Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов
Кроме того, когда каждый сотрудник, считающий себя великим спецом по безопасности, начинает самостоятельно «защищать» свои документы, - это подставляет под удар всю фирму, потому что чёрт его, сотрудника, знает, что именно он подразумевает под защитой – возможно, простое архивирование с паролем «123».
Ну и с другой стороны, если сотрудник вполне хорошо зашифровал свои документы, а потом ты по каким-то причинам решил его уволить, – это чревато ситуацией, когда вам с админом нужно будет расшифровать десять мегатонн зашифрованных PGP файлов, чтобы найти то что вам нужно. Ну, не десять. Ну, пять. Или даже один. Но PGP вы с админом не расшифруете, мы об этом уже говорили…
Колпак старины Мюллера
Раз уж мы затронули тему личной жизни сотрудников в твоем офисе, вполне имеет смысл поговорить о том, как именно лёгкое нарушение их личной жизни может вполне благотворно влиять на безопасность всей фирмы.
Тебе нужно контролировать каждого сотрудника – это аксиома. Не грубо, и даже не зримо. Простая дружеская проверка, как говаривал старина Мюллер, а этот человек понимал толк в подобных вещах.
Не нужно устанавливать камеры наблюдения во всех комнатах – это очень сильно деморализует сотрудников. В конце концов, это уже действительно privacy – может, женщинам нужно поправить модные трусики, впившиеся в попку, а мужикам хочется после обеда положить щеку на монитор и поспать пять минут, иначе он не человек. Они не хотят, чтобы ты это видел – имеют право. Тебе и не нужно это видеть. А вот что творится на их компьютерах – видеть не просто нужно, но и необходимо!
Как это сделать? Административными методами. Точнее, методами компьютерного администрирования. Твой админ должен на каждый персональный компьютер поставить маленькую программку-шпиона, которая просто-напросто будет записывать все действия сотрудника: когда он включил компьютер, когда выключил, какие программы запускал, какие действия с файлами производил. Все это аккуратненько пишется в обычный отчёт на сервере, который в любой момент времени может проанализировать админ, ты или специальный человек, занимающийся безопасностью. Уверяю тебя, что пытливому глазу в отчёте будет видно абсолютно всё, чем сотрудник занимается на работе. И если пяти-десятикратный запуск Lines или Solitaire вполне можно проигнорировать – в конце концов, все мы люди, и раз сотрудник нормально работает, почему бы не простить ему эти маленькие слабости, - то если вдруг в отчете обнаружится запуск посторонней копии PGP или будет видно, что сотрудник создает некие документы в локальных папках, а также работает с локальным почтовым ящиком – это уже повод аккуратно покопаться в его компьютере и посмотреть, не завелась ли в офисе крыса.
Ну и конечно, админ, налаживая компьютер каждого пользователя, должен предусмотреть возможность входа в этот компьютер с полными правами доступа. А пользователь не должен иметь админских прав на своем собственном компьютере.
Вроде бы это звучит как само собой разумеющееся, но я неоднократно встречался с ситуацией, когда нужно было покопаться в компьютере крысы и выяснялось, что у этого сотрудника был админский вход, благодаря которому он сменил все пароли и достаточно надежно закрыл свой жёсткий диск от посторонних. Я-то с такими вещами справляться умею, но местные админы были в некоторой растерянности. На вопрос, какого чёрта они оставили пользователю админские привилегии, эти деятели лепетали, что, дескать, у них-то самих оставался админский вход. Как будто было сложно предположить заранее подобную ситуацию: пользователь с админским входом возьмет да и поменяет пароли других админских входов. Детский сад, трусы на лямках, но тем не менее это было неоднократно.
Безбумажный офис безбашенных секретарш
Любые бумаги в офисе – страшное зло! Это аксиома. Потому что бумаги:
Неудобно хранить, они занимают кучу места;
Почти невозможно искать;
Крайне сложно копировать;
Невозможно редактировать;
Очень тяжело уничтожать;
Жутко неудобно каталогизировать.
