Объявление

Хотите приглашение на сайт? Пишите: niikto@samovarchik.info


 

[size=2.0]Введение[/size]
Подходя к решению вопроса обеспечения комплексной информационной безопасности фирмы нужно четко определиться с самим понятием. В большинстве случаев под понятием информационная безопасность понимается комплекс мер, призывных ограничить доступ к информационным ресурсам фирмы через общедоступные сети (например X.25, Internet) или, говоря простым языком, защита от хакеров. Но сейчас расширяют это понятие еще одним таким «скромным» дополнением как обеспечение целостности и сохранности информации хранящейся на информационных носителях фирмы.
Итак, информационная безопасность – это комплекс мероприятий направленных на обеспечение целостности и сохранности информации хранимой на информационных носителях фирмы и создание условий при которых возможность утечки информации будет сведена к минимуму, а в случае ее возникновения можно было легко отследить канал утечки.
Мероприятия по обеспечению информационной безопасности делятся на организационные и технические. Организационные мероприятия включают в себя выработку правил работы на компьютерах, обучение персонала, разработку многоуровневой политики доступа к ключевой информации. Технические мероприятия подразумевают под собой настройку и установку специализированного программного обеспечения, внедрение аппаратных средств обеспечения сохранности и защиты информации.
Стоит заметить, что 100% защиты никогда не существует. По этой причине при проектировании системы безопасности обязательным пунктом является создание средств быстрого и с минимальным ущербом восстановления работоспособности системы.
По моему личному опыту на большинстве фирм частично реализуются мероприятия по техническому обеспечению информационной безопасности но они как правило носят хаотический характер и больше напоминают латание дырок на порядком изношенных штанах. Например, многие фирмы используют источники бесперебойного питания на рабочих местах, все фирмы принимают комплекс мер по обеспечению сохранности информации на серверах. Почти все ограничивают доступ в корпоративную сеть из общедоступных сетей. Но во многих случаях этих мер не достаточно и периодически возникают нештатные ситуации с потерей ключевой информации или ее утечкой.
Настоящая статья призвана обозначить часто возникающие проблемы и показать пути их решения.
[size=2.0]Основные угрозы информационной безопасности[/size]
Угрозы информационной безопасности делятся на два основных вида. Первый – это потери информации в результате сбоев или неправильной эксплуатации информационных систем, а второй – утечка ключевой информации. Соответственно каждый вид угроз подразделяется на более мелкие случаи. Давайте рассмотрим их подробнее.
[size=1.4]Потеря информации может произойти в следующих случаях:[/size]
1. Действия «непреодолимой» силы – к ним относятся перебои в электроснабжении, пожары, технические неисправности не связанные с эксплуатацией компьютеров, действия окружающей среды. Как правило все эти ситуации возникают по причине неправильной или недостаточной организации технической эксплуатации помещений где находятся компьютеры. Например прорыв системы отопления способен свести на нет все меры защиты информации.
2. Программно-аппаратный сбой. Неправильная настройка программного обеспечения или неправильный режим эксплуатации рабочих станций или серверов, хаотичность при проектировании и прокладке сети все это может привести к сбоям и потерям информации.
3. Недостаточная квалификация пользователей. Самая частая и банальная причина потери информации в результате действия вирусов напрямую связана с этим пунктом. Зачастую пользователи сами скачивают из интернета файлы или открывают зараженные вложения в письма не думая о последствиях своих действий.
4. Неосторожность, повлекшая за собой уничтожение информации.
5. Преднамеренное уничтожение информации.
[size=1.4]Утечка информации как правило происходит в следующих случаях:[/size]
1. Непреднамеренное раскрытие информации. Многие фирмы никак не следят за использованием служебной информации и поэтому зачастую бухгалтера берут работу на дом в виде баз данных, компьютеры отправляются в ремонт с ключевой информацией.
2. Преднамеренное хищение информации сотрудником фирмы («инсайдером»).
3. Кража техники с носителями информации.
4. Вторжение из вне с целью хищения ключевой информации. Хакерская атака, самый пожалуй редкий случай, но если это произошло, то стоит всерьез задуматься над бюджетом по обеспечению информационной безопасности.
[size=2.0]Концепция обеспечения комплексной информационной безопасности.[/size]
[size=1.4]1. Этап.[/size]
На данном этапе исследуется:
1. возможность проникновения в корпоративную сеть через общедоступные сети или модемные пулы;
2. используемое в фирме программное обеспечение, его версии и наличие в нем критически ошибок дающих возможность провести атаки типа переполнение буфера с возможностью выполнения кода, эскалация прав, отказ в обслуживании, особое внимание уделяется антивирусным программам и актуальности антивирусных баз данных;
3. аудит рабочих мест на предмет использования приемов социальной инженерии, возможности утечки информации или ее повреждения через данное рабочее место;
4. политика безопасности в сети, стойкость паролей, частота их смены, распределение прав пользователей, существующая система ограничения доступа и централизованного хранения ключевой информации, наличие доступа в интернет вообще и к каким службам конкретно (ICQ, e-mail, HTTP, FTP, NNTP и т.п.);
5. аппаратное обеспечения информационных систем, организация рабочих мест пользователей, оборудование серверной, защищенность от аппаратных сбоев, соблюдение основных правил технической эксплуатации помещений;
6. методика и частота создания резервных копий ключевой информации.

