[Sysadmins] Политика информационной безопастности на предприятии

Вт Апр 10 06:16:10 MSD 2007

On Mon, Apr 09, 2007 at 11:16:19AM +0400, Sergey S. Skulachenko wrote:

>> "попасть в корпоративную сеть" понятие растяжимое.
SSS> Нет, очень конкретное. Это значит получить те же права, что имеет
SSS> собственная рабочая станция в корпоративной сети. Уровень
SSS> допуска в зависимости от собственной роли может быть очень не
SSS> маленьким. Дыра явная.

Это не является "попасть в корпоративную сеть". Для "попасть в
корпоративную сеть" достаточно если я могу удаленно получить доступ хотя
бы к одному единственному внутреннему ресурсу.

Так что флейм у тебя начинается видать из-за того что ты подразумеваешь
всего лишь один вариант трактовки термина, который гораздо более
многозначен.

 SSS> Если настаивать "мне так удобно", то выйдя утром на работу,
 SSS> можно обнаружить, что пропуск уже погашен и офисная обувь вместе
 SSS> с чайной кружкой уже не доступны. Иными словами, что-либо
 SSS> согласовать со службой (экономической) безопасности уже
 SSS> невозможно. А в её составе кроме аналитиков есть ещё
 SSS> подразделение собственной безопасности. С ними вообще не резон
 SSS> что-либо обсуждать, так как ребята там не приучены повторять
 SSS> дважды, и вид имеют крайне конкретный. Никакой растяжимости,
 SSS> уверяю Вас.

Зависит от компании, уверяю. Вон я смотрю в ALT хренова туча народу имеет
доступ ко внутренней сети. Кажется даже я имею, по крайней мере к одной
машине.

Боюсь что человека, который попытается это дело запретить просто аккуратно
вынесут за руки/ноги из офиса и порекомендуют до протрезвления в нем не
появляться :)

Видел бы ты инфраструктуру безопасности у меня в компании. Пришлось бы
валерьянку литрами пить. В ней нарушены все правила которые я только знаю,
думаю те что не знаю тоже нарушены. Но в моей ситуации она себя
оправдывает, и при подсчете рисков я решил что это разумнее.

 SSS> Т.е. я с Вами во всём согласен с небольшой поправкой: директор
 SSS> ДИТа устанавливает правила в пределах своей компетенции. А вот с
 SSS> другими директорами он ничего не согласовывает. Они для него
 SSS> остаются простыми пользователями, привыкшими подчиняться.
 SSS> Ничего не согласовывает и со службой безопасности. Он
 SSS> _уведомляет_ её о правилах а также о ролях каждого из
 SSS> пользователей, а СЭЗ принимает эту информацию к действию. 

Опять же зависит от. Насколько я вижу многие грамотные IT-специалисты
нихрена не смыслят в безопасности, и не имеют достаточный уровень
врожденной паранои. Поэтому хотя и вопрос где в корпоративной иерархии
находится таки служба IT-безопасности, и кому она подчинена, но по крайней
мере она не дрлжна быть в прямом подчинении у IT'шников. Мало того, в
крупной не IT'шной компании именно безопасники и дложны решать большинство
вопросов.

А там где это не так мы получаем истории как у американцев, чем авианосец
хрен знает сколько болтался неуправляемым из-за подвисшей винды. Потому
как не было человека своей башкой отвечающего за то что "все должно быть
надежно", и при этом имеющий полномочия сам решать какое ПО будет
закупаться и использоваться.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Это похоже на ошибку, чреватую большими неприятностями.
		-- ldv in sisyphus@
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20070410/e5ed42ac/attachment-0003.bin>