Ошибка: Failed to parse the Currency Converter XML document.
$43 634.41


Ошибка: Failed to parse the Currency Converter XML document.
$2 744.85


Ошибка: Failed to parse the Currency Converter XML document.
$1 910.75


О политике защиты информации и надоевшей проблеме пользовательских паролей

Если вы работаете в той же сфере, что и я, то наверняка должны выполнять различные требования по информационной безопасности. В зависимости от вида деятельности, такие требования могут быть выражены в письменном или устном виде.

Большинство организаций, политика безопасности которых соответствует нормативным актам HIPPA/GLBA/SOX/PCI, требуют от каждого сотрудника ставить подпись о согласии соблюдения принятых требований перед началом работы и предоставлением доступа в сеть. Множество компаний заставляют персонал проходить курс лекций и семинаров-тренингов по информационной безопасности либо участвовать с специальных онлайн-семинарах Webinar. На них сотрудники обычно получают представление о допустимых условиях работы в сети, о том, как правильно создавать пароли, о социотехнике и методах борьбы с ней. Также там объясняется порядок процесса обработки и уничтожения документов. Если политика продумана хорошо, то дополнительно будет предоставлена информация по классификации документов.


Приведённые выше аббревиатуры расшифровываются как Healthcare Portability Act/ Gramm, Leach, Bliley Act/ Sarbanes-Oxley/ и Payment Card Industry соответственно. Есть и другие нормативные акты по защите информации для организаций; эти приведены в качестве примера, поскольку являются наиболее популярными.


Раз уж компании проделывают всю эту работу по обучению персонала, логично предположить, что они ждут от сотрудников выполнения всех этих предписаний. Однако на практике дела нередко обстоят иначе.

Не поймите меня превратно, организациям действительно хочется, чтобы персонал следовал утверждённым правилам. В большинстве случаев разрабатываются стандарты аудита пользователей, которым необходимо соответствовать. Дело в том, что во многих организациях не просчитано взаимодействие различных пунктов политики информационной защиты таким образом, чтобы средний пользователь мог следовать всем им и при этом нормально выполнять свою работу. Вот здесь и могут вступить в игру IT-специалисты.

Рассмотрим пункт о сложности и длине паролей. Обычно пароль должен содержать буквы верхнего и/или нижнего регистра, цифры и специальные символы. Минимально допустимая длина пароля обычно равна восьми символам. В наши дни пользователям часто приходится иметь несколько паролей для входа в различные системы, и для того чтобы их запомнить, они нередко предпочитают записывать их где-нибудь. Я даже видел пользователя, который записывал их на панели монитора! С некоторыми проблемами порой крайне трудно справиться. Большинство сотрудников старается спрятать такие записи подальше от посторонних, но многие оставляют их в далеко не труднодоступных местах. Я могу помочь в этой ситуации.

Прекрасным решением может послужить внедрение программного обеспечения для хранения паролей. На моём Mac-е установлена утилита Keychain. С её помощью можно осуществлять управление и хранение паролей в зашифрованном виде (либо защитив доступ к ним главным паролем). Это простая и удобная программа. Не хуже и другая утилита — Password Safe, с открытым исходным кодом. Доступ к ней осуществляется посредством ввода главного PIN-кода. Также существуют различные виды специальных утилит для предприятий.

Если принципы сетевой организации в вашей компании схожи с принципами в моей, это значит, что процесс установки нового программного обеспечения на системы конечных пользователей протекает сложно и долго. Попробуйте пойти другим путём.

В большинстве офисных боксов имеются запирающиеся стеллажи или ящики. Я советую пользователям хранить свои пароли там. По крайней мере, они будут заперты. Владельцам лэптопов, не имеющих в наличии защитного кабеля, но имеющих стеллаж или ящик с замком, я рекомендую прятать туда свои ноутбуки на ночь. Помню, я как-то рано утром пришёл в офис и увидел, что уборщик возится с мусорной корзиной, в которой лежало несколько ноутбуков. С тех пор я стал гораздо бдительнее.

Если у вас нет ключа от ящика и стеллажа, попросите менеджера или завхоза выдать его. Если в вашей организации есть контролёры, обеспечивающие выполнение требований, или служба безопасности, обратитесь за помощью к ним, эти люди должны посодействовать вам в решении данной проблемы. Я никогда не слышал о случаях, когда сотруднику не предоставили бы ключ, хотя всё же есть вероятность того, что такое может произойти.

Как видите, решение очень простое, поэтому не думаю, что у персонала могут возникнуть проблемы с соблюдением этого пункта. Самое важное в политике безопасности предприятия — обеспечение доступности соответствия её требований конечными пользователями. Нужно сделать так, чтобы соблюдение правил не вызывало трудностей.

Иногда мы, сотрудники информационного отдела, забываем, что конечный пользователь выполняет совершенно иную работу, чем мы. Самым важным в их деятельности является возможность использовать инструменты, помогающие выполнять поставленные перед ними цели. Они ждут отдачи от своих усилий. Когда мы, администраторы, начинаем вставлять им палки в колёса, отдачи не происходит.

А какие советы по защите паролей можете дать сотрудникам вы?

Автор: Tricia Liebert

 

Интересное

Java-приложение: заглянем...
Чтобы отладить приложение, можно поступить по-разному. Во-первых, можно воспользоваться штатным отладчиком из какого-либо программного пакета. Во-вторых, можно самостоятельно вычислить ошибку...
Подробнее...
Введение в технологию SSI
Если вы первый раз слышите о SSI — Server Side Includes, то эта статья как раз для вас. Я не претендую на подробное изложение материала — для этого есть специальная литература.Так вот, на...
Подробнее...
Многоязычность в РНР
Что же я имел ввиду, говоря о мультиязычности. Ну, наверняка каждый из моих достопочтенных читателей не раз видели крутые порталы и между всем сбродом информации находили две маленькие иконки,...
Подробнее...
Чем плохи новые видеокамеры
Обычно от того, что пленочные кассеты становятся достоянием истории, потребитель только выигрывает. Так было, к примеру, когда DVD-плееры пришли на смену кассетным видеомагнитофонам. Но с...
Подробнее...
FAQ по разделу CGI интерфейс
Как мне сделать аутентификацию на Перле, а не средствами веб-сервера?:Для того, чтобы браузер выдал запрос логина и пароля, скрипт должен выдать следующие заголовки: print «WWW-Authenticate:...
Подробнее...
100 компьютерных фактов
Когда я был мелким карапузом, я любил читать все подряд. Особенный интерес у меня вызывали книжки из серии «Хочу все знать», так как я мечтал стать межгалактическим диктатором, а для этого...
Подробнее...
Полезные возможности...
Утилита Windows XP «Восстановление системы» (System Restore) позволяет возвращать последнюю удачную конфигурацию системы в случае возникновения различных проблем. Для этого утилита постоянно...
Подробнее...
ПО WWW БЕЗ СЛЕДОВ
Путешествуя по Интернету, мы не часто задумываемся о том, что оставляем следы своих посещений каждый раз, когда заходим на какой-либо сайт. Пожалуй, об этом и не стоило бы беспокоиться, если бы не...
Подробнее...
Проектирование...
Информационная среда WWW базируется на технологии гипертекста, в основе которой лежит концепция связывания документов с помощью ссылок. Именно ссылки объединили Интернет в единое пространство, дав...
Подробнее...
Привлекательные сайты...
Все эти проблемы имеют одно и то же решение – КОНТЕНТ. Контент, имеющий прямое отношение к теме сайта и обновляется регулярно, делает сайт «привлекательным». Привлекательные сайты оправдывают свое...
Подробнее...