Как обеспечить информационную безопасность в компании
Как обеспечить информационную безопасность предприятия, Сети
Кто в доме хозяин? Ящик Пандоры Техническая сторона вопроса Централизованное обеспечение безопасности Как заставить систему работать Защита данных административными методами Симметричная модель информационной безопасности Производители средств информационной безопасности Десять шагов
Регистрация на конференцию
Корпоративная сеть предприятия непрерывно меняется; через три года она будет сильно отличаться от теперешней, а через пять лет ее просто нельзя будет узнать. Поэтому, какие бы планы ни рисовались нам в данный момент, система обеспечения информационной безопасности предприятия должна быть в состоянии подстраиваться под возможные изменения в топологии сети. При этом крупная сеть масштаба предприятия обычно имеет большие географические размеры, она физически неоднородна, а ее логическая структура напоминает мешанину лондонских улочек. Короче говоря, это — хаос технологий.
Так что же делать слегка обезумевшей, перегруженной заботами, сокращенной до предела организации, ориентирующейся в своей работе на современные информационные системы? Тем, кто питает надежды найти некую панацею, которая защитит от всех напастей, этакий Священный Грааль Информационной Безопасности, нужно набраться смелости, прежде чем прочесть следующую фразу. Деньги и ресурсы следует в первую очередь тратить отнюдь не на приобретение новых технологий; дело защиты данных не сводится к применению правильных технических решений. Стивен Кац, руководитель службы защиты информации Citibank, говорит: «Не давайте себя одурачить болтовней о технологиях. Решение проблемы кроется в обеспечении адекватного управления».
Кто в доме хозяин?
Д-р Юджин Шульц, менеджер по программам информационной безопасности консалтинговой компании SRI International (Менло-Парк, шт. Калифорния), советует: «В первую очередь следует разработать глубоко продуманную политику». Формулировать политику в области информационной защиты должно высшее руководство компании — президент или совет директоров. Уровня вице-президента по информационным технологиям тут недостаточно. Цель не может быть достигнута, пока на самом высоком уровне не будет сказано, чего следует добиваться, и не будут выделены ресурсы, которые позволят должным образом защитить информационную инфраструктуру и обеспечить управление ею.
Формулировка политических целей полностью находится в ведении руководства компании. Возможно, кому-то покажется разумным сосредоточиться на обеспечении бесперебойной работы сети или на борьбе с угрозой вирусного заражения, не обращая при этом внимания на попытки хакеров вторгнуться в сеть. Какая бы политика ни была избрана и какие бы цели ни были установлены, следует убедиться, что все сотрудники организации правильно их поняли и приняли к исполнению.
Ящик Пандоры
Далее следует разобраться в том, из чего состоит сеть предприятия. Карл Аллен, президент консалтинговой компании Infocore (Хайлэнд, шт. Юта), говорит: «Кто-то должен знать, как обстоят дела — какова схема сети, где расположены точки входа, в чем эта сеть уязвима — и на ком лежит ответственность за все происходящее». Кроме того, следует оценить, какие информационные ресурсы настолько важны, что их следует защищать, и где они расположены. Стефен Кобб, руководитель специальных проектов Национальной ассоциации компьютерной безопасности (National Computer Security Association — NCSA), отмечает: «Сам процесс оценки помогает определить, насколько те или иные данные важны для организации. В результате повышается уровень сознания сотрудников; люди начинают задумываться о защите информации».
Не подлежит сомнению, что все сотрудники компании, на каком бы уровне они ни работали, должны обучаться приемам защиты информации и всячески сотрудничать с ответственными за информационную безопасность; тем не менее очень многие фирмы упускают это из виду. Необходимо, чтобы все, кто занимается обеспечением информационной безопасности, в каком бы подразделении они ни работали, помогали друг другу. Надо также, чтобы конечные пользователи поддерживали усилия по защите информации, понимали важность таких усилий и строго соблюдали все предписанные правила. Процесс постоянного обучения сотрудников должен быть подстроен под запросы конкретных групп и отделов. «В противном случае работники будут искать средства обойти защиту, отключить ее или игнорировать соответствующие правила. А это еще хуже, чем если бы системы защиты не было вовсе», — считает г-н Кац из Citibank.
Техническая сторона вопроса
Итак, политика предприятия сформулирована, уточнена структура сети и все работники готовы к сотрудничеству. Каким образом можно реализовать план обеспечения информационной безопасности? Как заставить всю эту схему работать без сучка и задоринки? Как обеспечить защиту данных, не мешая пользователю заниматься его повседневными задачами?
Имеется несколько подходов к решению данной проблемы; все они опираются на правильную архитектуру системы защиты. Следует иметь в виду, что идеального решения не существует, ни один из производителей не в состоянии удовлетворить все запросы организации на всех уровнях, однако многие фирмы близко подошли к решению этой проблемы.
Один из вариантов (он много лет используется в правительственных организациях) — многоуровневая система защиты (multilevel security — MLS). Основная идея MLS состоит в том, что с некоторыми данными могут знакомиться только сотрудники, имеющие определенный уровень допуска. В соответствии с системой MLS под названием Read Down/Write Up каждый документ снабжается ярлыком, где указывается степень его конфиденциальности и уровень допуска лица, создавшего этот документ. Таким образом, сотрудник с невысоким уровнем допуска может писать фрагменты документов уровней Top Secret и Secret и не имеет возможности создавать документы уровня Unclassified. Точно так же лицо, имеющее допуск уровня Secret, может читать секретные, конфиденциальные и несекретные документы и не может — документы уровня Top Secret.
Другой подход в рамках MLS, используемый, например, в Netlock (продукте, выпускаемом подразделением компании Hughes Electronic с таким же названием), — ограничение доступа к информации путем использования шифров. При таком подходе все документы, направляемые с рабочей станции для дальнейшей передачи или на хранение, подлежат обязательному шифрованию. Суть в том, что на каждом уровне секретности используется свой шифровальный алгоритм и/или ключ шифра. Таким образом, открыть документы уровня Secret, зашифрованные с помощью алгоритма уровня Secret, можно только ключом уровня Secret. Однако инфраструктуру управления всеми этими ключами приходится защищать дополнительно, поскольку она оказывается «ахиллесовой пятой» системы в целом.
В результате такие системы часто получаются громоздкими, дорогими, трудными в управлении, а кроме того, быстро устаревают. Проверка работоспособности системы занимает столько времени, что к моменту ее внедрения все программное обеспечение и сама система устаревают на целое поколение, а то и два. Дон Сонтор, специалист по информационной безопасности крупной многонациональной компании, высказывается по этому поводу так: «MLS? Ее время уже ушло. Кого она сейчас интересует?». Возможно, от MLS готовы отказаться даже правительственные организации, постепенно переходящие на новые модели защиты информации, обнаружения возможных вторжений и реакции на них. Эта система оказалась слишком дорогой; она накладывает неоправданно строгие ограничения на обмен информацией.
Централизованное обеспечение безопасности
В большинстве компаний имеется децентрализованная инфраструктура обеспечения информационной безопасности; в данном контексте «децентрализованный» — синоним слов «дезорганизованный» и «неустойчивый». При этом понятие обеспечения защиты систем часто путают с ответственностью за систему определенного лица, выбранного по географическому признаку, — например, все функции защиты информации и управления сетью в Нью-Йорке поручены некоему Биллу. Другой принцип назначения ответственного лица — по приложениям (например, всем, что связано с обработкой транзакций, занимается Сью). И наконец — исходя из функций системы (все линии связи сосредоточены в руках у Боба).
С конца 80-х гг. компании пытались найти более рациональный подход к обеспечению информационной безопасности; похоже, что в настоящее время он наконец появляется. К поставщикам продуктов обеспечения безопасности сетей масштаба предприятия приходит понимание того, что основная проблема состоит в управлении сетью. Один из привлекательных технических подходов к обеспечению безопасности распределенных сетей предприятия — создание централизованной схемы управления на базе защитного сервера.
