ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

IT АУТСОРСИНГ ПОМОГАЕТ СНИЗИТЬ СКРЫТЫЕ ЗАТРАТЫ
Alexey Malashenkov logo

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Самым важным для любой компании является ее информация. И прежде чем говорить об информационной безопасности, необходимо сесть и разобраться с вопросом: что, от кого и как мы хотим защищать.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - ЦЕЛИ И МЕТОДЫ

Для начала необходимо определиться, от кого именно мы хотим защищаться - собственно, от этого зависят способы обеспечения информационной безопасности и защиты сети.

Как правило, руководитель формулирует задачу либо коротким "защищаем всё от всех", либо - от госорганов и хакеров. По человечески желание понятно, но технически такая защита информации мало осуществима. Давайте разберемся, почему.

Очень часто руководитель высоко оценивает внешние угрозы информационной безопасности, и упускает из виду внутренние. По статистике, на долю взломов и получения доступа к данным через внешние сети или Интернет приходится около 20%. Остальные 80% относятся к внутренним взломам, утечкам и хищениям информации. При этом попытки взлома через Интернет являются вполне обычным фоном работы сервера, при условии, что система обеспечения информационной безопасности их отражает.

Атаки изнутри зачастую не являются атаками в прямом смысле - человек просто берет доступную информацию либо использует программные средства для получения доступа к защищаемым областям. Отразить такую атаку гораздо сложнее, поскольку невозможно контролировать все действия сотрудников в локальной сети - на это потребуется специальный сотрудник-контроллер. Однако, базовыми средствами информационной безопасности можно значительно снизить доступность данных и закрыть доступ к данным злоумышленнику слабой или средней квалификации. 

Отсюда делаем вывод: в рамках защиты информации необходимо защищать от сотрудников те данные, которые не нужны им для работы. Информационная безопасность подразумевает, что не следует секретарю иметь доступ к бухгалтерским базам, а менеджеру по продажам - к переписке директора.

Далее, нам нужно определиться, защиту какой информации мы обеспечиваем. Ведь информации в любой компании море, и очень важно ее правильно структурировать. Нет смысла шифровать фотографии с корпоратива или папку с рекламными текстами, поскольку там нет ничего конфиденциального. Защищать нужно лишь действительно важную информацию, и ее нужно отделить от публичной.

Лишь после этого следует рассматривать техническую часть информационной безопасности, а именно - защиту конкретных объектов:

  • физическая защита серверов (невозможность получения доступа несанкционированным лицам);
  • техническая защита серверов, регулярные регламентные работы по контролю защищенности в рамках обслуживания серверов и рабочих станций;
  • защита рабочих станций (невозможность работы за чужой рабочей станцией и работать под чужой учетной записью);
  • защита физических линий (доступ к проводам, сетевому оборудованию, беспроводным сетям);
  • политика паролей (длинна и тип пароля, частота смены пароля);
  • организационные меры обеспечения информационной безопасности;
  • защита доступа из внешних сетей, контроль за всеми подключениями извне.

Несмотря на кажущуюся банальность сказанного, это очень важно с точки зрения информационной безопасности и предотвращения утечек данных. Ведь в самом минимальном варианте защита информации потребует последовательного решения следующих задач:

  • создать систему, способную идентифицировать пользователя. В windows-сетях это осуществляется созданием доменной структуры;
  • назначить пользователю персональный логин и пароль;
  • сформировать группы доступа и назначить им права на доступ к конкретным папкам, файлам, почтовым ящикам;
  • настроить разделение прав в приложениях, базах данных, используемых информационных системах;
  • регулярно менять пароли, чтобы избежать ситуации, когда пользователь, уволившийся год назад может получить доступ к защищаемым данным;
  • при необходимости, внедрить криптографические средства защиты, то есть шифрование критических данных для их надежной защиты. Шифровать все - вместе с картинками с корпоратива, - не получится, поскольку это сильно снижает быстродействие. Как следствие, меры обеспечения информационной безопасности должны включать анализ хранимых данных и их структурирование. И для серьезной защиты нужно выделить лишь действительно критическую часть информации;
  • проанализировать угрозы и составить документы, регламентирующие, кто и что делает в особых ситуациях. Обычно предполагают, что если все запаролено, то никто не сможет изъять никакую информацию. Однако, есть такая грустная поговорка из лихих девяностых: "Скорость разгадывания любого пароля прямо пропорциональна температуре утюга". Поэтому должны быть разработаны инструкции сотрудникам, ответственным за определенные действия в нештатных ситуациях.

Информационная безопасность - это многогранная задача, которую нужно решать как технически, так и организационно. И чем больше каналов передачи данных, чем разнообразней программная среда, тем больше усилий нужно прилагать для защиты информации. Это и антивирусная безопасность, и защита почты, и шифрование при удаленной работе.

Информационная безопасность имеет еще два важных психологических аспекта.

Во-первых, если сотрудники Вашей компании чувствуют и видят меры по обеспечению информационной безопасности, то вероятность попытки доступа к защищенным областям резко снизятся. Сотрудники не будут рисковать рабочим местом ради того, что получат доступ к какой-то информации, притом, что знают, что сеть контролируется, есть четкие правила и их нарушение приведет к серьезным последствиям.

А второе касается самих руководителей. Важно реально оценивать угрозы, и предпринимать адекватные меры по их блокированию. Не следует искать людей или компании, которые скажут вам: мы настроим абсолютную защиту от всего. Это будет обман. Ведь такие гиганты, как Sony, с миллионными бюджетами на IT, не могут уберечь свои базы данных. Значит, абсолютной защиты не существует. Есть разумная защита.

Мы не стремимся создать у руководителей ложное чувство защищенности. Давайте встретимся, поговорим о информационной безопасности в вашей компании, и мы открыто расскажем о тех угрозах, которых можно избежать, и каких избежать трудно. 


Cron Job Starts