Как обеспечить на предприятии основы информационной безопасности
Информационная безопасность - понятие настолько же всеобъемлющее и сложное, как и "системная администрация", требующее такого же профессионализма. Сисадмин не может быть одновременно и высококвалифицированным безопасником - однако хотя бы в самых общих чертах безопасность ввереной ему инфраструктуры он обеспечить должен.
Как же соблюсти требования ИБ на предприятии, где своего специалиста, занимающегося именно безопасностью, нет? Вот несколько советов, которые будут полезны как сисадминам-новичкам, так и бывалым профи.
Угрозы
С понятием информационной безопасности плотно переплетено понятие информационной угрозы - собственного, того, от чего мы защищаемся. Немалая часть угроз - не злонамеренность, а глупость или неосторожность, другие будут исходить от людей, ничего в ИТ не понимающих. Зато если кто-то будет готовить против вашего предприятия целенаправленную атаку, то и урон от нее будет несравним! Так что вам придется подготовиться к самым разнообразным угрозам:
- Внутренние угрозы - угрозы, исходящие от ваших сотрудников. Слишком простой пароль доступа к критически важным данным "потому что его просто запомнить", оставленная в неправильном месте Сети важная информация, неосторожное или купленное письмо конкуренту... Ото всего этого нужно будет защитить предприятие.
- Внешние угрозы - вторжение со стороны конкурентов или случайных интересующихся. Что ж, взламывали даже пентагон, да и "шуточный" взлом госресурсов в истории случался, но инфраструктура предприятия, скорее всего, интересовать будет конкурентов или преступников. Они же могут перехватить контроль над ресурсами, а могут просто все стереть или зашифровать.
Что делать?
Первое и самое главное - исходите из того, что вас уже взломали или хотя бы из того, что у вас на предприятии есть готовый продать ваши данные недоброжелатель или неосторожный сотрудник, который завтра случайно оставит самые важные пароли в открытых источниках.
Такой подход обеспечит исполнение вами самых базовых требований ИБ:
- Наличие копий важной информации - в 2-х, лучше в 4-х копиях, размещенных так, чтобы при атаке, происшествии (или, например, потопе/пожаре) они не были бы повреждены.
- Наличие антивирусов и файерволов - как минимум на шлюзах, лучше на каждом устройстве в ручном режиме. Входящие и исходящие подключения машин и серверов необходимо контролировать очень жестко - например, серверам лучше оставлять разрешение только на конкретные порты конкретным клиентам, а машинам - разрешение на исходящие, но не на входящие подключения.
- Заведенная на все документация с представлением о принятых мерах безопасности, обнаруженных или потенциальных угрозах - в конце концов, даже задокументировать саму инфраструктуру будет грамотным организационным решением.
- Жесткое определение групповых политик и прав доступа, наличие грамотных нигде не потерянных паролей, контроль над рабочей электронной почтой и физического доступа в серверную комнату, например.
Информационная безопасность - это не однажды заданная данность, а постоянный процесс, интенсивность или глубина которого должна зависеть от предприятия. Если потребности вашего предприятия выросли настолько, что штатный сисадмин перестал с ними справляться, то лучше обратиться к специалистам - например, заказать аудит предприятия и взять кого-то на аутсорс.