Чем незаменимее становятся компьютеры и другие цифровые устройства при ведении бизнеса, тем чаще они становятся мишенью для атак. Чтобы компания, или частное лицо могли уверенно использовать компьютерную технику, они должны убедиться, что устройство не подвергается риску взлома и все коммуникации, которые осуществляются с его помощью, безопасны. В этом и заключаются основы информационной безопасности.
Она включает три основных понятия:
1. Конфиденциальность. Для обеспечения информационной защиты доступ к конфиденциальным данным необходимо предоставить выделенной группе пользователей; всем остальным следует запретить узнавать что-либо о ее содержании.
2. Целостность. Независимо от используемого способа защиты, информацию необходимо сохранить в изначальном виде. Если какая-то часть данных будет утеряна или приобретет искаженный смысл, то такая система защиты информационных активов будет признана ненадежной. Кроме того, защищать данные необходимо и от изменений, которые могут сделать злоумышленники.
3. Доступность. Информационные активы, независимо от степени их защищенности, должны быть доступны тем пользователям, которые имеют право пользования этими данными.
Без соблюдения перечисленных принципов систему защиты нельзя назвать надежной.
Чтобы обеспечить конфиденциальность, целостность и доступность информации, организации могут выбирать один или несколько инструментов защиты. Каждый из этих инструментов относится к подсистеме информационной безопасности.
Инструменты для аутентификации используются, чтобы гарантировать, что лицо, получающее доступ к конфиденциальным данным, действительно является тем, кем оно себя представляет. Существуют сложные формы аутентификации, например, считывание отпечатков пальцев. Комбинированная идентификация в сочетании с паролями является наиболее безопасной.
После идентификации личности пользователя проверяют на предмет его прав в системе обмена данными. Контроль доступа – это элемент защиты, определяющий права пользователей на чтение, редактирование и удаление информации из системы.
Часто организации необходимо передавать информацию через Интернет или записывать ее на внешние носители (компакт-диски, флеш-накопители). В этих случаях даже при надлежащей аутентификации и контроле доступа, неавторизованный человек может получить доступ к данным. Шифрование – это процесс кодирования информации при передаче или хранении, чтобы ее могли прочитать только уполномоченные лица.
Использование простого идентификатора пользователя – пароля – для получения информации не считается безопасным методом аутентификации. Большинство паролей легко взломать. Установление надлежащей политики паролей гарантирует, что пароли не будут скомпрометированы.
Другим важным инструментом обеспечения информационной безопасности является комплексный план резервного копирования для всей организации. Необходимо не только создавать резервные копии данных на корпоративных серверах, но и резервировать всю информацию на отдельных компьютерах в организации. Хороший план резервного копирования должен состоять из нескольких компонентов.
Другим методом, который организация должна использовать для повышения степени защищенности внутренней сети, является межсетевой экран. Брандмауэр может существовать как элемент аппаратного или программного обеспечения. Аппаратный брандмауэр – это устройство, которое подключено к сети и фильтрует пакеты на основе набора правил. Брандмауэр защищает все серверы и компьютеры компании, останавливая пакеты извне, которые не соответствуют строгому набору критериев.
Другое устройство, которое может быть размещено в сети в целях защиты информационных активов, – это IDS или система обнаружения вторжений. IDS предоставляет функциональные возможности для определения того, подвергается ли сеть атаке. IDS может быть настроен для наблюдения за определенными типами действий и оповещения сотрудников службы безопасности. IDS также может регистрировать различные типы трафика в сети для последующего анализа.
Организация может внедрить лучшую в мире схему аутентификации, разработать лучший контроль доступа, установить брандмауэры и средства предотвращения вторжений, но ее защита не может быть полной без физической защиты. Это защита реальных аппаратных и сетевых компонентов, предназначенных для хранения, обработки и передачи информации.
Помимо технических средств контроля, перечисленных выше, организациям также необходимо ввести административный контроль. Фактически политика безопасности должна стать отправной точкой в разработке общей стратегии защиты данных. Надлежащая политика информационной безопасности устанавливает правила использования конфиденциальной информации для сотрудников и наказания за их нарушение.
По мере роста использования смартфонов и планшетов организации должны быть готовы решать уникальные проблемы, связанные с использованием этих устройств. Один из первых вопросов, который должна рассмотреть организация, – использование мобильных устройств на рабочем месте. Создание политики BYOD («Принеси свое собственное устройство») позволяет сотрудникам более полно интегрироваться в работу и может повысить удовлетворенность и производительность сотрудников. Во многих случаях может быть практически невозможно запретить сотрудникам иметь собственные смартфоны или iPad на рабочем месте.
При поиске способов защиты информации организации должны сбалансировать потребность в защите с потребностью пользователей в эффективном доступе и использовании этих ресурсов. Если меры защиты затрудняют использование, тогда пользователи найдут способы обхода такой системы и сделают ее еще более уязвимой. Взять, к примеру, политику паролей. Если в организации используют очень длинные пароли с несколькими специальными символами, сотрудник может записать его на стикере и наклеить на монитор, так как его будет невозможно запомнить.
Вычислительные и сетевые ресурсы становятся неотъемлемой частью бизнеса, а также мишенью для преступников. Организации должны внимательно следить за тем, как они защищают свои ресурсы.
15.05.2020
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных