С самого начала необходимо сделать акцент на следующем: безопасность -- это не техническая проблема, как склонны утверждать некоторые. Безопасность является и всегда являлась проблемой человеческого фактора. Так как данная статья написана в большей части нетехническим языком, руководство вашей компании, прочитав ее, сможет понять что-то, что заставит их предусмотреть в бюджете больше средств, необходимых для лучшей организации системы безопасности.

1. Политика безопасности

Самым главным является выработка правил. Вам необходимо осознать, что вы собираетесь защищать и почему. О политике компаний в области безопасности говорится много, и на то есть причина: этот вопрос действительно важен.

Иногда такая политика может быть поистине драконовской, когда карманы и сумки у всех обыскиваются при входе и выходе из здания. Компания может принять решение о контроле электронных сообщений, чтении личных писем и их пересылке. Эффективно? Возможно, но можно применять и какие-нибудь обходные методы. Но какой настрой это создаст у ваших работников?

Выработка политики безопасности является вашим долгом, и частью этого процесса будет выяснение того, где находится наиболее ценная информация, на каких серверах она хранится? Имеются ли резервные копии? У кого они хранятся? Есть ли копии наиболее важных файлов, и как ими распоряжаются? Кто несет ответственность за этот процесс? Кто обеспечивает защиту компании от наводнения, урагана или удара молнии?

Разработать политику безопасности непросто, а еще труднее ее выполнять, но, тем не менее, это необходимо сделать. Кроме этого, следует помнить, что также как и ваш бизнес, разработка политики безопасности является процессом, который должен постоянно развиваться и меняться в соответствии с потребностями организации, по мере того, как она растет и меняется.

2. Необходимость знать своих сотрудников

Безопасность -- это, прежде всего, проблема людей, и никакая технология в мире не поможет вам решить эту проблему, если только персонал вашей компании не состоит на 100% из роботов.

Значительный процент удавшихся атак на компьютерные сети вашей компании становится возможным благодаря тем, кому вы доверяете -- вашим сотрудникам, а происходит это по целому ряду причин, среди которых:

• Каким-то образом у них развивается позиция, направленная против интересов компании, и они решают что-то украсть или как-то подорвать ваш бизнес.
• Они уже не работают в компании, но знают, как получить доступ к ее важным системам.
• Некто со стороны нанимает или завлекает их для совместных действий с целью извлечения выгоды.

Наиболее часто встречающимися проблемами являются простые ошибки, которые могут принести большой вред неподготовленной компании. С грустью следует признать, что мы приближаемся к тому моменту, когда нам необходимо знать о своих работниках больше чем то, что они сообщают в своей анкете при приеме на работу. На особо ответственных объектах и в отношении администрирования сетей, возможно следует рассмотреть вариант психологического тестирования сотрудников для того, чтобы узнать, как они могут себя повести в критической, с точки зрения безопасности, ситуации (до того, как таковая произойдет), а также узнать об их нравственных принципах, морали, склонностях и предрасположенности. Разумеется, необходимо помнить, что на потенциальных соискателей рабочих мест такая политика может произвести впечатление того, что вы не доверяете своим работникам. Но, с другой стороны, не забывайте, что в руках у ваших системных администраторов находятся ключи к вашему электронному царству. Это от их отношения и квалификации зависит, будут ли ваши системы работать или рано или поздно остановятся. Правило Caveat Emptor "покупатель действует на свой риск" применимо также и к отношениям работодателя с работниками.

3. Обучайте свой персонал

Обучение работников и развитие их понимания и осведомленности в области вопросов безопасности также должно находиться среди первых пунктов вашей программы безопасности. Постоянно держите ваш персонал в курсе всех аспектов безопасности компании и того, как они могут стать частью системы по обеспечению безопасности. 40% внутренних нарушений правил безопасности не являются умышленными; они вызваны случайностью, ошибкой, недосмотром или незнанием.

Ваша цель -- привлечение персонала на свою сторону так, чтобы работники стали частью решения проблемы, а не частью самой проблемы, и вашей обязанностью является обучить их лучшим методам организации работ, корпоративной политике и мерам по повышению уровня безопасности.

Необходимо научить своих сотрудников быть бдительными в отношении событий и людей, каким-то образом способных повлиять на безопасность, распознавать такие события и людей, и осознавать, насколько важно оперативно сообщать о них сотрудникам, ответственным за безопасность.

4. Внешняя безопасность сетей

Внешняя защита сетей предотвращает получение несанкционированного доступа.

Средства межсетевой защиты, такие как брандмауэр или маршрутизатор представляют собой первую "линию обороны" сети и должны использоваться при любых соединениях с внешним миром. Надежные средства опознавания/идентификации пользователя также очень важны. Будет ли это длинный, легко запоминающийся пароль, который регулярно меняется или жетонное средство идентификации, такое как смарт-карта, вам необходимо иметь возможность знать, кто пытается получить доступ к вашим сетям.

