Чтение онлайн

на главную

книги

авторы

Жанры

Деловая литература

Детективы

Детские

Документальная литература

Дом и Семья

Драматургия

Жанр не определен

Компьютеры и Интернет

Любовные романы

Научно-образовательная

Поэзия

Приключения

Проза

Прочее

Религия и эзотерика

Справочная литература

Старинная литература

Техника

Фантастика

Фольклор

Юмор

Политики безопасности компании при работе в Интернет
на обложку

Петренко Сергей Александрович
Шрифт:

Комментарий «Эрнст энд Янг»:

• по мере постоянного усложнения информационных систем отдельные сбои становятся неизбежными. Иногда бывает невозможно предотвратить отказы аппаратного и программного обеспечения и систем связи, а учитывая повысившуюся вероятность террористических актов, направленных на глобальную информационную инфраструктуру, компаниям необходимо разработать эффективную программу обеспечения непрерывности деятельности и ее восстановления в экстренных ситуациях;

• во многих компаниях наблюдается непропорционально высокий объем вложений в технические средства обеспечения безопасности. Однако следует уделять больше внимания самим процессам обеспечения безопасности и человеческому фактору в этих процессах. Перечисленные ниже аспекты являются самыми важными для минимизации риска отказа систем в результате ошибки сотрудника, недостаточной информированности персонала по вопросам безопасности или в случае преднамеренной атаки:

– создание официальных процедур для проведения таких операций, как загрузка новых программных приложений и планирование системной нагрузки, позволяет избежать операционных ошибок и перегрузки систем;

– программы обучения и семинары по вопросам безопасности снижают риск того, что сотрудники сведут на нет преимущества технических средств (из-за неправильной конфигурации самого надежного межсетевого фильтра или открытия зараженного файла);

– жесткие процедуры и правила по использованию паролей и получению прав доступа уменьшают риск внутренней атаки (например, со стороны недовольного сотрудника) или со стороны деловых партнеров, имеющих санкционированный доступ в сети и системы компании.

Таблица П2.2. Бюджеты информационной безопасности

Главное препятствие на пути эффективного обеспечения информационной безопасности – недостаток финансирования.

Сегодня большинство компаний хорошо осведомлены о необходимости действенных мер по обеспечению информационной безопасности. Однако осознание важности информационной безопасности – это лишь первый шаг. Для достижения практических результатов требуются ресурсы. Компаниями, работающими в сфере высоких технологий, выделяются самые крупные бюджеты на развитие информационных систем. За ними следуют компании банковского сектора, финансовые и телекоммуникационные компании.

Согласно данным опроса, главными препятствиями на пути обеспечения информационной безопасности являются другие приоритеты в распределении ресурсов и бюджетные ограничения. Компании нередко выделяют единый бюджет на удовлетворение всех потребностей по информационным системам (аппаратное и программное обеспечение, зарплата, консультанты и т. п.), при этом основная часть средств идет на повышение производительности, а вопросы информационной безопасности остаются без внимания.

Еще одна серьезная проблема – нехватка квалифицированного персонала. Причиной этого, вероятно, является ограниченный бюджет, выделяемый на его привлечение, и недостаточные вложения в программы обучения. Помимо этого, компании в СНГ довольно редко привлекают к работе независимых подрядчиков, несмотря на недостаточный опыт собственных сотрудников в решении вопросов информационной безопасности.

Комментарий «Эрнст энд Янг»:

• последние 10 лет мы наблюдаем постоянное расхождение объемов финансирования в обеспечении безопасности по отношению к финансированию сферы ИТ в целом. В связи с этим у многих компаний уже сегодня может возникнуть угроза сбоя работы их систем, вторжений и вирусных атак. Единственный способ изменить эту тенденцию – решить вопросы информационной безопасности. Это означает, что стратегия информационной безопасности должна быть основана на требованиях бизнеса и руководители компании должны быть информированы о рисках и последствиях нарушения безопасности для бизнеса. (Компании, которые никогда не сталкивались в реальности с нарушением безопасности, могут провести моделирование «этичной» хакерской атаки на информационные системы, чтобы полностью представить себе, какими будут последствия и ущерб от реального инцидента.);

