Безопасность IT-инфраструктуры
Руководители большинства мелких и средних компаний не задумываются об информационной безопасности их корпоративных данных. Они полагают, что никому нет дела до маленьких предприятий. Это серьезная ошибка – должная защита от внутренних и внешних посягательств нужна каждой компании. Компьютерный вирус, отказ оборудования, удаление важной информации – даже небольшая проблема может остановить бизнес на недели.
Одна из причин, которой руководители мотивируют отказ от организации информационной безопасности – это якобы высокая стоимость оборудования и его обслуживания. На деле же даже с маленьким бюджетом можно закупить достаточный для хорошей информационной безопасности минимум. Это оборудование и ПО для него.
Разновидности информационной безопасности
Информационная безопасность – это большой комплекс мер и действий, которые ориентированы на сохранение:
· доступа к корпоративной информации;
· конфиденциальности секретных данных;
· бесперебойной работы оборудования;
· управления финансовых инструментов.
Грамотно организованная информационная безопасность надежно защищает информацию и оборудование IT-инфраструктуры, и при этом не усложняет их использование. Рассмотрим четыре составляющие более подробно.
Сохранение доступа к информации
Сотрудники, у которых есть права на получение корпоративной информации, всегда имеют беспрепятственный доступ к ней в соответствии с имеющимися правами. Даже в компаниях, где с информационной безопасностью все плохо, этому аспекту уделяется особое внимание. В особенности это касается бухгалтерской документации.
Сохранение конфиденциальности данных
Запрашиваемая информация предоставляется только тем пользователям, у которых есть необходимость в ней. Так, персонал отдела закупом имеет права получить сведения о поставщиках, но не обладает доступом к базе клиентов. Благодаря этому уволенные сотрудники не смогут навредить бизнесу, продавая секретные сведения.
Обеспечение работы IT-оборудования
Надежная защита компьютерного и серверного оборудования от вирусов, сомнительного ПО, от неправильного использования сотрудниками компании. Часто эта задача взваливается на системного администратора. Однако не все администраторы способны обеспечить стабильную работу ПК и ПО, и не усложнить работу сотрудникам.
Управление финансовыми инструментами
Защита банковских счетов и связанных с деньгами данных от целевых и массированных атак. Этот аспект особо сильно нуждается в защите, так как при взломе бизнес может остаться без средств к существованию и развитию. Не рекомендуется полагаться на банки – данные могут быть перехвачены по пути от банка к вашему бизнесу.
Способы обеспечения информационной безопасности
Существует большой ряд мер, применение которых положительно сказывается на информационной защите бизнеса. Все меры влияют на каждый из четырех аспектов, указанных выше, поэтому указаны одним списком.
· Грамотное распределение администраторских прав для сотрудников компании. В первую очередь надо отобрать администраторские права у всех рядовых работников фирмы. Во многих организациях простой бухгалтер или менеджер может установить, удалить ПО с компьютера, или вообще получить доступ к управлению корпоративной сетью. С такими правами сотрудник может спровоцировать внедрение вируса, удаление ценной информации без возможности восстановления, или иные серьезные проблемы.
· Установка сотрудникам ограничений на запуск программного обеспечение. Хорошим решением будет распределить права на запуск приложений между сотрудниками исходя из их рабочих обязанностей. Так, бухгалтерам дать права на включение программ 1С, MS Word, MS Excel. В таком случае сотрудник не сможет зайти в браузер, запустить вредоносное программное обеспечение или иным образом сделать брешь в защите. Ограничение прав стоит сделать даже для опытных сотрудников с хорошей репутацией.
· Установка антивирусного программного обеспечения. Обязательна установка корпоративного антивируса с последними обновлениями. ПО устанавливается на рабочих компьютерах, файловых и терминальных серверах. На шлюзе, отделяющими внутреннюю среду от Интернета, ставится альтернативный антивирус.
· Отключение встроенной учетной записи Администратора и Гостя на рабочих станциях и на серверах. Этот простой шаг исключает риск того, что доступ будет взломан в результате перебора возможных паролей.
