Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов

Наиболее секретные бумаги в офисе из соображений безопасности рвутся не меньше чем на две части (они бы рвали и меньше чем на две части, потому что лениво, но не получается) и выкидываются в корзину так, что их легко прочитать, просто бросив на них взгляд. В каждой комнате, как правило, есть шредеры, но сотрудники их не любят, потому что, цитирую одну из милых девушек: «С ума можно сойти, пока накормишь это чудовище. Нужно долго стоять, пока он бумаги медленно пережёвывает. Мы бумаги в корзину выбрасываем. Ну да, рвём не всегда. А зачем? Здесь же все свои!»

Этот прыщавый парень, которого тут почему-то кличут «системным программистом» (я не знаю, что именно они в данном случае подразумевают под этой фразой), не зря ест свой хлеб, заодно занимаясь компьютерной безопасностью. Он сделал гениальную вещь – убрал из всех компьютеров дисководы. «Для безопасности», как мне объяснили в отделах. Поэтому на дискету в полтора мегабайта ничего скачать нельзя – даже и не пытайтесь! Зато можно все что угодно скачать через USB-порт. Учитывая тот факт, что современные flash-drive способны записывать порядка гигабайта,  потеря возможности списывать данные на дискету не заставила меня с рыданиями биться головой о стену.

Если USB-порт, через который ты хочешь скачать информацию, занят, например, мышкой, – милые девушки из бухгалтерии сами вытащат её из порта, чтобы ты мог подключить свой flash-drive, потому что это, цитирую себя же, «специальное устройство, которое произведет вакцинацию ваших компьютеров от вирусов».

Секретарши начальников, несмотря на всю свою миловидность, жёстко стоят на страже корпоративных интересов. Нечего и пытаться подкупить их конфетами, сладким алкоголем или, прости господи, деньгами! Они с негодованием отклонят ваше предложение и устроят скандал! Поэтому не нужно пытаться их подкупать. Они всё расскажут просто так. В обычном человеческом разговоре. Единственное – нужно узнать, когда генерального не будет в офисе весь день до вечера, после чего с утра пораньше прийти к нему на встречу и дожидаться в приёмной. Секретарша – она тоже человек. Ей скучно, у нее глючит Word, а периодически компьютер и вовсе зависает. Поэтому тёплая, участливая беседа симпатичного мужчины в хорошем костюме – вот то, что нужно этой очаровательной девушке. Главное – почаще упоминать волшебную фразу «А вот у нас…». Именно эта фраза открывает фонтан её красноречия. Потому что в ответ на «а вот у нас» последует ее «а у нас» с вариациями «точно так же» или «совсем не так». При этом обычно я узнаю всё о явных и тайных пороках генерального, всего совета директоров и о тонкостях организации бизнеса, а также о способах прятать документы от налоговой полиции. Жаль, что я не работаю в налоговой полиции. Впрочем, мне бы там столько не заплатили…

Подобная тактика также хорошо срабатывает в общении с уборщицей. Между прочим, уборщицы очень много знают. Иногда значительно больше секретарш…

Ну и так далее. Можно до бесконечности рассказывать, как я путешествовал по комнатам, что я там обнаруживал на компьютерах, какие интереснейшие сведения мне сообщали окружающие, какие данные я собирал о самой фирме, членах совета директоров, Большом Парне, его деловых и личных секретах. Дело не в этом. Тут главное – понять, насколько просто злоумышленнику (если он не с базукой и без бородавки на носу) проникнуть в офис и получить всю эту информацию. А вот как себя от этого по возможности обезопасить – и написано в данной книге…

О  «компьютерных специалистах»

Да, в этой книге мне придется много рассказать о достаточно специфических компьютерных вещах – потому что в большинстве своем безопасность информации напрямую связана с компьютерами. Однако без этого не обойтись. Пока у тебя вопросами информационной безопасности занимается вон тот парень с нечёсаными волосами, который даже ухом не повернул, когда я зашел к нему в кабинет, до того он был увлечён игрой в “Doom 3”, - ты должен сам хотя бы в общих чертах понимать, что там к чему, - только так ты сможешь требовать что-то от этих «специалистов».

