Поводом к написанию данного письма послужил цикл статей Дмитрия Бардияна (x403@yandex.ru) в номерах 38, 41 за прошлый год и номере 15 за нынешний год. В своей последней статье он выставил системных администраторов, особенно частных предприятий, совершенными "чайниками", не сведущими в вопросах системной политики. И сейчас мне хотелось бы немножко обелить их честное имя.

Во-первых, примем как данность, что допускаемый к работе за компьютером фирмы сотрудник (даже находящийся на стажировке) должен ознакомиться не только с правилами техники безопасности (что требуется законодательством), но и с внутренними документами, регламентирующими информационную политику предприятия. Документ о неразглашении коммерческой тайны, а также соглашение о принятии политики ограничения доступа к информации и политики резервирования относятся к их числу. На некоторых предприятиях вводится также документ, определяющий меры ответственности за причиненный третьим сторонам (производителям программного обеспечения или интернет-провайдерам) ущерб, если он был нанесен с использованием техники работодателя.

При приеме на работу в отделе кадров предприятия составляют договор полной материальной ответственности сотрудника за выделенный ему компьютер. К договору прилагается расписка в получении, а также акт опломбирования системного блока компьютера. Одним из положений политики информационной безопасности является запрет пользователю самостоятельно, без ведома как непосредственного руководителя, так и системного администратора, вносить изменения в аппаратную конфигурацию компьютера. Таким образом, внутренний модем без нарушения пломбировки в компьютер установить становится невозможно. Администратор, как правило, блокирует в BIOS порты COM/LPT/USB и закрывает его паролем, так что без сброса батареи (опять же, взлома пломбы) подключить внешний модем (хоть бы и IRDA-USB мобильный) становится проблематично.

Если же использование некоторых портов все же требуется технологическим процессом, в дело вступает программа типа DeviceLock, которая отслеживает обращение к портам и блокирует подключение несертифицированных администратором устройств (от упомянутого адаптера до USB-флэшек). Следующим моментом, на котором бы хотелось остановиться - включение маршрутизации как службы. Одним из пунктов в политике информационной безопасности является запрет на самостоятельное внесение изменений в программную конфигурацию компьютера - таких, как свойства сетевых подключений, запуск и остановка служб, доступ в реестр, установка и удаление программ и масса других особенностей. Таким образом, системный администратор имеет право наложить взыскание за нарушение политики, и даже передать это вышестоящему начальству.

Плюс к тому, видно, что автор цикла работал над первыми двумя статьями для администраторов, а вот третья у него получилась смазанной именно потому, что простому пользователю любой администратор, накладывая Policy, запретит самостоятельно запускать службы, делать записи в ветку реестра, касаемую служб, или вообще запускать REGEDIT.

Вообще, обидно, что такой огромный пласт работы системного администратора, как наложение прав доступа и определение политики системной безопасности не находит достойного места на страницах хорошего издания.

Mexicanetz Express

От редакции:

Уважаемый Mexicanetz Express!

Понимая Ваши чувства, все же хочу отметить, что если следовать Вашей логике, то простую операцию по замене CD-ROM'a можно точно так же отнести к противоправным действиям. Ведь в нормальной "конторе" корпус ПК должен быть надежно закрыт.

Согласны? Кстати, Ваши статьи тоже можно отнести к "неправильным"... Они ведь тоже не для простых смертных и из них можно почерпуть знания, совершенно вредные для "чайников". Если идти дальше, то нужно перестать публиковать статьи и о новом софте, так как только мудрый админ имеет право решать чем пользоваться глупому "юзверю". А тему всякого там интернета лучше и не вспоминать - нет ничего в природе, кроме Outlook и Explorer, и все тут. Даешь каждому пользователю по одному окну (зарешеченному) и по одному письму (от админа).

А если серьезно, то этот материал можно рассматривать и именно как материал для админов. Ведь кому, как не им, предстоит следить за выполнением внутренних правил предприятий. А посему - врага нужно знать в лицо.