Многие компании настаивают на создании безопасного дистанционного доступа к своим сетям. Для более безопасного удаленного доступа к сети следует рассмотреть использование шифрования и VPN -- виртуальной частной сети.

Частью внешней безопасности являются средства управления защитой и их правильная конфигурация. Блокируйте все неиспользуемые сервисы и сетевые протоколы. Поменяйте все стандартные настройки, заданные "по умолчанию" изготовителем и периодически оценивайте уровень полномочий и права доступа пользователей. Помимо этого, нужно разработать и применять политику и процедуру исключения прав доступа бывших работников к любым ресурсам вашей сети и используйте своего рода систему распознавания проникновения, достаточно часто проверяя результаты ее действия.

5. Тщательный анализ системы защиты

Технические аспекты защиты не заканчиваются на Интернет-узле или на периметре сети. Они распространяются и туда, куда выезжают ваши сотрудники, а затем связываются дистанционно с вашей сетью, а также и в компьютеры тех из них, кто часть работы выполняет на дому. Помимо этого, ваша сеть становится частью сетей ваших партнеров, поэтому их проблемы безопасности могут превратится в ваши проблемы.

Вам необходимо рассредоточить средства безопасности по всей вашей организации.

Возможно, это будут брандмауэры для изоляции особо важных ресурсов различных отделов; механизмы контроля доступа на главных компьютерах; средства обнаружения проникновения и аномального поведения во всей сети.

Не забывайте обновлять ваше антивирусное программное обеспечение, а ваши системные администраторы должны устанавливать патчи (дополнительные программные коды для исправления программной ошибки) на главные компьютеры, операционные системы и приложения, как только такие патчи появляются. Хакеры быстро находят или разрабатывают средства обнаружения уязвимых мест в программных продуктах.

В корпоративных сетях в настоящее время применяются и личные брандмауэры.

Периодически тестируйте уровень безопасности ваших сетей. Меняются модели вашего бизнеса; ваши сети развиваются, возрастает необходимость дистанционного доступа. Проверяйте все аспекты безопасности вашего предприятия, оценивайте влияние на безопасность новых приложений до того, как они будут установлены, и, по крайней мере, раз в год, проводите полный анализ системы безопасности. Но даже если результаты анализа будут удовлетворительными -- это не повод для самоуспокоенности. Проверка безопасности -- это всего лишь моментальный снимок состояния вашей системы.

Само собой разумеется, что процедура создания резервных копий важных данных, файлов и приложений является неотъемлемым компонентом хорошо организованной системы безопасности. Сохранение пользователями резервных копий больших файлов на дискетах является трудоемким процессом, поэтому использование сетевых архивных серверов, на которых автоматически создаются резервные копии в нерабочие часы, является наиболее простым решением данной проблемы.

6 -- Реагирование на события, нарушающие безопасность

Событие, имеющее отношение к безопасности, может представлять собой попытку группы хакеров взломать ваши сети. И, наоборот, кто-либо внутри компании может попытаться проникнуть в сеть своего бывшего работодателя, прикрываясь вашим именем.

Неважно, о каком событии безопасности вам станет известно, но самое плохое, из всего, что вы сможете предпринять -- это проигнорировать такое событие. Политика безопасности должна предусматривать меры реагирования на непредвиденные события.

Ваша служба реагирования на чрезвычайные ситуации с компьютерами (CERT) должна представлять собой группу людей из состава вашей организации, которые совместно работают над разрешением любых проблем безопасности и чрезвычайных происшествий, а также взаимодействуют с организациями обеспечения сетевой безопасности по всему миру и в вашей отрасли так, чтобы бдительно реагировать на все события, которые в какой-то степени могут быть взаимосвязаны.

7. Физическая защита

Физическая защита также является ключевой составляющей информационной безопасности. Не следует забывать о самых простых вещах. Кто имеет доступ к электрошкафам, шкафам с телефонной разводкой и помещениям, где находится коммутационный концентратор? Откуда вы знаете, что монтер связи это действительно монтер связи -- только потому, что он одет в соответствующую спецодежду?

Обеспечивайте физический контроль мусора до тех пор, пока он должным образом не будет вывезен хорошо известной вам компанией в место, предназначенное для утилизации мусора.

