Несмотря на многовековую историю развития информационной безопасности, многие руководители все еще воспринимают ее, оперируя опытом первого периода. Тогда, до 19-го века, основной задачей ее была защита сведений жизненно важных для определенного человека или круга людей от попадания в посторонние руки.
За последние двести лет, благодаря быстро нарастающему темпу развития технических средств, информационная среда кардинально и стремительно эволюционировала. Это повлекло за собой расширение задач информационной безопасности, которые перечеркнули возможность устаревших подходов. Преобразования и глобализация информационных систем заставили полностью пересмотреть подход к категории информационной безопасности. Одних только классификаций угроз насчитываются десятки: по характеру, по тяжести, по направленности, по объекту, по завершенности, по мотивации, по происхождению и много других. Но, к сожалению, еще очень часто встречаются устаревшие или однонаправленные подходы, безграмотные предрассудки и заблуждения.
В задачи этой статьи совершенно не входит штудирование теории или утомление читателя пространными рассуждениями. Мы предлагаем рассмотреть решения в сфере информационной безопасности на примере организации информационной системы компаний малого и среднего бизнеса.
С одной стороны развитие информационных технологий и глобализация систем передачи, хранения и обработки данных породили множество новых угроз: например, проходя мимо офисного здания и оказавшись в зоне действия сети Wi-Fi, можно подключиться к чьей-нибудь корпоративной сети. Но эта возможность обусловлена лишь непрофессиональным подходом к организации сети и игнорировании ряда характерных угроз. Поэтому, если подходить профессионально к вопросу, вооружиться знаниями в областях информационных технологий и информационной безопасности, то можно (и нужно) создавать производительные, доступные (как в финансовом, так и в информационном смысле), масштабируемые, безопасные системы под потребности любого предприятия.
Вспомним, как наши прапрадеды тратили долгие часы на путешествие по старой протоптанной тропинке от одного села к другому. А когда был изобретен автомобиль, сколько было страхов и противников этого небезопасного новшества? На сегодняшний день в мире широкая инфраструктура автодорог, развитием которой занимаются специализированные институты. Над производством автомобилей, автотоваров, горюче-смазочных материалов, в обслуживании автотранспорта и автодорог трудятся миллионы человек по всему миру. Конечному пользователю, кроме заправленного авто, остается лишь знать, понимать и соблюдать правила безопасности дорожного движения — можно в путь. А затраты на транспорт, тем не менее, окупаются благодаря мобильности, доступности, простоте и удобству решения.
Так и с построением информационной системы компании: развитая инфраструктура магистралей, скоростные транспортные средства-потоки, возможность прокладки оптимального маршрута. Выбираем центр будущей информационной системы и, основываясь на рекомендациях по информационной безопасности, схеме работы компании, ее потребностях в работе с информацией, строим оптимальную инфраструктуру.
По-настоящему эффективно защищать и контролировать удается только ту информацию, которая собрана в одном месте — централизована ее обработка.
При проектировании информационной системы, как и любой другой, необходимо учитывать каждую мелочь еще до начала проектирования. Иными словами, создание оптимальной модели обработки информации — это уже базовая ее защита, на основе которой мы выстраиваем информационную систему с заложенной в нее безопасностью. Это даст нам возможность гибко и эффективно развивать информационную безопасность на построенной системе, двигаясь в выбранных направлениях защиты. Но обо всем по порядку.
Основная суть оптимизации информационной системы — это централизация хранения, обработки и обслуживания коммерческой информации. Распределенная модель обработки данных хороша для межконтинентальных корпораций, которые, тем не менее, несут огромные трудовые и финансовые затраты на поддержание централизованного управления распределенной системой. Бесконтрольное распространение информации влечет за собой информационный хаос.
Подробнее ознакомиться с нюансами централизации информационной системы.
Схема 1 (щелкните для увеличения).
Итак, основные задачи по обеспечению доступности информации и обеспечению отказоустойчивости данная схема решает (Схема 1). А как эта схема будет работать при необходимости решения задач контроля над информацией и защите от утечек? Как уже говорилось, что наиболее эффективный контроль осуществляется централизовано,— вся информация хранится и обрабатывается в одном месте, а значит отследить и настроить то, к какой ее части имеет доступ сотрудник согласно своим обязанностям, не составит труда.
