0

Инструкция по компьютерной безопасности

Трудовой кодекс обязывает работодателей обеспечить безопасные условия и охрану труда работников на каждом рабочем месте (ст. 212 ТК РФ). Посмотрим, каковы требования техники безопасности при работе за компьютером и в целом правила работы за компьютером.

Техника безопасности при работе с ПК

Важно, что к работе на персональном компьютере допускаются лишь те работники, которые прошли обучение безопасным методам труда, вводный инструктаж и первичный инструктаж на рабочем месте (п. 1.1 Типовой инструкции по охране труда при работе на персональном компьютере ТОИ Р-45-084-01 ). Объясняется это тем, что при эксплуатации компьютера на человека воздействует электромагнитное излучение, статистическое электричество, он работает в среде с пониженной ионизацией воздуха, долго находится в одном физическом положении. Кроме того, происходит перенапряжение зрительных анализаторов человека (п. 1.2 ТОИ Р-45-084-01 ).

Требования к организации рабочего места при работе за компьютером

Техника безопасности за компьютером вводит определенные требования к организации рабочих мест с компьютерами ( пп. 1.4-1.6 ТОИ Р-45-084-01 ). Рабочие места с компьютерами должны размещаться так, чтобы между боковыми поверхностями мониторов было не менее 1,2 м, а расстояние между экраном и тылом двух мониторов было не менее 2,0 м. Монитор надо размещать так, чтобы естественный свет падал сбоку, преимущественно слева. Оконные проемы в помещениях с компьютерами должны быть оборудованы жалюзи, занавесками и прочими средствами защиты от яркого естественного света.

Правила безопасности при работе с компьютером

Инструкция устанавливается требования безопасности перед началом работы (разд. 2 ТОИ Р-45-084-01 ), а также непосредственно правила работы за компьютером (разд. 3 ТОИ Р-45-084-01 ). В частности, работникам запрещено при включенном компьютере прикасаться к задней панели системного блока или переключать разъемы интерфейсных кабелей периферийных устройств.

С целью охраны здоровья работников запрещено непрерывно работать с компьютером более 2-х часов (п. 3.2 ТОИ Р-45-084-01 ). В принципе работникам, работающим за компьютером, положены регламентированные перерывы в течение рабочего дня, которые входят в рабочее время. Подробно мы рассказали об этом здесь.

Иные правила работы за компьютером

Еще один документ, регулирующий требования безопасности при работе с ПК – это СанПиН 2.2.2/2.4.1340-03 , утв. Постановлением Главного государственного санитарного врача от 03.06.2003 N 118. Этот документ устанавливает:

  • требования к компьютерам;
  • требования к помещениям для работы на компьютере;
  • требования к микроклимату на рабочих местах с компьютером;
  • требования к уровню шума и вибрации, освещению на рабочих местах с компьютером и т.д.

Выполнение требований указанного СанПиН возложено в том числе на работодателей, осуществляющих эксплуатацию персональных компьютеров ( пп. 1.7-1.9 СанПиН 2.2.2/2.4.1340-03 ).

Инструкция пользователя по обеспечению информационной безопасности.

1. Общие положения

1.1. Настоящая Инструкция определяет основные обязанности и ответственность пользователя, допущенного к обработке конфиденциальной информации.

1.2. Пользователь при выполнении работ в пределах своих функциональных обязанностей, обеспечивает безопасность конфиденциальной информации и несет персональную ответственность за соблюдение требований руководящих документов по защите информации.

2. Основные обязанности пользователя:

2.1. Выполнять общие требования по обеспечению режима конфиденциальности проводимых работ, установленные законодательством РФ, внутренними документами организации и настоящей Инструкцией.

2.2. При работе с конфиденциальной информацией располагать во время работы экран видео монитора так, чтобы исключалась возможность просмотра отображаемой на нем информации посторонними лицами.

2.3. Соблюдать правила работы со средствами защиты информации и установленный режим разграничения доступа к техническим средствам, программам, базам данных, файлам и другим носителям конфиденциальной информацией при ее обработке.

2.4. После окончания обработки конфиденциальной информации в рамках выполнения одного задания, а также по окончании рабочего дня, произвести стирание остаточной информации с жесткого диска персонального компьютера.