Чтобы лучше разобраться в том, как работает централизованная система обеспечения безопасности, представим себе на минуту, что сеть предприятия устроена в строгом соответствии с желаниями ее администратора. Каждый пользователь может обмениваться информацией с любым другим пользователем, каналы связи работают, маршрутизаторы маршрутизируют, мосты передают сообщения по мостовой связи ровно так, как они должны это делать. Удаленным доступом через коммутируемую сеть можно пользоваться из любой точки земного шара; TCP/IP, SNA и NETBEUI чувствуют себя вполне комфортно и обеспечивают свободный обмен информацией.
А теперь введем в эту идиллическую картину службу безопасности. Для обеспечения безопасности и управляемости сети предприятия к ней надо добавить несколько основных элементов, ни один из которых не является волшебным эликсиром безопасности, однако в совокупности, при правильной дозировке, они могут излечить сеть от многих недомоганий.
1. Уполномоченные администраторы сети должны иметь возможность добавлять, менять и уничтожать параметры учетных записей пользователей для самых разных платформ, операционных систем и приложений. Такой подход, называемый «единой точкой регистрации» (single point of registration — SPR), позволит администратору системы безопасности хранить информацию о пользователях в централизованной базе данных. Тут уместна аналогия с моделью X.500, если к ней еще добавить атрибуты ресурсов. Таким образом, пользователю A или группе пользователей Z можно присваивать пароли, идентификационные имена и права доступа к приложениям и ресурсам в соответствии со служебными обязанностями, должностью, а также текущими потребностями.
Управление информационной безопасностью системы из единой точки позволяет объединить усилия примерно десятка людей, у которых может хватить или не хватить времени на то, чтобы включить Генри в базу данных контроля доступа к ресурсам (Resource Access Control Facility — RACF). SPR облегчает эту задачу. Реализовать такой подход не так-то просто, на пути желанного объединения может встретиться немало ухабов. Очень важным, особенно для крупной организации, может оказаться решение о том, с чего начать переход на новую схему управления. В компании Axent Technologies, например, исповедуют идею постепенного (одна технологическая область за другой) перехода на новую технологию, а не одномоментного скачка. Выпускаемые этой компанией продукты централизованной защиты под названием OmniGuard предназначены для работы под Unix, Netscape Navigator, NetWare и Windows NT.
2. Как бы ни выглядела сеть организации — будь она однородным рядом платформ или неоднородным набором подсетей, — крайне желательно, чтобы в ней обеспечивался унифицированный вход в систему (single sign-on, SSO).
Когда каждый пользователь имеет по 10-20 паролей и учетных имен, то о безопасности системы говорить не приходится. Пользователю надо делать свое дело, а не тратить все силы на запоминание паролей, поэтому он их записывает на бумажку. А вот при работе по SSO пользователь просто входит в систему с клиентской станции, указывая свои учетное имя и пароль. После этого он автоматически получает доступ (аутентификацию) к любому приложению или ресурсу. Такой способен очень удобен и «чист», однако и с ним связан ряд проблем. «Сегодня очень трудно обойтись без автоматической аутентификации на всех узлах и ресурсах, поскольку в наши дни не существует понятий «моя сеть» и «твоя сеть», — говорит г-н Аллен (Infocore). — Если уж ты вошел в сеть, то имеешь доступ ко всем ресурсам». Набор защитных продуктов для среды «клиент-сервер», в частности, предлагает компания Unisys.
3. Хороший защитный сервер предприятия должен обеспечивать прозрачное представление информации обо всех доступных пользователю ресурсах — без этого он просто не справится со своей задачей. Какую бы операционную систему клиент ни использовал (Windows 3.X, NT или 95, Unix или Macintosh), графическая информация о доступных ему приложениях, системах и ресурсах должна предоставляться с учетом соображений безопасности. Проще говоря, незачем показывать пользователю то, к чему он не имеет доступа.
Ричард Джилл, начальник отдела маркетинга компании ICL North America, придерживается идеи централизованного защитного сервера по целому ряду причин. По его словам, такой подход означает, что «пользователю не придется проходить дорогостоящие курсы переквалификации каждый раз, когда происходит техническая реорганизация или отдел информационных технологий вносит какие-то изменения в структуру сети». Информация на защитном сервере периодически обновляется, при этом с точки зрения пользователя ничего не меняется — для доступа к ресурсам он должен щелкнуть мышью на том же графическом значке. AccessManager компании ICL был первым коммерческим продуктом, который предоставил пользователю возможность единообразного просмотра всех ресурсов и приложений глобальной сети. В настоящее время имеется множество способов достижения этой цели, и каждый производитель — например, компания Computer Associates, выпускающая набор программных продуктов Unicenter, — крайне рад любой возможности рассказать пользователю, почему следует придерживаться подхода, используемого в изделиях именно этой компании. Однако единая терминология в данной области пока не устоялась, поэтому следует всякий раз проверять, правильно ли вы понимаете слова производителя.
4. Идеальная система информационной безопасности предприятия должна выявлять подозрительные действия со стороны как внутренних, так и внешних пользователей. В наши дни, что в первую очередь связано с распространением Internet, проблема обнаружения внешних злоумышленников очень широко обсуждается в прессе. Впрочем, эту проблему не следует переоценивать. Дэн Вули, вице-президент по развитию бизнеса компании — производителя защитных средств Memco Software, предупреждает: «Наибольшая угроза для системы по-прежнему исходит от внутренних пользователей. Примерно 50% компьютерных преступлений совершаются самими сотрудниками компаний (нынешними или бывшими)». Не пытался ли какой-нибудь пользователь несколько раз подряд получить доступ к ресурсу, задавая при этом неправильный пароль? А может быть, кто-нибудь одновременно пытался войти в систему с трех разных терминалов, расположенных. на разных континентах?
Компания Internet Security Tools выпускает средства для проверки внешней оборонительной системы (perimeter security). Компания Wheel Group разрабатывает средства ответа на попытку вторжения. Пользователей все больше и больше интересуют продукты, позволяющие дать отпор злоумышленнику, а не просто возводящие высокую стену вокруг сети.
Системы обнаружения злоумышленников становятся все интеллектуальнее, а для их описания производители все чаще используют разнообразные причудливые эпитеты. Одни говорят о системах, в которых используется нестрогая логика. Другие что-то рассказывают об агентах на базе искусственного интеллекта, однако нам не известно ни одной по-настоящему успешной разработки такого рода. С моей точки зрения, для описания самообучающейся системы больше подходит термин «эвристическая», т. е. имеющая возможность изменять с течением времени свои правила поведения. Слово «параметризация» означает, что формулируется некоторый набор особых условий, на которые система должна реагировать определенным образом. Однако если «запредельные» ситуации каждый день порождаются действиями примерно тысячи сотрудников, это означает, что на самом деле такой режим работы является нормальным. Компаниям PRC и Hughes Aircraft, занимающимся системной интеграцией, пришлось подыскивать для себя решения, исходя из предпосылки, что обнаружение действий злоумышленника должно производиться в динамическом, а не статическом режиме.
5. Большим шагом вперед стало бы получение системы, которая может автоматически реагировать на возникновение проблем. Такие продукты, однако, находятся в зачаточном состоянии. Некоторые программы страдают этаким «благодушием» — например, просто посылают сообщение о вторжении администратору системы информационной безопасности. Другие программы отправляют сообщение по электронной почте. Более совершенные механизмы реагирования предполагают запуск какого-то заранее заданного процесса. Пока системы не научатся в качестве реакции на вторжения выполнять какие-то осмысленные действия (например, перекрывать путь проникновения злоумышленника или идентифицировать «обидчика»), пользы от их применения будет немного.
Новых событий в этой области рынка, по-видимому, придется некоторое время подождать; можно лишь порекомендовать покупателям всегда сообщать поставщикам, что упомянутая проблема представляется весьма важной.
Все эти соображения уходят корнями в фундаментальные вопросы обеспечения информационной безопасности. Г-н Вули (Memco) говорит: «Следует нарисовать себе обобщенную картину потенциальных опасностей, выявить реальные потребности защиты, а затем добиться от системы их удовлетворения. Защита сети предприятия складывается из системы внешней защиты, обеспечения безопасности транзакций и целостности данных и систем, а также административного контроля, оповещения и реакции на вторжение».
