Юридичне та організаційне забезпечення захисту інформації

Дії у разі спроби атакувати мережу

Робочі групи користувачів

Найкраще настроювання системи безпеки почати з заборони всього всім групам користувачів. Далі, у процесі роботи необхідно буде дозволити мінімальні, необхідні для виконання конкретних обов’язків, дії. Така тактика називається „режим навчання" і використовується для настроювання брандмауерів, фільтрів трафіку і т.п.

Чим обмеженіший доступ до інформації можна одержати через конкретний обліковий запис, тим важче скласти цілісне уявлення про характер і формат зберігання даних у випадку, якщо через цей запис буде здійснено несанкціонований доступ.

Доцільно права на доступ обмежувати часовими рамками, наприклад, тільки робочі години, певні години упродовж дня. Це зменшує ризик проникнення в сегмент мережі, що захищається, оскільки в години відсутності персоналу, який відповідає за цю ділянку роботи, доступ заборонений.

Дуже корисним є відключення доступу за тривалої відсутності активності збоку користувача, який пройшов ідентифікацію, оскільки він міг відлучитися, забувши відключити доступ до мережі.

Аналіз аудиту дій користувача допоможе виявити нехарактерні дії останнього, якщо обліковим записом скористалася інша людина.

IDS, міжмережеві екрани та інші „технічні премудрості" не гарантують безпеки самим фактом свого існування. Кожне згенероване ними попередження, кожен запис у журналі повинні бути проаналізовані. Треба пам’ятати, що створення правил для засобів захисту це динамічний процес, і нема гарантії, що правила, за якими вони працюють в певний момент, відповідають необхідному рівню.

На випадок виникнення „надзвичайних ситуацій", до яких належать спроба вторгнення у вашу мережу, рекомендується створити групу швидкого реагування. За відсутності такої групи під час спрацьовування системи захисту може виникнути паніка. При цьому створюється часова затримка, яка лише на користь тому, хто атакує. Щоб уникнути хаосу треба вжити заходів, щоб при виявленні атаки заходи вживала лише спеціально підготовлена група швидкого реагування.

Дії інших користувачів переважно доцільно звести або до невтручання (вони повинні продовжувати займатися своїми справами), або до припинення поточної роботи до ліквідації небезпеки. Останній варіант набагато надійніший, але при частих атаках він паралізує роботу фірми.

Хоча, розглядаючи питання безпеки, найчастіше аналізують різні типи зовнішніх небезпек, дослідження показали, що основне джерело загроз (до 80%) знаходиться всередині організації.

Для того, щоб система безпеки працювала, недостатньо встановити апаратно-програмні засоби, треба, щоб всі співробітники чітко виконували правила, що стосуються безпеки. З цією метою необхідно ознайомити кожного співробітника з положеннями політики безпеки і ввести персональну відповідальність за невиконання встановлених правил, найдієвішим заходом при цьому є грошові стягнення.

Забезпечення інформаційної безпеки організації зовсім нелегка задача. Навіть базуючись на готових рішеннях, вона вимагає постійної уваги до себе, а використання передових технологій не означає автоматично найвищої надійності. На будь-якім підприємстві працюють люди, а раз так, у першу чергу увагу варто приділити людському фактору.

В будь-якій організації можуть працювати співробітники, які не задоволені оплатою або умовами праці, своїм становищем в організації. Вони можуть свідомо пошкодити дані або викрасти їх. Можливе також ненавмисне спотворення чи розголошення інформації внаслідок недостатньої кваліфікації чи поінформованості працівників. Здебільше зловмисникам також легше дістати конфіденційну інформацію в співробітника, що працює за комп’ютером, ніж зламати систему захисту.

Злом системи може базуватись на використанні людського фактора. За допомогою психологічних прийомів встановлюються контакти з потрібними людьми. Підкуп працівників – один з шляхів отримання потрібної інформації. Інші способи – телефонні дзвінки від імені певних людей, психологічний тиск, створення ситуацій, при яких особа, що розсекречує дані, вважає, що робить правильно, або не завважує помилковості своїх дій.

Щоб зменшити ризик втрати конфіденційної інформації за рахунок використання людського фактора, необхідно кожного працівника ознайомити з правилами безпеки та пояснити важливість їх дотримання.

Частина несанкціонованих вторгнень в системи здійснюється лише для задоволення особистих амбіцій, заради отримання моральної сатисфакції від факту вдалого злому. Осіб, які здійснюють несанкціоноване втручання без спричинення шкоди, називають хакерами (hackers). Тих, що заподіюють при цьому шкоду – зловмисниками або кракерами (crackers). Випадків, що мають протиправний і аморальний характер використання вкраденої інформації, безліч. Насамперед це „електронні" крадіжки, тобто крадіжки грошей за допомогою комп’ютерів. Тільки банки США втрачають десятки мільярдів доларів на рік. Серед інших негативних наслідків інформатизації, викликаних порушенням інформаційної безпеки, – комп’ютерний тероризм і комп’ютерне хуліганство. Втручання зловмисників в комп’ютерні системи, що керують бойовими ракетами, космічною і ядерною зброєю, може стати трагедією не тільки для однієї країни, але і для всього людства.

