НалогіУкаіни
Як забезпечити інформаційну безпеку
Термін «інформаційна безпека» не так давно увійшов у широкий вжиток, хоча діяльність сучасного підприємства неможливо уявити собі без персональних комп'ютерів. Цьому є просте пояснення: обсяг оброблюваної і зберігається в електронному вигляді інформації для середнього підприємства в мільйони разів вище в порівнянні з «паперової». На комп'ютерах встановлюється складне в налаштуванні програмне забезпечення, створюються важкі для відновлення схеми взаємодії комп'ютерів і програм, рядові користувачі обробляють величезні масиви даних.
Зрозуміло, що будь-яке порушення роботи вибудуваної технологічного ланцюжка приведе до певних втрат для підприємства. Таким чином, під інформаційною безпекою (ІБ) будемо розуміти захищеність інформаційного середовища підприємства від зовнішніх і внутрішніх загроз її формування, використання та розвитку.
На великих підприємствах існують спеціальні служби з чималим бюджетом, в завдання яких входить забезпечення ІБ, виявлення, локалізація і усунення загроз ІБ підприємства. Вони використовують спеціальне дороге програмне і апаратне забезпечення, часом настільки складне в обслуговуванні, що потрібна особлива підготовка персоналу для роботи з ним. Завдання керівництва ІБ в таких організаціях часто зводяться до випуску директив з ключовими словами: «поглибити», «розширити», «підвищити», «забезпечити» і т.д. Вся робота по забезпеченню ІБ виконується непомітно для керівництва співробітниками відповідних служб, і опис методів їх роботи - це тема для окремої великої статті.
У той же час ІБ малих підприємств з невеликим числом робочих місць для фахівців (часто не більше 50) приділяється не надто багато уваги. Однак існуюча організаційно-технічна обстановка на даний момент така, що більшість існуючих загроз ІБ, в силу гарної захищеності від них великих підприємств, стають актуальними як раз для підприємств меншого розміру. Зазвичай такі підприємства мають досить скромний IT-бюджет, що дозволяє придбати тільки необхідне обладнання, програмне забезпечення та утримуватиме одного системного адміністратора. З цієї причини в даній статті ми розглянемо саме методи забезпечення ІБ, які не потребують великих витрат і легко реалізовані системним адміністратором середньої кваліфікації.
В першу чергу побудуємо модель загроз ІБ для малого підприємства.
1. Загрози інформаційної безпеки
Тільки розуміння всього спектру загроз дозволить побудувати ефективну систему захисту. Для початку розглянемо спрощену класифікацію загроз.
По відношенню до підприємства загрози поділяються на внутрішні і зовнішні. Відповідно, хакерська атака на комп'ютери компанії буде розглядатися як зовнішня загроза, а занесення вірусу в мережу співробітниками - як внутрішня. До внутрішніх загроз також відносять крадіжку інформації співробітниками.
За намеренности загрози бувають навмисними і ненавмисними. Наприклад, до ненавмисним загрозам можна віднести випадкове видалення даних співробітником. Усунути від навмисні загрози складніше, так як шкідливі програми та людина, що загрожують підприємству, мають чіткий план дій з подолання можливого захисту.
За мети можна виділити загрози, спрямовані на отримання даних, знищення даних, зміна або внесення даних, порушення роботи ПО, контроль над роботою ПО і інші. Скажімо, однією з найбільш частих хакерських атак на комп'ютери підприємств є отримання закритих відомостей для подальшого їх незаконного використання (паролі до інтернет-банкам, облікових записів електронної пошти і т.д.). Таку загрозу можна класифікувати як зовнішню навмисну загрозу, спрямовану на отримання даних.
Слід також розуміти, що не можна захиститися від всіх мислимих і немислимих загроз ІБ хоча б тому, що неможливо передбачити дії зловмисників, не кажучи вже про всі помилки користувачів. Однак існує ряд загальних методів захисту, які дозволять сильно знизити ймовірність реалізації широкого спектру загроз і убезпечити підприємство від різного роду атак і помилок користувачів. Далі ми докладніше розглянемо найбільш ефективні з них.
2. Використання брандмауера для забезпечення ІБ
Одним з найбільш ефективних методів захисту мережі підприємства від зовнішніх загроз є використання брандмауера - програмного або апаратного маршрутизатора, поєднаного з firewall (особливою системою, що здійснює фільтрацію пакетів даних).
