Административные обязанности |
После того, как
разработаны правила подсоединения к Internet, самое время сконцентрироваться
на специфических областях, которые влияют на использование этого
подключения. Начнем с правил администрирования. За исключением
самых простых правил, о правилах администрирования забывают,
поскольку разработчики правил полагают, что все эти вопросы
рассматривались в других областях. Это может быть и так, но
все же имеет смысл их здесь описать.
Профилактическое
обслуживание
Первая обязанность,
о которой нужно поговорить, — это профилактическое обслуживание.
В правилах должно быть требование к системным администраторам
проводить регулярное обслуживание для поддержания порядка в
общедоступных данных. Хоть и звучит это довольно обыденно, есть
организации, которые не проводят обслуживание Web-серверов,
ftp-архивов и других, требующих обслуживания систем. Не выдвигая
такого жесткого требования, в некоторых организациях просто
игнорируют общедоступные в информационном плане части системы.
Друг автора книги работал в компании с небольшим Web-сервером,
чья загрузочная область стала местом хранения средств хакеров.
Сервер никогда не проверялся, и Web-сервер был взломан для того,
чтобы на нем можно было хранить файлы.
Эти проблемы касаются не только
организаций, имеющих собственные серверы. Организации, получающие
услуги Internet со стороны, должны иметь правила с требованиями
о том, чтобы в договоры на услуги были включены соглашения об
обслуживании или профилактических работах, которые позволят
администраторам организации проводить такой тип обслуживания.
В любом случае следует записать в правилах, что обслуживание
должно проводиться, но не должно быть записано, как это обслуживание
будет проводиться. Это относится к процедурам, а не к правилам.
Соглашения с внешними источниками
Соглашения с внешними источниками
представляют собой довольно интересную проблему, поскольку организации
вообще могут не управлять серверами. Это также становится проблемой
для организаций, которые могут поддерживать собственные серверы,
но управление отдельными их функциями передать внешним источникам.
В таком случае достаточно иметь инструкции, но в правила следует
включить требование того, чтобы обслуживание входило в условия
контракта. Некоторые организации используют формулировку правил,
подобную следующей.
Администраторы несут ответственность
за процедуры обслуживания серверов, предоставляющих информацию
или усгуги пользователям Internet. Совместно используемые серверы
или принадлежащие внешним провайдерам также должны обслуживаться
по инструкциям, согласованным в контрактах на предоставление
услуг.
Внедрение
Администраторы также могут нести
ответственность за внедрение. Даже в тех организациях, которые
содержат собственный штат, ответственный за безопасность, администраторы
находятся на передовой линии обороны. Они знают все о системах,
сетях, а также им известны нормативы и те недостатки в сети,
на которые нужно обратить внимание. Даже в более мелких организациях,
где администраторы выполняют всю работу, они все равно находятся
на передней линии внедрения. Несмотря на то, что в других правилах
должны полностью определяться роли по внедрению, имеет смысл
составить правило с формулировкой требований по внедрению наподобие
следующей.
Администраторы должны внедрять
правила в соответствии с утвержденными инструкциями. Инструкции
администрирования должны регламентировать контроль информации,
а также защиту информации путем применения соответствующих санкций.
Помимо всего прочего в эти инструкции необходимо включить требования
по сохранению фактов нарушения служащими дисциплины, а также
требование по применению юридических санкций в отношении внешних
нарушителей правил безопасности.
|