rispost

Аналитика безопасности конфиденциальной информации.

Ноябрь 30th, 2018

Аналитика безопасности конфиденциальной информации.

 

Зачем же на самом деле нужна Система информационной безопасности?

Естественно, что комплекс мер по защите информации в Фирме нужен не только для сохранения секретной информации от посягательств на нее злобных конкурентов или хулиганствующих хакеров. Защита информации (а информация — это и данные, и программы, и операционная система, и переговоры в конференц­зале, и разговоры по сотовым и обычным телефонам и Т.д. и т.п.) является неотъемлемой частью нормальной работы организации. Столь же естественной частью, как качественное обслуживание клиентов, наличие у фирмы хороших автомобилей или евроремонт в помещении офиса. Наличие надежной системы защиты данных позволяет свести к минимуму вероятность возникновения материального и морального ущерба, инцидентов с клиентами, потери доброго имени фирмы.

Совсем не обязателен злой умысел, чтобы полностью или частично парализовать деятельность фирмы на достаточно длительный срок. Варианты: полным или частичным выведение из строя дисков или операционной системы сервера или рабочей станции, программного обеспечения, рабочих файлов или баз данных, архива, системы легального доступа (в частности, к принтеру или ресурсам сервера), файловой системы сервера или рабочей станции и еще десятков уязвимых мест информационных ресурсов фирмы.

Можно привести десятки простых примеров реальных жизненных ситуаций:

Заходит юзер в комнату программистов, чтобы посмотреть, почему у него Интернет не работает, а программисты как назло все по Фирме разбежались — ламерам помогают. Юзер подходит к администраторской машине и, чтобы увидеть монитор Прокси-сервера, закрывает какое-то висящее на машине приложение. Естественно, на какой-то вопрос этого приложения, юзер автоматически отвечает: «Да». Приложение закрывается. после этого закрывается доступ к серверу всем пользователям сети. Юзер согласился с сохранением незаконченного (некорректного) изменения системного реестра сервера с удаленной консоли. В результате изменения сервер отказал в регистрации на нем любому пользователю.. Отправляет филиал фирмы в центр письмо по электронной почте. Закрывает архив паролем. Но в результате ошибки оператора филиала сообщение уходит на другой электронный адрес, где на приеме почты сидит скучающий хакер. Вскрыть пароль с архива для него — не проблема (как и для большинства администраторов или программистов). Таким образом, действительно конфиденциальная информация попала в неизвестные чужие руки.

Ламер с большими правами на сервере совершенно случайно и без злого умысла удалил (клавишей F8 в Нортоне) всего один каталог на сервере: <DOCUMENT> (И кто ему доступ дал?!). В это же время другой Ламер активно пишет на сервер свою любимую игру, занимающую более 200 Мбайт. Может быть и так, что в это же время Администратор инсталлирует какую-нибудь новую правовую базу данных объемом за 150 Мбайт. Вся фирма осталась без документов, так как резервные копии в фирме не делались.

Юзер стер программу с сервера с целью увеличить объем на диске для установки нужной базы данных, полагая, что уж у программистов-то эта программа точно есть. Оказалось, что это — единственный в фирме экземпляр программы. Резервные копии также не делались.

Распечатывается не окончательный, а промежуточный (неправильный) вариант важного документа, потому что работали над ним два человека и копии хранились на разных рабочих станциях.

В результате внезапного захода Федеральных контролирующих органов часть конфиденциальной информации попала в чужие руки, а часть — была панически (как оказалось, совершенно напрасно) уничтожена без возможности восстановления и дальнейшей с ней работы.

Агрессивный вирус с «левой» дискеты полностью затер нужную документацию. То же самое с успехом  сделал вирус, пришедший в невинном почтовом сообщении «Вы выиграли приз. Нажмите СЮДА!»А сколько случаев, когда секретари случайно стирают необходимые файлы, когда неправильно выставленная опция автосохранения не восстанавливает документы после сбоя питания или «подвисания» «Окон», когда центральный принтер начинает выдавать на печать секретный приказ руководства (секретарь неправильно выставил принтер по умолчанию), когда отключается целый сегмент сети (а на нем ·- два отдела фирмы) из-за того, что кто-то случайно дернул кабель, проходящий вне помещений фирмы, и  т.д. и т.п.