«Такие системы обеспечивают не просто безопасность, — утверждает г-н Джилл (ICL). — От их использования можно получить реальную экономическую выгоду; в частности, они позволяют снизить эксплуатационные расходы, упростить управление онлайновыми системами, уменьшить ненужную избыточность и взаимное перекрытие функций, а также снизить затраты на работу справочного стола. Все это повышает окупаемость вложений в систему информационной безопасности сети».
Г-н Сортор, специалист по защите сетей, утверждает: «То, какие элементы должны входить в систему защиты сети, зависит от реальных запросов организации. Действительно ли вам необходим Kerberos? Всю ли информацию надо шифровать? Насколько сильные средства аутентификации вам нужны?». Следует проанализировать потенциальные опасности и выявить области возможного возникновения проблем; затем необходимо отобрать технологии для решения этих проблем. Итогом наших рассуждений могут стать слова Кобба: «Надо сфокусировать внимание на уязвимых местах и точках входа».
Как заставить систему работать
Мы видели, что никакого волшебного эликсира безопасности не существует и ни один производитель не может удовлетворить все запросы организации. Поэтому потребуются усилия по системной интеграции. Решение никоим образом не будет дешевым, однако ради повышения управляемости предприятия и защиты его ценностей стоит потратиться.
Решить эту задачу не так-то просто, поэтому мы рекомендуем воспользоваться советом Дэна Вули, имеющего богатый опыт в данной области: «Что бы вы ни делали, начинайте с малого. Начинайте с пилотной версии». После отладки система должна легко масштабироваться по размеру и сложности сети и по охватываемым сетью расстояниям. Начните с одной, максимум двух платформ и постарайтесь прочувствовать, как работает система. Договоритесь с производителем о 30-, 60- или 90-дневном испытательном сроке и будьте готовы платить за первоначальное обучение. И помните, что проблему далеко не всегда можно решить только техническими средствами.
Один наш клиент, занимающийся финансовыми операциями, испытывал беспокойство в связи с подключением к Internet. Нам удалось быстро выяснить, что главные опасения вызывала защита данных отдела кадров; при его переводе на онлайновую работу могла пострадать кон-
фиденциальность информации. Компания рассматривала вопрос об установке какого-нибудь технического средства, например брандмауэра интрасети, чтобы остальную часть компании можно было подключить к Сети. В течение нескольких минут мы определили, что из 5000 сотрудников компании осуществлять доступ к компьютерам отдела кадров должны всего шестеро, и как раз им-то нужны только самые простые Internet-функции для доступа к корпоративной почтовой системе.
Мы предложили простое, дешевое и эффективное решение: воздушный зазор. Отсоедините компьютеры отдела кадров от корпоративной сети и Internet. Дайте каждому из шести сотрудников по дополнительному персональному компьютеру младшего класса (которые пылятся на складе безо всякого использования) для доступа к корпоративной почтовой системе. Цена данного решения составляет сотую долю от стоимости того, которое компания изначально предполагала реализовать, а проблемы с управлением сводятся на нет. Не всегда техника может сделать все то, чего от нее ожидают.
Уинн Швартау (Winn Schwartau) — президент Interpact, Inc. международной консалтинговой компании, занимающейся вопросами безопасности. С ним можно связаться через Internet по адресу [email protected] или http://www.infowar.com.
Защита данных административными методами
Ниже перечислен ряд весьма простых действий, которые могут значительно повысить степень защиты корпоративной сети без больших финансовых вливаний.
До недавнего времени обеспечить безопасность было довольно просто, однако появление технологий Internet/intranet заставило отказаться от старых подходов к решению этой проблемы.
В эру мэйнфреймов десятки тысяч терминалов (один «тупее» другого) были подключены к огромным и необыкновенно интеллектуальным машинам. Однако обеспечить защиту было совсем несложно. Единственное, что надо было сделать, — обеспечить неприкосновенность путей передачи данных к хранилищам информации.
И тут появились персональные компьютеры и локальные сети. Использование офлайновой обработки резко усложнило проблему информационной безопасности. Данные перемещались по дороге с двусторонним движением (от мэйнфрейма к серверу и обратно), а затем тысячами тропинок расходились к клиентским станциям. Как обеспечить безопасность в таких условиях? Поначалу на эту проблему просто никто не обращал внимания, поскольку значительное большинство пользователей работало в самой организации, а удаленный доступ как средство обработки данных еще не приобрел широкого распространения.
Однако вскоре возникли Internet, интрасети и колоссальное количество удаленных серверов. «Хорошие ребята» со стороны теперь могут заходить в нашу сеть — это упрощает ведение с ними дел. Однако появилась необходимость давать отпор негодяям-злоумышленникам, промышляющим на электронной большой дороге.
В наши дни эффективным может считаться только защитное средство, работающее в симметричном режиме. Два десятилетия все мы пользовались моделями защиты данных при их передаче в одном направлении. Теперь надо приспосабливать эти модели к работе с хитросплетениями двунаправленного трафика. Поэтому давайте проанализируем некоторые аспекты защиты данных, которая должна быть организована таким образом, чтобы не мешать работе сети. В компании, как правило, работают разные сотрудники, у них разные запросы в отношении доступа к данным, а кроме того, к сети обращаются и деловые партнеры компании, интересы которых могут также иметь определенную специфику. Необходимо решить, каким образом пользователи смогут обращаться к конкретным ресурсам — как в пределах организации, так и вне ее. Восприятие сети ее администратором приобретает все более серьезное значение по мере развития самого понятия сети; кроме того, совершенно новое значение приобретают виртуальные частные сети. Мы все связаны между собой тем или иным способом, и надо обеспечить правильное управление этими линиями связи.
Два критически важных правила обеспечения информационной безопасности таковы.
Приведенная нами таблица станет отправной точкой для понимания и реализации симметричной модели защиты сети предприятия и управления ею. Из приведенных вариантов можно выбрать тот, который лучше всего подходит для удовлетворения конкретных запросов.
Симметричная модель защиты данных: возможные аспекты
Доступ к внутренним ресурсам
Десять шагов к обеспечению безопасности Web-узла
Никто не хочет, чтобы Web-узел его компании, в который были вложены миллионы долларов, пал следующей жертвой хакера Graffiti Man, который переписал начальные страницы Web-узлов ЦРУ, Министерства юстиции и Лейбористской партии Британии. Ниже перечислены десять основных правил, выполнение которых поможет вам превратить свой Web-узел в зону безопасного бизнеса.
1. Проведите полную оценку всех опасностей, грозящих вашей компьютерной среде. Выясните все возможные уязвимые места системы в целом, которые могут негативно повлиять на работу Web-узла, и наоборот. Узнайте, какие системы есть в сети, каким образом серверные части систем соединены с Web-сервером и насколько такое соединение необходимо. Убедитесь в том, что невозможен несанкционированный доступ к закрытым файлам и приложениям. Подумайте об использовании на этом этапе имеющихся в вашей организации штатных контролеров (аудиторов).
2. Избегайте конфликта обязанностей. Во многих организациях администратор Web-узла отвечает еще и за безопасность, модификацию систем, тестирование, программирование и кучу других вещей, которые не вяжутся с правильной политикой в области безопасности. Если вашим Web-узлом будут заниматься в качестве дополнительных обязанностей, ничего хорошего не ждите.
3. Создайте группу обеспечения информационной безопасности. Туда должны войти представители отдела безопасности, контрольного отдела и администрации Web-узла. Группа должна периодически изучать содержимое системных журналов, сигналы тревоги для компьютерной группы немедленного реагирования, а также информацию производителей о модификациях программного обеспечения и программных «заплатках».
4. Используйте брандмауэры и маршрутизаторы для фильтрации протоколов, которые не требуются для выполнения служебных обязанностей. Журналы фильтрации должны содержаться в защищенной директории на сервере или на защищенном сервере, не подключенном напрямую к Web-серверу. Время от времени просматривайте журналы и не давайте к ним доступа администратору системы.
5. Время от времени анализируйте сценарии и программы Common Gateway Interface, а также клиентские модули, чтобы убедиться, что они не выполняют ненужных или рискованных действий, без которых можно было бы обойтись при выполнении служебных заданий.