2.5. В случае выявления инцидентов информационной безопасности (фактов или попыток несанкционированного доступа к информации, обрабатываемой в персональном компьютере или без использования средств автоматизации) немедленно сообщить об этом в Департамент экономической безопасности, по требованию руководителя подразделения написать служебную записку на имя руководителя подразделения и принять участие в служебной проверке по данному инциденту.

2.6. Самостоятельно не устанавливать на персональный компьютер какие-либо аппаратные или программные средства.

2.7. Знать штатные режимы работы программного обеспечения, основные пути проникновения и распространения компьютерных вирусов.

2.9. Помнить личные пароли и персональные идентификаторы, хранить их в тайне, не оставлять без присмотра носители, их содержащие, и хранить в запирающемся ящике стола или сейфе. С установленной периодичностью менять свой пароль (пароли).

2.10. При применении внешних носителей информации перед началом работы провести их проверку на предмет наличия компьютерных вирусов средствами персонального компьютера.

2.11. Знать и строго выполнять правила работы с установленными на его персональном компьютере средствами защиты информации (антивирус, средства разграничения доступа, средства криптографической защиты и т.п.) в соответствии с технической документацией на эти средства.

2.12. Передавать для хранения установленным порядком свое индивидуальное устройство идентификации (Touch Memory , Smart Card , Proximity и т.п.), другие реквизиты разграничения доступа и носители ключевой информации только руководителю подразделения или ответственному за информационную безопасность.

2.13. Надежно хранить и никому не передавать личную печать.

2.14. Немедленно ставить в известность Департамент экономической безопасности и руководителя подразделения при обнаружении:

  • нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах или иных фактов совершения в его отсутствие попыток несанкционированного доступа к закрепленной за ним защищенном персональном компьютере;
  • некорректного функционирования установленных на персональный компьютер технических средств защиты;
  • отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию персонального компьютера, выхода из строя или неустойчивого функционирования узлов персонального компьютера или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения.

2.15. По завершении работ по изменению аппаратно-программной конфигурации, закрепленной за ним персонального компьютера проверять его работоспособность.

3. Обеспечение антивирусной безопасности

3.1.Основными путями проникновения вирусов в информационно-вычислительную сеть организации являются: съемные носители информации, электронная почта, файлы, получаемые из сети Интернет, ранее зараженные персональные компьютеры.

3.2. При возникновении подозрения на наличие компьютерного вируса (сообщение антивирусной программы, нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) пользователь должен провести внеочередной антивирусный контроль персонального компьютера.

3.3. В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов пользователь ОБЯЗАН:

  • прекратить (приостановить) работу;
  • немедленно поставить в известность о факте обнаружения зараженных вирусом файлов своего непосредственного руководителя, ответственного за информационную безопасность, а также смежные подразделения, использующие эти файлы в работе;
  • оценить необходимость дальнейшего использования файлов, зараженных вирусом;
  • провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта следует привлечь администратора системы).

3.4. Пользователю ЗАПРЕЩАЕТСЯ:

  • отключать средства антивирусной защиты информации;
  • без разрешения копировать любые файлы, устанавливать и использовать любое программное обеспечение, не предназначенное для выполнения служебных задач.

4. Обеспечение безопасности персональных данных

4.1. Основанием для допуска работника организации к обработке персональных данных в рамках своих функциональных обязанностей является Перечнем должностей, утвержденным директором организации и должностная инструкция работника. Основанием для прекращения допуска к персональным данным является исключение из Перечня должностей, утвержденным директором организации и (или) изменение должностной инструкции работника.

Читайте также:  Идеи для снятия видео на ютуб

4.2. Каждый работник организации, участвующий в процессах обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению и базам данных системы организации, является пользователем и несет персональную ответственность за свои действия.

4.3. Пользователь ОБЯЗАН:

  • знать требования руководящих документов по защите персональных данных;
  • производить обработку защищаемой информации в строгом соответствии с утвержденными технологическими инструкциями;
  • строго соблюдать установленные правила обеспечения безопасности персональных данных при работе с программными и техническими средствами.

