Звоните нам +7 (495) 640-44-34 или мы позвоним вам
Простые технологии: ИТ аутсорсинг, абонентское обслуживание компьютеров и серверов

Информационная безопасность

Содержание

Самым важным для любой компании является ее информация. И прежде чем говорить об информационной безопасности, необходимо сесть и разобраться с вопросом: что, от кого и как мы хотим защищать.

Информационная безопасность - цели и методы

Для начала необходимо определиться, от кого именно мы хотим защищаться - собственно, от этого зависят способы обеспечения информационной безопасности и защиты сети.

Как правило, руководитель формулирует задачу либо коротким "защищаем всё от всех", либо - от госорганов и хакеров. По человечески желание понятно, но технически такая защита информации мало осуществима. Давайте разберемся, почему.

Очень часто руководитель высоко оценивает внешние угрозы информационной безопасности, и упускает из виду внутренние. По статистике, на долю взломов и получения доступа к данным через внешние сети или Интернет приходится около 20%. Остальные 80% относятся к внутренним взломам, утечкам и хищениям информации. При этом попытки взлома через Интернет являются вполне обычным фоном работы сервера, при условии, что система обеспечения информационной безопасности их отражает.

Атаки изнутри зачастую не являются атаками в прямом смысле - человек просто берет доступную информацию либо использует программные средства для получения доступа к защищаемым областям. Отразить такую атаку гораздо сложнее, поскольку невозможно контролировать все действия сотрудников в локальной сети - на это потребуется специальный сотрудник-контроллер. Однако, базовыми средствами информационной безопасности можно значительно снизить доступность данных и закрыть доступ к данным злоумышленнику слабой или средней квалификации. 

Отсюда делаем вывод: в рамках защиты информации необходимо защищать от сотрудников те данные, которые не нужны им для работы. Информационная безопасность подразумевает, что не следует секретарю иметь доступ к бухгалтерским базам, а менеджеру по продажам - к переписке директора.

Далее, нам нужно определиться, защиту какой информации мы обеспечиваем. Ведь информации в любой компании море, и очень важно ее правильно структурировать. Нет смысла шифровать фотографии с корпоратива или папку с рекламными текстами, поскольку там нет ничего конфиденциального. Защищать нужно лишь действительно важную информацию, и ее нужно отделить от публичной.

Лишь после этого следует рассматривать техническую часть информационной безопасности, а именно - защиту конкретных объектов:

  • физическая защита серверов (невозможность получения доступа несанкционированным лицам);
  • техническая защита серверов, регулярные регламентные работы по контролю защищенности в рамках обслуживания серверов и рабочих станций;
  • защита рабочих станций (невозможность работы за чужой рабочей станцией и работать под чужой учетной записью);
  • защита физических линий (доступ к проводам, сетевому оборудованию, беспроводным сетям);
  • политика паролей (длинна и тип пароля, частота смены пароля);
  • организационные меры обеспечения информационной безопасности;
  • защита доступа из внешних сетей, контроль за всеми подключениями извне.

Несмотря на кажущуюся банальность сказанного, это очень важно с точки зрения информационной безопасности и предотвращения утечек данных. Ведь в самом минимальном варианте защита информации потребует последовательного решения следующих задач:

  • создать систему, способную идентифицировать пользователя. В windows-сетях это осуществляется созданием доменной структуры;
  • назначить пользователю персональный логин и пароль;
  • сформировать группы доступа и назначить им права на доступ к конкретным папкам, файлам, почтовым ящикам;
  • настроить разделение прав в приложениях, базах данных, используемых информационных системах;
  • регулярно менять пароли, чтобы избежать ситуации, когда пользователь, уволившийся год назад может получить доступ к защищаемым данным;
  • при необходимости, внедрить криптографические средства защиты, то есть шифрование критических данных для их надежной защиты. Шифровать все - вместе с картинками с корпоратива, - не получится, поскольку это сильно снижает быстродействие. Как следствие, меры обеспечения информационной безопасности должны включать анализ хранимых данных и их структурирование. И для серьезной защиты нужно выделить лишь действительно критическую часть информации;
  • проанализировать угрозы и составить документы, регламентирующие, кто и что делает в особых ситуациях. Обычно предполагают, что если все запаролено, то никто не сможет изъять никакую информацию. Однако, есть такая грустная поговорка из лихих девяностых: "Скорость разгадывания любого пароля прямо пропорциональна температуре утюга". Поэтому должны быть разработаны инструкции сотрудникам, ответственным за определенные действия в нештатных ситуациях.

Информационная безопасность - это многогранная задача, которую нужно решать как технически, так и организационно. И чем больше каналов передачи данных, чем разнообразней программная среда, тем больше усилий нужно прилагать для защиты информации. Это и антивирусная безопасность, и защита почты, и шифрование при удаленной работе.

Информационная безопасность имеет еще два важных психологических аспекта.

Во-первых, если сотрудники Вашей компании чувствуют и видят меры по обеспечению информационной безопасности, то вероятность попытки доступа к защищенным областям резко снизятся. Сотрудники не будут рисковать рабочим местом ради того, что получат доступ к какой-то информации, притом, что знают, что сеть контролируется, есть четкие правила и их нарушение приведет к серьезным последствиям.

А второе касается самих руководителей. Важно реально оценивать угрозы, и предпринимать адекватные меры по их блокированию. Не следует искать людей или компании, которые скажут вам: мы настроим абсолютную защиту от всего. Это будет обман. Ведь такие гиганты, как Sony, с миллионными бюджетами на IT, не могут уберечь свои базы данных. Значит, абсолютной защиты не существует. Есть разумная защита.

Мы не стремимся создать у руководителей ложное чувство защищенности. Давайте встретимся, поговорим о информационной безопасности в вашей компании, и мы открыто расскажем о тех угрозах, которых можно избежать, и каких избежать трудно. 

Сколько это стоит и как купить?

А также

ИТ аудит серверов, компьютеров и инфраструктуры
Мы предлагаем оценить Вашу информационную систему с точки зрения безопасности, надежности и доступности.
Профессиональный ИТ аутсорсинг
ИТ-аутсорсинг - это когда Вы отдаете часть задач тем, кто умеет это делать лучше и дешевле.
Информационная безопасность и защита корпоративной сети
Мы создали концепцию информационной безопасности, которую используем более десяти лет. Меняются технологии, но наши клиенты чувствуют себя защищённо.
Виртуальный сервер для 1С
Отдельный виртуальный сервер для удаленной работы, из любой точки мира. Сочетание экономии и широких возможностей ИТ-аутсорсинга.
Абонентское обслуживание компьютеров и серверов в Москве
Ваши компьютеры и серверы требуют обслуживания квалифицированными специалистами с соблюдением регламентных процедур.
Повышение надежности компьютерной сети
Нестабильная работа информационной системы часто связана с типовыми ошибками настройки сети или недостаточным уровнем компетенции ИТ-специалиста.
Обслуживание сервера
Нам часто говорят «нам нужна настройка и обслуживание сервера». По этой фразе мы понимаем, что на самом деле не сервер, а вся информационная система клиента требует к себе внимания и грамотного обслуживания.

Калькулятор

Мы сделали специальный калькулятор ИТ-аутсорсинга, чтобы Вы могли самостоятельно рассчитать стоимость обслуживания Ваших компьютеров и серверов.

Рассчитать стоимость