• экономические выгоды от внедрения комплексной структуры и соблюдения правил в области безопасности следует довести до сведения руководства компании и совета директоров. Только у них имеются полномочия отдавать распоряжения и выделять ресурсы, необходимые для укрепления информационной безопасности;

• нередко приходится видеть, как компания принимает меры по укреплению информационной безопасности только после произошедшего инцидента, причем для решения проблемы выбирается временный вариант. Такой односторонний и устаревший подход приводит к увеличению затрат и потере и без того ограниченных финансовых ресурсов. Взвешенный, инициативный, комплексный подход к обеспечению информационной безопасности в масштабах всей организации в конечном итоге часто оказывается дешевле.

Данные опроса показывают, что многие компании в СНГ не заботятся о соблюдении законодательства в области информационной безопасности.

Информационная безопасность – относительно новая тема, и правительства ряда стран продолжают совершенствовать законодательство в этой сфере и разрабатывать официальные структуры поддержки, необходимые для защиты компаний и граждан от компьютерных преступлений.

Некоторые из участников нашего опроса, занимающиеся банковской деятельностью, страхованием, телекоммуникациями, операциями с ценными бумагами и управлением средствами фондов, заявили, что нормативные документы, регламентирующие вопросы безопасности, оказывают серьезное влияние на сферу их деятельности. Однако результаты нашего опроса показывают, что компании, работающие в одних и тех же отраслях, имеют совершенно разное мнение относительно масштаба такого влияния. Это является очевидным подтверждением недостаточной осведомленности и ясности относительно того, какими документами регламентируются вопросы информационной безопасности.

Среди участников опроса в СНГ 13 % признали, что они не соблюдают действующие нормативные документы в области безопасности, а еще 27 % заявили, что не обязаны выполнять подобные требования. В действительности, принятые недавно законы налагают на компании новые обязательства по обеспечению защиты информации персонального характера (информация по клиентам и сотрудникам).

Комментарий «Эрнст энд Янг»: • во всем мире ужесточаются требования законодательства к обеспечению достаточного уровня информационной безопасности, причем многие из них распространяются и на страны СНГ. Компаниям необходимо получить консультацию профессионального юриста относительно нормативных документов, которым необходимо следовать, или государственного ведомства, куда следует обращаться по вопросам информационной безопасности.

Резюме

В результате недостаточного финансирования в сфере информационной безопасности, наблюдавшегося в течение последних десятилетий, многие компании оказались не защищенными от сбоев в деятельности важнейших систем, вирусных атак и хищения конфиденциальной информации. Только теперь компании начинают осознавать насущную необходимость усиления безопасности:

обеспечение информационной безопасности – поддержка совета директоров;

Обеспечение действенной системы информационной безопасности требует принятия мер в масштабах всей организации и при поддержке «на самом верху». Руководство компании и совет директоров должны быть полностью осведомлены о возможном ущербе для бизнеса и репутации компании в результате нарушения безопасности или отказа в работе систем. Варианты стратегии и политика в области безопасности должны быть направлены на защиту важнейших активов и поддержку бизнеса компании. Все перечисленные факторы имеют большое значение для обоснования необходимости выделения ресурсов и получения поддержки, без которых невозможно реализовать комплексную стратегию безопасности.

• больше внимания вопросам персонала и процедур;

Традиционно меры по обеспечению безопасности были направлены на технические аспекты, то есть приобретение и установку антивирусных программ, межсетевых фильтров и систем обнаружения вторжений. Сегодня настало время обратить внимание на обучение персонала и повышение квалификации, на мероприятия по обеспечению информированности персонала в вопросах безопасности, а также на разработку официальных процедур выявления уязвимых мест систем и управления изменениями. Эти факторы имеют огромное значение для минимизации риска в отношении того, что преимущества технических средств обеспечения безопасности могут быть сведены на нет в результате ошибки персонала или его недостаточной подготовки. Жесткая система контроля работы с паролями и правами доступа также весьма важна для предотвращения атаки изнутри компании со стороны недовольных сотрудников или деловых партнеров, имеющих прямой доступ к сетям и системам компании.