4.5. Пользователю ЗАПРЕЩАЕТСЯ:

  • использовать компоненты программного и аппаратного обеспечения не по назначению (в неслужебных целях);
  • использовать средства разработки и отладки программного обеспечения стандартных программных средств общего назначения (MS Office и др.);
  • самовольно вносить какие-либо изменения в конфигурацию аппаратно — программных средств персонального компьютера или устанавливать дополнительно любые программные и аппаратные средства;
  • осуществлять обработку персональных данных в присутствии посторонних (не допущенных к данной информации) лиц;
  • записывать и хранить персональные данные на неучтенных съемных носителях информации (гибких магнитных дисках, флэш — накопителях и т.п.), осуществлять несанкционированную распечатку персональных данных;
  • оставлять включенной без присмотра свой персональный компьютер, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
  • оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, носители и распечатки, содержащие персональные данные;
  • умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к нарушениям безопасности персональных данных. Об обнаружении такого рода ошибок — ставить в известность ответственного за безопасность информации и руководителя подразделения.

4.6. Особенности обработки персональных данных без использования средств автоматизации.

4.6.1. Обработка персональных данных считается не автоматизированной, если она осуществляется без использования средств вычислительной техники.

4.6.2. Допуск к не автоматизированной обработке персональных данных осуществляется в соответствии с Перечнем должностей сотрудников организации, имеющих доступ к персональным данным, которые несут ответственность за реализацию требований по обеспечению безопасности персональных данных.

4.6.3. Персональные данные при их не автоматизированной обработке и хранении должны обособляться от иной информации путем фиксации их на отдельных материальных носителях в специальных разделах или на полях форм (бланков).

4.6.4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

4.6.5. Для каждой категории персональных данных используется отдельный материальный носитель.

4.6.6. Хранение материальных носителей персональных данных осуществляется в специальных шкафах (ящиках, сейфах и т.д.), обеспечивающих сохранность материальных носителей и исключающих несанкционированный к ним доступ.

5. Обеспечение информационной безопасности при использовании ресурсов сети Интернет

5.1. Ресурсы сети Интернет могут использоваться для осуществления выполнения требований законодательства Российской Федерации, дистанционного обслуживания, получения и распространения информации, связанной с деятельностью организации (в том числе, путем создания информационного web-сайта), информационно-аналитической работы в интересах организации, обмена почтовыми сообщениями, а также ведения собственной хозяйственной деятельности. Иное использование ресурсов сети Интернет, решение о котором не принято руководством организации в установленном порядке, рассматривается как нарушение информационной безопасности.

5.2. С целью ограничения использования сети Интернет в неустановленных целях выделяется ограниченное число пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение работников организации правами пользователя конкретного пакета выполняется в соответствии с его должностными обязанностями.

5.3.Особенности использования сети Интернет:

  • сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;
  • гарантии по обеспечению информационной безопасности при использовании сети Интернет никаким органом не предоставляются.

5.4. При осуществлении электронного документооборота, в связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет организация применяет соответствующие средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии.

5.5. Почтовый обмен конфиденциальной информацией через сеть Интернет осуществляется с использованием защитных мер.

5.6. Электронная почта организации подлежит периодической архивации. Доступ к архиву разрешен только подразделению (лицу) в организации, ответственному за обеспечение информационной безопасности. Изменения в архиве не допускаются.

5.7. При взаимодействии с сетью Интернет Департамент информационных технологий обеспечивает программными и аппаратными средствами противодействие атакам хакеров и распространению спама.

5.8. При пользовании ресурсами сети Интернет ЗАПРЕЩАЕТСЯ:

  • использовать на рабочем месте иные каналы доступа персонального компьютера к сети Интернет, кроме установленного;
  • проводить самостоятельное изменение конфигурации технического и программного обеспечения персонального компьютера, подключенной к сети Интернет;
  • осуществлять отправку электронных почтовых сообщений, содержащих конфиденциальную информацию, по открытым каналам;
  • использовать иные, кроме служебных, почтовые ящики для электронной переписки;
  • открывать файлы, пришедшие вместе с почтовым сообщением, если не известен источник этого сообщения;
  • осуществлять перенос полученной по сети Интернет документированной информации в электронном виде на другие компьютеры без проверки ее антивирусными программами;
  • скачивать из сети Интернет, в том числе средствами электронной почты, информацию, содержащую исполняемые модули, программы, драйверы и т.п., без предварительного согласования с Департаментом информационных технологий;
  • использовать сеть Интернет вне служебных задач, посещать интернет – сайты, не связанные с выполнением должностных обязанностей.