На кожному підприємстві доступ комп'ютерів в Інтернет по локальній мережі забезпечується за допомогою окремо стоїть комп'ютера (його ще називають сервером доступу). Іноді це спеціалізований комп'ютер, але частіше за все звичайний, розташований близько до пристрою, що забезпечує вихід в Глобальну мережу (наприклад, модему). На жаль, стандартні засоби операційних систем не дозволяють вести гнучку настройку маршрутизації і фільтрування пакетів, тому на такому комп'ютері слід розмістити спеціальне ПЗ: маршрутизатор і firewall. Це ПЗ не так дорого, але якщо є можливість поставити спеціалізоване обладнання, наприклад фірми Cisco, то цим не слід нехтувати: подібні апаратні маршрутизатори відрізняються більшою надійністю.
Налаштування firewall зажадає більш серйозного підходу, але також не повинна викликати труднощів: слід дозволити обмін даними з Інтернетом тільки по тим протоколам, які реально використовуються на підприємстві. Наприклад, це можуть бути протоколи HTTP, HTTPS, SMTP, POP3, DNS, ICQ і т.д. Спроба обміну даними по недозволеним протоколам повинна блокуватися firewall і записуватися їм в журнал. Особливо слід відзначити, що потрібно обов'язково заборонити обмін пакетами NETBIOS з Інтернетом, так як цей протокол дуже слабо захищений від злому.
Власне кажучи, міжмережевий екран готовий: він не пропускає назовні внутрішні пакети локальної мережі підприємства і блокує доступ до неї чужих комп'ютерів.
Практика показує, що при певній вправності системного адміністратора, міжмережевий екран може бути введений в експлуатацію протягом робочого дня.
3. Захист електронної пошти
Слід приділити особливу увагу захисту електронної пошти, так як шкідливі програми часто розсилають самі себе нічого не підозрюють користувачам.
Обов'язково слід поставити антивірус на корпоративний сервер електронної пошти. При виборі антивірусного пакета потрібно керуватися наступними принципами:
- антивірус повинен вміти перейменовувати виконувані файли (в яких не знайдено вірусу), унеможливлюючи їх автоматичний запуск користувачем, наприклад, файл з ім'ям «picture.jpg .exe» [1] буде перейменований в файл з ім'ям «picture.jpg .exe.tmp », що унеможливить запуск його користувачем без збереження на диск і перейменування;
- антивірус повинен вміти перевіряти заархівовані файли;
- антивірус повинен вміти перевіряти HTML-код на предмет шкідливих сценаріїв і додатків Java, а також шкідливих ActiveX-компонентів.
Також можна поставити транзитний сервер, який буде фільтрувати весь проходить через нього трафік електронної пошти за допомогою антивірусу, але це зажадає набагато більших матеріальних і тимчасових витрат.
4. Антивірусний захист
Як уже згадувалося, на корпоративний сервер електронної пошти необхідно встановити антивірусне ПЗ. Також варто встановити антивірус на файловий сервер організації та здійснювати перевірку його вмісту щодоби, наприклад, в 0:00 годин, коли ця перевірка не завадить нормальній роботі користувачів.
На комп'ютери користувачів необхідно встановити антивірусне ПЗ, яке буде безперервно перевіряти всі компоненти для завантаження. Це дозволить уникнути зараження комп'ютерів користувачів відомими вірусами. Хорошим вибором в цьому випадку буде безкоштовна система, наприклад AVG. Однак оновлюється вона виключно з сайту компанії-розробника, а якщо 50 комп'ютерів одночасно будуть завантажувати оновлення з сайту, то мережу підприємства може виявитися перевантаженою. Тому потрібно прийняти певний спосіб оновлення антивірусного ПЗ: або це буде послідовне оновлення з кожного комп'ютера (налаштовується часом запуску оновлення), або оновлення з корпоративного сервера (що вимагає певної щоденної роботи системного адміністратора).
5. Налаштування комп'ютерів користувачів
Однією з базових складових ІБ підприємства є налагодження і компоновка певним ПО комп'ютерів користувачів. Оскільки в переважній більшості випадків на локальному робочому місці встановлена ОС Windows, то розглянемо настройки і ПО стосовно даному виду ОС.
