25.05.2012

Что запрещено?

В большинстве организаций что-то запрещено: у кого кейгены, у кого сниферы, у кого мультимедийные файлы кроме распространяемых кадрами и пресс-службой. Вот у Вас что-нибудь запрещено? Ах, паролеломалки! Ну, тоже нормально. А запрещено паролеломалки что? Чаще всего это вызывает недоумение: "Что – что? Паролеломалки запрещены. У нас!".

В одной конторе был запрет на использование анализаторов защищенности. Подразделениями, отличными от ответственных за патч-менеджмент и ИБ-аудит, конечно. А потом как-то устроили облаву. По причинам слегка экзотическим, но неважно. Ну и нашли, да. А трудно не найти, когда на всех ПК агенты software inventory из скрипта стартуют. Но нашли-то хранение, наличие на диске. А запрещено использование, заметили? А оно не зафиксировано. А люди тоже не дураки: "Да, поставил как-то из интереса, но поюзать так и не сподобился – руки не дошли". Ну что – всех отпустили, конечно. Кроме Штирлица.

А с удаленным управлением тоже было – если б своими глазами не видел, не поверил бы. Там, как потом оказалось, умудрились запретить ПО для удаленного управления ПК... скачивать из Интернета на жесткий диск. Сюжет! Однажды случайно нашли (в логах файрвола сайты, через которые такой трафик ходит), пришли, а люди и говорят: "Не, не нарушал – это то ли у меня сидюк с дистрибутивом был, то ли в ЛВС где-то надыбал". Доказать обратное невозможно, презумпцию невиновности никто не отменял – тоже все кроме Штирлица свободны.

А лечится просто. По горизонтали – немилое ПО, по вертикали – фазы жизненного цикла (создание, хранение, копирование, инсталляция, запуск, останов, внос, вынос, отправка и т.п.). Проставляете галочки, что запрещено, потом перегоняете в форму предложения. Получается наподобие изготовления, приобретения, хранения, перевозки или сбыта наркотических средств и приобретения, передачи, сбыта, хранения, перевозки или ношения оружия. Немелодично, но правильно.

2 комментария:

Vlad Styran комментирует...

Как-то слишком по-бумажному получается. Я в итоге пришел к формулировке типа "запрещается размещать и использовать на рабочем месте ПО, не требуемое для выполнения служебных обязанностей". Есть подводные камни, но пока работает.

Ригель комментирует...

Размещать - неоднозначно: а если портабл с флешки, а если с онлайн-стораджа, а если такую шару нашел... Да даже если на харде, и то можно в несознанку поиграть, что установлено из под моего аккаунта != установлено мной. Остается уповать на второй запрет, но запуск-то обычно не фиксируется - это еще тоже потрудиться надо. Не, с запасом лучше. Хотя, конечно, статистика инцидентов у всех своя.

Отправить комментарий