Могут быть и неприятные моменты обнаружения проявлений злого умысла:

Найден диктофон в комнате переговоров или кабинете шефа, зафиксирована удаленная атака на ваш IР, оказалось, что уволенный, но еще не переставший ходить на работу сотрудник третий день активно скачивает на свои магнитные носители документы фирмы, менеджеры случайно заметили, что программа формирования счетов покупателям сошла с ума, так как обиженный сотрудник произвольно поменял в базе цены на товары… Вы знаете, что такого-то числа такой-то машиной была скопирована с сервера секретная информация. Невозможно узнать, кто это сделал, так как вся фирма знает, что логин и пароль для входа на эту машину — «1».

 

***

Так нужна ли вам система информационной безопасности?

Что же делать?

Полить кактус. Раздать личные печати ключевым сотрудникам. Установить ответственных лиц за сохранность информации на магнитных носителях. Провести перегруппировку информации с целью концентрации ценной и конфиденциальной информации в наиболее защищаемых местах. Определить бюджет комплекса мероприятий по защите информации. Провести орг. — штатную диагностику с целью оптимизации информационных потоков. Определить состояние компании на рынке: конкуренты и их возможности, обиженные вами и их возможности. Забыть о «черном нале». Стать законопослушным налогоплательщиком. Чтить не только уголовный, но и остальные (трудовой, налоговый, семейный и т.д.) кодексы. Подобрать руководителя службы безопасности. Повысить зарплату системному администратору. Переименовать службу безопасности в отдел добра и правды. Переподчинить службу технической поддержки от завхоза администратору безопасности. Поставить решетки на окна первого этажа. . Познакомиться с руководством местной милиции, ФСБ и налоговой полиции. Отправить админа на курсы по сетевой безопасности. Сходить на выставку «Безопасность». Включить аудит Интерне т- ресурсов, посещаемых сотрудниками. Поручить админу еженедельно предоставлять перечень сайтов, посещаемых сотрудниками. Установить в архиве автоматические средства пожаротушения. Залезть на форум hackzone. Купить новые огнетушители. Написать Политику безопасности. Определить перечень коммерческой тайны. Определить список лиц, допущенных к персональным данным. Увольнять только по закону! Договориться с  ЧОПОм, чтобы разрешили самим подбирать охранников. Купить средства защиты эфира в конференц — зале. Провести аудит информации. Издать приказ о введении режима защиты коммерческой тайны и конфиденциальной информации. Согласовать с руководством ЧОПа инструкцию охранно ­- пропускного режима. Определить потенциальные угрозы — виды и источники. Узнать телефоны местных отделений милиции, ФСБ и службы спасения. Провести подписание сотрудниками обязательства о неразглашении. Выписать журнал «Мир безопасности». Сделать замки на шкаф сданными клиентов. Купить шкаф для хранения ноутбуков. Внести в коллективный договор пункты о защите коммерческой тайны. Определить местонахождение информации. Внести в должностные инструкции положения о защите персональных данных. Научить секретарей отвечать на вопросы о сотрудниках. Не отвечать на СПАМ. Издать положение о профессиональной тайне. Определить порядок увольнения сотрудников. Поменять форму пропусков на территорию компании. Купить огнеупорный сейф вместо этого железного ящика. Увезти на дачу резервные копии архивов. Стереть с главного сервера Carmageddon. Купить лицензионный Windows2000Seгver. Ежемесячно просматривать распечатки сотовых телефонов, предоставленных сотрудникам компанией. Проинструктировать сотрудников (особенно, юристов и руководителей) по поведению во время нештатных ситуаций. Унифицировать ПО на компьютерах сотрудников. Исключить ген.директора из группы администраторов домена. Снять сервис seгver с машин. Поставить p g p себе и постоянным корреспондентам. Убрать с диска все электронные архивы старше двух лет. Ограничить доступ в конференц-зал. Поставить источники бесперебойного питания на сервер и машины ключевых сотрудников. Разработать план экстренной эвакуации. Узнать, у кого из сотрудников есть дома компьютеры. Узнать внутренний телефон электрика. Организовать резервное копирование ценной информации. Купить внешний магнитный носитель для секретной информации. Узнать, на какие деньги секретарша купила джип. Поставить видеокамеру на черный ход. Включить аудит телефонных звонков на АТС. Купить платку записи сигнала с видеокамер. Поставить железную дверь на черный ход. Сделать дубликаты всех ключей. Поставить вместо Microsoft Mail Exchange Seгver. Проверить систему пожарной безопасности — работает ли? Организовать дублирование Интернет — почты. Составить схему оповещения сотрудников с «подлетным» временем и наличием машин. Убрать из корневого контекста сервера Net Ware 4 bindery. Обновить антивирус. Провести занятия по юридической подготовке охранников. Вайпировать стертые файлы из каталога fгomjnet. Подкинуть в каталог top-secret новые картинки. Запретить в NТ-ях показ имени предыдущего пользователя. Поменять пароль на 14-значный. Ввести порядок ежемесячной замены ziр-дискет ключевых сотрудников на новые с уничтожением старых. Просматривать лаги ежедневно. Купить аппаратный файрвал. Купить запасной концентратор и два жестких диска — пусть лежат. Заставить себя прочитать «Хакер». Запретить сотрудникам хранить на С: рабочие файлы. Проверять ноутбуки перед выносом на наличие лишней информации. Ввести дисциплинарный штраф в 4МРОТ за нарушение инструкции по выносу конфиденциальной информации и, наконец, оштрафовать кого-нибудь. «Зачистить» кабинет. Подать иск в арбитражный суд по итогам прошедшей налоговой проверки. Снять совместимость паролей с LanMan. Отгородить место для ждущих посетителей от входа в конференц-зал и поставить вечно работающий телевизор. Покормить рыбок. Осталось лишь определить порядок.

