Живой код

Если девушка никогда не разговаривает с незнакомыми мужчинами, она останется старой девой. Ведь любой знакомый когда-то был незнакомым. Если пользователь не посещает непроверенных сайтов (как ему рекомендуют некоторые тупоумные информзащитники), то он обречён остаться без сайтов вообще. Кто же ему переведёт ресурс из категории "непроверенный" в категорию "проверенный"? И кто проверит самого проверяльщика ?

Тем не менее, на куче непроверенных, подозрительных, незнакомых, несертифицированных и ненадёжных сайтов пользователю говорится:

1. Не посещайте непроверенные сайты, особенно если они рекламируются в спаме.
   
2. Не открывайте письма от неизвестных отправителей.
   
3. Пользуйтесь надежными средствами для защиты вашего компьютера!

Правила, подобные вышеупомянутым, неисполнимы, если ими время от времени не пренебрегать. А тот, кто их писал, сам не выполняет.

И вот, когда доходит до конфигурирования DLP-системы или иного средства защиты, сразу обостряется разница между правилами и правилами. Те правила, которые для людей, которые записаны русскими буквами в политике безопасности – неисполнимы. Но никого это не волнует – ни составителя, ни "соблюдателя". А те правила, которые латиницей в конфиге системы – они совсем другое дело. Компьютер же тупой, он же команды исполняет. Прям как сказали, так и делает. Никакого понятия! Поэтому транслировать официальную политику безопасности в код и конфиг невозможно.

Реальная конфигурация – она всегда честнее. В ней режим "лицемерие=on" пока отсутствует.

Отсюда появился оригинальный метод создания работающей нормативной документации по ИБ. Настраиваются межсетевые экраны, DLP, IDS/IPS, логирование и всякая прочая защита, эксплуатируется полгода. Потом берутся рабочие конфиги и переводятся на бюрократический язык.