контроль стандартов информационной безопасности третьих сторон.

Информационная технология проникает в каждый аспект ведения бизнеса и совершения операций. За последние годы компании и их деловые партнеры существенно увеличили объем взаимодействия через информационные системы. Сбой в системе безопасности в любой из этих организаций может подвергнуть риску целые отрасли и технологические процессы. Именно поэтому компаниям необходимо следить за тем, чтобы у основных деловых партнеров были внедрены хотя бы минимальные стандарты безопасности.

Компании должны осознать, что сегодня информационная безопасность стала аспектом бизнеса и ее важность нельзя недооценивать. Информационная безопасность – это не роскошь, а необходимость, так как именно она составляет тот фундамент, на котором строится надежная среда, позволяющая компаниям успешно работать и развиваться.

Приложение 3 РУКОВОДСТВО ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ (Site Security Handbook, RFC 1244)

Приводится в сокращенном варианте, с разрешения доктора физико-математических наук, профессора В.А Галатенко (автора перевода оригинального документа). Данное руководство является продуктом деятельности рабочей группы по политике информационной безопасности предприятий (SSPHWG), в которую вошли представители групп безопасности и пользовательских сервисов движения IETF (Internet Engineering Task Force). Авторами руководства являются Dave Curry (Purdue University), Sean Kirkpatrick (Unisys), Tom Longstaff (LLNL), Greg Hollingsworth (Johns Hopkins University), Jeffrey Carpenter (University of Pittsburgh), Barbara Fraser (CERT), Fred Ostapik (SRINISC), Allen Sturtevant (LLNL), Dan Long (BBN),Jim Duncan (Pennsylvania State University), Frank Byrum (DEC). Руководство содержит информацию для интернет-сообщества, оно не является стандартом, его распространение не ограничено.

Выработка официальной политики предприятия в области информационной безопасности

Краткий обзор

Организационные вопросы. Целью разработки официальной политики предприятия в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также определение процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы достичь данной цели, следует учесть специфику конкретной организации.

Во-первых, необходимо принять во внимание цели и основные направления деятельности организации. Например, на военной базе и в университете существенно разные требования к конфиденциальности.

Во-вторых, разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке политики.

В-третьих, если локальная сеть организации не является изолированной, вопросы безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удаленной стороны, а также проблемы, причиной которых является локальный хост или удаленный пользователь.

Кто разрабатывает политику? Политика безопасности должна стать результатом совместной деятельности технического персонала, понимающего все аспекты политики и ее реализации, а также руководителей, влияющих на проведение политики в жизнь. Нереализуемая или неподдерживаемая политика бесполезна.

Поскольку политика безопасности так или иначе затрагивает всех сотрудников организации, следует позаботиться о том, чтобы у вас было достаточно полномочий для принятия решений по этим вопросам. Хотя некоторой группе (например, группе технического обслуживания) может быть поручено проведение политики в жизнь, возможно, нужна будет и группа более высокого ранга для поддержки и одобрения политики.

Кого затрагивает политика? Политика безопасности потенциально затрагивает всех пользователей компьютеров в организации, причем по нескольким аспектам. Пользователи могут отвечать за администрирование собственных паролей. Системные администраторы обязаны ликвидировать слабые места в защите и надзирать за работой всех систем.

Важно с самого начала работы над политикой безопасности правильно подобрать состав коллектива разработчиков. Возможно, на предприятии уже есть группа информационной безопасности; естественно, люди из этой группы считают безопасность своей вотчиной. Следует привлечь также специалистов по аудиту и управлению, по физической безопасности, по информационным системам и т. п. Тем самым будет подготовлена почва для одобрения политики.

Распределение ответственности. Ключевым элементом политики является доведение до каждого его обязанностей по поддержанию режима безопасности. Политика не может предусмотреть всего, однако она обязана гарантировать, что для каждого вида проблем существует ответственный.

В связи с информационной безопасностью можно выделить несколько уровней ответственности. На первом уровне каждый пользователь компьютерного ресурса обязан заботиться о защите своего счета. Пользователь, допустивший компрометацию своего счета, увеличивает вероятность компрометации других счетов и ресурсов.

