Раздел: Документация
0 ... 44 45 46 47 48 49 50 ... 84 Особенность предлагаемых решений в том, что в них соединяются не работающие по отдельности технический и организационный подходы к управлению безопасностью. При внедрении таких систем предполагается, что организация уже имеет сформулированную политику безопасности. Эта политика вместе с информацией об ИС служит в дальнейшем фундаментом системы управления. Для описания информационной системы обычно необходимо знать следующее: •Перечень информационных ресурсов. Под ресурсом могут пониматься конкретные серверы и папки на них, эксплуатируемые приложения, оборудование и даже сегменты сети. •Ответственный за безопасность этих ресурсов. Это могут быть владельцы ресурсов, главы подразделений, кураторы со стороны службы безопасности и другие. •Ответственный за администрирование этих ресурсов. •Как ресурсы информационной системы взаимосвязаны между собой. Порой для нормальной работы приложения необходим комплекс настроек - от настроек самого приложения до коммутационного оборудования. Ведь даже если мы выполним все настройки, но забудем прописать разрешающее правило на внутреннем межсетевом экране, решение всей задачи будет сорвано. •Штатная структура компании. Какой доступ и к каким ресурсам имеет сотрудник, занимающий определенную должность. На базе полученной информации система управления выстраивает идеальную модель ИС. Этот момент можно считать стартовым в работе системы управления безопасностью. Отныне все общение по вопросам изменений настроек информационной системы начинает происходить через специализированную систему документооборота, входящую в состав системы управления безопасностью. Кстати, от зарубежных аналогов российскую систему КУБ отличает специальный транслятор, который позволяет преодолевать языковой барьер и предоставляет возможность каждому работать с понятными ему терминами: менеджменту компании - с терминами "сотрудник", "должность", IT-специалистам - с терминами типа "учетная запись", "права доступа" и т. п. Заявка на изменение доступа, составленная в системе управления безопасностью, будет проверена на непротиворечивость требованиям политики безопасности, согласована с владельцами ресурсов и направлена на выполнение администраторам. Выявлять несоответствие модели ИС и ее текущего состояния системе управления безопасностью позволяют агенты-сенсоры. Такие агенты регулярно следят за всеми связанными с безопасностью ИС настройками операционных систем, приложений, средств защиты, сетевого оборудования. Под несоответствием системы управления безопасностью ИС предприятия следует понимать либо невыполненные администратором необходимых действий по администрированию информационной системы, либо действия, совершенные им в обход принятого и утвержденного в организации порядка. Например, предоставление лишних полномочий какому-либо пользователю или неправомерное ограничение пользователя в правах. Информация о несоответствиях тут же поступает в службы безопасности и в службу IT. Ведь каждое из них связано с тем, что кто-то из сотрудников либо приобретает права на доступ к ресурсам ИС, либо теряет их. Это означает, что он может получить лишнюю информацию или лишиться доступа к необходимым ему сведениям. А это, как уже отмечалось, равнозначно недопустимо, поскольку таит угрозу безопасности или же приводит к срыву выполнения задач. Наличие в системе документооборота механизма архивирования заявок на изменения доступа к информационной системе позволит в любой момент понять, кто имеет доступ к ресурсам информационной системы, и кто запрашивал предоставление этого доступа. Использование описанного подхода к управлению информационной безопасностью - это серьезные изменения в привычном ритме работы информационной системы. Но затраченные усилия с лихвой окупятся. Выгоды от внедрения систем управления безопасностью очевидны. И прежде всего это повышение защищенности ИС, поскольку отныне все производимые изменения настроек будут контролироваться и производиться в точном соответствии с политикой информационной безопасности организации. Дополнительным бонусом будет сокращение издержек на сопутствующий управлению документооборот. Кроме того, после внедрения подобной системы управления, обеспечение информационной безопасности перестает быть уделом, ответственностью и обязанностью только узких специалистов. В управлении информационной системой начинает действительно активно принимать участие менеджмент организации: ведь именно они теперь формируют требования к настройкам посредством механизма заявок. 1.3. Способы предотвращения несанкционированного доступа 1.3.1.Пароли загрузки Предотвратить доступ к конфиденциальной информации сотрудников или случайных лиц помогает введение паролей. Максимальная длина пароля Windows - 26 символов, среди которых могут быть буквы, цифры и специальные символы. Казалось бы, достаточно, чтобы у злоумышленника закипели мозги. Но что пользы в пароле, если жесткий диск можно прочесть и не запуская Windows? Для этого достаточно загрузочной дискеты или компакт-диска, знания команд DOS или хотя бы Volkov Commander. Для того чтобы закрыть эту дверь, запретите в BIOS запуск компьютера с любых устройств, кроме жесткого диска (или, если это невозможно, поставьте жесткий диск в качестве первого загрузочного устройства). Если компьютер стоит в людном месте, где сложно уследить за доступом к нему, возможно, стоит вообще удалить из него дисковод, привод CD (DVD), а также отключить или удалить порты USB и Fire Wire, чтобы кто-нибудь не запустил ПК в DOS или Linux с диска, IPod, флэш-памяти USB или жесткого диска Fire Wire. 1.3.2.