[Sysadmins] Политика информационной безопастности на предприятии
Денис Смирнов
=?iso-8859-1?q?mithraen_=CE=C1_altlinux=2Eru?=
Вт Апр 10 06:16:10 MSD 2007
On Mon, Apr 09, 2007 at 11:16:19AM +0400, Sergey S. Skulachenko wrote:
>> "попасть в корпоративную сеть" понятие растяжимое.
SSS> Нет, очень конкретное. Это значит получить те же права, что имеет
SSS> собственная рабочая станция в корпоративной сети. Уровень
SSS> допуска в зависимости от собственной роли может быть очень не
SSS> маленьким. Дыра явная.
Это не является "попасть в корпоративную сеть". Для "попасть в
корпоративную сеть" достаточно если я могу удаленно получить доступ хотя
бы к одному единственному внутреннему ресурсу.
Так что флейм у тебя начинается видать из-за того что ты подразумеваешь
всего лишь один вариант трактовки термина, который гораздо более
многозначен.
SSS> Если настаивать "мне так удобно", то выйдя утром на работу,
SSS> можно обнаружить, что пропуск уже погашен и офисная обувь вместе
SSS> с чайной кружкой уже не доступны. Иными словами, что-либо
SSS> согласовать со службой (экономической) безопасности уже
SSS> невозможно. А в её составе кроме аналитиков есть ещё
SSS> подразделение собственной безопасности. С ними вообще не резон
SSS> что-либо обсуждать, так как ребята там не приучены повторять
SSS> дважды, и вид имеют крайне конкретный. Никакой растяжимости,
SSS> уверяю Вас.
Зависит от компании, уверяю. Вон я смотрю в ALT хренова туча народу имеет
доступ ко внутренней сети. Кажется даже я имею, по крайней мере к одной
машине.
Боюсь что человека, который попытается это дело запретить просто аккуратно
вынесут за руки/ноги из офиса и порекомендуют до протрезвления в нем не
появляться :)
Видел бы ты инфраструктуру безопасности у меня в компании. Пришлось бы
валерьянку литрами пить. В ней нарушены все правила которые я только знаю,
думаю те что не знаю тоже нарушены. Но в моей ситуации она себя
оправдывает, и при подсчете рисков я решил что это разумнее.
SSS> Т.е. я с Вами во всём согласен с небольшой поправкой: директор
SSS> ДИТа устанавливает правила в пределах своей компетенции. А вот с
SSS> другими директорами он ничего не согласовывает. Они для него
SSS> остаются простыми пользователями, привыкшими подчиняться.
SSS> Ничего не согласовывает и со службой безопасности. Он
SSS> _уведомляет_ её о правилах а также о ролях каждого из
SSS> пользователей, а СЭЗ принимает эту информацию к действию.
Опять же зависит от. Насколько я вижу многие грамотные IT-специалисты
нихрена не смыслят в безопасности, и не имеют достаточный уровень
врожденной паранои. Поэтому хотя и вопрос где в корпоративной иерархии
находится таки служба IT-безопасности, и кому она подчинена, но по крайней
мере она не дрлжна быть в прямом подчинении у IT'шников. Мало того, в
крупной не IT'шной компании именно безопасники и дложны решать большинство
вопросов.
А там где это не так мы получаем истории как у американцев, чем авианосец
хрен знает сколько болтался неуправляемым из-за подвисшей винды. Потому
как не было человека своей башкой отвечающего за то что "все должно быть
надежно", и при этом имеющий полномочия сам решать какое ПО будет
закупаться и использоваться.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
Это похоже на ошибку, чреватую большими неприятностями.
-- ldv in sisyphus@
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: Digital signature
Url : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20070410/e5ed42ac/attachment-0003.bin>
Подробная информация о списке рассылки Sysadmins