Совместно с руководством фирмы и службой внутренней безопасности вырабатывается понятие ключевой информации для данной фирмы, какие внутренние документы будут относиться к ней, разрабатывается многоуровневая внутрифирменная политика доступа к ключевой информации, которая будет основой разработки политики доступа к информации находящейся на сервере и рабочих станциях пользователей.
По результатам первого этапа пишется заключение и рекомендации по улучшению существующей информационной системы с целью повышения ее безопасности. При необходимости составляется техническое задание на проведение работ.
[size=1.4]2. Этап.[/size]
На данном этапе производится внедрение разработанной на первом этапе системы безопасности, обучение пользователей правилам работы в соответствии с новой политикой безопасности, обучение правилам работы в интернет, разъяснение основных угроз при работе в интернет (троянские программы, spyware, фишинг, вирусы, приемы социальной инженерии), обучение работе с новым программным обеспечением.
Установка нового программно-аппаратного обеспечения, его настройка и ввод в эксплуатацию.
По результатам составляется акт выполненных работ, пользователи проходят тестирование.
[size=1.4]3. Этап.[/size]
Периодический, один-два раза в год, аудит информационной системы с целью выявления нарушений выработанных ранее правил информационной безопасности. При необходимости разработка дополнительных рекомендаций по улучшению защищенности информационной систем.
По результатам работы данного этапа составляется заключение о найденных недостатках в обеспечении информационной безопасности, акт выполненных работ.

Емец Станислав Валерьевич a.k.a. CYFiVE
г. Омск, 2005 г.
статья написана по заказу одной фирмы которая собиралась предоставлять консалтинговые услуги по обеспечению информационной безопасности

мне кажется что первые несколько проверок должны быть чаще, чем 1-2 раза в год, т.к. появляется инертность.
И не стоит забывать что у быстрорастущей компании инертность недопустима а новые направления и возможные дыры появляются очень быстро. Статья позиционирует отношение к безопасности извне, а мне кажется что это давно уже задача внутренняя. И вся структура информационная должна ещё на этапе построения учитывать безопасность. Конечно это не отрицает аудита извне.

статья написана по заказу одной фирмы которая собиралась предоставлять консалтинговые услуги по обеспечению информационной безопасности

Поэтому подход и идет с внешней стороны ;)

Мое мнение по вопросу информационной безопасности в компании:
1. Вся система однозначно должна поддерживаться внутренними специалистами компании. Аудит системы нужно проводить внешними специалистами, причем желательно высококвалифицированными,
2. Внедрение системы информационной безопасности должно проводиться внешними специалистами. Причина, на мой взгляд, банальна, внешние специалисты, как правило, имеют более высокую квалификацию, по сравнению с внутренними специалистами. Понятно, что никто не мешает фирме нанять высококвалифицированного специалиста, но ему нужно будет платить и много денег, а процесс сопровождения, не требует высокой квалификации. Еще как аргумент могу сказать, что специалисты профессионально занимающиеся внедрением системы информационной безопасности, опираются при создании системы на другие свои внедрения (в идеале конечно, многие просто применяют одну отработанную схему и не парятся)
3. Согласен, что проектирование информационной системы предприятия изначально нужно строить с требованиями учитывающими интересы информационной безопасности.
4. Информационная безопасность, как правило, снижает скорость информационных потоков, и по определению, не позволит просто так, по мановению волшебной палочки, менять бизнес процесс, это должны понимать и топ менеджеры компании.

По большому счету, о информационной безопасности нужно задумываться только тогда, когда у вас уже есть устоявшиеся бизнес процессы, когда они формализованы и уже изменяются крайне редко. Фраза топ менеджеров, о том, что мы динамично развивающаяся компания - зло. Этим многие оправдывают бардак в управлении, отсутствие внутренних стандартом и много других внутренних проблем.

Редактировался CYFiVE (07.01.2009, 15:17:07)

 

Дизайн сайта отсутствует
оформление: Группа «САМОВАРчик»

[ Сгенерировано за 0.014 сек, 8 запросов выполнено - Использовано памяти: 1.93 MiB (Пик: 1.99 MiB) ]