Вы находитесь в разделе Типовых решений систем безопасности
10 мифов информационной безопасности Покупайте, не покупаясьЧто такое миф? Одно из определений этого понятия - "непроверяемое популярное убеждение". Под действие этой дефиниции попадает и большое количество "народной мудрости", существующей в области информационной безопасности. Опыт демонстрирует, что мифы зачастую не выдерживают столкновения с практикой. Так и обращение к распространенным мифам безопасности ИТ не пойдет на пользу вашей организации Почему предрассудки в сфере безопасности ИТ все так же существуют? Ответ прост - мы недостаточно требовательны. все - таки мы сами должны проверять и оценивать вескость новых идей в области безопасности, чтобы использовать лучшие из них. Только разорвав завесу рекламных слоганов и предвзятых суждений, можно отделить реальность от мифа. Итак, перед вами 10 мифов ИТ-безопасности. Миф № 1. Безопасность все выше с каждым годом Несмотря на то что ограниченность ресурсов вынуждает некоторые компании пренебрегать вопросами безопасности, большинство организаций все же стараются предпринимать шаги, необходимые для обеспечения их спокойствия. но не следует забывать, что мир не стоит на месте, технологии меняются, а на смену старым угрозам приходят новые. Предмет деятельности специалиста по безопасности постоянно изменяет свои границы, требуя того же . Системные администраторы должны постоянно проверять свои сети на наличие известных "дыр" в защите, поддерживать свою подготовку на нужном уровне и, что наиболее важно, периодически подвергать строгим проверкам корпоративную политику безопасности, экзаменуя ее на соответствие самым последним требованиям времени. Миф № 2. Нормативыи стандартизацияимеют огромное значение Организации должны сами заботиться о безопасности информации. Например, неудача в защите личных данных заказчика приведет вас к потере доверия со стороны клиентов независимо от того, насколько соответствовали стандартам и нормам оказавшиеся неэффективными меры защиты. В конце концов существование нормативов так же не означает, что ваши партнеры их соблюдают. Миф № 3. Приглашенные консультанты знают больше об ИТ-безопасности, чем внутренний персонал вашей компании Люди верят, что консультанты - работают ли они в консультирующей фирме или индивидуально - владеют инструментами и навыками, которых не хватает собственному персоналу фирмы. Но это не так. Прежде чем нанимать консультанта извне, убедитесь, что вы не проглядели никого в своей команде. Сетевые и системные администраторы часто являются хорошими "безопасниками", потому что им приходится сталкиваться с проблемами защиты информации как с частью своих ежедневных забот. Вы можете обнаружить, что искомые мастера уже находятся под рукой, и все, что вам нужно, - это отправить их на курсы повышения квалификации. Обуч. персонала покажет ваше стремление обеспечить профессиональный и карьерный рост работников. Задумайтесь об использовании внешнего консультанта по мере необходимости, чтобы предоставить поддержку уже имеющемуся персоналу - другими словами, чтобы дополнить умения вашей команды. Если вы решите положиться на внешние службы, досконально проверьте квалификацию и опыт консультантов. Обязательно поднимите рекомендации специалистов. Членство в профессиональных объединениях и наличие сертификатов полезны, хотя не все сертификаты одинаково ценны. Миф № 4. Чтобы быть эффективной, информационная безопасность должна управляться как отдельное подразделение На первый взгляд хорошая идея. но объединенная группа безопасности должна будет разбираться в делах всех остальных подразеде-лений, которые уже имеют какую-то степень обеспечения безопасности как часть своей деятельности. Если вы собрали своих "безопасни-ков" в одну группу, вы рискуете отдалить остальные группы, с которыми те будут работать, от участия в цикле обеспечения безопасности. Менеджеры высшего звена должны понимать, что безопасность ИТ и средства ее обеспечения должны проникать во все ячейки организации.Миф № 5. Сложные, постоянно изменяемые пароли - надежное средство сохранения информации Да, пароль из 12 или 16 символов, состоящий из прописных и строчных букв, цифр и специальных знаков, трудно подобрать. Но его так же сложно и запомнить. Если вы требуете от пользователей, чтобы они меняли пароль каждые 60 дней, они начнут записывать свои пароли на бумажку, а это как раз то, чего вы бы не хотели. Взамен можно создать гибкую политику паролей, которая позволяет пользователю создавать простые и не обращающие на себя внимания пароли. Позвольте пользователям создавать легко запоминающиеся фразы-пароли типа: "ШилоНаМыло", "7Бед1Ответ" или "7YearsInTi-bet". Политика применения паролей должна устанавливаться организацией, а не пользователем. но каждый конечный пользователь компьютера должен иметь принцип. возможность управления паролями. Помните, что пароли, записанные по отдельности или сведенные в единый документ (на бумаге или на жестком диске в формате Excel), представляют для компании гораздо большую угрозу, чем непосредственный взлом пароля отдельного компьютера. Миф № 6. Значок "замка", появляющийся во время защищенной сессии обмена данными (SSL), означает, что данные в безопасности Это не так. Маленький значок "замка" внизу страницы Интернет-браузера - знак того, что данные, передаваемые м. компьютером и сайтом, зашифрованы. Это не значит, что сайт безопасен сам по себе. Сертификаты Web-сайтов - это текстовые файлы, содержащие уникальный идентификатор и информацию о том, кто является владельцем сертификата, кто его использует, о сроке действия сертификата, - это вся информация, которая необходима браузеру, чтобы установить защищенное соединение. Есть пять условий, которые должныбыть соблюдены, чтобы браузер принял сертификат; если некоторые из них не соблюдаются, браузер отобразит предупреждение пользователю, который затем решит, начинать ли соединение. Во-первых, сертификат должен быть выдан уполномоченной на то инстанцией, которая выдает сертификационные доверенности