Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Создать абсолютно надежную систему

безопасности компании невозможно.

Во-первых, даже самая совершенная современная система безопасности не может

противодействовать угрозам, которые пока неизвестны, но где-то разрабатываются и

могут возникнуть уже завтра.

Во-вторых, эффективность и надежность

системы безопасности во многом зависят от обслуживающего ее персонала, который не застрахован от ошибок.

При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому стоит говорить лишь об обеспечении такого уровня защиты, когда стоимость ее преодоления становится больше стоимости получаемой при этом информации (достигаемого эффекта) или когда за время получения информации она обесценивается настолько, что усилия по ее получению теряют смысл.

ЧТО ЖЕ НЕОБХОДИМО ЗАЩИЩАТЬ И ОТ ЧЕГО НАДО ЗАЩИЩАТЬСЯ?

Защищать нужно всех субъектов отношений от возможного материального или морального ущерба, который могут нанести им случайные или преднамеренные воздействия на систему безопасности компании.

Защищаться необходимо от просчетов в действиях обслуживающего персонала, ошибок в программном обеспечении, преднамеренных действий злоумышленников, вторжений на территорию компании, сбоев и отказов оборудования.

КАК ЖЕ ПОСТРОИТЬ ОПТИМАЛЬНУЮ СИСТЕМУ БЕЗОПАСНОСТИ КОМПАНИИ?

К главным элементам системы безопасности компании относятся следующие средства и методы.

1. Организационно-правовые (перечень организационных норм и правил, регламентирующих весь технологический цикл работы компании).

2. Инженерно-технические (аппаратура и коммуникации, приспособления, конструкции, а также порядок их использования для обнаружения угроз).

3. Информационно-технологические (относятся к сфере защиты электронной информационной сети).

4. Оперативно-технические (предназначены для скрытого, конспиративного контроля за действиями людей и информацией, оказывающими существенное влияние на безопасность компании, ее персонала и технологий работы).

5. Морально-психологические (мероприятия по работе с сотрудниками, сведения и действия которых оказывают или могут оказать существенное влияние на безопасность).

6. Специальные (используются для получения, сбора и анализа информации о конкурентах и фирмах, представляющих источник опасности для компании).

В этой статье информационная безопасность рассматривается как часть системы безопасности компании.

В надежной защите нуждаются все составные части корпоративной сети: внутренний и внешний периметры; основные узлы; корпоративные сервисы (электронная почта, серверы баз данных и т. д.); отдельные рабочие станции; обрабатываемая внутри и курсирующая между сегментами корпоративной сети информация. Если этот обмен происходит по сетям связи общего пользования или каналы связи полностью не контролируются системой безопасности, можно считать, что информация доступна ерез непосредственный доступ к ПК

Самый наглядный вид утечки информации1. Имея такой доступ, злоумышленник может напрямую скопировать документ на внешний носитель или распечатать. Может установить на ПК клавиатурный сканер – программу, записывающую все нажатия клавиш. В результате все пароли владельца ПК также будут раскрыты.

Устранение:

• безопасное размещение критических ресурсов;

• архивирование с паролем особо важных документов;

• автоматическая блокировка ПК при отсутствии владельца.

Существуют и более кардинальные решения, например физическое запирание дисковода, отключение порта USB для предотвращения съема информации с помощью USB накопителей, установка персональных ключей идентификации2. Как показывает практика, подобные решения затрудняют работу пользователей и через некоторое время саботируются.

Утечка через

локальную сеть

Несанкционированный доступ к информации через локальную сеть может произойти по нескольким причинам. Первая: владелец ПК дает в общесетевой доступ необоснованно широкий диапазон ресурсов. Очень часто приходится наблюдать в доступе (sharing) весь диск. Второй причиной может стать заражение вирусом типа «Троянский конь», позволяющим его владельцу удаленно управлять зараженным ПК. И, наконец, третья причина – слишком простые пароли и использование имен пользователей по умолчанию, например «Администратор».

Устранение:

• обоснованное предоставление ресурсов владельца ПК;

• своевременное обновление антивирусного пакета;

• грамотная парольная политика и конфигурация сервисов удаленного доступа.

Утечка при передаче информации

Имея доступ к кабелю сети предприятия, злоумышленник может прослушивать трафик. То же самое злоумышленник может сделать и программным путем, установив на один из компьютеров программу-сниффер, которая перехватывает трафик подсети. В результате прослушивания злоумышленник может получить пароли.

Устранение:

• экранирование трафикового кабеля для защиты от прослушивания на физическом уровне;

• использование шифрования протоколов (SSL, SSH);

• защищенная конфигурация сетевых ресурсов и коммутационного оборудования.

Утечка информации, хранящейся

на сервере

Информацию, хранящуюся на сервере, необходимо защищать от несанкционированного доступа как внутренних пользователей, так и пользователей Интернет.

С первой задачей справляются средствами администрирования ОС, под управлением которой находится сервер. Вторую решают с помощью брандмауэров. Брандмауэр заставляет все сетевые соединения проходить через шлюз, где они могут быть проанализированы и оценены с точки зрения безопасности, и предоставляет другие средства, такие как меры усиленной аутентификации вместо паролей. Кроме того, он может ограничить доступ к тем или иным системам или доступ к Интернету от них, блокировать определенные сервисы TCP/IP или обеспечить другие меры нтивирусного пакета и своевременное резервирование.

Устранение:

• защищенная конфигурация сетевых ресурсов, коммутационного оборудования и сервисов удаленного доступа;

• грамотная парольная политика;

• разработка процедур управления, резервирования;

• антивирусная защита;

• использование межсетевого экрана, брандмауэра (firewall).

Описанные решения можно разделить на три группы:

• организационные мероприятия;

• программные средства;

• аппаратные средства.

Уровень затрат на каждый из способов защиты руководитель малого предприятия должен выбирать сам исходя из ценности хранимой информации. Информация может не представлять никакого интереса для посторонних, и поэтому достаточно стандартных средств защиты. Если же информацию нужно защищать, можно просто отсоединить провода – вопрос о несанкционированном вторжении отпадет сам собой.

Для средних и крупных корпоративных сетей решение о мерах безопасности лучше доверить профессионалам, которые дадут реальную оценку уровня информационной защищенности компании и рекомендации по его повышению, помогут сформировать единую политику

безопасности в рамках всей организации, выберут средства защиты и оптимизируют затраты на них.

Одна из важнейших услуг в этой области – сертификация систем управления информационной безопасностью на соответствие стандарту ISO 17799. Данный сертификат служит лишним доказательством того, что в компании, прошедшей аудит безопасности информационных ресурсов, налажено эффективное управление информационной безопасностью, обеспечивает ей дополнительные конкурентные

преимущества.

Кроме того, после проведения аудита информационная система компании становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению уровня защищенности.

Однако главная цель использования стандартов в проектах информационных систем – обеспечение

повторяемости результатов и минимизация затрат на интеграцию (не только приложений, но и в международное бизнес-сообщество).

Главная страница / Архитектура отрасли