6. Установите на Web-узле защиту от повреждения системы Domain Name System (DNS); для этого можно использовать криптографическую систему аутентификации. Другой подход: проверяйте все IP-адреса источников вызовов, прежде чем предоставить доступ к системе.
7. При установке нового аппаратного или программного обеспечения смените все пароли по умолчанию и параметры операционной системы. Продолжайте менять пароли не реже одного раза в 30 дней. Пароль системного администратора должен меняться автоматически при назначении на эту должность нового человека.
8. Документируйте все имеющиеся на узле сервисы. Отдельные сервисы требуют особой защиты, поскольку об их существовании (а соответственно, об уязвимых местах) знают многие хакеры. Это относится к File Transfer Protocol, telnet, Simple Mail Transfer Protocol, Network File System, Trivial FTP и Network Information System.
9. Убедитесь, что ваш Web-узел защищен от злонамеренных аплетов Java. Вот парочка самых общих советов, которые помогут избежать опасностей, связанных с аплетами:
10. Разработайте план резервного копирования и восстановления коммерческих операций. Предложите группе защиты разработать, протестировать и затем поддерживать список сценариев событий, которые могут привести к прекращению работы Web-узла. Разработайте планы реакций на все перечисленные случаи. Вносите в план изменения при поступлении новых сигналов тревоги.
Кевин Стивенс, Уинн Швартау
Распознавание пользователей: от паролей до сетчатки
Для защиты компьютерной информации сейчас широко применяются три способа распознавания пользователей, каждый из которых имеет свои сильные и слабые стороны.
Первый способ можно назвать «Нечто такое, что вы знаете». Это наиболее простой и наименее надежный изо всех способов, поскольку идентификация осуществляется на основе таких сведений, которые пользователь может легко держать в памяти, например его личного номера в системе социального страхования. Понятно, что если эти сведения несложно запомнить, их столь же легко и разгадать. Если же пароль достаточно сложен и успешно противостоит попыткам разгадать его, то его трудно запомнить. Кроме того, каждый из нас имеет столько разных паролей, что приходится их записывать. А это — лучший способ их рассекретить.
Хорошим выходом может оказаться использование ключевых фраз. Их гораздо труднее разгадать, а запоминаются они легче. Например, фраза «В гостях хорошо, а дома лучше» содержит (с точки зрения компьютера) 31 символ; такой пароль легко запомнить и очень сложно угадать. Для еще большего усложнения фразу можно записать различными способами — прописными, строчными буквами или сочетанием тех и других. Можно также использовать необычную пунктуацию. Главное — побольше воображения.
Второй, более надежный, способ защиты, условно назовем «Нечто такое, чем вы владеете». Основанные на нем системы идентификации требуют наличия у пользователя какого-либо устройства или опознавательного знака, вроде карточки с магнитной полоской, которая используется в банкоматах. Смарт-карточки играют ту же роль, обладая большей универсальностью и более широкими возможностями. Как для магнитных, так и для смарт-карточек нужны специальные считывающие устройства, которые довольно дороги и не слишком надежны. Однако смарт-карты стандарта PCMCIA оказались надежнее в использовании, и их популярность в качестве идентификатора пользователя в последнее время стала расти.
Разновидностью второго способа защиты является «Нечто такое, чем вы владеете, и такое, что вы знаете»; здесь используются аппаратные жетоны, которые генерируют одноразовые пароли. К этому типу относится карточка SecureID Card, выпускаемая компанией Security Dynamic Technologies. Компания Secure Computing предлагает пакет, в который, кроме аппаратного жетона, входит программа LOCKout. Она вводит пароль в компьютер, освобождая пользователя от необходимости постоянно иметь карточку при себе.
Третий способ защиты, который можно назвать «Нечто ваше личное», предполагает использование для защиты данных в компьютере некоторых биометрических характеристик, уникальных у каждого человека. Этот способ наиболее надежен при идентификации пользователя и защите информации.
Каждый человек имеет неповторимый рисунок отпечатков пальцев, а устройства их распознавания становятся с каждым днем все дешевле (сейчас они стоят менее 300 дол.). Можно ожидать, что лет через пять на кредитных карточках, которые принимаются во всех магазинах, будет фигурировать именно рисунок отпечатков ваших пальцев.
Узор сетчатки глаза у каждого из нас тоже уникален, но методика его распознавания пока слишком дорога, да и некоторые люди не соглашаются подставлять свои глаза под луч лазера для считывания этого узора. Так что с будущим этой методики пока нет полной ясности.
Есть еще способ распознавания человека по инфракрасной картине, создаваемой его внешними капиллярными сосудами. Регистрирующие системы могут прочесть узор метров за 50 и работают надежно даже в тех случаях, когда лицо человека подвергалось пластическим операциям, как-нибудь замаскировано или человек нездоров. Обмануть такую систему невозможно.
Тембр человеческого голоса тоже неповторим, и некоторые телефонные компании используют это обстоятельство в качестве одного из способов гарантии конфиденциальности при обслуживании телефонной линии. Однако наиболее универсальным средством идентификации человека является его формула ДНК. Да, это неприятный, но вместе с тем абсолютно надежный метод. Еще одним способом, приобретающим все большую популярность, становится сравнение почерков.
Нет необходимости еще раз повторять, что пароли — слишком слабое средство защиты, если относиться к ней серьезно (хотя я, кажется, все-таки повторился). Просто не следует забывать, что надежная идентификация пользователя — это наиболее важное средство защиты информации в наших компьютерах.
Мудрые советы «короля» безопасности из Citibank
Стивен Кац, руководитель службы информационной безопасности Citibank, уже много лет занимается разработкой систем защиты данных. Вот некоторые из советов этого умудренного опытом специалиста.
Прежде всего, очень важно научиться правильно мыслить. Попробуйте задать себе такие вопросы: Как я могу узнать, кто использует вверенную мне сеть и ее информационные ресурсы? Почему это для меня важно? К какой категории — локальных или удаленных — относятся пользователи? Как я могу заставить пользователей, сообщивших мне свои имена, доказать их подлинность? Не стоит тратить время на системы и технологии, которые не помогают вам ответить на все эти вопросы.
После того как пользователи доказали подлинность своих имен, задайте себе новую группу вопросов: Каким образом я могу управлять действиями пользователей? Важно ли это для меня? Должен ли быть ограничен доступ пользователей ко всему объему информации? Если ограничения есть, то кто их устанавливает и следит за их соблюдением?
«Защищенных линий связи не бывает. Сети, по определению, имеют очень невысокий уровень безопасности или вовсе не защищены», — утверждает г-н Кац. Если вы собираетесь передавать информацию по линиям связи, определите, какая ее часть должна иметь закрытый, конфиденциальный характер. Подумайте о том, как вы можете добиться конфиденциальности при передаче данных. Может быть, позаботиться, чтобы содержимое ваших посланий не могло быть искажено? «Сегодня конфиденциальность электронных сообщений не выше, чем у почтовых открыток», — считает Кац.
Он отмечает, что при передаче банковской информации нужно тщательно следить за правильностью передачи реквизитов перечисляемых денежных сумм. «Кроме того, — говорит Кац, — мы уделяем большое внимание отказам: что вы сделаете, если кто-либо станет отрицать факт получения сообщения, а вы точно знаете, что его отослали?»
«Достоинства любой системы безопасности нельзя по-настоящему оценить, пока не возникла реальная угроза, — утверждает Кац. — Если систем безопасности слишком много, то они могут наградить вас 500-страничным отчетом о том, что случилось часов 18 назад. А это почти то же самое, что посылать по почте сообщение в полицию, о происходящем на ваших глазах ограблении». Он считает, что сутью проблемы безопасности является обеспечение работоспособности информационной системы в угрожающих и критических ситуациях. Две разные организации никогда не придут к одинаковому решению в вопросе защиты информации. Г-н Кац говорит: «Воспроизведите свои текущие или старые бумажные процессы и постарайтесь найти способ использовать их в качестве составного элемента системы управления электронной информацией и ее безопасностью».
Чаша святого Грааля систем с единой регистрацией
Множество усовершенствований, обещанных технологией «клиент-сервер», так и оказались нереализованными, поскольку пользователи, администраторы сетей и информационных систем продолжают использовать многочисленные идентификаторы пользователей, пароли и процедуры регистрации.