6. Порядок работы с носителями ключевой информации

6.1. В некоторых подсистемах организации для обеспечения контроля за целостностью передаваемых по технологическим каналам электронных документов (далее – ЭД), а также для подтверждения их подлинности и авторства могут использоваться средства электронной подписи (далее – ЭП).

6.2. Работнику организации (владельцу ключа ЭП), которому в соответствии с его должностными обязанностями предоставлено право постановки на ЭД его ЭП, выдается персональный ключевой носитель информации, на который записана уникальная ключевая информация (ключ ЭП), относящаяся к категории сведений ограниченного распространения.

6.3. Ключевые носители маркируются соответствующими этикетками, на которых отражается: регистрационный номер носителя и, при возможности размещения, дата изготовления и подпись уполномоченного сотрудника, изготовившего носитель, вид ключевой информации — эталон или рабочая копия, фамилия, имя, отчество и подпись владельца ключа ЭП.

6.4. Персональные ключевые носители (эталон и рабочую копию) владелец ключа ЭП должен хранить в специальном месте, гарантирующем их сохранность.

6.5. Ключи проверки ЭП установленным порядком регистрируются в справочнике «открытых» ключей, используемом при проверке подлинности документов по установленным на них ЭП.

6.6. Владелец ключа ОБЯЗАН:

  • под подпись в «Журнале учета ключевых носителей» получить ключевые носители, убедиться, что они правильно маркированы и на них установлена защита от записи;
  • использовать для работы только рабочую копию своего ключевого носителя;
  • сдавать свой персональный ключевой носитель на временное хранение руководителю подразделения или ответственному за информационную безопасность в период отсутствия на рабочем месте (например, на время отпуска или командировки);
  • в случае порчи рабочей копии ключевого носителя (например, при ошибке чтения) владелец ЭП обязан передать его уполномоченному сотруднику, который должен в присутствии исполнителя сделать новую рабочую копию ключевого носителя с имеющегося эталона и выдать его взамен испорченного. Испорченная рабочая копия ключевого носителя должна быть уничтожена.
Читайте также:  Вам приятно слышать такую оценку ваших знаний

6.7. Владельцу ключа ЭП ЗАПРЕЩАЕТСЯ:

  • оставлять ключевой носитель без личного присмотра;
  • передавать свой ключевой носитель (эталонную или рабочую копию) другим лицам (кроме как для хранения руководителю подразделения или ответственному за информационную безопасность);
  • делать неучтенные копии ключевого носителя, распечатывать или переписывать с него файлы на иной носитель информации (например, жесткий диск персонального компьютера), снимать защиту от записи, вносить изменения в файлы, находящиеся на ключевом носителе;
  • использовать ключевой носитель на заведомо неисправном дисководе и/или персональном компьютере;
  • подписывать своим персональным ключом ЭП любые электронные сообщения и документы, кроме тех видов документов, которые регламентированы технологическим процессом;
  • сообщать третьим лицам информацию о владении ключом ЭП для данного технологического процесса.

6.8. Действия при компрометации ключей

6.8.1. Если у владельца ключа ЭП появилось подозрение, что его ключевой носитель попал или мог попасть в чужие руки (был скомпрометирован), он обязан немедленно прекратить (не возобновлять) работу с ключевым носителем, сообщить об этом в Департамент информационных технологий и Департамент экономической безопасности, сдать скомпрометированный ключевой носитель с пометкой в журнале учета ключевых носителей о причине компрометации, написать служебную записку о факте компрометации персонального ключевого носителя на имя руководителя подразделения.

6.8.2. В случае утери ключевого носителя владелец ключа ЭП обязан немедленно сообщить об этом в Департамент информационных технологий и Департамент экономической безопасности, написать объяснительную записку об утере ключевого носителя на имя руководителя подразделения и принять участие в служебной проверке по факту утери ключевого носителя.

6.8.3. Ответственный за информационную безопасность обязан немедленно оповестить о факте утраты или компрометации ключевого носителя руководство организации для принятия действий по блокированию ключей для ЭП указанного исполнителя.

6.8.4. По решению руководства организации установленным порядком владелец ключа ЭП может получить новый комплект персональных ключевых носителей взамен скомпрометированных.

