|
|
  |
Главная страница / Архитектура отрасли Управление информационной безопасностьюКак говорил Козьма Прутков, специалист подобен флюсу: полнота его – односторонняя. Часто приходится слышать о том, как шаблонно некоторые специалисты подходят к решению вопросов обеспечения безопасности. Не так давно на семинаре, посвященном безопасности корпоративных систем, один уважаемый специалист-практик сказал следующее: «Приходя на новую работу, я каждый раз начинаю все сначала – занимаюсь межсетевыми экранами, потом внедряю систему контроля почты, затем перехожу к…». Самое неприятное, что подобное поведение – не исключение. Вместо того чтобы проанализировать, что именно необходимо в той или иной ситуации, люди готовы имитировать деятельность по принятию мер защиты. Поддаваясь сиюминутным порывам и модным тенденциям, они готовы приобретать и внедрять системы защиты, которые их организацию не защитят. При этом часто звучат сетования по поводу того, что финансирование выделяется не в полном объеме. Как пример можно привести внедрение системы контроля подключений съемных носителей информации при нерешенных проблемах контроля электронной почты и наоборот. Увлеченные решением простых и понятных задач, специалисты по безопасности часто пропускают более значимые угрозы. Среди них: неправильное разграничение доступа к ресурсам информационной системы; появление в ИС фантомных учетных записей пользователей из-за сохранившихся учетных записей уволенных пользователей, а также проб и ошибок в работе администраторов, когда в результате их действий в системе появляются либо ничейные учетные записи с непредсказуемым набором прав, либо для пользователя создается несколько учетных записей с различными правами на доступ к системе; отсутствие механизмов контроля процессов предоставления доступа в системе. Так, на семинарах, на которых собираются специалисты по ИБ, на вопрос «Когда вы узнаете о том, что администратор случайно добавил всех пользователей в группу администраторов домена?» способна дать ответ только десятая часть аудитории. Поэтому, прежде чем размышлять о защите от мифических угроз, может быть, стоит подумать о правильном разграничении прав доступа? Внедрение каждого нового приложения, посредством которого осуществляется работа с информацией и в котором есть механизмы разграничения доступа, – это новые угрозы. И с развитием информационной системы компании количество таких угроз увеличивается лавинообразно! Внедрение же каждого нового средства защиты – это устранение одной-двух угроз в обмен на трудозатраты на управление им. К сожалению, должна накопиться некоторая критическая масса, а может быть, и произойти несколько инцидентов, прежде чем специалисты организации начнут понимать, что для обеспечения информационной безопасности им нужны отнюдь не новые средства, а качественное управление старыми. Для этого необходимо, чтобы: все настройки, которые выполняются в системе и напрямую или косвенно касаются вопросов предоставления доступа, контролировались администратором безопасности; сотрудникам был предоставлен необходимый доступ для работы в информационной системе; если сотрудникам нужен доступ, которого у них нет, имелась бы возможность запустить определенную процедуру, в результате которой доступ мог бы быть запрошен и согласован с ответственными подразделениями; в любой момент могла быть получена информация о том, кто и на каком основании имеет доступ к тем или иным компонентам информационной системы. Главная страница / Архитектура отрасли |