Статьи
Інформаційна безпека в компанії
До мене періодично звертаються клієнти з наступним проханням: "Терміново, зробіть нам безпеку. Наших партнерів атакували хакери. Паралізували всю роботу. Терміново захистіть нас! ". Але, на жаль, чарівної кнопки «зробити інфраструктуру безпечної» не існує, за винятком повної ізоляції від зовнішнього світу. Якщо спочатку питання інформаційної безпеки не приділялося належної уваги, побудувати дієву систему забезпечення інформаційної безпеки в відразу неможливо.
У цій статті я ставлю за мету розповісти про загальні підходи в організації інформаційної безпеки на підприємстві. А також, більш детально і зрозуміло розглянути актуальні кошти закриття основних вразливостей. Цільова аудиторія - власники бізнесу, директора, неспеціалісти в області ІБ.
Система забезпечення інформаційної безпеки (далі СОІБ) - це комплекс технічних і організаційних заходів щодо захисту інформаційних активів. При проектуванні СОІБ важливо враховувати, що ефективна система складається саме з комплексу технічних і організаційних заходів, причому їх значущість в загальній системі, як мінімум, дорівнює. Не можна нехтувати організаційними заходами. Так, навіть якщо ми впровадили Active Directory (технічна міра), і за допомогою неї змусили співробітників використовувати складні паролі, змінювати їх кожен місяць, але користувач приклеїв стікер з паролем на монітор, або записав його на папірці, який залишив в громадському транспорті, то вся наша СОІБ буде скомпрометована, і ніякі технічні заходи не допоможуть. Організаційною мірою в такому випадку повинна бути політика, яка забороняє співробітникам зберігати паролі на нешифрованих носіях інформації.
З точки зору безпеки інформація має три властивості: цілісність, доступність і конфіденційність. Цілісність. Якщо у нас залишилася тільки половина файлу, то цінністю така інформація не має. Доступність. Якщо інформація лежить на сервері який не працює - ми не зможемо її отримати. І конфіденційність. Якщо конкурентам стане доступна наша комерційна таємниця - ми втратимо унікальну перевагу на ринку. Кожне з властивостей вимагає свого підходу в забезпеченні безпеки.
Першим важливим фактором успіху в справі організації безпеки, є розуміння того, які активи і від яких загроз потрібно захистити. До впровадження системи організації інформаційної безпеки (СОІБ) необхідно провести ризик-аналіз і вирішити, які ризики будуть оброблені системою, а які ми просто приймаємо. Цей етап дозволить заощадити гроші, і направити ресурси саме туди, де вони необхідні. За аналогією з пристроями проти системами для автомобілів - немає сенсу ставити систему вартістю 2 000 USD на авто вартістю 5000 USD. Зате має сенс перевірити чи справні дверні замки. Тобто плануючи витрати на впровадження СОІБ, необхідно виходити з комерційної цінності інформації та можливих втрат, пов'язаних з простоєм і відновленням інформаційних систем підприємства.
Технічні заходи забезпечення безпеки
На сьогоднішній момент на ринку існує величезна кількість технічних рішень в сфері забезпечення інформаційної безпеки. До технічних заходів належать: міжмережеві екрани (Firewall) від різних виробників як «залізні», так і у вигляді програм, що встановлюються на сервери, антивірусні програми, системи запобігання витоків даних (Data Loss Prevention Systems), системи запобігання вторгнень (Intrusion Prevention Systems) , системи резервного копіювання та відновлення інформації, системи відеоспостереження, системи контролю доступу в приміщення і т.д. Всі ці рішення мають великий розкид цін і різні функціональні можливості. Вибір конкретних рішень повинен бути заснований на ризик-аналізі, як було зазначено вище.
Організаційні заходи забезпечення безпеки
До організаційних заходів можна віднести політики безпеки і процедури, прийняті на підприємстві. Як приклад можна згадати: політики паролів, плани резервного копіювання та відновлення інформації, політики доступу, політики конфіденційності, політика передачі обслуговування на ІТ-аутсорсинг , Політика зберігання інформації, політика передачі інформації, процес управління інцидентами безпеки, процедура превентивних дій, план підтримки безупинності бізнесу (BCP). Набір цих політик і правил становить ядро системи менеджменту інформаційної безпеки ( СМІБ ). Міжнародний стандарт ISO / IEC 27001 докладно описує підходи до побудови СМІБ. У даній статті ми не будемо розглядати всі аспекти цього стандарту, тому що це тема для окремої публікації. Але, при написанні цього матеріалу, я керувався принципами саме з цього стандарту.
Який же мінімальний набір технічних засобів, на мій погляд, повинен бути присутнім в компанії СМБ сегмента. З певною часткою змін і припущень він застосуємо до більшості підприємств. Отже:
- Система управління інфраструктурою (Active Directory або аналоги). Система дозволить управляти правами доступу до файлів, централізовано заводити нові і відключати діючі облікові записи користувачів (наприклад, при звільненні працівника), визначати складність і частоту зміни паролів, управляти доступом до інформаційних систем і багато іншого. Найчастіше, наявність Active Directory в інфраструктурі є вимогою при впровадженні інших інформаційних систем (ERP, CRM, СУБД і т.п.).
