Источник: Hi-Tech Security Solutions
Уинн Швартау (Winn Schwartau)
С самого начала необходимо сделать акцент на следующем: безопасность — это не техническая проблема, как склонны утверждать некоторые. Безопасность является и всегда была проблемой человеческого фактора. Так как данная статья написана в большей части нетехнических языке, руководство вашей компании, прочитав ее, сможет понять что-то, что заставит их предусмотреть в бюджете больше, необходимых для лучшей организации системы безопасности.
- 1. Политика безопасности
- 2. Необходимость знать своих сотрудников
- 3. Учите свой персонал
- 4. Внешняя безопасность сетей
- 5. Тщательный анализ системы защиты
- 6 — Реагирование на события, нарушающие безопасность
- 7. Физическая защита
- 8. Проверка нефизических компонентов
- 9. Старайтесь быть в курсе событий
- 10. С самого начала безопасность должна становиться неотъемлемой частью ваших систем
1. Политика безопасности
Главным является выработка правил. Вам необходимо осознать, что вы собираетесь защищать и почему. О политике компаний в области безопасности говорится много, и на то есть причина: этот вопрос действительно важен.
Иногда такая политика может быть поистине драконовской, когда карманы и сумки у всех обыскиваются при входе и выходе из здания. Компания может принять решение о контроле электронных сообщений, чтении личных писем и их пересылки. Эффективно? Возможно, но можно применять и какие-либо обходные методы. Но какое настроение это создаст у ваших работников?
Выработки политики безопасности является вашим долгом, и частью этого процесса будет выяснение того, где находится наиболее ценная информация, на каких серверах она хранится? Ли резервные копии? У кого они хранятся? Ли копии наиболее важных файлов и как ими распоряжаются? Кто несет ответственность за этот процесс? Кто обеспечивает защиту компании от наводнения, урагана или удара молнии?
Разработать политику безопасности непросто, а еще труднее выполнять, но, тем не менее, это необходимо сделать. Кроме этого, следует помнить, что также как и ваш бизнес, разработка политики безопасности является процессом, который должен постоянно развиваться и изменяться в соответствии с потребностями организации, по мере того, как она растет и меняется.
2. Необходимость знать своих сотрудников
Безопасность — это, прежде всего, проблема людей, и никакая технология в мире не поможет вам решить эту проблему, если только персонал вашей компании не состоит на 100% из роботов.
Значительный процент удачных атак на компьютерные сети вашей компании становится возможным благодаря тем, кому вы доверяете — вашим сотрудникам, а происходит это по целому ряду причин, среди которых:
- Каким-то образом у них развивается позиция, направленная против интересов компании, и они решают что-то украсть или как-то подорвать ваш бизнес.
- Они уже не работают в компании, но знают, как получить доступ к ее важным системам.
- Кто-то со стороны нанимает или заманивает их для совместных действий с целью получения выгоды.
Наиболее часто встречаются проблемами являются простые ошибки, которые могут принести большой вред неподготовленной компании. С грустью следует признать, что мы приближаемся к тому моменту, когда нам необходимо знать о своих работников более чем то, что они сообщают в своей анкете при приеме на работу. На особо ответственных объектах и в отношении компьютерных сетей, возможно следует рассмотреть вариант психологического тестирования сотрудников для того, чтобы узнать, как они могут себя повести в критической, с точки зрения безопасности, ситуации (до того, как такая случится), а также узнать об их моральных принципах, морали, склонностях и склонности. Разумеется, необходимо помнить, что на потенциальных соискателей рабочих мест такая политика может произвести впечатление того, что вы не доверяете своим работникам. Но, с другой стороны, не забывайте, что в руках у ваших системных администраторов находятся ключи к вашему электронном царству. Это от их отношения и квалификации зависит, будут ли ваши системы работать либо рано или поздно остановятся. Правило Caveat Emptor "покупатель действует на свой риск" применимо также и к отношениям работодателя с работниками.