и общедоступные ключи для шифрования сообщений и управляет ими. Сертификаты и ключи периодически сохраняются на жестком диске компьютера пользователя. Во-вторых, сертификат не должен быть просрочен. В-третьих, имя ресурса, с которым соединяется пользователь, и имя сертификата должны совпадать. В-четвертых, сертификат не может быть изменен. И, наконец, в-пятых, сертификат не может быть аннулирован. К несчастью, большинство пользователей не беспокоятся о том, чтобы проверять сертификаты сайтов, когда с ними возникают проблемы. Чтобы проверить сертификат сайта, надо сделать двойной клик на значок "замка". Всплывающее окно покажет имя сайта и информацию о его сертификате. Догадливый пользователь может проверить, соответствует ли эта информация тому сайту, на который он зашел, и организации, с которой он устанавливает соединение. И еще: держите в голове, что отправленные данные хранятся не "где-то в Интернете", а на сервере, и вы не можете знать, что там с ними происходит и кто их расшифровывает. Миф № 7. Mozilla поможет безопасности Хотя браузер Internet Explorer занимает большую часть рынка, браузер Firefox (см. http://ww.mozilla.ru) неуклонно завоевывает все новые позиции. Но на безопасность предприятия влияет не столько выбор браузера, сколько степень подготовки персонала. все - таки главная опасность возникает , когда пользователь запускает зараженные вирусом приложения, которые браузером не распознаются. Обнаруженные в последнее время уязвимости IE показывают, что следует обучать пользователей не открывать файлы и ссылки, пришедшие из неизвестных или небезопасных источников. Небольшие предприятия и индивидуальные пользователи не испытают трудностей при переходе на Firefox, но для крупных предприятий этот переход может быть проблематичен, даже несмотря на лучшую, чему у IE, безопасность Firefox. Во-первых, Firefox недостает возможностей управления: администратору может быть трудно следить за тем, как используется браузер. Во-вторых, если у компании есть Web-приложения, оптимизированные для IE, переход на Firefox повлечет дополнительные расходы на их переработку. В дальней перспективе миграция компаний с одного браузера на другой и обратно не эффективна экономически. Вместо этого лучше ограничить Интернет-активность пользователей и научить их лучше работать в уже установленном браузере. Миф № 8. Рост расходов на безопасность ведет к повышению безопасности Это неправда. Повышение расходов не позволяет сделать предприятие более защищенным. У каждой компании свой уникальный набор рисков и уязвимостей, который определяет требуемые вложения в безопасность. Вы не можете сами придумывать задачи, стоящие перед службами безопасности. Вместо этого создайте "портрет" угроз, управляйте ими в рамках выделяемого бюджета и стремитесь достичь требуемого уровня безопасности. Только не тратьте все выделенные деньги на "хард и софт": безопасность - это в первую очередь бдительность, а потом уже технологии. Так что не забывайте снова и снова обучать своих пользователей тому, каковы результаты их действий в сети и какие из них могут закончиться ее взломом. Сделайте безопасность видимой и значимой частью вашей организационной культуры. Миф № 9. Беспроводные сети небезопасны Беспроводные технологии на данный момент являются наиболее современными, но, как и многие другие новинки, они так же не заслужили хорошей репутации. В своей ранней версии беспроводные сети считались менее безопасными, чем обычные, поскольку протокол WEP (Wired Equivalent Privacy) был буквально испещрен "дырами" в защите. на данный момент есть методы и технологии безопасности, которые могут заменить WEP, например, такие как: защищенные формы обмена ключами и шифрования, VPN и серверы аутентификации. Хорошо изучив и поняв стандарт беспроводной сетевой связи 802.11i и стандарт аутентификации 802.1x, вы полностью овладеете искусством построения беспроводных сетей. есть множество продуктов, поставляемых с поддержкой спецификации IEEE 802.11i. Хотя в целом беспроводные сети более чувствительны к проблемам безопасности, чем обычные, можно сделать их безопаснее, используя дополнительные средства защиты, и возможности Wi-Fi продуктов и планируя воспользоваться преимуществами, которые появятся в будущем. Миф № 10. Смена Windows на Linux повышает безопасность В медиа есть портрет Linux как безопасной альтернативы Windows, но обезопасит ли переход на эту ОС ваше предприятие? Не всегда. При условии хорошего планирования Windows может быть не менее безопасной, хотя фактически все вирусы пишутся именно для этой платформы. Linux имеет потенциальное превосходство над Windows благодаря открытым кодам, что позволяет оперативнее находить и исправлять уязвимости при полной поддержке мирового сообщества программистов и "безопасников". Существуют базы данных, в которых перечисляются все обнаруженные бреши в защите Linux. Но тем не менее "дыры" есть в любой ОС. Неправильно сконфигурированный сервер уязвим независимо от используемой платформы.Вдобавок большинство пользователей не представляют себе, как они будут переходить на Linux, и хотя для этой ОС появляется все больше приложений, ваша компания вынуждена будет постоянно тратить время на поиски необходимого для ее нужд ПО. Работа, которую придется проделать для перехода на Linux, состоит в тестировании всех приложений на совместимостьи в обучении персонала пользованию это ОС. Все это стоит денег и не может быть оправдано. Наилучшая альтернатива - использовать Linux там, где он действительно работает лучше: в различных устройствах, но не ПК (например, в банкоматах) или на серверах и рабочих станциях высшего класса. Читайте далее: Что день грядущий нам готовит Эллиптические кривые: новый этап развития современной криптографии Глобальная интеграция Хранители древностей Интеграция инженерных систем в единой системе контроля и управления зданием "Magic House" Какую систему выбрать для охраны нетелефонизированных объектов Крепость на колесах Антитеррористическое оборудование: состояние и перспективы
|