среда, 7 сентября 2011 г.

О неразумных запретах

 Разбирая очередную Политику Безопасности Предприятия (именно так с Большой Буквы) и обнаружив там следующее:

Пользователям запрещается:
- запускать на рабочем месте программы развлекательного характера;
- копировать документы и информационные файлы с информацией непосредственно не относящейся к обязанностям работника;

- посещать ресурсы развлекательного характера;
- посещать ресурсы непосредственно не связанные с исполнением должностных обязанностей;
- пользоваться, с компьютеров компании, бесплатными сервисами сторонних организаций (mail.ru, yandex.ru, odnoklassniki.ru, vkontakte.ru и т.п.)

- использовать при авторизации на сторонних ресурсах логические имена и/или пароли используемые в корпоративной сети.


И так далее, список внушает уважение только своим размером. И тут я в очередной раз задал один простой вопрос: Но как Вы узнаете, что пользователь использует сочетания совпадающие с корпоративным логином и паролем, если он не посещает сторонние ресурсы, находясь на рабочем месте?

Разрабатывая политику безопасности или просто принимая решение запретить посещение какого либо ресурса или использование программы я предлагаю задуматься: А есть ли у Вас способы позволяющие проконтролировать и добиться выполнения этого требования?

Предполагать, что требование не посещать, например, вКонтакте, будет немедленно исполнено, потому что так сказал Chief security officer, бессмысленно и наивно. Как в прочем и предполагать, что по правильно оформленному Приказу, люди перестанут приносить на флэшках вирусы.

Некоторые психологи считают, что нарушение запретов является естественной чертой вида Homo Sapience.  Наверное следует вспомнить, что особо выдающихся нарушителей "политики безопасности" законов церкви совсем недавно сжигали на кострах и как показала практика остановить получалось далеко не всегда. Так что попытки нарушения требований политики были и будут. Думаю эффективной политикой можно признать ту, которую нарушить не получается.

Вариантов реализации может быть принципиально 2:
1. Построение системы не позволяющей нарушить установленные правила и требования создавая условия, когда выполнение требований удобнее, чем их нарушение.
2. Создав эффективную карательную систему гарантирующую наказание за любое нарушение установленных правил. Примерно эта мысль посетила руководство нашей страны, когда какое-то время назад была развернута компания о неотвратимости наказания.

Во всех остальных случаях будут нарушения предписанных правил. И в принципе-то кажется, не столь принципиально, нарушается ли некоторыми пользователями установленные правила «по мелочи». Более того я слышал утверждение, что преодоление простой защиты – это тест на наличие мозгов: преодолел – мозги есть, не натворит больших бед, особенно если будет прятаться.

Но, к сожалению тут начинает работать еще одна теория психологов: Теория разбитых окон.  И, к сожалению, можно утверждать с известной степенью уверенности, что за малым последует крупное…

2 комментария:

  1. > Вариантов реализации может быть принципиально 2

    Возможен третий вариант - комбинация указанных двух в определенных пропорциях и с определенными допущениями со стороны СБ. Правда при этом необходимо создать не плоский, а матричный ландшафт действий, последствий и наказаний, плюс к тому СБ должна стать своего рода службой поддержки пользователей по вопросам ИБ (разъяснение, обучение и прочее), и вот именно эти два фактора очень не любят (не хотят) делать СБшники.

    ОтветитьУдалить
  2. Да, действовать исключительно по одному из вариантов - это крайность. Жить при них будет очень сложно.

    Чаще всего удается совместить. Наиболее критичное запретить, менее критичное - мониторинг, анализ, наказание.

    ОтветитьУдалить