+375 (29) 982-80-80
Главная » Статьи » Информационная безопасность

Общие понятия об информационной безопасности на предприятии

Ко мне периодически обращаются клиенты со следующей просьбой: “Срочно, сделайте нам безопасность. Наших партнеров атаковали хакеры. Парализовали всю работу. Срочно защитите нас!”. Но, к сожалению, волшебной кнопки «сделать инфраструктуру безопасной» не существует, за исключением полной изоляции от внешнего мира. Если изначально вопросу информационной безопасности не уделялось должного внимания, построить действенную систему обеспечения информационной безопасности в одночасье невозможно.

Система обеспечения информационной безопасности

В этой статье я ставлю целью рассказать об общих подходах в организации информационной безопасности на предприятии. А также, более подробно и понятно рассмотреть актуальные средства закрытия основных уязвимостей. Целевая аудитория – владельцы бизнеса, директора, неспециалисты в области ИБ.

Система обеспечения информационной безопасности (далее СОИБ) – это комплекс технических и организационных мер по защите информационных активов. При проектировании СОИБ важно учитывать, что эффективная система складывается именно из комплекса технических и организационных мер, причем их значимость в общей системе, как минимум, равная. Нельзя пренебрегать организационными мерами. Так, даже если мы внедрили Active Directory (техническая мера), и с помощью неё вынудили сотрудников использовать сложные пароли, менять их каждый месяц, но пользователь приклеил стикер с паролем на монитор, или записал его на бумажке, которую оставил в общественном транспорте, то вся наша СОИБ будет скомпрометирована, и никакие технические меры не помогут. Организационной мерой в таком случае должна быть политика, запрещающая сотрудникам сохранять пароли на нешифрованных носителях информации.

С точки зрения безопасности информация обладает тремя свойствами: целостность, доступность и конфиденциальность. Целостность. Если у нас осталась только половина файла, то ценностью такая информация не обладает. Доступность. Если информация лежит на сервере который не работает – мы не сможем её получить. И конфиденциальность. Если конкурентам станет доступна наша коммерческая тайна – мы потеряем уникальное преимущество на рынке. Каждое из свойств требует своего подхода в обеспечении безопасности.

Первым важным фактором успеха в деле организации безопасности, является понимание того, какие активы и от каких угроз нужно защитить. До внедрения системы организации информационной безопасности (СОИБ) необходимо провести риск-анализ и решить, какие риски будут обработаны системой, а какие мы попросту принимаем. Этот этап позволит сэкономить деньги, и направить ресурсы именно туда, где они необходимы. По аналогии с противоугонными системами для автомобилей – нет смысла ставить систему стоимостью 2 000 USD на авто стоимостью 5000 USD. Зато имеет смысл проверить исправны ли дверные замки. Т.е. планируя затраты на внедрение СОИБ, необходимо исходить из коммерческой ценности информации и возможных потерь, связанных с простоем и восстановлением информационных систем предприятия.

Технические меры обеспечения безопасности

На сегодняшний момент на рынке существует огромное количество технических решений в сфере обеспечения информационной безопасности. К техническим мерам относятся: межсетевые экраны (Firewall) от разных производителей как «железные», так и в виде программ, устанавливаемых на серверы, антивирусные программы, системы предотвращения утечек данных (Data Loss Prevention Systems), системы предотвращения вторжений (Intrusion Prevention Systems), системы резервного копирования и восстановления информации, системы видеонаблюдения, системы контроля доступа в помещения и т.д. Все эти решения имеют большой разброс цен и различные функциональные возможности. Выбор конкретных решений должен быть основан на риск-анализе, как было отмечено выше.

Организационные меры обеспечения безопасности

К организационным мерам можно отнести политики безопасности и процедуры, принятые на предприятии. В качестве примера можно упомянуть: политики паролей, планы резервного копирования и восстановления информации, политики доступа, политики конфиденциальности, политика передачи обслуживания на ИТ-аутсорсинг, политика хранения информации, политика передачи информации, процесс управления инцидентами безопасности, процедура превентивных действий, план поддержания безостановочности бизнеса (BCP). Набор этих политик и правил составляет ядро системы менеджмента информационной безопасности (СМИБ). Международный стандарт ISO/IEC 27001 подробно описывает подходы к построению СМИБ. В данной статье мы не будем рассматривать все аспекты этого стандарта, т.к. это тема для отдельной публикации. Но, при написании этого материала, я руководствовался принципами именно из этого стандарта.