Пароли BIOS Большинство типов BIOS допускает парольный вход при запуске системы. Такой администраторский пароль не даст злоумышленнику изменить параметры BIOS (например, отключить пароль загрузки). О том, как запускается программа настройки BIOS, можно узнать из справочного руководства к компьютеру или из его электронной справочной системы. Как правило, для настройки BIOS нужно перезапустить компьютер и, пока на экране светится первая заставка, нажать <Delete>, <Esc>, <F1> или другую клавишу или комбинацию клавиш - часто эта комбинация сообщается в заставке. Некоторые новые модели компьютеров поставляются с конфигурационной программой, позволяющей изменять настройку BIOS из Windows. Когда программа настройки запустится, найдите раздел паролей или безопасности, внимательно прочтите экранные инструкции, введите пароль, сохраните измененные параметры и перезапустите систему. Пароль, который вы введете, очень важен. Поэтому некоторые рекомендуют записать его (очень внимательно, с учетом регистра букв) где-нибудь в таком месте, где вы его найдете, но любой другой человек - нет. Однако предупреждаем: многие места хранения, которые нам представляются надежными, в сущности, достаточно тривиальны, и любой заинтересованный человек быстро раскроет наш секрет. Поэтому, если вы хоть сколько-нибудь сомневаетесь в собственной изобретательности, лучше полагаться на память и никогда не доверять пароль бумаге. И, конечно же, следует помнить, что пароль BIOS остановит далеко не каждого. В конце концов, нужно же предусмотреть что-то для спасения данных на случай, если пользователь забудет свой пароль? В некоторых системах для этого есть "мастер-пароли", списки которых встречаются в Интернете. На других моделях можно обойти пароль с помощью определенных комбинаций клавиш или манипуляций мышью. Наконец, если у злоумышленника появится возможность вскрыть системный блок, то он просто отменит пароль, изменив положение переключателей на материнской плате или удалив батарейку питания на чипе памяти BIOS. Если такое может произойти, просто поставьте замок на корпус. 1.3.3.Важные данные - больше внимания! Необходимо уделять повышенное внимание данным, потеря или повреждение которых станет настоящим бедствием. Если сверхсекретный файл списывается на ноутбук без шифрования, и ноуюук захсм вывозится из офиса, вряд ли стоит особенно удивляться, если однажды содержимое этого файла станет известно тем, кому вам меньше всего хотелось бы его сообщать. Вместо того чтобы повсюду носить с собой подобную ценность, не лучше ли оставить ее на сервере или на компакт-диске в надежном сейфе, и удалить все важное с жесткого диска, которым вы пользуетесь каждый день. Специалисты по безопасности и просто опытные люди советуют всегда держать ноутбук, КПК или электронную записную книжку при себе, как кошелек или паспорт, не забывая при этом регулярно удалять с них важные файлы и шифровать все остальное. Сегодня все чаще встречаешь в библиотеках, вузовских коридорах, кафе, залах ожидания и других общественных и полуобщественных местах людей с ноутбуками. Оставлять такую вещь с незашифрованными файлами в подобном месте - не просто рискованно, а безрассудно. Конечно, можно поступить на манер владельцев велосипедов и прикрепить компьютер проводом к чему-нибудь неподвижному - к полу, стене, ножке стола (если он закреплен неподвижно). Но, разумеется, такое срабатывает ненадолго и только на достаточно открытой местности. Где-нибудь в гостиничном номере у злоумышленника будет достаточно времени, чтобы отсоединить провода. Многие ноутбуки, некоторые настольные ПК и даже ЖК-мониторы имеют встроенные стандартные слоты для такой кабельной блокировки. 1.3.4.Пароль для входа Система регистрации в Windows 2000 или ХР сильно затрудняет доступ к вашим файлам другим людям, даже если они пользуются тем же компьютером - в отличие от паролей Windows 98 и Me, обойти которые до смешного легко. Проблема заключается в том, что ни одна из операционных систем Windows не требует использования пароля - это только одна из функций, которой можно воспользоваться, а можно и нет. По умолчанию в Windows 2000 и ХР Home Edition пользовательские учетные записи создаются без пароля и пользователь регистрируется автоматически, даже если его учетная запись принадлежит к всесильной администраторской группе. При отсутствии пароля учетной записи любой может украсть ПК, получить доступ ко всем данным и ввести свой пароль, который не даст вам сделать то же самое, или создать свою запароленную учетную запись, с помощью которой он сможет делать все, что угодно. То же самое касается "пустых" паролей, которые только делают систему более уязвимой через Интернет. Для того чтобы создать пароль для учетной записи в Windows 2000, нужно открыть Control Panel (команда Start > Settings > Control Panel), дважды щелкнуть на пиктограмме Users and 0 ... 44 45 46 47 48 49 50 ... 84
|