***

ПОЛИТИКА БЕЗОПАСНОСТИ

Политика безопасности: ­

.набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение информации;

.набор правил управления доступом;

.заявление высшего руководства относительно его позиции по поводу ценности информации, ответственности должностных лиц по ее защите и распределении организационных обязанностей

Результатом ошибочного или бездумного определения правил политики, как правило, является реализация угроз информации без нарушения политики.

Политика информационной безопасности должна быть разработана на соответствующем уровне руководства организацией, то есть тем лицом в организации, кому напрямую подчиняются служащие, которых касается эта политика.

Политика должна устанавливать:

. Значение информации — позицию руководства по вопросу ценности информации;

. Ответственность — Кто отвечает за защиту информации;

. Обязательство — Обязательства организации по защите информации;

. Область применения — Что включается в состав СИБ и каких ее частей, если таковые имеются, политика не касается.

Политика безопасности ЛВС должна ясно определить и установить ответственность за защиту информации, которая обрабатывается, хранится и передается в организации. Дополнительная ответственность может быть, кроме того, возложена на пользователей и конечных пользователей, то есть на тех лиц внутри организации, которым предоставлен доступ к информации теми лицами, кто отвечает за нее в первую очередь.

Человеческий фактор.

Для того, чтобы информационная безопасность стала реальностью, необходимо учитывать человеческий фактор следующим образом:

. Высшее руководство должно постоянно и гласно поддерживать программу безопасности. Руководители организации должны требовать персональных отчетов от своих подчиненных и подавать им хороший пример.

. Служащих необходимо обучить. Служащие охотнее выполняют требования программы обеспечения безопасности, если понимают ее необходимость и методы, а также чувствуют свою причастность к ней. Обучите их и привлекайте к работе, как только можете.

. Все работники организации должны принимать участие в выполнении программы. Поскольку все служащие обрабатывают информацию, они должны осознавать значимость их работы по обеспечению безопасности и ценность той информации, которой они имеют доступ.

Усилия персонала должны поощряться. Обязательно поощряйте тех, кто выдвигает предложения по повышению безопасности, тех, кто постоянно выполняет требования правил, а также тех, кто другими методами способствует улучшению состояния дел в этой области.

***

Формирование Политики безопасности и разработка локальных нормативных документов по защите информации:

 

Политика безопасности.

Положение о конфиденциальной информации предприятия   (служебная, профессиональная и прочие виды тайн, охраняемых Законом).

Должностные инструкции лиц, работающих с защищаемыми вида информации.

Приложения к трудовому договору лиц, работающих с защищаемыми вида информации.

Положение о коммерческой тайне.

Положение о персональных данных.

Положение о профессиональной (служебной) тайне.

Перечень сведений, составляющих конфиденциальную информацию.

Перечень сведений, составляющих коммерческую тайну.

Перечень мероприятий по защите коммерческой тайны на предприятии.

Перечень мероприятий по защите конфиденциальной информации на предприятии.

Положение о порядке хранения, использования и защиты персональных данных.

Обязательство     сотрудника     о             сохранении             коммерческой            тайны                               и конфиденциальной информации предприятия.

Памятка сотрудникам по вопросам защиты информации.

Инструкция по организации охранно-пропускного режима.

Инструкция по организации внутри объектового режима.

Журнал учета конфиденциальных документов.

Карточки (книга) учета выдачи документов с грифами «КТ», «ПД».