Какой же минимальный набор технических средств, на мой взгляд, должен присутствовать в компании СМБ сегмента. С известной долей изменений и допущений он применим к большинству предприятий. Итак:

  • Система управления инфраструктурой (Active Directory или аналоги). Система позволит управлять правами доступа к файлам, централизованно заводить новые и отключать действующие учетные записи пользователей (например, при увольнении сотрудника), определять сложность и частоту смены паролей, управлять доступом к информационным системам и многое другое. Зачастую, наличие Active Directory в инфраструктуре является требованием при внедрении иных информационных систем (ERP, CRM, СУБД и т.п.).
  • Межсетевые экраны. Обычные шлюзы, предоставляемые провайдерами при подключении к Интернет, подойдут совсем небольшим организациям. Более крупным компаниям стоит задуматься о «железных» решениях (Cisco, Juniper, HP и т.п.), или программных решениях (MS UAG, MS TMG, Kerio Control, iptables и т.п.). Эти решения позволяют контролировать доступ к серверам, фильтровать межсетевой трафик, контролировать доступ в Интернет, сообщать о направленных атаках, успешно блокировать наиболее распространенные виды атак, вести учет всех попыток доступа к целевым ресурсам, безопасно публиковать внутренние ресурсы в Интернет (сайт, почта, терминальные серверы). Дополнительно, я рекомендую ставить межсетевые экраны не только на внешний периметр (выход в Интернет), но и между сегментом с серверами и внутренними пользователями. Это позволить защититься от внутренних угроз.
  • VPN-сервер. В случае если есть необходимость в организации удаленного доступа к ресурсам сети для сотрудников компании, VPN-сервер позволит установить шифрованный туннель между пользователем и инфраструктурой, что делает весьма затруднительным перехват трафика. Как правило, серьёзные межсетевые экраны предоставляют возможность организации VPN-подключений.
  • Антивирусное ПО. Главное требование – оно должно своевременно обновляться.
  • Система контроля доступа в помещение. Для небольших предприятий обычно достаточно железной двери с хорошими замками в помещение с серверами, или иными системами хранения данных. Для более крупных предприятий имеет смысл установить электронную систему доступа по карточкам. Система позволит централизованно контролировать доступ в различные помещения и вести учет передвижения сотрудников и гостей по предприятию.
  • Система видеонаблюдения. Сейчас активно развивается технология IP-камер, которые можно подключать к обычной локальной офисной сети. Эта технология значительно удешевила стоимость организации видеонаблюдения.

Разумеется, список не исчерпывающий. Но, использование перечисленных систем уже существенно снизит угрозу потери информации или саботирования работы предприятия.

Касательно организационных мер. Должна существовать хотя бы минимальная система управления информационной безопасностью (набор политик и правил), а также назначен человек, ответственный за поддержание системы в актуальном состоянии. Список наиболее важных политик и правил:

  • Политика паролей, в которой должна быть описана сложность паролей к информационным системам, способ передачи паролей и учетных данных, условия раскрытия паролей (как правило, пароль не раскрывается никому, в т.ч. людям, представляющимися технической поддержкой).
  • Политика резервного копирования и восстановления. Настоятельно рекомендую делать регулярные резервные копии, и, что не маловажно, регулярно проверять возможность восстановления информации из этих копий.
  • Политика назначения прав доступа. Как минимум должны быть назначены сотрудники, которые утверждают доступ к той или иной информации. Как правило, это начальники отделов, и любой запрос на изменение прав доступа должен получать подтверждение от этих ключевых сотрудников.
  • Политика конфиденциальности. На мой взгляд, одна из важнейших политик. На предприятии должно быть четко определено, какая информация является конфиденциальной. На документах это может быть гриф – конфиденциально. Если информация передается нематериальным носителем, то так же должно быть однозначно сказано, что данная информация конфиденциальна.
  • Политика хранения и передачи информации. Цель данной политики определить в каком виде и на каких видах носителей может храниться информация. Очевидно, что конфиденциальная информация должна храниться в зашифрованном виде, или в сейфе определенного класса.

В любом процессе важен контроль за его соблюдением. Политики не должны быть просто написаны. Они должны соблюдаться. Соответственно должен осуществляться регулярный контроль за исполнением требований политик. Должна быть предусмотрена ответственность сотрудников за нарушение политик безопасности.

Таким образом, потратив некоторое время на планирование и внедрение перечисленных выше технических и организационных мер, можно получить вполне устойчивую к потери информации систему без значительных капитальных вложений. В последствии, такая система может стать основой для полноценной Системы Менеджмента Информационной Безопасности, и после доработки, сможет пройти внешний аудит на соответствие требованиям международных стандартов в области защиты информации.

В заключении хочу отметить, что не существует систем, которые не возможно взломать. Нельзя организовать идеально безопасную ИТ-инфраструктуру. Но, чтобы свести риск утечки информации к минимуму, внедряемая СОИБ должна отвечать следующему правилу: стоимость “взлома” СОИБ должна быть выше, чем потенциальная выгода злоумышленников от результатов взлома.

Смотрите также:

Компания Фактор ЛТД предлагает абонентское обслуживание компьютеров в Минске и других городах Беларуси.

ООО Фактор ЛТД