Вот пример для тех, кто сомневается в значимости этой проблемы. Ассоциация аэрокосмических промышленников (Aerospace Industry Association) отмечает, что организация, насчитывающая 5 тыс. сотрудников, только из-за недостаточно эффективной работы пользователей в компьютерной сети может расходовать в год до 3,5 млн дол.
Сейчас существует громадное количество продуктов, обеспечивающих единую регистрацию (single sign-on, SSO), которые претендуют на решение данной проблемы. При работе многих из этих продуктов традиционно не уделялось никакого внимания вопросам безопасности и интеграции с другими приложениями, но ситуация начинает меняться в лучшую сторону. Сейчас производители продуктов SSO предлагают вполне развитые программы и технологии, вполне отвечающие довольно жестким требованиям, связанным с условиями работы в крупных коммерческих предприятиях.
Главными задачами пользователей теперь становятся правильная формулировка своих требований и выбор такого продукта SSO, который наилучшим образом подходит для решения их задач. Чтобы помочь вам сориентироваться, мы предлагаем следующие общие правила.
Система SSO не должна:
Рей Каплан, Уинн Швартау
Поделитесь материалом с коллегами и друзьями
В первом случае речь идет о морально устаревающих решениях 802.11g, во втором — о новейших устройствах, поддерживающих работу в двух диапазонах (2,4 и 5 ГГц) и под завязку упакованных самыми разнообразными дополнительными возможностями.
Те, кто уже привык полагаться на коллективный разум интернет-форумов, получат там несравнимо больше информации и познакомятся с массой впечатлений от самых разных моделей, порой совершенно не обязательно применимых к конкретной ситуации. К тому же на объективность и.
В ее официальных релизах говорится, что новый стандарт рассчитан на работу в частотном диапазоне 60 ГГц, а скорость соединения будет достигать вначале 1 Гбит/c, а затем и 6 Гбит/c.
Защита информации. Как обеспечить информационную безопасность в компании
Обеспечение информационной безопасности напрямую связано с финансовым благополучием компании: экономия на защите информации нередко обходится слишком дорого. Ниже представлены способы охраны данных.
Используйте пошаговые руководства:
Один из самых распространенных способов защиты информации можно (условно) назвать физическим, поскольку его цель – создать препятствия для проникновения к источникам сведений тех, кому эти сведения знать не положено. Проще говоря, не пустить в помещение (здание, этаж, кабинет). Издавна средствами защиты информации служат высокие стены, крепкие двери и ворота. Большинство компаний используют для этого пропускную систему: у сотрудников есть электронные или магнитные карточки, которые позволяют им беспрепятственно проходить в здание и в комнаты. Посетителям в бюро пропусков или на посту охраны выдают временные пропуска (либо такие же, как у сотрудников, либо бумажные). Небольшие компании, однако, могут экономить и обходиться без людей в форме у входа: сотрудники сами встречают посетителей и проводят их. Разумеется, крупным компаниям с большим количеством визитеров такая экономия неудобна.
Сюда же можно отнести и различные хранилища для документов: сейфы, металлические шкафы и т.п. Как правило, такие шкафы есть в отделе кадров (для хранения трудовых книжек), у директора и его заместителя, финансового директора или главного бухгалтера. В них могут находиться, разумеется, и печати компании, а также ценности (деньги).
Многие компании, однако, не ограничиваются надежными замками, сейфами и пропускной системой с охранниками, а устанавливают дополнительно еще и видеокамеры, причем не только в здании, но и за его пределами, чтобы было видно огражденную территорию вокруг него.
В ночное время от проникновения злоумышленников офисы защищают сигнализацией, но некоторые компании имеют круглосуточную охрану.
Закон суров к болтунам
Действующее законодательство РФ охраняет в сфере бизнеса, прежде всего, два основных вида информации: это, с одной стороны, персональные данные сотрудника, а с другой – сведения, представляющие собой коммерческую тайну. За разглашение и тех и других предусматривается ответственность – от дисциплинарной и административной до уголовной.
Комментарий юриста
Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX
Разглашение охраняемой законом тайны – популярное основание для увольнения сотрудников. Зачастую это становится формальным поводом для расторжения трудового договора с работником, нежелающим расставаться «полюбовно», либо при отсутствии у работодателя весомых доказательств какого-нибудь более серьезного нарушения трудовой дисциплины. Известны случаи, когда суды признавали законным увольнение сотрудника только за то, что тот отправлял документы фирмы на личную электронную почту.
Что касается персональных данных, то их защита регулируется главой 14 ТК РФ. Во-первых, она регламентирует, какие конкретно данные и каким образом вправе собирать работодатель. Так, сотрудники отдела кадров не имеют права выяснять, состоит ли сотрудник в какой-либо общественной или профсоюзной организации. Что еще более важно, они не должны без разрешения сотрудника собирать персональные сведения о нем «на стороне», то есть расспрашивать не его лично, а его знакомых, бывшего работодателя и т.д. в том числе, в соцсетях. Более того, такой сбор возможен лишь в том случае, если персональные данные иначе никак нельзя получить.
Разумеется, компания обязана тщательно хранить сведения, полученные от работников. Доступ к ним могут иметь только специально уполномоченные лица, при этом необходимо учитывать, какие конкретно данные и для чего необходимы данному лицу. При этом работодателю запрещено предоставлять личные данные сотрудника другим компаниям или частным лицам в коммерческих целях, не заручившись его письменным разрешением.
Порядок обработки и хранения сведений, предоставленных сотрудниками, в компании должен быть строго регламентирован. Работникам должны быть представлены под роспись документы, в которых закреплены эти правила.
Сотрудник при этом может просматривать информацию, которую он о себе предоставил, обновлять или корректировать ее, а также копировать. Сотрудники также имеют право знать, каким образом обрабатываются их персональные данные.
Коммерческую тайну надо тщательно охранять
Еще один аспект информации, защищаемый законодательством – это конфиденциальные сведения самой компании. К ним относятся коммерческая тайна и инсайдерская информация (инсайд, как говорят участники рынка). Часто эти понятия совпадают, но не всегда.
Коммерческая тайна – это те сведения, которые могут помочь компании увеличить выручку или же избежать ненужных расходов, а также закрепить свое положение на рынке. К ним могут относиться различные изобретения, как запатентованные, так и без патентов, секреты производства, ноу-хау, а также придуманные компанией методы управления финансами, маркетинговые стратегии, сохраняемые в секрете от конкурентов.
Не менее тщательно компании охраняют от посторонних глаз и закрытую финансовую документацию, поскольку она также представляет ценность для конкурирующих фирм (см. также, как убедиться в сохранности данных при передаче расчета зарплаты на аутсорсинг).
Беречь коммерческую тайну компаниям помогает законодательство, карающее тех, кто решит ею поделиться. Так, статья 183 УК РФ гласит, что разглашение тайны сотрудником без ведома компании может лишить его одного миллиона рублей или же дохода за два года. Не менее неприятными последствиями могут стать принудительные или исправительные работы, не говоря уже о тюремном заключении (до трех лет). Если компании болтливость сотрудника нанесла крупный ущерб, то наказание будет более суровым: штраф до полутора миллионов или до трехлетнего заработка, а тюремный срок – до пяти лет. Особо ретивые конкуренты также могут пострадать: за кражу документов или же подкуп либо угрозы в адрес чужих сотрудников, владеющих коммерческой тайной, им придется расплатиться полумиллионным штрафом, либо также отработать в пользу государства (до двух лет), либо потерять свободу на тот же срок. Впрочем, в исключительных случаях закон еще более суров и предусматривает даже семилетнее тюремное заключение.
Разумеется, чтобы следственные органы могли установить факт нарушения закона, а суд – покарать преступника, компания должна четко определить, какие же сведения составляют коммерческую тайну, и тщательно беречь ее. То есть информационная политика компании должна быть четко продуманной и регламентированной. Для этого нужно принять правила обращения с секретными документами, определить, кто имеет право доступа к ним. Ответственность за разглашение коммерческой тайны прописывается в трудовых договорах с сотрудниках, а также в соглашениях с контрагентами. Обычно в таком документе указывается срок, в течение которого ее надо хранить в секрете. Доступ к информации, которую компания хотела бы не раскрывать посторонним, могут иметь представителя самых разных профессий и должностей – от переводчика до маркетолога, от секретаря до финансового директора. Компания также может разработать положение о коммерческой тайне.