Журнал учета сейфов, металлических шкафов, спецхранилищ и ключей от них. Журнал приема (сдачи) под охрану режимных помещений, спецхранилищ, сейфов (металлических хранилищ) и ключей от них.

Книга учета бланков пропусков.

Книга учета выдачи удостоверений (постоянных пропусков).

Книга выдачи ключей от помещений.

Положение о порядке выдачи дел в архиве.

Положение о прядке доступа пользователей к информации на магнитных носителях.

Распоряжение об использовании в организации печатающих устройств. Распоряжение об использовании в организации копировальных устройств Другие документы, необходимые, на Ваш взгляд, в организации.

 

                                               ***

В результате разработки Политики безопасности и доведения ее до персонала должны быть сформированы следующие поведенческие характеристики:

Функциональное руководство должно:

  1. Понимать важность политики безопасности Фирмы и то, как эта политика влияет на решения, принимаемые относительно защиты информации. Понимать важность определения адекватной степени безопасности для различных типов информации, которой владеет функциональное руководство (или за которые несет ответственность) .
  2. Понимать, что информация является ценным ресурсом для организации, который требует защиты. Понимать важность обеспечения адекватной защиты (через финансирование, укомплектование персоналом, и т.д.).

Администраторы безопасности должны:

  1. Понимать во всех аспектах, как работает система. Быть способными отличать

нормальную работу системы от ненормальной работы системы.

  1. Понимать роль администратора системы в реализации политики безопасности.

з. Понимать, как работают службы и механизмы безопасности. Быть способны распознать неправильное использование механизмов защиты пользователями.

  1. Понимать, как надо эффективно использовать возможности по улаживанию инцидентов.

Пользователи информационной системы должны:

  1. Понимать политику безопасности и обязанности пользователя, проистекающие из нее. Понимать, почему важно поддержание безопасности информации.
  2. Понимать, как использовать службы и механизмы защиты, обеспечиваемые СИ Б, чтобы поддерживать безопасность информации и защищать критическую информацию.

з. Понимать, как определить состояние инцидента, использовать возможности по улаживанию инцидентов, знать, как сообщать об инциденте, и Т.Д..

  1. Отличать нормальную работу системы от неправильной работы.

­                                               ***

 

***

 

 

Квалификация и лояльность системных администраторов и пользователей информационной системы Фирмы.

Администраторы.

Безопасность информации прямо зависит от квалификации Администратора. в его функции входит обеспечение и поддержание всех мер по защите информации и работоспособности информационной системы, то есть ЛВС. Однако, усилия Администратора будут стоить достаточно недорого и принесут ему только лишнюю и «неблагодарную» головную боль, если в защите информации не будет заинтересовано руководство Фирмы. поэтому:

Некоторые рекомендаuии Администратору. заинтересованному в успешной реализаuии Системы информационной безопасности:

. Выписывать и тщательно изучать компьютерные журналы, где рассматриваются вопросы

компьютерной безопасности. . Регулярно покупать последние издания книг по компьютерной и информационной безопасности . Знать и регулярно «заходить» на WEB-серверы, которые содержат данные по защите информации,

специальное программное обеспечение, конференции и ЭЛ. «доски» хакеров. . Периодически проходить соответствующие курсы подготовки специалистов

. Не создавать какие-либо правила, касающиеся поведения пользователей ЛВС, без поддержки и утверждения руководства. Оформлять политику информационной безопасности и, соответственно, права и обязанности Администратора и пользователей следует распоряжением руководителя Фирмы.

. Чем грамотнее пользователи, тем меньше ненужной беготни по Фирме у Администратора. Необходимо постоянно, доброжелательно, но требовательно обучать пользователей основам компьютерной и информационной безопасности.

. Помнить, что борьба с пользователями — не единственная проблема Администратора: есть еще и производители программных продуктов. Изучать новые программные продукты с точки зрения защиты данных перед установкой на Фирме — одна из важнейших функций Администратора

. Нет такой инструкции, рекомендации или пособия по безопасности данных, которая бы достаточно полно описала все возможные или даже необходимые меры. Только заинтересованность самого Администратора в результате способствует построению достаточно мощной, но достаточно дешевой системы информационной безопасности.

