Броня крепка?


Вадим ЦАРФИН

В мире современного бизнеса побеждает тот, кто владеет информацией, этот факт уже давно не нуждается в доказательствах. Но одного обладания важными сведениями мало. Их необходимо уметь защищать от конкурентов, разного рода злоумышленников, а также от порчи или утраты в результате физических или технических воздействий. Это означает, что перед каждым руководителем рано или поздно встает вопрос о выстраивании политики безопасности информационных систем.

Наиболее правильной, по мнению большинства экспертов, является политика максимального использования встроенных механизмов защиты, которыми обладают все серьезные информационные системы, и приобретения специальных средств защиты только в случае острой необходимости.

Во многих современных программных продуктах, от MS Office и 1C до серьезных ERP-систем и дорогостоящих СУБД, уже есть удовлетворительные средства защиты данных, и пренебрегать ими нерационально. То же относится и к средствам безопасности популярных операционных систем семейства MS WindowsNT, Windows-2000 и WindowsXP, которые при эффективном администрировании и выполнении всех рекомендаций Microsoft обеспечивают вполне приемлемый уровень информационной безопасности.

По отдельным, наиболее важным, направлениям необходимо использовать специальные средства защиты. Например, руководству компаний, вынужденных хранить и обрабатывать конфиденциальную информацию своих клиентов, надо обратить внимание на такое специфическое средство защиты данных, как шифрование, и, в рамках действующего законодательства, способствовать его внедрению. Причем подвергать шифрованию требуется как конечные информационные материалы, так и рабочие: переписку, разного рода заметки, а кроме того, архивы.

Систему защиты следует создавать как минимум в два этапа. Первый, самый важный, — информационное обследование. На этом этапе строится так называемая модель нарушителя, которая описывает вероятный «облик» злоумышленника, то есть его квалификацию, имеющиеся средства для реализации тех или иных атак, обычное время действия. На данном этапе будет получен ответ на два главных вопроса: «Зачем надо защищаться?» и «От кого?». Одновременно определяются и анализируются возможные пути реализации угроз безопасности, оценивается их вероятность и предпола-гаемый ущерб. По результатам анализа вырабатываются рекомендации, как устранить выявленные угрозы, правильно выбирать и применять средства защиты.

Наряду с анализом существующей технологии обработки информации должна осуществляться разработка организационно-распорядительных документов, дающих необходимую правовую базу службам безопасности и отделам защиты информации для проведения всего спектра защитных мероприятий, взаимодействия со сторонними организациями, привлечения к ответственности нарушителей.

На втором этапе построения комплексной системы информационной безопасности производится приобретение, установка и настройка средств и механизмов защиты данных. Это системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности.

Следует иметь в виду, что с течением времени имеющиеся средства защиты устаревают, по-являются новые версии систем обеспечения информационной безопасности, постоянно расширяется список обнаруженных в них недостатков и видов атак, меняются технология обработки данных, программные и аппаратные средства, персонал компании. Необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование систем, обучать персонал, обновлять средства защиты.