Комментарий юриста
Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX
Режим коммерческой тайны необходим для того, чтобы сохранить ценную информацию в секрете. Однако потребность в нем еще более возрастает, если компания намеревается поделиться своим секретом с третьими лицами. Так, передавая свое ноу-хау по лицензионному договору, компания прежде должна убедиться, что режим установлен в организации в полном соответствии с законом. В противном случае компания рискует остаться и без ноу-хау, и без денег.
Помимо коммерческой тайны сотрудники могут иметь доступ к профессиональной информации, которая также является секретной. Законодательство считает, что такие сведения обычно используют в работе врачи, адвокаты, нотариусы. Профессиональные тайны также охраняются законом (ст. 13 ФЗ от 21.11.2011 N 323-ФЗ, ст. 53 УПК РФ и другие документы)
Инсайд запрещен
Инсайдерская информация (или попросту инсайд) – это те сведения, которые могут повлиять на стоимость ценных бумаг компании и повлиять на ситуацию на рынке, если будут обнародованы. Неудивительно, что компании делают все возможное, дабы не допустить утечку этой информации или злоупотребление ею. Наказание за злоупотребление инсайдом не так давно было четко прописано в российском праве, а именно, в Федеральном законе от 27.07.2010 N 224-ФЗ. Сведения, относящиеся к инсайду, закон не определяет, а описывает лишь круг лиц, которые могут владеть такой информацией. Список инсайдеров довольно большой, но, как правило, это руководство компаний, влиятельные акционеры, а также организаторы торгов и прочие лица, осуществляющие операции с ценными бумагами и финансовыми инструментами по поручению клиентов. Для обслуживающих организаций перечень инсайда установлен Банком России, а вот руководство компании вправе составить свой список таких данных.
Итак, что же грозит тем, кто решил не сохранять тайну инсайда и поделиться ею либо же заработать на ней? Вышеуказанный закон предусматривает следующие штрафы:
- для граждан – 3–5 тыс. рублей;
- для ответственных за принятие решений сотрудников –30–50 тыс. рублей или дисквалификацию до двух лет;
- для организаций и компаний – от 700 тыс. и вплоть до суммы, на которую был превышен доход (уменьшены убытки) по сравнению с ситуацией, при которой злоупотребления инсайдом бы не было.
Впрочем, указанные наказания не означают, что инсайдер, который решит обогатиться за счет доступных ему сведений, отделается столь сравнительно невысоким штрафом. Если инсайдер совершит благодаря владению такой информацией сделки с финансовыми инструментами или с валютой, которые принесут ему более 3 млн 750 тыс. рублей, или же даст рекомендации кому-то купить (либо продать) финансовые инструменты и валюту, что приведет к возникновению дохода у продавца (покупателя) в том же размере, то сумма штрафа окажется весьма существенной и может дойти до полумиллиона рублей (или заработка за три года) либо даже тюремным сроком до четырех лет. Если же нечестный инсайдер передаст (читай: продаст) такую информацию посторонним лицам, и они получат особо крупный доход, то он может быть наказан на сумму до миллиона рублей или оказаться в тюрьме на срок до шести лет.
Комментарий юриста
Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX
На практике одним из наиболее действенных методов защиты секретов фирмы является демонстративное увольнение сотрудника, грубо нарушившего правила обращения с секретной информацией. При наличии доказательств злого умысла работника (например, в случае «слива» инсайда конкурентам) компания может обратиться в правоохранительные органы для возбуждения уголовного дела. Такое развитие событий неизбежно станет достоянием коллектива и послужит сдерживающим фактором для других потенциальных нарушителей.
Компьютеры: строим «стены»
Главный предмет в современном офисе – это, безусловно, компьютер. В нем хранится множество самых разных данных, необходимых сотрудникам для работы, большинство из них являются конфиденциальными. Неудивительно, что защита компьютера – одна из важнейших задач ИТ-специалистов, ведь потеря данных может дорого обойтись компании в самом прямом смысле. Если точнее, то системным администраторам приходится решать сразу несколько задач: защищать компьютерную сеть от сбоев, которые могут привести к потере данных, от несанкционированного вторжения «чужаков», а также обеспечивать беспрерывный доступ к информации тех, кто имеет право ее использовать.
Рассмотрим сначала, из-за чего ценная информация может исчезнуть из компьютеров или подвергнуться нежелательной модификации. Такие неприятности могут возникнуть из-за перебоев электропитания, проблем с «железом», а также некорректной работы ПО: его ошибок (неправильная установка или обновление) или же заражения ПК вирусом или троянским конем. Проблемы, связанные с картами, серверами, кабелями и т.п. компании научились решать весьма неплохо. А вот предупреждать заражение вирусами на сегодняшний день на 100% эффективно не удается, пожалуй, никому.
Безусловно, вряд ли сейчас найдется фирма-«камикадзе», которая не установила на свои компьютеры антивирусные программы (а лучше – несколько) или не пользуется firewall для защиты информации от внешних угроз и атак. Существуют и специальные инструменты, препятствующие внедрению шпионских программ, способных считать конфиденциальную информацию. Но и хакеры не дремлют, совершенствуя и разрабатывая все новые и новые вирусы и хакерские программы, поэтому чувствовать себя в полной информационной безопасности не может никто. Тем не менее, любой компании важно понимать, что на защищающем ПО экономить не стоит – это тот случай, когда скупой может заплатить даже не дважды, а много раз.
Чтобы обеспечить конфиденциальность информации, системные администраторы, как правило, ставят пароли на компьютерах. На практике, однако, такая мера нередко оказывается фикцией: забывчивые сотрудники приклеивают стикеры с паролем от своего ПК на стол или на монитор. Поэтому помимо установки паролей на вход в компьютер (а иногда и на подключение к корпоративной почте) необходимо разъяснять сотрудникам специфику их генерирования и хранения и контролировать исполнение предписаний.
Комментарий юриста
Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX
Внедряя режим коммерческой тайны, мы иногда рекомендуем клиентам рассмотреть те или иные IT-решения в этой сфере, так как вопрос защиты информации требует комплексного подхода. Это справедливо и для обратной ситуации: приобретая IT-решение, всегда необходимо привлекать к процессу юристов (внешних или внутренних) для того чтобы соблюсти требования законодательства и впоследствии иметь возможность привлечь нарушителей к ответственности. Случается, что правовой аудит системы информационной безопасности выявляет упущения, которые могли быть легко исправлены на этапе проектирования или внедрения системы. Внесение же изменений в уже полностью функционирующий продукт, как правило, обходится компании дороже, не говоря уже о рисках, о существовании которых компания может не подозревать до первого серьезного инцидента.
Есть компании, в которых до сих пор использовать интернет (либо же определенные программы, например, ICQ) имеют право не все сотрудники, для получения доступа необходимо разрешение руководства. С точки зрения защиты информации данную меру вряд ли можно назвать очень эффективной. В некоторых компаниях сотрудники информационного отдела выборочно просматривают корпоративную почту персонала в том числе с целью контроля за распространением сведений.
