Правила эксплуатации стороннего программного обеспечения
Интересный побочный эффект предыдущей формулировки правил заключается в том, что она подразумевает сканирование дисков с инсталляционными программами. Несмотря на то, что это происходит редко, бывают случаи, когда поставщики теряют бдительность и распространяют зараженные вирусом программы. Большинство администраторов безопасности согласны с тем, что сканирование дистрибутивных дисков является хорошей мерой предосторожности.
Многие поставщики дают гарантию, что носители, которые
они распространяют, не содержат вирусы. Они не хотят иметь лишних проблем
и нести ответственность за инфицирование систем клиентов из-за их программного
обеспечения. Некоторые поставщики афишируют, что их мастер-копия просканирована
перед дублированием с помощью специального программного обеспечения для
сканирования вирусов.
Программное обеспечение поставщиков является не единственным поводом для беспокойства. Организации могут получать данные из множества различных источников, которые могут содержать вирусы или создавать другие проблемы. Существуют демонстрационные версии программ и бесплатно распространяемые программные средства, которые люди загружают регулярно и необязательно с надежных серверов. Независимо от источника получения программного обеспечения в организации должно быть правило, которое предписывает определенные меры предосторожности при загрузке сторонних данных.
По причине того, что эти данные могут загружаться с внешних источников, включая Internet, некоторые считают, что последняя формулировка правил должна касаться обработки сторонней информации после ее загрузки. Альтернативой являются правила, которые предписывают загружать стороннюю информацию перед ее использованием в испытательную тестовую систему для проверки. Организации, которые используют этот тип правил, могут подкрепить правило загрузки внешних данных такой формулировкой.
Сторонние данные и программы должны загружаться в систему, на которой можно проводить опробование и тестирование на наличие вирусов, ошибок или других проблем перед загрузкой этих данных на другие системы в сети организации.