■ Розділити користувачів на тих, хто має доступ до комп'ютера на рівні адміністратора (наприклад, сам системний адміністратор), і тих, хто має доступ тільки рівня користувача, і відповідним чином налаштувати облікові записи. Це дозволить уникнути втрат часу на відновлення системи в разі, якщо користувач помилково зробив дію, що приводить до виведення з ладу ОС.
■ Заборонити роботу віддаленого робочого столу і віддалене адміністрування. Замість цього краще встановити систему віддаленого управління, що має більш високий рівень захисту, наприклад RemoteAdmin.
■ Встановити локальний firewall, наприклад AgnitumOutpostFirewallPro, і налаштувати його так, щоб дозволити доступ до мережі тільки певним додаткам. Слід особливо відзначити, що за допомогою брандмауера неможливо заборонити доступ до мережі певних програм, так як ПО брандмауера не може визначити додаток, яка бажає отримати доступ до неї. Простіше кажучи, він має справу з уже випущеними в мережу пакетами. Завдання ж локального firewallв даному випадку - не допустити роботи з нею несанкціонованих додатків.
■ Установки локального firewall слід захистити паролем.
Також варто відзначити, що штатний брандмауер Windows забезпечує досить слабкий захист, так як його настройки можуть бути змінені шкідливим ПЗ без відома користувача.
■ Після завершення налаштування комп'ютера користувача необхідно створити точку відновлення системи на випадок збою.
6. Використання Proxy-сервера
Окремі організації намагаються за допомогою Proxy-сервера обмежувати доступ співробітників до Internet, але це не можна вважати хорошою практикою, так як нанесений діяльності підприємства шкоду і витрачений системним адміністратором або співробітниками зайвий час можуть переважити вигоди від такої економії.
7. Захист інформаційного простору організації
В першу чергу це постійний моніторинг стану комп'ютерів користувачів і локальної мережі. Існують спеціальні утиліти, що стежать за станом мережі і видають попередження при виявленні певних подій, що стосуються ІБ підприємства. Наприклад, недорога утиліта NetBoy може бути використана для моніторингу завантаження мережі, виявлення заборонених протоколів, чужих комп'ютерів і інших подій, які можуть вплинути на роботу мережі.
Слід по можливості відмовитися від застосування бездротових мереж на підприємстві, оскільки наявні в продажу недорогі точки доступу не забезпечують потрібного рівня безпеки, а застосування криптостійкі алгоритмів шифрування при передачі даних підпадає під державне регулювання, і для цього необхідно отримувати відповідні дозволи та ліцензії.
Також необхідно строго розмежувати доступ користувачів до певних даними, щоб жоден користувач, за винятком довірених осіб, не мав повного доступу до всієї інформації разом. Скажімо, в СУБД це робиться шляхом накладення обмежень на вибірку певних полів і рядків з БД.
Документообіг підприємства найкраще вести цілком в електронному вигляді, мінімізувавши ходіння паперових документів: в деяких випадках викрасти або скопіювати паперовий документ набагато простіше, ніж зламати корпоративний сервер.
Встановлюючи користувачам жорсткі диски малого обсягу, необхідно всіляко заохочувати їх до зберігання інформації на файловому сервері підприємства або в сховище даних: набагато легше зробити резервну копію цієї інформації, провести сканування на віруси і відновити втрачені відомості.
Одним з непоганих варіантів організації зберігання даних буде установка системи управління версіями документів і файлів. Існують дуже хороші безкоштовні системи, на зразок CVS або Subversion, які дозволяють відновлювати файл певної версії або вести моніторинг змін, тобто користувач не перезаписує файл, а додає нову версію файлу, що не видаляє файл, а додає нову версію каталогу і т.д.
Не варто забувати і про навчання користувачів: якщо можливо, нехай системний адміністратор щотижня проводить 30-хвилинний семінар для користувачів підприємства, на якому ненав'язливо розповідає про основні правила ІБ і можливі загрози, з якими можуть зіткнутися рядові користувачі. Кілька живих прикладів з повсякденної практики допоможуть краще засвоїти урок і отримати задоволення від цього семінару, а керівництво матиме додаткову можливість контролювати ІБ організації.