Ты можешь, находясь в неизбывной тоске, спросить: почему так происходит с этими грёбаными компьютерщиками? Почему ты, платя этим козлам большие деньги (я просто цитирую твои слова), вынужден сам вникать в подобные тонкости?

Ну, во-первых, ты им платишь вовсе не такие большие деньги. Хотя я понимаю, что это как раз не оправдание.

Во-вторых, ты нанимаешь одного-единственного «системного программиста» (кто вам в офисе сказал, что этого туповатого парня нужно называть данным термином?) – читай, ИТ-специалиста, - и считаешь, что он должен заниматься в офисе всеми вопросами, связанными с компьютерной техникой.

Так вот, это более чем странно. И это, кстати, специфика именно России, потому что в Штатах и Европе уже давно произошло серьёзное разделение компьютерных и околокомпьютерных специализаций. Там сетевой администратор не будет показывать секретарше, где anykey на компьютере. Программист не станет менять картриджи в принтере. Постановщик задач откажется прокладывать витую пару из комнаты в комнату. Спец по безопасности очень удивится, если его попросят починить компьютер. «Железячник» покрутит у виска, если его попросят составить в Excel таблицу для бухгалтерии.

Потому что каждый из них – специалист в своей собственной области. И работать в другой области он не только не хочет, но и не имеет права. Потому что в другой области он не профессионал.

В России, насколько я мог судить, всё не так. Человек называет себя странным термином «компьютерщик», ну а далее считается, что он умеет делать всё, что связано с этим словом. Причём лет такому «компьютерщику» - совсем немного. Как правило, он вообще ещё учится. Впрочем, оно и понятно, что только в молодости человек считает, что он умеет всё во всех областях. С возрастом эта идиотская мысль проходит. А если не проходит, то такому человеку всего и остается, что играть в «Бинго», постоянно проигрывая…

И ты, дорогой друг, этому парню доверяешь самое дорогое – компьютеры с информацией. А также её защиту. Вероятно, мой друг, ты сошёл с ума. Мне больно тебе говорить такие слова, но это мой святой долг.

Поэтому давай лучше поговорим о том, что такое безопасность информации, а потом ты сам решишь, как поступить дальше. Однако я прошу тебя – не нужно членовредительства! В том, что у тебя работает этот парень, – виноват только ты, более никто! Он в этом не виноват. У него дома старушка-мать и некормленный кактус, «спасающий от мониторной радиации». Отпусти его с миром. В конце концов, раз ты пока живой и даже не разорён, всё ещё можно исправить…

Что такое защита информации и её классификация

Не нужно пропускать этот раздел, презрительно фыркнув – мол, я и сам прекрасно знаю, что такое защита информации. Тоже мне, скажешь ты, бином Ньютона. Защита информации – это когда к ней имеют доступ только те, кому это разрешено, и не имеют доступ те, кому это не разрешено.

В общем, таки-так оно и есть, всё правильно.

Однако хотелось бы несколько конкретизировать этот термин, чтобы далее двигаться не скачками, а постепенно, обсасывая каждый вопрос, как бесподобную лягушачью лапку мэтра Франсуа в парижском Aux Atistes…

Итак…

Что в данном случае мы будем подразумевать под информацией?

Определённые личные данные о человеке, которые он не хотел бы раскрывать посторонним лицам.

Всевозможная деловая информация, раскрытие или потеря которой может создавать Серьёзные Проблемы.

Что с этой информацией может произойти?

Несанкционированный доступ

То есть доступ к этим данным получит некто, кому эта информация не предназначена. При этом некто может быть: случайный доброжелатель,  случайный недоброжелатель, неслучайный недоброжелатель. Все три случая вроде разные, однако привести могут к одному и тому же, потому что случайный доброжелатель может распространить информацию, и она попадет к неслучайному недоброжелателю… Нет, я ничего не пил. Просто пытаюсь систематизировать накопленные знания. Не волнуйся, чуть позже я это все объясню на живописных примерах – станет понятнее.