8. Проверка нефизических компонентов

• Так как компьютеры вашей компании объединены в сеть, не следует позволять вашим работникам приносить свои программы для использования их в работе, так как это приводит к заражению систем вирусами. Также не следует допускать, чтобы сотрудники уносили домой какую-либо конфиденциальную информацию компании.
• Уничтожайте важные документы в бумагорезательной машине или сжигайте их: такие как списки работников, их идентификационные данные, документацию отдела кадров, руководства по эксплуатации и описания действующих информационных систем и процессов, файлы с данными о клиентах, внутреннюю переписку и любые другие данные, которые могут представлять интерес для посторонних.
• Снабжайте электронные носители с особо важной информацией наклейками "конфиденциально".
• Определяйте разные уровни защиты и конфиденциальности данных, соответствующим образом их помечайте и обращайтесь с ними в соответствии с присвоенным уровнем.
• Следите за тем, чтобы работники закрывали на ключ свои кабинеты, шкафы с документами и не оставляли важные документы, разбросанными по столам.

9. Старайтесь быть в курсе событий

Важно всегда быть в курсе последних новостей по теме безопасности, в том числе тех, что публикуются в сети Интернет. Во всемирной паутине можно найти десятки сайтов, на которых сообщается об обнаруживаемых уязвимых местах систем, а также есть много другой сопутствующей информации.

Слабые места в защите сетей могут возникать по самым разным причинам, включая:

1. Приложение изначально было разработано со слабыми местами и поэтому может подвергнуться атаке с использованием простейших сценариев, находящихся в свободном доступе в сети Интернет.
2. В систему инсталлируется новое оборудование, и, как результат, возникают бреши в защите.
3. Ваша сеть расширяется и меняется день ото дня. Когда вы подключаете новые системы, вам необходимо знать, что означают номера новых версий, и с какими потенциальными рисками вы можете столкнуться. Когда вы соединяетесь с сетью партнера, знаете ли вы, насколько надежна ее безопасность, и как она может повлиять на вашу сеть?
4. Новые программы появляются практически каждый день, и мы не знаем, насколько хорошо они защищены до тех пор, пока кто-нибудь не предпримет успешную попытку взломать такие приложения.

Использование маршрутизаторов, серверов электронной почты, а также других аппаратных и программных средств представляет определенные последствия с точки зрения безопасности. Зайдите на веб-сайт изготовителя, подпишитесь на рассылки о новостях этой компании-поставщика и, когда появляется новая версия или дополнительный код (патч) для исправления ошибки -- установите их! Если вы этого не сделаете, то "плохие ребята" быстро об этом узнают, и ваш риск снова повысится.

10. С самого начала безопасность должна становиться неотъемлемой частью ваших систем

В подавляющем большинстве организаций не задумываются о безопасности в начале выполнения каких-либо проектов.

Если вы создаете какие-либо системы внутри компании, то безопасность не должны быть каким-то запоздалым соображением; она изначально должна быть частью проектных критериев и функциональности программного обеспечения. Продумайте разработку системы безопасности с использованием уже имеющихся стандартов так, чтобы вы могли достигнуть больших возможностей взаимодействия программного обеспечения, аппаратных средств и защитных функций.

И наконец, еще раз повторим, что безопасность в основном зависит от людей, как стало уже очевидным из всего вышесказанного. Предлагаем краткий перечень мер предосторожности, которые должны соблюдать ваши работники:

1. Никогда, ни в коем случае, никому не сообщайте свое идентификационное имя пользователя и пароль доступа к какой-либо системе компании.
2. Соблюдайте осторожность, чтобы не выдать случайно, или не потерять любую информацию, являющуюся собственностью фирмы.
3. Не подсоединяйте какие-либо компьютеры, модемы или другое оборудование к корпоративной сети, не имея на это разрешения.
4. Используйте только лицензионное и санкционированное для использования программное обеспечение.
5. Защищайте свою рабочую станцию: используйте "хранители экрана" (скрин сейверы) и никогда не забывайте правильно выходить из сети.
6. Регулярно создавайте резервные копии ваших файлов и сохраняйте их в надежном месте.
7. Всегда проверяйте вложения к электронным сообщениям, а также любые загруженные из сети программы при помощи антивирусных приложений.
8. Обращайтесь с электронными сообщениями также, как вы обращаетесь с бумажными бланками компании. Как только электронное сообщение отправлено, его не вернешь обратно, а в нем указано имя вашей компании.
9. Всегда уничтожайте конфиденциальную информацию на бумаге, дисках или пленке при помощи специального оборудования (шреддеров).
10. Оперативно сообщайте обо всех инцидентах, имеющих отношение к безопасности, в отдел информационной безопасности вашей компании.

Другие материалы по этой теме:

"Защита распределенных компьютерных систем"
"Как определить источники угроз"
"Психологические аспекты информационной безопасности организации"
"Обеспечение информационной безопасности -- залог успешной деятельности компании "
"Реорганизация корпоративных систем безопасности"
"Возможная методика построения системы информационной безопасности предприятия"
"Проектирование системы обеспечения безопасности объекта"