Если организация невелика, то Администратор ЛВС, как правило, выступает и в роли эксперта и в роли офицера компьютерной безопасности. Этот человек, в общем случае, имеет полный доступ ко всей информации Фирмы, а также ко всем ее программным и аппаратным средствам. Он имеет возможность реализовывать все виды угроз информации: и целостности, и конфиденциальности, и легальности доступа, и авторских прав. Он может делать это так, что никому не придет в голову, что это сделал Администратор. Он обеспечивает информационную безопасность в Фирме и поэтому знает все приемы, методы и способы ее обеспечения. Следовательно, он знает, как обойти защиту. Он справедливо считает себя «главным по компьютерам и информации» в Фирме и хочет иметь соответствующее вознаграждение за работу и/или соответствующее отношение со стороны руководства Фирмы, а также отвечающий его положению статус. Хороший Администратор стоит недешево, но окупает себя (прежде всего тем, что умеет выбрать и правильно использовать дешевые, но эффективные средства безопасности). Дешевый Администратор не сможет обеспечить реальную безопасность: если он плохой специалист, то не сумеет защитить информацию; если он хороший специалист, то он или уйдет из Фирмы, унеся ее секреты, или будет тихо продавать их тому, кто платит. Естественно, что заниматься реальной защитой у такого работника желания не будет.

 

Некоторые рекомендации руководителю фирмы, заинтересованному в успешной реализации Системы информационной . безопасности:

. Необходимо, чтобы в Фирме работали не менее двух Администраторов (на случай отсутствия, занятости, увольнения и т.п. одного из них). Это могут быть и штатные программисты Фирмы, принимающие непосредственное участие в администрировании сети.

. Необходимо осуществлять «административную» поддержку Администратора ЛВС со стороны руководства Фирмы: издание распоряжений и регламентов об информационной безопасности.

. Средняя зарплата квалифицированного администратора ЛВС из 30-75 раб.станций и 1-3 серверов составляет ,сегодня в Москве $450-800. В этом случае имеет смысл говорить о лояльности.

. Необходимо согласовывать с Администратором вопросы приема/увольнения сотрудников для принятия им соответствующих превентивных мер по доступу пользователя к ресурсам.

. Необходимо согласовывать с Администратором вопросы перевода сотрудников и подразделений Фирмы в новые помещения, а также вопросы размещения других организаций на территории Фирмы.

. В случае увольнения Администратора (одного из Администраторов) после объявления ему об увольнении (или о получении информации об уходе Администратора из Фирмы) следует максимально ограничить его доступ ко всем ресурсам Фирмы — эти действия должны регламентироваться письменным приказом руководителя Фирмы другим Администраторам. в течение одного «нерабочего периода» (ночь, выходные, праздники) произвести полную смену системы паролей и политики присвоения паролей, а также произвести изменение политики хранения и маскировки информации.

Недаром в популярном американском руководстве для топ — менеджеров говорится: «Увольняйте системного программиста внезапно. Вежливо проводите его до дверей и подайте шляпу. Обещайте ему помощь в случае трудностей. Дружески помашите рукой. И главное: категорически запретите охране впускать его на территорию!»

 

Пользователи.

Подходит ламер к хакеру и показывает ему листинг своей неработающей программы.

— Скажи, в какой части кода у меня ошибка.

— в днк !!!

Пользователи представляют наибольшую угрозу для безопасности сети и данных. Чаще всего компьютеры становятся жертвой небрежности пользователей, которые случайно удаляют «не то», случайно затирают файлы при копировании или выключают машины, блокируя открытые файлы. Более всего надо быть бдительными с недовольными пользователями. Затраты на повышение компьютерной грамотности персонала Фирмы окупаются многократно.

Особенность любой Системы информационной безопасности состоит в том, что она должна быть прозрачной и незаметной для пользователя; чтобы ее было нельзя обойти и игнорировать. У пользователя должно быть только ощущение того, что любые его неправильные или неправомочные действия в системе будут обнаружены, идентифицированы      специалистами    по  информационной безопасности и наказаны руководством Фирмы.

 

***

Что же делать?

Увольнять только по закону! Установить ответственных за сохранность информации на магнитных носителях. Чтить не только уголовный, но и остальные (трудовой, налоговый, семейный и т.д.) кодексы. Написать Политику безопасности. Определить перечень коммерческой тайны. Определить список лиц, допущенных к персональным данным. Издать приказ о введении режима защиты коммерческой тайны и конфиденциальной информации. Согласовать с руководством ЧОПа инструкцию охранно-пропускного режима. Провести подписание сотрудниками Обязательства о неразглашении. Издать положение о профессиональной тайне. Определить порядок увольнения сотрудников. Провести занятия по юридической подготовке охранников. Внести в коллективный договор пункты о защите коммерческой тайны. Внести в должностные инструкции положения о защите персональных данных. Проинструктировать сотрудников (особенно, юристов и руководителей) по поведению во время нештатных ситуаций. Ввести дисциплинарный штраф в 4МРОТ за нарушение инструкции по выносу конфиденциальной информации и, наконец, оштрафовать кого-нибудь. Подать иск в арбитражный суд по итогам прошедшей налоговой проверки.