Системные администраторы образуют следующий уровень ответственности. Они должны обеспечивать защиту компьютерных систем. Сетевых администраторов можно отнести к еще более высокому уровню.

Оценка рисков

Общие положения. Один из главных побудительных мотивов выработки политики безопасности – обеспечить уверенность в том, что деятельность по защите информации построена экономически оправданным образом. Данное положение кажется очевидным, но, вообще говоря, возможны ситуации, когда усилия прикладываются не там, где нужно. Например, много говорят и пишут о хакерах; в то же время в большинстве обзоров по информационной безопасности утверждается, что в типичной организации ущерб от внутренних, «штатных» злоумышленников значительно больше.

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта. Полное рассмотрение проблемы анализа рисков выходит за пределы данной публикации. Тем не менее в следующих пунктах будут затронуты два этапа процесса анализа рисков:

• идентификация активов,

• идентификация угроз.

Главной целью деятельности в области информационной безопасности является обеспечение доступности, конфиденциальности и целостности каждого актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям.

Идентификация активов. Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например, аппаратура) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.

В свое время Pfleeger предложил следующую классификацию активов:

аппаратура – процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, маршрутизаторы;

программное обеспечение – исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы;

данные – обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, передаваемые по коммуникационным линиям;

люди – пользователи, обслуживающий персонал;

документация – по программам, по аппаратуре, системная, по административным процедурам;

расходные материалы – бумага, формы, красящая лента, магнитные носители.

1-39404142434445464748495051-62
Популярные книги

Огни Эйнара. Долгожданная

Макушева Магда
1. Эйнар
Любовные романы:
любовно-фантастические романы
эро литература
5.00
рейтинг книги
Огни Эйнара. Долгожданная

Вернуть невесту. Ловушка для попаданки

Ардова Алиса
1. Вернуть невесту
Любовные романы:
любовно-фантастические романы
8.49
рейтинг книги
Вернуть невесту. Ловушка для попаданки

Смертник из рода Валевских. Книга 1

Маханенко Василий Михайлович
1. Смертник из рода Валевских
Фантастика:
фэнтези
рпг
аниме
5.40
рейтинг книги
Смертник из рода Валевских. Книга 1

Быть сильнее

Семенов Павел
3. Пробуждение Системы
Фантастика:
боевая фантастика
рпг
6.17
рейтинг книги
Быть сильнее

Измена. Жизнь заново

Верди Алиса
1. Измены
Любовные романы:
современные любовные романы
5.00
рейтинг книги
Измена. Жизнь заново

Отмороженный

Гарцевич Евгений Александрович
1. Отмороженный
Фантастика:
боевая фантастика
рпг
5.00
рейтинг книги
Отмороженный

Муж на сдачу

Зика Натаэль
Любовные романы:
любовно-фантастические романы
5.00
рейтинг книги
Муж на сдачу

Фиктивная жена

Шагаева Наталья
1. Братья Вертинские
Любовные романы:
современные любовные романы
5.00
рейтинг книги
Фиктивная жена

Жандарм

Семин Никита
1. Жандарм
Фантастика:
попаданцы
альтернативная история
аниме
4.11
рейтинг книги
Жандарм

Совок 4

Агарев Вадим
4. Совок
Фантастика:
попаданцы
альтернативная история
6.29
рейтинг книги
Совок 4

Идеальный мир для Лекаря 20

Сапфир Олег
20. Лекарь
Фантастика:
фэнтези
юмористическое фэнтези
аниме
5.00
рейтинг книги
Идеальный мир для Лекаря 20

Дракон - не подарок

Суббота Светлана
2. Королевская академия Драко
Фантастика:
фэнтези
6.74
рейтинг книги
Дракон - не подарок

Воин

Бубела Олег Николаевич
2. Совсем не герой
Фантастика:
фэнтези
попаданцы
9.25
рейтинг книги
Воин

Сильнейший ученик. Том 3

Ткачев Андрей Юрьевич
3. Пробуждение крови
Фантастика:
фэнтези
боевая фантастика
аниме
5.00
рейтинг книги
Сильнейший ученик. Том 3