6.8.5. В случае перевода владельца ключа ЭП на другую работу, увольнения или прекращения трудовых отношений иным образом он обязан сдать (сразу по окончании последнего сеанса работы) свой ключевой носитель ответственному за информационную безопасность под подпись в журнале учёта.

7. Организация парольной защиты

7.1. Пароль для своей учетной записи пользователь устанавливает самостоятельно.

7.2. Запрещается использовать пароль домена локальной вычислительной сети (вводится при загрузке персонального компьютера) для входа в иные автоматизированные системы.

7.2. Длина пароля должна быть не менее 7 символов. В числе символов пароля рекомендуется использовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.).

7.3. Пароль не должен включать в себя легко вычисляемые сочетания символов (логины, имена, фамилии и т.д.), а также общепринятые сокращения (персональный компьютер, ЛВС, USER и т.п.).

7.4. При смене пароля новое значение должно отличаться от предыдущего не менее чем в 5 позициях.

7.5. Пользователь обязан хранить в тайне свой личный пароль.

7.6. Требования к паролю и периодичность его смены устанавливаются в групповых доменных политиках.

8. Ответственность пользователей

8.1. Работники организации несут ответственность согласно действующему законодательству, за разглашение сведений, составляющих служебную, коммерческую и иную охраняемую законом тайну (в том числе персональные данные) и сведений ограниченного распространения, ставших им известными по роду работы.

8.2. Нарушения установленных правил и требований по обеспечению информационной безопасности являются основанием для применения к работнику (пользователю) мер наказания, предусмотренных трудовым законодательством.

99 Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания.

Скачивание начинается. Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Описание книги "[email protected] Руководство по компьютерной безопасности и защите информации для Больших Боссов"

Описание и краткое содержание "[email protected] Руководство по компьютерной безопасности и защите информации для Больших Боссов" читать бесплатно онлайн.

Увы, друг мой, защита твоей информации – или хотя бы четкое понимание того, что это такое и как подобная защита должна строиться – это Твое Личное Дело! Не Cosa Nostra (хотя твои проблемы могут стать и Нашим Делом тоже), а Cosa Roba – Твое Дело!

Я знаю, что ты солидный человек, который привык платить, чтобы за него решали проблемы. Однако есть проблемы, которые за тебя никто не решит, – даже за очень большие деньги. Например, заниматься любовью со своей женой должен ты сам. Но кто тебе сказал, что защита твоей информации – это менее интимное дело, и его можно поручить постороннему?

Первая книга по безопасности для Менеджеров, а не для ботаников-компьютерщиков, информации от широко неизвестного благодаря своей репутации эксперта международного класса. Только благодаря ей Большой Босс сможет понять, каким образом он сможет чувствовать себя хотя бы в относительной безопасности!

Ты должен сам знать, что такое безопасность информации! Ни один нанятый специалист не решит это за тебя!

Если ты нанимаешь студента-компьютерщика за двести баксов в месяц и совершенно серьезно считаешь его специалистом по информационной безопасности, – не понятно, как ты вообще смог стать менеджером подобного уровня.

[email protected] Руководство по компьютерной безопасности и защите информации для Больших Боссов

ВВЕДЕНИЕ

Ну да, ну да, я в курсе, что ты — Большой Босс. Что ты не делаешь сам те вещи, которые другие могут сделать за тебя, получив за это деньги. Поэтому ты не моешь свою машину, не ходишь сам по магазинам (за исключением бутиков и ювелирных салонов), не моешь пол и не протираешь пыль на рабочем столе. Однако даже ты знаешь, что есть вещи, которые за тебя не сделает никто.

Ты же не будешь платить деньги другим людям за то, чтобы они занимались любовью с твоей женой, правильно? Да, я знаю, что это дело интимное, а такое не доверишь посторонним. Но почему ты думаешь, что защита твоей собственной информации — любой, деловой или личной — это менее интимное дело?

Увы, друг мой, защита твоей информации — или хотя бы чёткое понимание того, что это такое и как подобная защита должна строиться — это ТВОЁ ЛИЧНОЕ ДЕЛО! Не Cosa Nоstra (хотя твои проблемы могут стать и Нашим Делом тоже), а Cosa Tua — Твоё Дело!