3. Учите свой персонал
Обучение работников и развитие их понимания и осведомленности в области безопасности также должно находиться среди первых пунктов вашей программы безопасности. Постоянно держите ваш персонал в курсе всех аспектов безопасности компании и того, как они могут стать частью системы по обеспечению безопасности. 40% внутренних нарушений правил безопасности не являются умышленными-они вызваны случайностью, ошибкой, упущением или незнанием.
Ваша цель — привлечение персонала на свою сторону так, чтобы работники стали частью решения проблемы, а не частью самой проблемы, и вашей обязанностью является научить их лучшим методам организации работ, корпоративной политике и мерам по повышению уровня безопасности.
Необходимо научить своих сотрудников быть бдительными в отношении событий и людей, каким-то образом способных повлиять на безопасность, распознавать такие события и людей, и осознавать, насколько важно оперативно сообщать о них сотрудникам, ответственным за безопасность.
4. Внешняя безопасность сетей
Внешняя защита сетей предотвращает получение несанкционированного доступа.
Средства межсетевой защиты, такие как брандмауэр или маршрутизатор представляют собой первую "линию обороны" сети, и должны использоваться при любых соединениях с внешним миром. Надежные средства опознавания / идентификации пользователя также очень важны. Будет ли это долгое, легко запоминается, регулярно изменяется или жетона средство идентификации, такое как смарт-карта, вам необходимо иметь возможность знать, кто пытается получить доступ к сети.
Многие компании настаивают на создании безопасного удаленного доступа к своим сетям. Для более безопасного удаленного доступа к сети следует рассмотреть использование шифрования и VPN — виртуальной частной сети.
Частью внешней безопасности являются средства управления защитой и их правильная конфигурация. Блокируйте все неиспользуемые сервисы и сетевые протоколы. Поменяйте все стандартные настройки, заданные "по умолчанию" изготовителем и периодически оценивайте уровень полномочий и права доступа пользователей. Кроме этого, необходимо разработать и применять политику и процедуру исключения прав доступа бывших работников к любым ресурсам вашей сети и используйте своего рода систему распознавания проникновения, довольно часто проверяя результаты ее действия.
5. Тщательный анализ системы защиты
Технические аспекты защиты не заканчиваются на Интернет-странице или на периметре сети. Они распространяются и туда, куда выезжают ваши сотрудники, а затем связываются дистанционно с вашей сетью, а также и в компьютеры тех из них, кто часть работы выполняет дома. Кроме этого, ваша сеть становится частью сетей партнеров, поэтому их проблемы безопасности могут превратится в ваши проблемы.
Вам необходимо рассредоточить средства безопасности по всей вашей организации.
Возможно, это будут брандмауэры для изоляции особо важных ресурсов различных отделов-механизмы контроля доступа на главных компьютерах-средства обнаружения проникновения и аномального поведения во всей сети.
Не забывайте обновлять ваше антивирусное программное обеспечение, а ваши системные администраторы должны устанавливать патчи (дополнительные программные коды для исправления программной ошибки) на главные компьютеры, операционные системы и приложения, как только такие патчи появляются. Хакеры быстро находят или разрабатывают средства обнаружения уязвимых мест в программных продуктах.
В корпоративных сетях в настоящее время применяются и личные брандмауэры.
Периодически тестируйте уровень безопасности ваших сетей. Меняются модели вашего бизнес-ваши сети развиваются, растет необходимость дистанционного доступа. Проверяйте все аспекты безопасности вашего предприятия, оценивайте влияние на безопасность новых приложений до того, как они будут установлены, и, по крайней мере, раз в год, проводите полный анализ системы безопасности. Но даже если результаты анализа будут удовлетворительными — это не повод для самоуспокоения. Проверка безопасности — это всего лишь моментальный снимок состояния вашей системы.
Само собой разумеется, что процедура создания резервных копий важных данных, файлов и приложений является неотъемлемым компонентом хорошо организованной системы безопасности. Сохранение пользователями резервных копий больших файлов на дискетах является трудоемким процессом, поэтому использование сетевых архивных серверов, на которых автоматически создаются резервные копии в нерабочие часы, является наиболее простым решением данной проблемы.