Защита от утечек, как и любой подход к безопасности должен быть комплексным. Иначе эффективность будет такой же, как, уходя из дома закрыть дверь на три замка, но оставить распахнутыми окна. Первое, на что стоит обратить внимание: более 80% утечек происходят по неосторожности, неумению, ошибке или злому умыслу сотрудников компании (инсайдеров).
В виду высокого риска утечки информации по вине внутренних сотрудников, построение защиты необходимо начинать с разграничения прав доступа.
Для защиты голосовых каналов связи мы внедряем IP-телефонию. Благодаря цифровой системе передачи голоса, данная технология сильно усложняет и делает практически невозможным процесс перехвата телефонных переговоров. Получается, что защита, создаваемая данным решением, требует гораздо меньше трудозатрат и квалификации специалистов, чем для перехвата разговоров. Ниже приведены наиболее актуальные возможности решения.
В багаже наших внедрений существует еще одно полезное решение. Возможность установки аналитической системы управления взаимоотношений с клиентами 1C:Предприятие 8. CRM и ее интеграция с IP-телефонией. Это решение, в основе своей, предотвращает утечку клиентов из компании лично недобросовестному менеджеру по продажам! Как это работает: сервер телефонии передает информацию обо всех входящих и исходящих звонках системе CRM, которая соотносит номера телефонов с контрагентами и фиксирует события в их карточке, также записывается содержание разговора. Таким образом, руководитель может проанализировать все поступающие интересы от клиентов и их отработку менеджерами компании (Схема 2).
Схема 2 (щелкните для увеличения).
Создавая защищенную, производительную информационную систему, необходимо изначально учитывать наиболее критичные риски. Многие руководители и не подозревают, что их системные администраторы игнорируют многие угрозы. Вот примеры из нашей практики.
Актуальная проблема по защите рабочего места с системой дистанционного банковского обслуживания (клиент-банк). Подробнее об актуальности угроз и защите систем ДБО.
Дополнительное резервное копирование важной информации на сетевую систему хранения данных, которая расположена в удаленном офисе. Это позволит сохранить данные в случае пожара в центральном офисе, затопления или изъятия серверов. Также необходимо регулярно проверять актуальность и целостность резервных копий.
Современные технологии Wi-Fi облегчают жизнь пользователям, использующим переносные компьютеры. Но они же накладывают на администраторов повышенную ответственность по настройке и защите беспроводных сетей. Мы категорически против использования уязвимых систем аутентификации WPA2-PSK и более ранних, которые, к сожалению, встречаются в большинстве компаний. Ознакомиться с решениями для удобной настройки и эффективной защиты Wi-Fi.
И в заключение необходимо сказать еще об одном предрассудке. Существует стойкое заблуждение, что информационную безопасность можно обеспечить лишь техническими средствами. Это не так. Как показывает практика, в мире не существует идеальной «защиты от дурака». Это первое. Во-вторых, безопасность – это процесс, который необходимо поддерживать, в противном случае эффективность мер стремится к нулю.
На основании вышесказанного, мы проводим внедрение следующих организационных мер.
Как видно из статьи, что в обеспечении информационной безопасности нет ничего сложного для специалистов, знакомых с теорией, и имеющих опыт практических внедрений. Знание и соблюдение этих правил не сложнее соблюдения правил безопасности дорожного движения или охраны труда.
Нам осталось лишь собрать воедино все те нюансы, о которых говорили ранее и из этих кубиков знаний построить модель идеальной, по нашему мнению, информационной системы компании. Схема 3 наглядно отображает суть этой модели. Рассмотрим ее по этапам, опираясь на роли, которые исполняют сегменты системы.
Схема 3 (щелкните для увеличения).
Этап I. Построение основы. Сердцем информационной системы компании, основными аппаратными мощностями, является кластер носителей виртуальных серверов. Он обеспечивает работу, дублирование и резервирование любых серверных ролей в зависимости от потребностей предприятия.
Этап II. Создание системы аутентификации. Связка контроллера домена, центра сертификатов и RADIUS-сервера обеспечивает надежную централизованную авторизацию всех пользователей системы и эффективное управление пользовательскими правами доступа и учетными записями.
