Рассмотрим  наиболее простые способы обеспечения информационной безопасности малого предприятия с помощью технических и программных средств. Материал  предназначен  в первую очередь на руководителей высшего и среднего звена, но также будет полезна и другим категориям.

Термин «информационная безопасность» не так давно вошёл в широкое употребление, хотя деятельность современного предприятия невозможно представить себе без персональных компьютеров, объединенных общей сетью.  Понятно, что любое нарушение работы выстроенной технологической цепочки приведёт к определённым потерям для предприятия. Таким образом, под информационной безопасностью  будем понимать защищенность информационной среды предприятия от внешних и внутренних угроз её формированию, использованию и развитию.

На крупных предприятиях существуют специальные службы с немалым бюджетом, в задачи которых входит обеспечение информационной безопасности, выявление, локализация и устранение угроз информационной безопасности  предприятия. Они используют специальное дорогостоящее программное и аппаратное обеспечение, подчас настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним. Вся работа по обеспечению информационной безопасности  выполняется незаметно для руководства сотрудниками соответствующих служб, и описание методов их работы - это тема для отдельной большой статьи.

В то же время информационной безопасности малых предприятий с не очень большим числом рабочих мест для специалистов  уделяется не слишком много внимания. Однако существующая организационно-техническая обстановка на данный момент такова, что большинство существующих угроз ИБ, в силу хорошей защищённости от них больших предприятий, становятся актуальными как раз для предприятий меньшего размера. Обычно такие предприятия имеют весьма скромный IT-бюджет, позволяющий приобрести только необходимое оборудование, ПО и содержать одного системного администратора.

В первую очередь построим модель угроз информационной безопасности  для малого предприятия.

1. Угрозы информационной безопасности

По отношению к предприятию угрозы делятся на внутренние и внешние. Соответственно, хакерская атака на компьютеры компании будет рассматриваться как внешняя угроза, а занесение вируса в сеть сотрудниками - как внутренняя. К внутренним угрозам также относят кражу информации сотрудниками.

По намеренности угрозы бывают преднамеренными и непреднамеренными. Например, к непреднамеренным угрозам можно отнести случайное удаление данных сотрудником. Устранить от преднамеренные угрозы сложнее, так как вредоносное программное обеспечение  или человек, угрожающие предприятию, имеют чёткий план действий по преодолению возможной защиты.

По цели можно выделить угрозы, направленные на получение данных, уничтожение данных, изменение или внесение данных, нарушение работы  программного обеспечения, контроль над работой программного обеспечения и прочие. Скажем, одной из наиболее частых хакерских атак на компьютеры предприятий является получение закрытых сведений для дальнейшего их незаконного использования (пароли к интернет-банкам, учётным записям электронной почты и т.д.). Такую угрозу можно классифицировать как внешнюю преднамеренную угрозу, направленную на получение данных.

Следует также понимать, что нельзя защититься от всех мыслимых и немыслимых угроз информационной безопасности  хотя бы потому, что невозможно предусмотреть действия злоумышленников, не говоря уж обо всех ошибках пользователей. Однако существует ряд общих методов защиты, которые позволят сильно понизить вероятность реализации широкого спектра угроз и обезопасить предприятие от различного рода атак и ошибок пользователей. Далее мы подробнее рассмотрим наиболее эффективные из них.

2. Использование межсетевого экрана для обеспечения информационной безопасности

Одним из наиболее эффективных методов защиты сети предприятия от внешних угроз является использование межсетевого экрана - программного или аппаратного маршрутизатора, совмещённого с firewall (особой системой, осуществляющей фильтрацию пакетов данных).

Ни для кого не секрет, что данные в сети, будь то локальная сеть или Интернет, передаются относительно небольшими пакетами с  конкретного на конкретный адрес.  Даже для несведущего человека вполне ясно, откуда и куда идёт выбранный пакет данных, то человек искушённый извлечёт из него куда больше информации. По этой причине нельзя позволять пакетам, курсирующим в локальной сети, попадать в Интернет. Также нельзя разрешать некоторым пакетам из Интернета попадать в локальную сеть предприятия.

На каждом предприятии доступ компьютеров в Интернет по локальной сети обеспечивается с помощью отдельно стоящего компьютера (его ещё называют сервером доступа). Иногда это специализированный компьютер, но чаще всего обычный, расположенный близко к устройству, обеспечивающему выход в Глобальную сеть (например, модему). К сожалению, стандартные средства операционных систем не позволяют вести гибкую настройку маршрутизации и фильтрования пакетов, поэтому на таком компьютере следует разместить специальное программное обеспечение: маршрутизатор и firewall. Это оборудование не так дорого, но если имеется возможность поставить специализированное оборудование, например фирмы Cisco, то этим не следует пренебрегать: подобные аппаратные маршрутизаторы отличаются большей надёжностью.  Настройка программного обеспечения  гораздо проще конфигурирования специализированного оборудования и может быть выполнена системным администратором средней квалификации. Это позволит оградить сеть предприятия от прослушивания извне, а также минимизировать возможности для передачи в локальную сеть враждебных пакетов. Время работы маршрутизатора, когда осуществляется трансляция пакетов, следует выбрать равным времени работы организации плюс небольшой временной резерв для задерживающихся в офисе или пришедших раньше времени сотрудников.

Настройка firewall потребует более серьёзного подхода, но также не должна вызвать затруднений: следует разрешить обмен данными с Интернетом только по тем протоколам, которые реально используются на предприятии.. Попытка обмена данными по неразрешённым протоколам должна блокироваться firewall и записываться им в журнал. Особо следует отметить, что требуется обязательно запретить обмен пакетами NETBIOS с Интернетом, так как этот протокол очень слабо защищён от взлома.