· Размещение папок с важной рабочей информацией на файловых серверах. Ошибочно размещать данные на рабочих станциях, так как там они находятся в большой опасности. На рабочих станциях допускается размещение маловажной повседневной информации. Ценные данные хранятся на серверах и проходят каталогизацию для удобного доступа и поиска. Это актуально и для систем с доменной инфраструктурой.
· Хранение жизненно важных данных в выделенной базе. Есть несколько причин размещать такие файлы не на рабочих станциях, а в выделенной базе. Первая – возможность настройки прав доступа. Вторая – значительное уменьшение риска порчи информации. В выделенной базе содержатся сведения о доступе каждого пользователя к данным. Благодаря этому можно легко отследить подозрительную активность.
· Настройка регулярного резервного копирования ценной информации и операционных систем. Каждое копирование должно сопровождаться подробным отчетом, отправляемым системному администратору.
· Настройка защиты серверов, связанных с Интернетом. Стандартное и эффективное для терминальных серверов решение – подключение к Глобальной Сети через VPN. Если работа через VPN невозможна, то нужна организация соединения через нестандартный порт с отслеживанием попыток подбора пароля.
· Реализация политики сложных паролей, при которой нельзя установить простой пароль. Все пароли должны включать в себя большое количество символов – это буквы различного регистра, цифры, знаки. Все простые пароли на сетевом и периферийном оборудовании подлежат замене на более сложные.
· Регулярное обновление программного обеспечения и операционных систем. Такой подход куда более безопасен и удобен, нежели установка обновлений по 100-200 штук за один раз, что приводит к разного рода ошибкам. К тому же часто в обновлениях на ПО содержатся новые меры защиты от уязвимостей.
· Непрерывный мониторинг работы компьютерного и серверного оборудования. Речь идет о слежении за загрузкой процессора, оперативной памяти, видеокарты, отслеживание подозрительных процессов и их своевременное отключение. Есть вирусы, которые не крадут информацию, но пользуются мощностями оборудования, резко уменьшая его производительность. Это майнеры, брутфорсеры, ПО для DDOS-атак.
Еще одна важная мера по обеспечению информационной безопасности предприятия – обучение сотрудников основам правильного и безопасного обращения с компьютерной техникой. Опытные злоумышленники даже не трогают компьютеры, предпочитая грамотное психологическое воздействие на персонал. В результате люди сами того не подозревая открывают доступ преступникам к ценным данным. Обучение решает эту проблему.
Информационная защита банк-клиентов
Особые требования информационной безопасности предприятий предъявляются к банк-клиентам. Именно эта область подвержена периодическим атакам, как целевым, так и массированным. Меры по безопасности просты:
· Компьютер используется только в рамках выполнения банковских операций.
· С компьютера для работы с банк-клиентом запрещается доступ к любым сетям.
· Все входящие порты на компьютерах закрываются, чтобы их не сканировали.
· Физический ключ извлекается и выносится после каждого сеанса связи с банком.
· Каждый пользователь банк-клиента получает уникальный ключ, логин, пароль.
· Сотрудникам запрещается записывать логины и пароли, можно лишь запоминать.
Если с компьютера для связи с банк-клиентом требуется связаться с остальным Интернетом в рабочих целях, то каждый выход в Сеть тщательно продумывается. В идеале для таких целей используются отдельные устройства.
Информационная безопасность на аутсорсинге
Хороший способ организовать хорошую информационную безопасность и не потратить на это большие деньги – это обратиться в аутсорсинговую IT-компанию. В этом случае не потребуется нанимать отдельных специалистов для слежения за ИБ. Всеми работами по созданию и поддержанию инфраструктуры займется сторонняя фирма.
Специалисты нашей аутсорсинговой компании в рамках первого обслуживания заказчика большинство действий по обеспечению информационной безопасности выполняют бесплатно. После этого каждый месяц проводится аудит на предмет того, как бизнес выполняет рекомендации. При надобности специалисты решают проблемы.- Комментарии