- Міжмережеві екрани. Звичайні шлюзи, що надаються провайдерами при підключенні до Інтернет, підійдуть зовсім невеликим організаціям. Найбільш великим компаніям варто задуматися про «залізних» рішеннях (Cisco, Juniper, HP і т.п.), або програмних рішеннях (MS UAG, MS TMG, Kerio Control, iptables і т.п.). Ці рішення дозволяють контролювати доступ до серверів, фільтрувати міжмережевий трафік, контролювати доступ в Інтернет, повідомляти про спрямованих атаках, успішно блокувати найбільш поширені види атак, вести облік всіх спроб доступу до цільових ресурсів, безпечно публікувати внутрішні ресурси в Інтернет (сайт, пошта, термінальні сервери). Додатково, я рекомендую ставити міжмережеві екрани не тільки на зовнішній периметр (вихід в Інтернет), але і між сегментом з серверами і внутрішніми користувачами. Це дозволити захиститися від внутрішніх загроз.
- VPN-сервер. У разі якщо є необхідність в організації віддаленого доступу до ресурсів мережі для співробітників компанії, VPN-сервер дозволить встановити шифрований тунель між користувачем і інфраструктурою, що робить вельми скрутним перехоплення трафіку. Як правило, серйозні міжмережеві екрани надають можливість організації VPN-підключень.
- Антивірусне ПЗ. Головна вимога - воно повинно своєчасно оновлюватися.
- Система контролю доступу в приміщення. Для невеликих підприємств зазвичай досить залізних дверей з хорошими замками в приміщення з серверами, або іншими системами зберігання даних. Для більших підприємств має сенс встановити електронну систему доступу за картками. Система дозволить централізовано контролювати доступ в різні приміщення та вести облік пересування співробітників і гостей по підприємству.
- Система відеоспостереження. Зараз активно розвивається технологія IP-камер, які можна підключати до звичайної локальної офісної мережі. Ця технологія значно здешевила вартість організації відеоспостереження.
Зрозуміло, список не є вичерпним. Але, використання перерахованих систем вже суттєво знизить загрозу втрати інформації або саботування роботи підприємства.
Відносно організаційних заходів. Повинна існувати хоча б мінімальна система управління інформаційною безпекою (набір політик і правил), а також призначена людина, відповідальний за підтримку системи в актуальному стані. Список найбільш важливих політик і правил:
- Політика паролів, в якій повинна бути описана складність паролів до інформаційних систем, спосіб передачі паролів і облікових даних, умови розкриття паролів (як правило, пароль не розкривається нікому, в т.ч. людям, являє технічною підтримкою).
- Політика резервного копіювання та відновлення. Настійно рекомендую робити регулярні резервні копії, і, що не маловажно, регулярно перевіряти можливість відновлення інформації з цих копій.
- Політика призначення прав доступу. Як мінімум повинні бути призначені співробітники, які стверджують доступ до тієї чи іншої інформації. Як правило, це начальники відділів, і будь-який запит на зміну прав доступу повинен отримувати підтвердження від цих ключових співробітників.
- Політика конфіденційності. На мій погляд, одна з найважливіших політик. На підприємстві має бути чітко визначено, яка інформація є конфіденційною. На документах це може бути гриф - конфіденційно. Якщо інформація передається нематеріальним носієм, то так само має бути однозначно сказано, що дана інформація є конфіденційною.
- Політика зберігання і передачі інформації. Мета даної політики визначити в якому вигляді і на яких видах носіїв може зберігатися інформація. Очевидно, що конфіденційна інформація повинна зберігатися в зашифрованому вигляді, або в сейфі певного класу.
У будь-якому процесі важливий контроль за його дотриманням. Політики не повинні бути просто написані. Вони повинні дотримуватися. Відповідно повинен здійснюватися регулярний контроль за виконанням вимог політик. Повинна бути передбачена відповідальність співробітників за порушення політик безпеки.
Таким чином, витративши якийсь час на планування та впровадження перерахованих вище технічних і організаційних заходів, можна отримати цілком стійку до втрати інформації систему без значних капітальних вкладень. Надалі, така система може стати основою для повноцінної Системи Менеджменту Інформаційної Безпеки, і після доопрацювання, зможе пройти зовнішній аудит на відповідність вимогам міжнародних стандартів в області захисту інформації.
У висновку хочу відзначити, що не існує систем, які неможливо зламати. Не можна організувати ідеально безпечну ІТ-інфраструктуру . Але, щоб звести ризик витоку інформації до мінімуму, впроваджувана СОІБ повинна відповідати наступним правилом: вартість "злому" СОІБ повинна бути вище, ніж потенційна вигода зловмисників від результатів злому.
Дивіться також:
Компанія Фактор ЛТД пропонує абонентське обслуговування комп'ютерів в Мінську та інших містах Білорусі.
Поділитися: