Памятка начальнику IT отдела

Уважаемый начальник IT отдела / системный администратор! Вполне вероятно, что после нашей презентации, в вашем офисе, вам предложат самостоятельно обеспечить IT-безопасность. При всей кажущейся простоте данного мероприятия, мы рекомендуем ознакомиться с наиболее распространенными ошибками Ваших коллег, чтобы не оказаться заложником этого проекта.

Книга Электронные самоделки

Узнать особенности всех "подводных камней", вы можете отправив письмо по адресу:

Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript

Мы должны сразу оговориться. Цель данной статьи ни в коем случае не подвергнуть сомнению ваши возможности как специалиста. В действительности, вероятность того, что вы самостоятельно сделаете все что пожелаете, и пожелает ваше начальство - несомненно высока. Вопрос лишь какая действительная цена этой реализации. Именно этот вопрос мы и хотим раскрыть, а выполнять ли самостоятельно проект либо нет решать несомненно вам.

Пункт 1. Ответственность сторон.

Как в любом проекте, любая инициатива поощряется и соответственно расширяется ваша зона ответственности. Это означает, что в 90% случаях вы будете отвечать за:

   1. Работоспособность всех выбранных вами модулей криптографического преобразования. Если в какой-нибудь день, программа которую вы выбрали откажется распознавать контейнер под вашей ОС, неважно по какой причине, компания которой нужна спрятанная база данных или прочие документы будет терпеть убытки. Это и есть один из существенных недостатков открытого ПО. Оно поставляется "как есть" и вам не будет к кому обратиться (к разработчику) кроме как к форуму поддержки. Так, один из наших клиентов, в процессе установки бесплатного приложения обеспечил и помог залатать разработчику 3 существенных бага. Мы рекомендуем письменно затребовать с руководства обязательство не применять к вам никаких санкций в случае невозможности восстановить все данные, даже при работающем, актуальном ключе. Это позволит избежать возможных недоразумений, так как экономия должна быть оправданной.
   2. Функционирование существующих программных продуктов. Даже при том, что на сайтах многих открытых продуктов заявлена их совместимость с серверными операционными системами, о том что эти продукты корректно работают с такими программами как Active Directory, поддерживают аппаратный или программный RAID, ничего зачастую не сказано. Мы рекомендуем проконсультироваться с поставщиком основных продуктов, функционирующих на серверах вашей компании, к примеру Microsoft SQL Server, на предмет опыта совместимости с выбранным вами продуктом защиты информации.
   3. Невозможность раскрытия злоумышленником информации. Так, к примеру, в случае если построенная вами архитектура реагирования на угрозы не сработала, и злоумышленник завладел ценной информацией, ответственность должна определяться по результатам инцидентного анализа. Мы рекомендуем действовать согласно разработанных самостоятельно политик и правил, чтобы избежать возможных недоразумений и возможных обвинений.
   4. Простой оборудования и отказ в обслуживании серверов в процессе установки ПО. Будьте готовы иметь резервные кластерные сервера, которые заменят полноценно временно отправленные за установку системы защиты (установка зачастую требует значительных системных ресурсов и продолжается в среднем от 2-3 часов в зависимости от размера дискового пространства и выбранного алгоритма шифрования, а также от метода перезаписи кластеров). Мы рекомендуем запастись терпением, поскольку действия других отделов компании при отсутствии доступа к данным зачастую непредсказуемы.

Пункт 2. Риски.

В процессе создания системы защиты информации, у даже самого профессионального разработчика могут возникнуть непредвиденные сложности, которые отодвинут на задний план его основную деятельность, существенно отнимут временные ресурсы. При всем этом результат исхода проектирования, создания кода, отладки и функционирования может быть неутешительным. Мы рекомендуем предусмотреть такие условия вашей деятельности, при которых все риски по неудачному исходу будут лежать не на вас. Это касается как финансирования данного мероприятия так и попросту затраченного на это времени.

Пункт 3. Особые навыки и способности.

В ваших интересах обеспечить себе новые знания и навыки, поскольку успешная реализация проекта информационной защиты предприятия включает в себя создание, описание, документирование всей архитектуры защиты, с полным распределением прав доступа пользователей. Мы рекомендуем документировать все разработки, так как показывает практика, спустя определенное время, меняются обстоятельства, обслуживающий персонал и т.д. и нигде не сказано, кто имеет право доступа к ключу, уборщица или генеральный директор.

Мы считаем что приведенного достаточно чтобы вы сопоставили объем возлагаемых на вас исследований/изысканий/работ/ с суммой которая покрывает ваши старания.

Удачи вам!

Список дополняется по мере поступления новой информации.