Защита информации на предприятии

Фредерик М. Аволио, Грег Шипли

Изменения в сетевой инфраструктуре должны производиться в строгом соответствии с теми задачами, для решения которых она создавалась и используется.

И не стоит бояться того, что по каким-то другим, менее важным для вас параметрам ваша сеть окажется не самой совершенной.

Системы информационной безопасности, безопасность компьютера и сети, безопасность в Интернет — эти понятия относятся к огромной области знаний, расширяющейся день ото дня, и по мере этого расширения одни принципы и методы в ней сохраняют актуальность, другие — отживают свой срок и уступают место новым. Разработка разумной стратегии информационной безопасности возможна лишь с учетом современного уровня Интернет-технологий и особенностей работы самого предприятия. Купить оборудование для защиты информации легко — куда сложнее определить, чтоў и как защищать. Именно для этого необходимо создание службы, в обязанности которой входила бы разработка технических и организационных аспектов обеспечения информационной безопасности на предприятии.

Отречемся от старого мира

В прежние времена в большинстве сетей люди использовали компьютеры лишь в качестве терминала для копирования файлов, средств обмена электронной почтой или совместного использования некоторых ресурсов: как известно, чем меньше возможностей используется, тем меньше объектов для атаки.

Современные сети предоставляют куда больший набор крайне удобных, полезных, но серьезно снижающих уровень безопасности услуг: по корпоративным сетям “носятся” гигабайты оцифрованной речи, большое количество файлов открыто для одновременного доступа нескольких пользователей, и, наконец, просто посторонние люди — клиенты и любопытствующие — также допущены в корпоративную сеть во имя процветания электронной торговли. Каждая новая возможность сети — это прежде всего средство для увеличения объема продаж.

Интересы вашего дела заставляют искать партнеров и потенциальных клиентов и вступать с ними в контакт, часто через Интернет. По данным Internet Domain Survey (www.isc.org/ds) компании Internet Software Consortium, на сегодняшний день в Сети насчитывается более 72 млн сайтов. А если учесть, что многие организации не открывают для свободного доступа свои сети, подключенные к Интернет, то резонно предположить, что на самом деле сайтов значительно больше. Потенциально миллиард жителей Земли благодаря Интернет уже являются “соседями”.

Из-за огромных размеров этого пространства и больших возможностей современных сетей в них имеется немалое число дыр для атак хакеров, причем для успешного нападения теперь не требуется большого ума, серьезной подготовки и специальных навыков — сегодня осуществить компьютерный взлом, пользуясь одной мышью, может любой. Легкость освоения дружественного интерфейса многих программ и универсальность методов распространения файлов превращают каждого владельца компьютера в потенциального хакера.

Заповедь новую даю я вам

Для встречи новых опасностей во всеоружии важно следовать основным правилам. Если это удастся, все остальное будет достаточно просто.

1. Безопасность и сложность системы, как правило, обратно пропорциональны друг другу. Поэтому каждый шаг, — будь то увеличение защищенности или оценка риска нанесения крупного ущерба от атаки хакера, установка нового оборудования или обучение пользователей, — должен быть как можно более простым. Чем туманней будут инструкции и методические указания, тем шире возможности для недопонимания и злоупотреблений.
2. Безопасность и удобство работы, как правило, тоже обратно пропорциональны друг другу. Невозможно достигнуть абсолютной безопасности в удобной для эксплуатации системе. Следовательно, важно добиться уменьшения риска, но не стоит нерационально расходовать ресурсы для абсолютного исключения возможности взлома. Такой прагматичный подход позволяет достичь высокого уровня безопасности системы за счет не очень сильного снижения эксплуатационных качеств сети.
3. Хороший уровень безопасности сегодня лучше отличного уровня безопасности завтра. Это непосредственно вытекает из предыдущих правил, поскольку отличная защита от взлома невозможна в удобной для работы системе. Даже если бы такое и было осуществимо, защищенность системы меняется со временем: совершенствуются средства нападения, меняются технологии, да и рынок требует нововведений. Так что работа по обеспечению безопасности никогда не будет выполнена до конца.

Знание этих правил должно позволить вам на каком-то этапе сказать: “Пока достаточно!” Если для обеспечения безопасности требуется провести десять различных мероприятий, а вы провели только четыре, — это уже лучше, чем ничего не делать и ждать, когда у вас появится возможность реализовать все десять. Важно лишь правильно определить приоритет в последовательности их проведения.

4. Ложное чувство безопасности хуже, чем обоснованное чувство незащищенности. Точное знание еще недостаточно защищенного участка сетевой инфраструктуры заставляет вас двигаться дальше. Крайне важно знать, где еще в вашей обороне остались щели, какие правила и процедуры еще не полностью работают и что нужно заменить. Ложное чувство безопасности приводит к отсутствию желания что-либо улучшать — и даже анализировать — в системе безопасности предприятия. В результате такая самоуверенность обязательно приводит к катастрофе и стенаниям типа: “Я был уверен, что этот участок абсолютно защищен”. Лучше уж знать, в чем ваша слабость и полностью исключить неучтенные риски.
5. Где тонко, там рвется — защищенность вашей системы равна защищенности ее самого слабого участка. Поэтому будьте предельно точны и аккуратны в ходе различных испытаний и в оценках. Например, если на вашем предприятии необходимо использовать виртуальные частные сети для обеспечения конфиденциального взаимодействия между квартирами сотрудников, удаленными офисами и главным офисом, то для защиты данных, которые содержатся на портативных компьютерах сотрудников, возможно, потребуется вообще удалить все модемы со стационарных компьютеров и пустить весь трафик компании через межсетевой экран.
6. Лучше всего сосредоточиться на мерах по предотвращению возможных угроз. Существуют мнимые, реальные и потенциальные угрозы. Есть еще неизвестные угрозы. Нас будут интересовать прежде всего реальные и потенциальные, но в то же время мы стараемся расширить наши представления обо всех известных угрозах.
7. Затраты на безопасность — это инвестиции, а не издержки. Важно, чтобы это понимало руководство вашей компании. Объем инвестиций в безопасность компьютеров и сетей отражает способность предприятия приспосабливаться к новым условиям, рискам и требованиям рынка без ущерба для его жизнеспособности. Надлежащим образом настроенные и защищенные серверы обеспечивают полной и достоверной информацией деловых партнеров и собственных агентов по сбыту, работающих вне офиса. В плохо настроенной системе возможны не только потери данных, но и более серьезные сбои.

Конечно, приятно, когда удалось отбить атаку хакеров на сеть, но все-таки лучше, чтобы вашу систему безопасности так никогда и не довелось испытывать в реальных, “боевых” условиях — как воздушные подушки в автомобиле: очень хорошо, что они есть, но еще лучше будет, если они никогда не понадобятся. После усвоения этих нехитрых правил настало время приступить к работе по защите сетей и компьютеров — обеспечению информационной безопасности предприятия, а изложенные положения должны помочь вам определить основные направления этого процесса.

***

• Планирование: служба обеспечения информационной безопасности определяет потребности
• Риск, угроза, уязвимость
• Основы политики информационной безопасности
• Описание общей структуры системы безопасности
• Что делать в нештатной ситуации
• Правила информационной безопасности при использовании прикладных служб и приложений
• Должностные обязанности системного администратора
• Другие вопросы управления
• Накануне грозных потрясений
• Безопасность прежде всего