И действительно, в наш век невиданного прогресса науки и техники, когда космические корабли бороздят соответствующие пространства, дикое количество офисов до сих пор занимаются всей этой бумажной волокитой и, что самое страшное, вовсе не собираются от этого отказываться!
Между тем, с бумагами действительно не сделать ничего путного. Попробуй найти нужную бумажку даже среди документов одной офисной папки! А среди разных папок одного шкафа?!! А среди разных шкафов одного офиса?!! Да от этого же просто башню сорвёт! То ли дело на компьютере: нажал кнопочку, вбил слово для поиска и через несколько секунд получил список всех документов с данным словом, выбранных хоть из сотни, хоть из тысячи, хоть из десятков и сотен тысяч файлов…
Кроме того, что делать с бумажками в случае всё того же времени Ч? Бумажки не шифруются, через шредер уничтожаются крайне медленно, сжигаются – ещё медленнее, а кроме того, от процесса горения очень много грязи… Вот в «Логовазе» крысы сожрали девять тонн документов, но где же сейчас найти таких крыс?
Поэтому единственный разумный выход – безбумажный офис! Ну, не то чтобы совсем безбумажный – пока электронная подпись ещё не досконально закреплена законодательно, невозможно на сто процентов избавиться от бумажных документов, - но по крайней мере нужно создать такой документооборот, при котором всё, что можно, переводится в электронную форму.
Каким образом? Да сканером, разумеется. Приобрети в контору несколько сканеров и попроси админа расставить их по всем отделам. (Для подобной задачи годятся сами обычные любительские сканеры, а эти устройства сейчас стоят едва ли дороже обеда на двоих в очень среднем ресторанчике Нью-Йорка. Да, покупая сканер, прикажи админу убедиться, что на нём есть автоподатчик, - это сократит время сканирования многостраничных документов в разы.) После этого заставь всех сотрудников каждую бумажку сканировать и заносить получившийся файл в полагающуюся папку на сервере.
Но тут нужно четко усвоить один важный момент. Если документ сканировать как есть, без обработки, то он получается в виде графического файла – то есть обычной картинки. Хранить его в таком виде – крайне неудобно, потому что, во-первых, такой текст нельзя отредактировать, во-вторых, по нему нельзя ничего искать, и в-третьих, он получается огромных размеров.
Чтобы всего этого избежать, при сканировании документа проводится волшебная штука под названием OCR – оптическое распознавание текста (англ. - optical character recognition). Работает она очень просто (то есть со стороны пользователя выглядит это всё очень просто). Сразу после сканирования текста специальная программа анализирует получившийся графический файлик и пытается там распознать буквы, цифры и символы. Если текст чёткий и нерукописный (пишущая машинка, компьютерная распечатка), то его, как правило, можно распознать почти со 100-процентной точностью и перевести в любой из стандартных текстовых форматов – да хоть в тот же Word. В случае, если в тексте встречаются картинки – иллюстрации, логотипы, ручные подписи, печати – то они так и остаются обычными картинками.
В результате получается обычный вордовский файл, с которым уже можно делать всё, что угодно: редактировать, печатать, менять в нем иллюстрации и так далее и тому подобное. Кроме того, и это очень важно, в нем можно производить поиск различных строк, что особенно актуально, когда нужно срочно найти необходимый документ по заданной строке среди десятков, сотен и тысяч файлов.
Современными программными средствами OCR производится практически автоматически. Дошло уже до того, что работников уже можно вообще не обучать технологиям сканирования и распознавания: они просто кладут листочек в сканер, нажимают на нём кнопочку, а он запускает специальную программу сканирования-распознавания (в России для этих целей в основном используют систему Fine Reader, хотя существуют и другие программы, решающие подобные задачи), которая сканирует и распознает текст. Пользователю при этом остается только дать имя своей боли – то есть имя получившемуся файлу Word, - и указать, в какую папку на сервере поместить этот документ. Уверяю тебя, это вполне по силам даже секретарше-блондинке с огромными сис… систематическими знаниями. Хотя чтобы система была логичной, дай команду админу научить всех давать файлам значимые имена. Искать что-то в папке со сто сорока файлами doc1.doc открывая их подряд, так у секретарши и на тебя времени не хватит.