Разумеется, тебе не хочется вникать во все эти тонкости. Ты считаешь, что такой Большой Парень как ты для того и зарабатывает деньги, чтобы позволить себе заниматься только Большими Проблемами. В этом, конечно, есть определённая лоrика, однако безопасность твоей информации — это и есть Большая Проблема, уверяю тебя.

Как известно, дон Вито Корлеоне никогда в жизни не разговаривал по телефону. Он боялся, что его голос запишут и потом используют для создания различных фальсификаций, которые могут свидетельствовать против него. Подход для тех времён, в общем, вполне правильный, не спорю, однако в нынешнем высокотехнологичном мире старичок бы не выжил. И ты сам прекрасно понимаешь, что невозможно отказаться от мобильных телефонов, электронной почты, компьютеров-мапьютеров и прочей электронщины. Мы живём уже не в том мире, в котором жил старина Вито. Его заповеди нам уже не подходят.

Как говорил суровый мужчина Ницше — всё, что не убивает нас, делает нас сильнее. В случае со всей этой чёртовой современной техникой ситуация складывается несколько иным образом: она сначала делает нас сильнее, а затем убивает. Ну или создает нам такие неслыханные проблемы, что лучше бы уж сразу убили.

Читайте также:  Бесплатный аналог adobe acrobat pro

Ситуацию, в которой находится современный Большой Парень, можно охарактеризовать следующим образом: он садится в суперскоростную, но вовсе не бронированную машину (для наглядности можно представить болид «Формулы 1»), после чего начинает движение на бешеной скорости по самой обычной автомобильной трассе. Насколько быстро ему на пути встретится крутой поворот, на котором он вылетит с трассы и влепится в столб или в корову, задумчиво стоящую на обочине, — вопрос чистого везения, ничего более. Потому что по обычным трассам нельзя ездить на болидах «Формулы 1».

У тебя два варианта: или пересесть на какую-нибудь малолитражку, которая из поворота не вылетит при всем твоем желании, или всё-таки ездить на скоростной тачке, однако позаботиться о мерах безопасности.

О них, этих мерах безопасности, данная книга.

КТО АВТОР ЭТОЙ КНИГИ

Меня зовут Карл Абрахам Шкафиц. Я — эксперт-консультант по информа­ционной безопасности. Тебя не должно волновать, где я родился и где в настоящий момент проживаю, потому что где я родился — там меня уже нет, а живу я в совершенно различных уголках этой планеты, так как мои услуги требуются в очень многих странах.

Зачем и для кого я написал эту книгу? Для таких парней, как ты — менеджеров среднего и высшего звена, а также для Больших Боссов (ты именно такой, не так ли?). Ведь для так называемых специалистов по безопасности есть масса всевозможных книг, учебников и пособий. Тебе эти пособия читать совершенно бессмысленно, потому что понятным там будет один термин из десяти, если не из ста. Но это не страшно. Ведь они написаны вовсе не для тебя, и ты их понимать не должен.

Страшно другое. Страшно то, что подавляющее большинство этих «специалистов», читая пособия по безопасности, сами понимают дай бог три слова из двадцати. Но они приходят к тебе на работу и ты доверяешь им самое ценное, что у тебя есть — защиту информации. И этот shit тeбe обеспечивает «зashitу». Ненадолго. До первого поворота в твоей судьбе, когда твоим компьютером, электронной почтой, наладонником и SMS заинтересуются вовсе не из праздного интереса.

Уверяю тебя, мне по роду деятельности приходилось и приходится довольно много сталкиваться с различными фирмами, конторами, концернами и предприятиями. А точнее, с тем, как там все организовано. Я теперь редко занимаюсь непосредственно организацией информационной безопасности — уже вышел из этого возраста. Меня приглашают в качестве эксперта — оценить ситуацию и обрисовать её боссам.

И знаешь, что самое интересное? В девяти случаях из десяти складывалось впечатление, что эти ребята платили мне сумасшедшие деньги только для того, чтобы услышать нечто вроде: «Да ты что, старичок, у тебя на фирме всё в порядке! Всё классно, старичок, спи спокойно!» И когда я им начинал по пунктам перечислять, какой ужас с безопасностью творится у них в конторе, они делали кислую мину и говорили: «Карл, старина, ты, конечно, эксперт и все такое, но нам кажется, что ты преувеличиваешь». Я преувеличиваю! А за что, мать вашу, я получаю такие деньги? За то чтобы говорить комплименты о том, как у них всё классно?