Раздать личные печати ключевым сотрудникам. Провести перегруппировку информации с целью концентрации ценной и конфиденциальной информации в наиболее защищаемых местах. Определить бюджет комплекса мероприятий по защите информации. Провести оргштатную диагностику с целью оптимизации информационных потоков. Определить состояние компании на рынке: конкуренты и их возможности, обиженные вами и их возможности. Забыть о «черном нале». Стать законопослушным налогоплательщиком. Подобрать руководителя службы безопасности. Повысить зарплату системному администратору. Переподчинить службу технической поддержки от завхоза администратору безопасности. Познакомиться с руководством местной милиции, ФСБ и налоговой полиции. Отправить админа на курсы по сетевой безопасности. Сходить на выставку «Безопасность». Увезти на дачу резервные копии архивов. Поставить решетки на окна первого этажа. Залезть на форум hackzone. Договориться с ЧОПОм, чтобы разрешили самим подбирать охранников. Запретить сотрудникам хранить на С: рабочие файлы. Проверять ноутбуки перед выносом на наличие лишней информации. Провести аудит информации. Определить потенциальные угрозы — виды и источники. Узнать телефоны местных отделений милиции, ФСБ, ФСНП и службы спасения. Выписать журнал «Мир безопасности». Определить местонахождение информации. Научить секретарей отвечать на вопросы о сотрудниках. Не отвечать на СПАМ. Поменять форму пропусков на территорию компании. Стереть с главного сервера Carmageddon. Купить лицензионный Windows2000Server. Ежемесячно просматривать распечатки сотовых телефонов, предоставленных сотрудникам компанией. Унифицировать ПО на компьютерах сотрудников. Убрать с диска все электронные архивы старше двух лет. Ограничить доступ в конференц-зал. Разработать план экстренной эвакуации. Узнать, у кого из сотрудников есть дома компьютеры. Узнать внутренний телефон электрика. Узнать, на какие деньги секретарша купила джип. Составить схему оповещения сотрудников с «подлетным» временем и наличием машин. Подкинуть в каталог top_secret новые картинки. Ввести порядок ежемесячной замены zip­дискет ключевых сотрудников на новые с уничтожением старых. Просматривать логи ежедневно. Заставить себя прочитать «Хакер». «Зачистить» кабинет. Отгородить место для ждущих посетителей от входа в конференц-зал и поставить вечноработающий телевизор.

Поручить админу еженедельно предоставлять перечень сайтов, посещаемых сотрудниками. Снять сервис server с машин. Поставить pgp себе и постоянным корреспондентам. Поставить источники бесперебойного питания на сервер и машины ключевых сотрудников. Поставить железную дверь на черный ход. Сделать дубликаты всех ключей. Включить аудит интернет ресурсов, посещаемых сотрудниками. Поставить видекамеру на черный ход. Включить аудит телефонных звонков на АТС. Купить платку записи сигнала с видеокамер. Поставить вместо MicrosoftMail ExchangeServer. Запретить в NТ-ях показ имени предыдущего пользователя. Поменять пароль на 14-значный. Купить запасной концентратор и два жестких диска — пусть лежат. Исключить геН.директора из группы администраторов домена. Организовать резервн,ое копирование ценной информации. Купить внешний магнитный носитель для секретной информации. Организовать дублирование интернет-почты. Снять совместимость паролей с LanMan. Убрать из корневого контекста сервера NetWare4 bindery. Установить в архиве автоматические средства пожаротушения. Купить новые огнетушители. Купить средства защиты эфира в конференцзале. Сделать замки на шкаф с данными

клиентов. Купить шкаф для хранения ноутбуков. Купить огнеупорный сейф вместо этого железного ящика. Проверить систему пожарной безопасности — работает ли? Обновить антивирус. Вайпировать стертые файлы из каталога from_inet. Купить аппаратный файрвол.

Полить кактус. Покормить рыбок.

 

Материалы семинара группы компаний РУСАУДИТ                         

Комментариев нет

No comments yet.

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Авторские курсы Е.И. Гаврюшина «Практическая Аналитика» © 2005-2007