Десять шагов к надежной системе информационной безопасности
Казалось бы, внимание к проблемам информационной безопасности растет не по дням, а по часам. Разработаны и успешно внедряются международные стандарты, появились специализированные издания, проводятся конференции и семинары. А случаев утраты данных все больше. Парадокс? Уже очевидно: от эффективности созданной в компании системы информационной безопасности сегодня зависят не только ее конкурентные преимущества, но зачастую и владение самим бизнесом. Ведь недружественные поглощения очень часто начинаются именно с утечек информации, на основании которых планируется рейдерская операция. Вот почему это направление деятельности приобретает важнейшее значение для успеха и жизнеспособности любой коммерческой организации. Наиболее распространенная проблема заключается в том что управление информационной безопасностью, как правило, происходит от случая к случаю. В большинстве компаний к построению системы информационной защиты приступают только после того, как «гром грянет» – произойдет утечка конфиденциальных сведений. Только после серьезного инцидента выделяются ресурсы на эти цели, спешно формируются рабочие комитеты, осуществляются другие мероприятия. Но проходит время, и эта проблема опять отходит на второй план. И так до повторения «кризисной» ситуации и до нового всплеска активности. Очевидно, что такой подход проблемы не решает. Система информационной безопасности будет действовать эффективно, если она основывается на превентивных мерах, а не на реактивном подходе. Необходимо регулярно заниматься проблемами информационной защиты и навести порядок в этой сфере. По данным компании PricewaterhouseCoopers, в прошлом году только 22% компаний не испытали ни одного инцидента в сфере информационной безопасности; причем по сравнению с 2002 годом количество таких случаев уменьшилось практически в полтора раза. С одной стороны – это положительная тенденция. В реальности, однако, не все так безоблачно. Дело том, что 40% организаций не знают точного количества случаев утечки сведений, которые произошли у них в прошлом году. Приведем десять рекомендаций, выполнение которых поможет за короткое время наладить устойчивый процесс управления информационной безопасностью (см. рис.). Разумеется, даже пройдя все десять шагов, вряд ли удастся построить «непреступную крепость» – ведь атакующий всегда в выигрыше. Однако наиболее уязвимые места вашей «цифровой цитадели» будут защищены. В первую очередь следует изучить стандарты серии ISO 2700x. Они содержат вводную терминологию и дают представление об основных принципах и методах построения системы информационной защиты. Также желательно ознакомиться с предыдущим стандартом – BS 7799. В качестве первоочередных мероприятий, как правило, рекомендуется выработать политику или концепцию информационной безопасности. Однако, эти шаги – только начало пути. Ведь разработанную политику и одобренную концепцию нужно исполнять. А для этого необходимо организовать непрерывный процесс управления информационной безопасностью. Большинство компаний, однако, ограничиваются формальным подходом и готовят ворох документов, которые не решают существующих проблем. В то же время, чтобы повысить уровень защищенности компании, необходимо выстроить процесс, включающий процедуры управления рисками, планирования, исполнения и контроля мероприятий по информационной безопасности. Если сделать этого не удастся, то система будет носить декларативный характер. Наиболее эффективный подход к определению приоритетов в области защиты информации основан на оценке рисков. Для построения системы управления рисками в сфере IT-безопасности часто используется метод CRAMM (UK Government Risk Analysis and Management Method), который был разработан и принят в качестве государственного стандарта в Великобритании. Метод CRAMM широко используется во всем мире. Одним из его основных достоинств является возможность экономически обосновать расходы организации на управление информационной безопасностью. Структурировать информацию необходимо для того, чтобы была возможность определить объекты защиты. В большинстве случаев классификация информационных ресурсов строится по функциональному признаку. В соответствии с таким подходом следует назначить владельцев информационных ресурсов и определить уровни конфиденциальности. При этом не стоит излишне засекречивать информацию – в случае строгого ограничения доступа к необходимым сведениям сотрудники всегда найдут возможность обойти существующие запреты. Показателем уровня конфиденциальности может служить экспертная оценка размера убытков в случае перехода конкретной информации к конкуренту. Занимаясь наведением порядка в информационном окружении компании целесообразность задуматься и о внедрении средств управления документооборотом. Проведение экспертной оценки критичности информации можно поручить руководителям подразделений. При этом следует руководствоваться следующим принципом – если информацию можно оставить общедоступной, то так и нужно поступить. Стремление перевести большую часть информации в разряд конфиденциальной приводит к снижению эффективности компании, и даже может стать причиной нелепых ситуаций. Так, в одной компании «навели порядок» в обращении с информацией. В результате сотрудники, чтобы избежать длительной процедуры получения доступа к проектной документации, стали находить подобные материалы в Интернете, а затем использовали их в своей работе. Процедуру предоставления доступа к информации необходимо описать и закрепить регламентом, причем срок выполнения этой процедуры должен быть минимальным, поскольку от этого зависит, конкурентоспособность компании. В то же время излишнее упрощение данного порядка таит в себе другую опасность – появляется вероятность несанкционированного доступа к конфиденциальной информации. Во многих компаниях системы информационной безопасности строятся по принципу: «доступ запрещен». Такой подход создает неудобства для сотрудников и может привести к снижению темпов развития компании, поскольку корпоративные знания перестают быть доступными для персонала. Вот почему необходимо найти «золотую середину» между ограничениями, связанными с информационной защитой, и свободой обмена информацией внутри и вне компании. Как правило, большое количество запретительных мер порождает способы обмена сведениями в обход защищенных каналов, что сводит к нулю все усилия по обеспечению защиты информации. В соответствии со стандартами следует создать специальный комитет по информационной безопасности. Тем не менее на первом этапе достаточно регулярно включать вопросы информационной безопасности в повестку совещания совета директоров. На практике, однако, это правило очень часто не соблюдается, а обеспечение информационной защиты отдают на откуп IТ-специалистам. Делать этого не следует, так как только руководитель функционального подразделения знает все нюансы бизнес-процессов и особенности своих сотрудников. Именно от действий руководителей подразделений в большинстве случаев зависит – реализуются или нет риски информационной безопасности. Дело в том, что сегодня основную опасность для организации представляют как раз собственные сотрудники, а не внешние хакеры. Поэтому в управлении информационной безопасностью должны участвовать все менеджеры компании, а регулярные обсуждения на совете директоров позволят обеспечить непрерывность этого процесса, а также обеспечат выделение требуемого бюджета. Часто лица, ответственные за информационную защиту, осуществляют выбор приоритетных мероприятий на свое усмотрение. Более эффективным является риск-ориентированный подход, который подразумевает выявление и оценку рисков информационной безопасности, которые присущи компании. Результатом этой процедуры должен стать список всех потенциальных рисков. Правильным и более полным считается анализ рисков через описание бизнес-процессов, но если на это нет времени, то можно ограничиться экспертными оценками. В качестве экспертов следует привлекать сотрудников разных подразделений, относящихся к различным уровням управленческой иерархии. Такой подход позволит обеспечить максимально возможную в данном случае полноту анализа рисков. В связи с тем, что последствия различных угроз неравноценны, недостаточно только идентифицировать риск. Необходимо также оценить величину угрозы и вероятность реализации риска, например, в виде прямых или косвенных убытков в денежном выражении. Поэтому после выявления рисков необходимо провести их оценку. И для этой цели также следует привлекать внутренних экспертов. После анализа и суммирования оценок нужно определить точку отсечения, иначе говоря, выделить ту группу рисков, которые являются наиболее приоритетными, а остальные риски достаточно просто принять к сведению. И пусть приоритетных рисков окажется немного – главное, чтобы меры по их минимизации были обеспечены бюджетом и необходимыми ресурсами. Планирование мероприятий по информационной безопасности необходимо для того, чтобы были определены сроки и составлен перечень работ, которые необходимы для предотвращения или минимизации ущерба в случае реализации риска. Это процедура позволяет определить, кто, где, когда, какими ресурсами и какие угрозы будет минимизировать. План мероприятий основывается на списке тех рисков, которые были признаны приоритетными, причем каждому риску должно соответствовать мероприятие по его минимизации. Предпочтительно, чтобы одно мероприятие предназначалось для минимизации сразу нескольких рисков. Затем назначаются ответственные, определяются сроки, бюджеты, контрольные точки и т. д. Результатом процедуры планирования должен стать план-график работ по исключению или минимизации ущерба от реализованного риска. Однако недостаточно составить план – важно