключите телеграм бот: Инфостарт бот

Публикация:

№ 73303

Создание 22.07.10 12:32

Обновление 22.07.10 15:14

Статистика:

Просмотры 20318

Загрузки 108

Рейтинг 11

Комментарии 60

Характеристики:

Код открыт Не указано

Рубрики Сети Защита ПО и шифрование

Кому Системный администратор ,
Программист

Тип файла Архив с данными

Платформа Не имеет значения

Конфигурация Не имеет значения

Операционная система Не имеет значения

Страна Россия

Отрасль Не имеет значения

Налоги Не имеет значения

Вид учета Не имеет значения

Доступ к файлу Абонемент ($m)