6 — Реагирование на события, нарушающие безопасность
Событие, имеющее отношение к безопасности, может представлять собой попытку группы хакеров взломать ваши сети. И, наоборот, любой внутри компании может попытаться проникнуть в сеть своего бывшего работодателя, прикрываясь вашим именем.
Неважно, о котором событие безопасности вам станет известно, но хуже, по всему, что вы сможете сделать — это проигнорировать такое событие. Политика безопасности должна предусматривать меры реагирования на непредвиденные события.
Ваша служба реагирования на чрезвычайные ситуации с компьютерами (CERT) должна представлять собой группу людей из состава вашей организации, которые совместно работают над решением любых проблем безопасности и чрезвычайных событий, а также взаимодействуют с организациями обеспечения сетевой безопасности по всему миру и в вашей отрасли так, чтобы пристально реагировать на все события, которые в какой-то мере могут быть взаимосвязаны.
7. Физическая защита
Физическая защита также является ключевой составляющей информационной безопасности. Не следует забывать о самых простых вещах. Кто имеет доступ к электрошкафов, шкафов с телефонной разводкой и помещений, где находится коммутационный концентратор? Откуда вы знаете, что монтер связи действительно монтер связи — только потому, что он одет в соответствующую спецодежду?
Обеспечивайте физический контроль мусора до тех пор, пока он надлежащим образом не будет вывезен хорошо известной вам компанией в место, предназначенное для утилизации мусора.
8. Проверка нефизических компонентов
- Так как компьютеры вашей компании объединены в сеть, не следует позволять вашим работникам приносить свои программы для использования их в работе, так как это приводит к заражению систем вирусами. Также не следует допускать, чтобы сотрудники несли домой какую-нибудь конфиденциальную информацию компании.
- Уничтожайте важные документы в бумагорезальной машине или сжигайте их: такие как списки работников, их идентификационные данные, документацию отдела кадров, руководства по эксплуатации и описания действующих информационных систем и процессов, файлы с данными о клиентах, внутреннюю переписку и любые другие данные, могут представлять интерес для посторонних.
- Обеспечивайте электронные носители с особо важной информацией наклейками "конфиденциально".
- Определяйте различные уровни защиты и конфиденциальности данных, соответствующим образом их помечайте и обращайтесь с ними в соответствии с присвоенным уровнем.
- Следите за тем, чтобы работники закрывали на ключ свои кабинеты, шкафы с документами и не оставляли важные документы, разбросанными по столам.
9. Старайтесь быть в курсе событий
Важно всегда быть в курсе последних новостей по теме безопасности, в том числе, публикуемые в сети Интернет. Во всемирной паутине можно найти десятки сайтов, на которых сообщается о выявленных уязвимых местах систем, а также много другой сопутствующей информации.
Слабые места в защите сетей могут возникать по разным причинам, включая:
Использование маршрутизаторов, серверов электронной почты, а также других аппаратных и программных средств представляет определенные последствия с точки зрения безопасности. Зайдите на веб-сайт производителя, подпишитесь на рассылки о новостях этой компании-поставщика и, когда появляется новая версия или дополнительный код (патч) для исправления ошибки — установите их! Если вы этого не сделаете, то "плохие парни" быстро об этом узнают, и ваш риск снова повысится.
10. С самого начала безопасность должна становиться неотъемлемой частью ваших систем
В подавляющем большинстве организаций не задумываются о безопасности в начале выполнения любых проектов.
При создании какой-либо системы внутри компании, то безопасность не должны быть каким-то запоздалым соображением-она сначала должна быть частью проектных критериев и функциональности программного обеспечения. Продумайте разработку системы безопасности с использованием уже имеющихся стандартов так, чтобы вы могли достичь больших возможностей взаимодействия программного обеспечения, аппаратных средств и защитных функций.
И наконец, еще раз повторим, что безопасность в основном зависит от людей, как стало уже очевидно из всего вышесказанного. Предлагаем краткий перечень мер, которые должны соблюдать ваши работники: