Самоучитель системного администратора. 5-е изд
жүктеу/скачать 20,51 Mb. Pdf көрінісі
|
Cамоучитель системного администратора книга
Глава 8 ГЛ А В А 9 Безопасность В наши дни в обеспечение безопасности информации вкладываются серьезные суммы, а на крупных предприятиях создаются целые отделы информационной безопасности. В некоторых случаях, к сожалению, реальная ценность информации не соизмеряется с мерами по ее защите. В результате затраты на защиту информа- ции превышают ее реальную стоимость. Бывает и так, что перед администраторами сети ставится невыполнимая задача достижения абсолютной надежности, которая даже в наше время выглядит как нечто из разряда научной фантастики. Разумнее всего перед началом внедрения мер по защите информации определить список возможных угроз, а также степень и актуальность каждой угрозы. На неко- торых предприятиях даже создается специальный документ — «модель угроз», в котором описываются все возможные угрозы: от несанкционированного доступа из Интернета и вирусов до физической кражи ПК и/или их компонентов. Перечис- лены в нем и мероприятия по устранению этих угроз, которые либо уже выполне- ны, либо должны быть выполнены. Если вам нужен именно такой документ, то вы можете взять за основу базовую «Модель угроз безопасности персональных данных при их обработке в информа- ционных системах персональных данных», утвержденную ФСТЭК России 15 фев- раля 2008 года (ее без проблем можно найти в Интернете). Вы будете удивлены тем, сколько существует угроз, о которых вы даже и не подозреваете. Но это не са- мая «страшная» модель угроз — есть еще секретная ИТР-2020, которой нет в от- крытом доступе. Впрочем, обычным предприятиям вполне достаточно и упомяну- той базовой модели. В нашей же книге, чтобы не переписывать сюда эту модель (вы и так ее сможете скачать и прочитать), мы будем руководствоваться только собственным опытом. Вы, однако, можете совместить прочитанное здесь с базовой моделью угроз и создать оптимальный для вашего предприятия план действий по защите информации. Безопасность и комфорт К сожалению, эти два понятия мало сочетаются на практике. Вы только представь- те себе спортивный автомобиль с каркасом безопасности и встроенной системой 428 Глава 9 пожаротушения. Такой автомобиль гарантирует бо´льшую безопасность водителю и пассажирам в случае переворота и пожара, чем большинство привычных нам авто- мобилей. Но почему-то автопроизводители не спешат оснащать этими опциями прочие свои «продукты». Почему? Потому что их наличие в салоне не добавит ни комфорта, ни какого-либо шика. Вот и сдвигается «ползунок» в сторону комфорта, а не безопасности. На спортивных же машинах, где повышен риск перевернуться, каркас устанавливается. С ним неудобно, он не «смотрится», но он нужен. Аналогичная ситуация наблюдается и в информационных системах. Можно защи- тить систему по максимуму, но работать в ней будет неудобно. И вы, как систем- ный администратор, должны это понимать и донести это до руководства. Чем без- опаснее система, тем сложнее с ней работать, — ведь она накладывает больше ог- раничений на текущую работу. Поскольку далеко не все сотрудники предприятия являются специалистами по информационной безопасности или имеют отношение к конфиденциальным данным, у вас окажется много недовольных. Хотя бы по той причине, что не все умеют работать со средствами защиты и не все понимают их важность и необходимость. Когда защищаемая информация того стоит, приемлемы любые меры, — хоть рентген на входе. Если же на предприятии нет секретной ин- формации, то зачем усложнять жизнь всем, в том числе и себе? Задайте себе вопросы: что произойдет в случае утечки информации? Какие возник- нут от этого последствия для предприятия? Если никаких, или ущерб окажется ми- нимальным, то, может, и не стоит пытаться «городить огород» безопасности? Ведь утечки может и не произойти. Если на предприятии нет ценной или интересной кому бы то ни было информации, то никто не станет взламывать ее информацион- ную систему, никто не будет подкупать сотрудников, чтобы они «вынесли» обраба- тываемую ими информацию и пр. Вполне возможно, что для такого предприятия оптимальным набором обеспечения безопасности станут лишь средства антивирус- ной защиты, межсетевого экранирования и резервного копирования. Попытаемся разложить по полочкам Чтобы не перестараться с защитой информации и не сделать информационную сис- тему некомфортной для пользователей, вам нужно ответить себе на вопросы: что, где и от чего. Почти как в «Что? Где? Когда?» Вам следует знать, что мы будем защищать. Есть ли вообще на предприятии информация, которая того стоит. Или же мы просто выстроим защиту даже не самой информации, а работоспособности информационных систем, чтобы утром, придя в офис, пользователи не обнаружили свое рабочее место в нерабо- тоспособном состоянии, — где тогда они будут играть в «Тетрис» или раскла- дывать пасьянс? Итак, администратор должен иметь четкое представление о том, что защищать . Всю информацию можно разделить на публичную — ее защищать ни к чему, она должна быть доступна всем, и конфиденциальную : персональные данные клиен- тов и сотрудников, коммерческая тайна и т. п. А некоторые предприятия могут Безопасность 429 также работать и с секретной информацией — например, со сведениями, со- ставляющими государственную тайну. Надо понимать, кому и к какой информа- ции может быть предоставлен доступ, — не всем сотрудникам требуется доступ к секретной и конфиденциальной информации, не у всех есть соответствующие допуски и т. д. Нужно также определиться, где защищать информацию. Одно дело, если вся информация находится на локальных серверах, другое дело — если в «облаке». Вы должны понимать, как обрабатывается и где хранится информация, как дан- ные из одной программы передаются в другую, как ограничивается доступ в Ин- тернет и т. п. Чем точнее вы с этим разберетесь, тем легче организовать защиту. Надо определиться и с тем, от чего защищать . Существует множество угроз, о чем уже говорилось в начале этой главы. Составьте список предполагаемых угроз, актуальных для вашего предприятия, — в зависимости от них и следует реализовать методы защиты информации. Например, если вы считаете, что ак- туальна угроза утечки данных через электромагнитное излучение, то вам нужно получить схемы электропитания с указанием расположения кабелей (насколько близко они проложены от информационных линий), схемы заземления, пожар- ной и охранной сигнализаций и т. д. Как будем защищать? При разработке мер безопасности нужно учитывать стоимость не только пускона- ладочных работ, но и обслуживания установленного оборудования. Бывает так, что стоимость пусконаладки совсем небольшая, а вот обслуживание может вылиться в приличную сумму. Так, охранную сигнализацию «по акции» вам устанавливают за 1 рубль, а обслуживание ее будет стоить 5 тыс. рублей в месяц. При этом у кон- курентов стоимость пусконаладочных работ составляет 20 тыс. рублей, зато в ме- сяц надо будет платить только 3500. Теперь подсчитайте, какой вариант вам ока- жется выгоднее. Стоимость первого года по «акционному» варианту составит 60, а по второму — 62 тыс. рублей. Зато второй год при выборе второго варианта ока- жется намного выгоднее. Если вы ознакомились с базовой моделью угроз, упомянутой в начале этой главы, то у вас уже может быть составлен внушительный список угроз для вашей компа- нии. Однако на реализацию мероприятий по устранению всех возможных угроз не хватит никакого бюджета. Вы потратите все средства компании и превратите офис в огромный сейф, в котором сотрудникам будет некомфортно работать. На практике существует правило 30/70: реализовав лишь 30% мероприятий, вы за- кроете 70% угроз, — вам надо лишь верно расставить приоритеты и выбрать «пра- вильные» угрозы. Остальные 30% угроз будет предотвратить очень сложно и/или очень дорого. При выборе решений информационной безопасности нужно точно расставить при- оритеты: защищаетесь ли вы для «бумажки», или вам действительно нужна без- 430 Глава 9 опасность. Некоторые предприятия обращаются к специалистам по информацион- ной безопасности только с одной целью — для получения аттестата соответствия требованиям информационной безопасности. Естественно, при этом приобретаются самые дешевые средства защиты информации — лишь бы они имели сертификат. В результате: и деньги потрачены, и речи ни о какой безопасности идти не может. Три «кита» безопасности Работы по обеспечению безопасности информационной системы можно условно жүктеу/скачать 20,51 Mb. Достарыңызбен бөлісу:
|