Этап III. Организация работы пользователей. Кластер серверов терминалов организует работу всех сотрудников непосредственно на серверах компании. Пользовательские компьютеры, ноутбуки или нетбуки используются лишь для доступа к терминальному серверу, а всю нагрузку по работе с офисными программами берут на себя сервера компании. Таким образом, при срочной необходимости, работать можно даже с низкопроизводительных планшетов и бюджетных нетбуков. Использование терминальных серверов позволяет ограничить скачивание информации на локальные устройства, что исключает необходимость следить за работой с документами на последних.
Этап IV. Защита съемных накопителей и переносных устройств. Если в компании все же остается необходимость работы определенных сотрудников с информацией на мобильных устройствах или использования съемных носителей, то внедряется шифрование этого оборудования. Так, при краже или утере устройства, важная корпоративная информация останется недоступной для посторонних.
Этап V. Организация работы с учетными системами. Сервер 1С и сервер системы управления базами данных обеспечивают комфортную работу с учетной программой предприятия. Доступ к сервисам обеспечивается посредством сервера терминалов, но доступность, производительность и надежность такого подхода в десятки раз выше, чем у файловой версии продукта.
Этап VI. Построение корпоративного хранилища информации. Файловый сервер — центр хранения документов компании. Во избежание несанкционированного доступа к информации, ее кражи или утери мы организуем каталогизацию данных, разрабатываем групповые политики безопасности для компании, настраиваем разграничение прав доступа,— хранение и контроль над данными на этом сервере.
Этап VII. Внедрение мониторинга за действиями пользователей. Помимо стандартных журналов систем, дополнительный контроль, аналитику работы сотрудников с информацией, предотвращение утечки данных обеспечивает сервер мониторинга. Это может быть полноценная тяжеловесная система предотвращения утечек информации или ограниченные программы контроля над действиями пользователей. Протоколирование поведения пользователей позволит успешно расследовать инциденты нарушения безопасности, а также контролировать использование рабочего времени сотрудниками. Кроме того, системы предотвращения утечек оповещают ответственного работника о возможностях передачи конфиденциальных данных и, даже, блокировать их.
Этап VIII. Разграничение локальной сети. Коммутатор VLAN, кроме функций обычного коммутатора, отделяет сетевое пространство компании от уязвимого рабочего места с системой «клиент-банк», а гостевой Wi-Fi выводит в демилитаризованную зону.
Этап IX. Защита системы клиент-банк. Для исключения нежелательных манипуляций с системой дистанционного банковского обслуживания мы препятствуем постороннему доступу к рабочему месту с системой, как изнутри, так и извне, а так же проводим комплекс мероприятий по обеспечению безопасности этого рабочего места.
Этап X. Защита Wi-Fi. Использование передовых сетевых технологий позволяет предотвратить взлом корпоративной сети Wi-Fi или доступ к данным компании через гостевую сеть.
Этап XI. Организация бесперебойной связи с центральным офисом. Серверы телефонии, маршрутизации и фильтрации интернет-соединений не особо требовательны к аппаратному обеспечению — их мы размещаем на одном аппаратном сервере. А вот способность роутера поддерживать динамическую маршрутизацию (OSPF) позволяет организовать бесперебойный доступ к информационной системе при «падении» основного канала связи.
Этап XII. Защита голосовых каналов. Использование IP-телефонии и шифрованный протокол TLS предотвратит возможность прослушивания телефонных переговоров компании.
Этап XIII. Организация контроля входящих интересов. Интеграция IP-телефонии с системой CRM позволит отслеживать взаимоотношения с контрагентами, что предотвратит «увод» клиентов недобросовестными менеджерами.
Этап XIV. Административный уровень. Создание регламента информационной безопасности, ознакомление всех подразделений и служб компании с требованиями по защите информации и поддержания ее уровня.
EFSOL — системный интегратор, специализируется на комплексной автоматизации предприятий. Специалисты EFSOL обладают многолетним опытом в сфере разработки и внедрения информационных систем. Накопленный опыт тысяч внедрений позволяет нашим специалистам сразу видеть реальную проблематику клиентов и предлагать решения, удовлетворяющие именно их бизнес-модели, а не внедрять безопасность ради самой безопасности.
Закажите звонок специалиста!
Оставьте свои данные для того, чтобы специалист с вами связался.