Ты и к пластическому хирургу придёшь на дорогостоящую консультацию только для того, чтобы услышать: «Да ты что, старичок, ты и так прекрасно выглядишь. »? И пойдёшь от него в туманную даль, надуваясь от счастья, сохранив при себе всё своё, родное: огромное пузо, набрякшие мешки под глазами, отвисшую задницу и бёдра, размером с подушку-думку.

Конечно, безопасность информации — так же, как и внешний вид — это твоё личное дело. Но тогда какого чёрта ты платишь деньги экспертам? Какого чёрта ты платишь эти деньги мне? Собаки-ищейки едят свой сахар вовсе не для того, чтобы восторженно прогавкать хозяину: «Шеф, гав-гав, всё в порядке, гав-гав, искать нечего, гав-гав, злоумышленника в природе не существует, хвала собачьему богу!» Нет, они просто идут по следу, опустив нос до самой земли, не обращая внимания на то, что там валяется, чтобы в конце концов найти ублюдка, схватить его острыми клыками за задницу и доставить хозяину.

Я — та же ищейка. Я не говорю комплименты, не обращаю внимания на то, в какое дерьмо мне приходится влезать во время работы, но свой солидный кусок сахара я ем не зря. Однако мои выводы и мои рекомендации направлены именно ТЕБЕ, менеджеру, боссу или чёрт знает какой крутотени. Потому что если я нашел это всё — значит, ты совершенно напрасно платишь деньги своим «спецам пo безопасности». Значит, они и термин «безопасность» – совершенно несовместимы друг с другом.

ЗАЧЕМ НАПИСАНА ЭТА КНИГА

В конце концов, мне стало надоедать всё время повторять одно и то же. Каждый раз, когда я прихожу в некую фирму и вылавливаю там вопиющие прорехи в безопасности информации, приходится заниматься одним и тем же: сажать перед собой руководящий состав и читать им маленькую лекцию. В доверительной, хотя и несколько жёсткой форме. Из серии, что «если, ребята, вы этим не займётесь, вашу жопу очень быстро пришпилят к небоскрёбу».

Хирург, если видит симптомы неприятной и опасной болезни, выражения не выбирает. Я их тоже не выбираю. Мне главное — чтобы ты понял существование проблемок, проблем и проблемищ. Видишь дырку в безопасности? Не видишь?

Разумеется, в этом чёртовом мире вовсе не я один — эксперт-специалист по безопасности информационных систем. Более того, я не наберусь наглости утверждать, что я — в первой десятке лучших (хотя в глубине души иногда так считаю, но только сам с собой с глазу на глаз). Ну и кроме того, я с уверенностью скажу, что этих специалистов — море-разливанное!

Остается только ответить на один мa-а-а-а-аленький вопрос: почему у тебя не работает ни один из этих специалистов? Ты не можешь ответить на этот вопрос? не можешь. А я могу.

Потому что ты не считаешь это серьёзной проблемой. Даже, уж прости, трехдневный триппер для тебя — более серьёзная проблема, чем безопасность твоей информации. Поэтому ты не тратишь денег на специалистов, ты не даёшь себе труда хоть чуть-чуть разобраться в том, какие опасности тебя подстерегают и каким образом этого всего можно попытаться избежать.

Заметь, я не пишу — «полностью избежать», потому что это нереально. Но увеличить защиту на несколько порядков — вполне возможно. Но при этом ты должен понимать, что и как.

Так вот, эта книга как раз и написана для того, чтобы ты понимал, что к чему в вопросе защиты твоей личной информации. Чтобы ты не вверял самое ценное, самое интимное и бесконечно дорогое — тому самому студенту-компьютерщику, которого ты нанял за 200-400 баксов, чтобы он менял картриджи в принтере, объяснял бухгалтерии, где на клавиатуре кнопка «Any key», щипал за задницу секретарш (подобные действия не входят в его прямые обязанности, но он это будет делать, не сомневайся), требовал деньги на модернизацию техники (подразумевая под этим модернизацию своего собственного домашнего компьютера), а также — занимался информационной безопасностью. Как бы между прочим.

admin

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *