Тема ИТ-безопасности чрезвычайно обширная, поскольку повышать безопасность и инвестировать в нее деньги можно до бесконечности. В целом процесс вложения денег в безопасность подчиняется правилу Парето 80/20, а именно потратив 20% инвестиций – мы получаем 80% безопасности, а чтобы получить остальные 20% нужно потратить 80% инвестиций. Но стоит отметить, что абсолютную безопасность информационной инфраструктуры невозможно обеспечить никакими деньгами, возможно лишь предельно снизить риски и максимально приблизить ее к 100% (см. Рисунок 1).
Основным побочным эффектом безопасности есть то, что ее уровень обратно корректируется с удобством для пользователя – чем больше уровень безопасности – тем меньше свободы и комфорта для пользователя.
Получается некий треугольник:
- Безопасность;
- Экономичность;
- Комфорт.
Когда что-то одно повышаем, два других показателя снижаются и очень сложно выбрать некий разумный баланс.
На основании вышеизложенной информации, как лучшие практики были выделены требования безопасности облачных систем указанные в Таблице 1, их выполнение происходит по умолчанию при внедрении нового клиента. Также существуют глобальные правила безопасности, по защите информации клиентов от разного рода угроз (см. Таблицу 2).
| № | Название политики | Расшифровка | |||||||||
| 1. | Сложность паролей | Пароль должен отвечать требованиям стандартной политики Майкрософт:
| + | + | + | + | + | + | + | + | + |
| 2. | Смена паролей | Срок действия пароля составляет 90 дней. Таким образом, пользователю необходимо менять пароль — минимум 1 раз на протяжении каждых 90 дней. | + | ||||||||
| 3. | Предоставление прав | Все пользователи имеют ограниченную учетную запись. Права администратора пользователям не предоставляются. Специфические приложения настраиваются ответственным ИТ-инженером для возможности их корректной работы с правами пользователя. | + | + | |||||||
| 4. | Блокировка терминального сеанса | Автоматическая блокировка терминального сеанса при отсутствии активности пользователя на протяжении 10 минут. | + | ||||||||
| 5. | Внешние подключения | Внешние подключения происходят только с использованием шифрованных подключений по технологии OpenVpn, IpSec или Terminal Services Gateway. | + | ||||||||
| 6. | Открытые порты | Входящий трафик закрыт по всем портам, за исключением тех, которые необходимы для внешних подключений указанный в пункте 5. | + | ||||||||
| 7. | Запуск сервисов | Все ключевые сервисы приложений (SQL, 1C Server, Exchange и т.д.) запускаются под отдельными служебными учетными записями, которые используются только для этой цели. | + | + | + | + | |||||
| 8. | Защита телефонии |
| + |
Общие меры безопасности компании
| № | Название | Расшифровка |
| 1 | Защита от нежелательного физического доступа | Дата-центры компании имеют класс надежности TIER III, по более высокому, IV классу, строятся уже военные объекты. Наряду с высокой надежностью функционирования оборудования, обеспечивается также защита от постороннего физического доступа — помещения надежно охраняются, вход строго по пропускам через шлюзовую систему, а все действия отслеживаются с помощью видеонаблюдения. |
| 2 | Мониторинг сетевого оборудования | Мониторинг маршрутизаторов и коммутаторов происходит круглосуточно системами IDS/IPS, что позволяет заметить нетипичное поведение трафика и среагировать еще до возникновения негативных последствий. |
| 3 | Защита от DDoS-атак | Защиту от данного типа атак обеспечивает лидер отечественного рынка система QRATOR, которая способна вычислить нелегитимный трафик и отсеять его. |
| 4 | Политика административных паролей | Все административные пароли хранятся в базе контрагентов с ограниченным доступом. В случае увольнения любого ИТ-инженера, ERP-системой автоматически производится постановка задачи на смену всех паролей с последующем контролем выполнения. |
Используя эти меры, не требующие больших затрат, можно избежать большинства инцидентов. В то же время данный перечень мер практически не создает никаких неудобств пользователям. Вы сами определяете нужно ли дополнительно усиливать безопасность и вкладывать в это деньги или стоит ограничиться базовыми настройками.