Одним з засобів боротьби з зовнішніми зловмисниками є фізичні засоби захисту.

Фізичні засоби захисту передбачають створення фізичних перешкод для зловмисника, які перегороджують йому шлях до інформації. Це, наприклад, система контролю доступу на територію, наявність кодових замків на дверях приміщень з апаратурою або з носіями інформації, знімання і закривання в сейф жорстких дисків. Найбільш ефективний спосіб забезпечення фізичного захисту комп’ютерної системи – це ізоляція її в надійній кімнаті. При захисті комп’ютерних мереж необхідно обмежити фізичний доступ до важливих ресурсів мережі: серверів, маршрутизаторів, комутаторів.

Небезпеку становлять і зіпсовані примірники документів. Непотрібні документи необхідно знищувати за допомогою спеціальної машини (шредера).

Викинуті в смітник дискети також можуть бути використані зловмисниками для отримання записаної на них інформації. Можна зчитати інформацію і з відформатованої дискети. Тому списані жорсткі диски та дискети повинні знищуватись фізично.

Фізичні засоби захисту ефективні тільки від „зовнішніх" зловмисників і не захищають інформацію від співробітників, які володіють правом входу в приміщення та мають права на доступ до даних.

Рівень безпеки інформаційної системи тим вищий, чим вужчі функції більшості виконавців з низькою кваліфікацією та низьким рівнем довіри до них. При цьому звуження функцій виконавців з низьким ступенем довіри до них повинно компенсуватися розширенням ролей адміністраторів і підвищенням до них довіри. Такий перерозподіл і закріплення функцій обумовлений тим, що простіше знайти одну людину з високою кваліфікацією та високою довірою до неї, ніж багато таких людей. Простіше забезпечити високий рівень оплати одному адміністратору, ніж всім виконавцям. Прикладом звуження ролей і можливостей можуть бути оператори введення в банківських системах. Ці виконавці працюють тільки в дозволений час, виконують лише конкретні функції, користуються тільки конкретними програмами, формують однотипні дані з однаковою структурою.

Із звуженням ролей виконавців, закріпленням за ними конкретних ресурсів їх поведінка стає простою і передбачуваною та легше підлягає контролю. Проте все це справедливо тільки у випадках, коли призначення системи залишається незмінним, тоді і розподіл функцій виконавців може залишатись незмінним.

Дуже тривожним моментом у забезпеченні інформаційної безпеки громадян є „електронне стеження", тобто запис і прослуховування телефонних розмов, перегляд змісту листів і інші методи контролю. Таке спостереження можливе і на робочих місцях, де виникає практика хронометрування всіх операцій і дій людини, визначення міри придатності працівника, його професійної підготовки і т.п. За допомогою спеціальних програм комп’ютери можуть порівнювати й оцінювати працівників, створювати списки для звільнення чи заохочення. Позитивне для підприємця може обернутися негативним для робітників та службовців.

Питаннями захисту інформаційних і систем повинні займатись спеціальні відділи і інформаційної безпеки. Проте в невеликих і фірмах, а часто і у більших, організацію і захисту інформаційних систем покладають на адміністраторів комп’ютерних мереж та інших ІТ-спеціалістів. Такий підхід є неправильним, оскільки, по-перше сам адміністратор залишається поза контролем, по-друге робота адміністратора має багато обов’язків і додавання нових може привести до того, що безпеці не завжди буде приділятися достатньо уваги. Відволікати ІТ-спеціалістів від прямих обов’язків також не можна, оскільки вирішення бізнес-задач звичайно відсуває задачі безпеки даних на дальший план, а будь-яке програмне забезпечення для захисту інформації вимагає персоналу для його постійної підтримки.

Існує два підходи до створення відділу інформаційної безпеки:

– перерозподіл ІТ-спеціалістів та їх перепідготовка;

– пошук професіоналів з безпеки даних, проте сьогодні попит на них значно перевищує пропозицію.

Спеціалісти з інформаційної безпеки і керівники підприємств підходять до справи з різних позицій: перші оперують технічними поняттями, другі -економічними. Оптимальні рішення повинні базуватись на розумній достатності витрат на безпеку, Приймаючи рішення, треба пам’ятати, що розмір витрат на безпеку має бути зіставлений з можливими втратами.