выполнить все предусмотренные мероприятия «точно в срок». Иначе вся предыдущая работа будет сведена к нулю. Целью процесса управления информационной безопасностью является выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Составной частью основного плана может быть план внедрения контрольных процедур в существующие бизнес-процессы компании. Эта мера повышает эффективность превентивной защиты, а в итоге – и уровень информационной безопасности в целом. В большинстве случаев основная защита выстраивается на «границе» организации и внешнего мира. Однако статистика свидетельствует, что основная часть нарушений в сфере информационной безопасности – около 70% – совершается сотрудниками компании, либо лицами, работавшими там прежде. Это значит, что защитные меры «по периметру» организации в большинстве случаев бесполезны, ведь основной источник опасности находится внутри самой компании. Вот почему внешние угрозы информационной безопасности уже не являются первоочередными для большинства компаний. Внутренняя угроза – вот откуда теперь исходит главная опасность, с которой и нужно бороться. Нелояльность сотрудников часто становится причиной утечек информации и последующих скандалов. Поэтому основным методом борьбы с такими угрозами являются меры, повышающие лояльность персонала. Не секрет, что в России разница в доходах владельцев компаний и наемных сотрудников намного выше европейского уровня. Следовательно, внедрение правильной системы мотивации менеджеров и сотрудников позволит избежать многих неприятностей, в том числе и в области информационной безопасности. Ведь даже самая надежная крепость сможет устоять только в случае, если защитники будут ее оборонять. Учет инцидентов обеспечивает статистический материал для налаживания обратной связи, которая необходима в процессе управления информационной безопасностью. И если в вашей компании о таких инцидентах ничего не известно, то вполне возможно, что просто отсутствует механизм их регистрации, хотя на самом деле конфиденциальная информация успешно «уходит» из компании. Регистрация нарушений информационной безопасности должна вестись на регулярной основе. По сути дела, необходимо наладить учет всех произошедших инцидентов, что позволит оценить убытки, вызванные нарушениями информационной защиты. С целью стимулирования сотрудников неплохо внедрить систему премий за выявление нарушений информационной безопасности, а в качестве учетной системы на первых шагах можно использовать MS Excel. Проще всего сразу создать табличку, где будут фиксироваться все произошедшие инциденты, причем в заполнении этой таблицы должен участвовать весь персонал компании. Наличие такой статистики за определенный период времени позволит оценить убытки, понесенные компанией в результате нарушения информационной безопасности, и эффективность мероприятий по ее обеспечению. Необходимо регулярно осуществлять тестирование текущего уровня информационной безопасности. Для выполнения этой работы можно привлекать внешние компании, которые помогут обнаружить уязвимые точки информационной защиты. Однако своими силами эту задачу можно решить даже более продуктивно. Под тестированием информационной безопасности понимается аудит правильности выполнения всех процедур по предотвращению рисков, их регистрации, предоставления доступа и т. д. Такое тестирование позволит проверить результативность существующих превентивных контрольных процедур и наметить направления их совершенствования. Контрольные процедуры могут быть как сложными, так и очень простыми. Например, всякий документ, исходящий из компании, должен быть создан с участием как минимум двух человек, или доступ к материалам должны подтвердить два человека из разных функциональных подразделений и т. д. Если процесс управления информационной безопасностью налажен, осуществляется устойчиво и на регулярной основе, то можно приступить к анализу эффективности созданной системы. Сделать это можно простым способом – с помощью регулярной экспертной оценки ущерба от рисков и затрат на информационную безопасность. Как уже отмечалось, рекомендуется создать табличку, в которой отмечаются все инциденты, или даже базу убытков, в которую заносятся сведения обо всех случаях нарушения информационной безопасности. На основании полученных данных можно корректировать экспертные оценки опасности рисков, что позволит повысить точность системы оценки рисков. Результаты работы сотрудников, отвечающих за информационную безопасность, следует оценивать по следующим показателям: ·
- число зарегистрированных случаев нарушения информационной безопасности
- оценка фактического ущерба, нанесенного нарушениями информационной безопасности
- среднее время выполнения процедур, связанных с защитой информации
- процент выполнения утвержденного плана мероприятий по информационной защите
- соотношение экспертных оценок ущерба от рисков информационной безопасности и затрат на обеспечение информационной защиты
Как обеспечить информационную безопасность?
Главная / Ты и твой дом / На все руки мастер / Как обеспечить информационную безопасность?
В современном мире технологии таится большое количество угроз и разрушительных влияний на получаемые данные или разрабатываемые проекты. Поэтому требуется проводить контроль персонала на терминальном сервере, как например здесь – http://www.mipko.ru/terminal-monitor/, для обеспечения безопасности и надежности сохранения данных. Особенно это касается крупных компаний и особых системных серверов, которые предлагают услуги хранения данных на расстоянии, с применением доступа через сеть интернет.
Часто встает вопрос как обеспечить информационную безопасность. Что предполагает под собой использование оправленных программных наработок и ресурсов, обеспечивающих защиту хранящихся данных. В такого рода решения можно привлечь большое количество сотрудников или элементарно установить на имеющуюся сеть персональных компьютеров программное обеспечение. И оно будет способно выполнять ряд требований по безопасности и надежности работы системы. А именно:
- Создавать возможность удаленного контроля офиса, удаленного филиала, отдельно взятой торговой точки.
- Проводить требуемый контроль за соблюдением дисциплины всего персонала и отдельных сотрудников компании.
- Выполнять процесс предотвращения утечки получаемых наработок или другого типа информации.
Такого рода преимущества позволят создать надёжный щит и возможности по конструктивным решениям в области информационной безопасности. Давая вам шанс предотвратить потерю разрабатываемых технологий или сложных проектных данных. А это обеспечит получение не только весомых преимуществ перед конкурентами во время контроля проводимых манипуляций, но и создать отличный рабочий вариант для всего персонала и коллектива компании. Сегодня очень важно получить высокие стандарты защиты данных. И в этом могут помочь только специализированные программные комплексы дающие возможности не только отследить утечку информации, но и вовремя устранить данный просчет и узкое место во всей сети компании.
Так же имеющийся контроль и определённые ограничения в применяемых технологиях на определенном этапе могут потребовать большей отдачи от работников компании. Тем самым минимизировать их потери вовремя работы на различного рода отвлеченные нюансы и развлечения в виде простого просиживания в любимой игре, а не выполнение поставленной задачи. Современные программные комплексы способны создать не только контроль, но и предложить надежную защиту от потери ценных данных и всего создаваемого проекта.
Реставрация старой мебели
Так сложилось, что в эпоху потребления большинство из нас стремиться поскорее избавиться от всего старого и мебель здесь не исключение. Хорошо это или плохо вопрос спорный, однако сегодня старая мебель ценится и является показателем высокого вкуса. Поэтому, не спешите ее выбрасывать не свалку, а лучше подумайте над тем, как ее можно отреставрировать. На сайте http://www.rmm-moskva24.ru…
Стальная и оцинкованная проволока
Проволока из стали пользуется спросом и является весьма популярной на рынке. Она относится к разновидностям длинномерного металлопроката. Такая проволока широко используется в различных отраслях. К тому же она бывает разного диаметра, форм, и отличается по способам производства. Вы можете перейти по ссылке и выбрать наилучшую проволоку по самым приемлемым ценам. Как правило, на любое стальное…
Виды поломок и аварийное вскрытие замков
Благодаря применению инновационных технологий современные замки надежно охраняют наши жилища от проникновения злоумышленников. К сожалению, бывают такие ситуации, когда мы сами не можем попасть вовнутрь своего же жилища. Причины тому могут быть самыми разными: захлопнулась дверь, а ключ остался внутри, сломался ключ в замке и т.д. Так или иначе, а возникает необходимость воспользоваться услугами специалиста…
Точечные светильники для натяжных потолков
Натяжные потолки пользуются на рынке огромной популярностью и в этом нет ничего удивительного. Вместе с тем, для них существуют специальные точечные светильники, которые могут быть врезными и накладными. Так точечные светильники для натяжных потолков купить лучше всего на сайте http://siongroup.ru, поскольку здесь большой выбор и приемлемые цены с прекрасным качеством продукции. На сегодняшний день освещение играет очень…
Критерии выбора межкомнатных дверей
Межкомнатные двери являются одной и наиболее важных частей практически любого интерьера. Поэтому при выборе изделия следует ориентироваться на высокое качество, надежность и эстетическую привлекательность. Вы сможете выбрать межкомнатные двери Клин по самым приемлемым ценам на сайте http://mdverei.ru/. Прежде всего, следует заметить, что нельзя экономить на межкомнатных дверях, ведь они будут вам служить не год и…