Собственно говоря, межсетевой экран готов: он не пропускает наружу внутренние пакеты локальной сети предприятия и блокирует доступ к ней чужих компьютеров.

3. Защита электронной почты

Следует уделить особое внимание защите электронной почты, так как вредоносные программы часто рассылают сами себя ничего не подозревающим пользователям.

Обязательно следует поставить антивирус на корпоративный сервер электронной почты. При выборе антивирусного пакета нужно руководствоваться следующими принципами:

- антивирус должен уметь переименовывать исполняемые файлы

- антивирус должен уметь проверять архивированные файлы;

- антивирус должен уметь проверять HTML-код на предмет вредоносных сценариев и приложений Java, а также вредоносных ActiveX-компонентов.

Далее необходимо установить пользователям e-mail-клиент, который не умеет показывать вложенные в письма HTML-страницы (например, Thunderbird). Таких совершенно бесплатных программ для просмотра электронной почты найдётся более десятка. Эта не всегда популярная у пользователей мера требует пояснения: дело в том, что существует целый класс вредоносных программ, именуемых «червями», которые распространяются, заражая компьютеры пользователей, часто посредством вложенного в письмо кода.

Также можно поставить транзитный сервер, который будет фильтровать весь проходящий через него трафик электронной почты с помощью антивируса, но это потребует гораздо больших материальных и временных затрат.

4. Антивирусная защита

Как уже упоминалось, на корпоративный сервер электронной почты необходимо установить антивирусное программное обеспечение. Также стоит установить антивирус на файловый сервер организации и осуществлять проверку его содержимого каждые сутки, например, в 0:00 часов, когда эта проверка не помешает нормальной работе пользователей.

На компьютеры пользователей следует установить антивирусное программное обеспечение, которое будет непрерывно проверять все загружаемые файлы. Это позволит избежать заражения компьютеров пользователей известными вирусами

5. Настройка компьютеров пользователей

Одной из базовых составляющих информационной безопасности  предприятия является настройка и компоновка определённым  программным обеспечением  компьютеров пользователей. Поскольку в подавляющем большинстве случаев на локальном рабочем месте установлена ОС Windows, то рассмотрим настройки и ПО применительно к данному виду ОС.

Разделить пользователей на тех, кто имеет доступ к компьютеру на уровне администратора ), и тех, кто имеет доступ только уровня пользователя, и соответствующим образом настроить учётные записи. Это позволит избежать потерь времени на восстановление системы в случае, если пользователь по ошибке совершил действие, приводящее к выводу из строя ОС.

Запретить работу удалённого рабочего стола и удалённое администрирование. Вместо этого лучше установить систему удалённого управления, имеющую более высокий уровень защиты, например RemoteAdmin.

Установить E-mail-клиент, блокирующий HTML-вложения, и антивирус.

Установить интернет-браузер, либо дополнения к браузеру, либо специализированное ПО, например AdAware, которые будут блокировать попытки вредоносных сценариев установить на компьютер ненужное программное при просмотре заражённых страниц.

Установить локальный firewall, например AgnitumOutpostFirewallPro, и настроить его так, чтобы разрешить доступ к сети только определённым приложениям.                                                    

Настройки локального firewall следует защитить паролем.

Также стоит отметить, что штатный брандмауэр Windows обеспечивает весьма слабую защиту, так как его настройки могут быть изменены вредоносным программным обеспечением без ведома пользователя.

После завершения настройки компьютера пользователя необходимо создать точку восстановления системы на случай сбоя.

6. Использование Proxy-сервера

В некоторых случаях имеет смысл установить корпоративный Proxy-сервер с доступом к ресурсам Интернета по паролю. Во-первых, это позволит незначительно сократить интернет-трафик, так как дублирующаяся информация будет кэширована Proxy-сервером. Во-вторых, это позволит скрыть от посторонних глаз внутренние имена и адреса компьютеров, так как Proxy-сервер осуществляет выборку веб-страниц от своего имени, рассылая затем информацию потребителям внутри предприятия по списку. И в-третьих, это позволит выявлять нарушителей, подключившихся к сети предприятия с целью получения доступа в Интернет.

Отдельные организации пытаются с помощью Proxy-сервера ограничивать доступ сотрудников к Internet, но это нельзя считать хорошей практикой, так как нанесённый деятельности предприятия вред и потраченное системным администратором или сотрудниками лишнее время могут перевесить выгоды от такой экономии.

7. Защита информационного пространства организации

Локальная сеть, рабочие файлы, электронная почта, Интернет, базы данных - всё это составляет единое информационное пространство предприятия. Для его защиты требуется комплексный подход, включающий использование описанных выше средств и требующий соблюдения политики безопасности на всех уровнях деятельности предприятия.

В первую очередь это постоянный мониторинг состояния компьютеров пользователей и локальной сети. Существуют специальные утилиты, следящие за состоянием сети и выдающие предупреждения при обнаружении определённых событий, касающихся информационной безопасности предприятия.

Следует по возможности отказаться от применения беспроводных сетей на предприятии, поскольку имеющиеся в продаже недорогие точки доступа не обеспечивают нужного уровня безопасности, а применение криптостойких алгоритмов шифрования при передаче данных подпадает под государственное регулирование, и для этого необходимо получать соответствующие разрешения и лицензии.

Также необходимо строго разграничить доступ пользователей к определённым данным, чтобы ни один пользователь, за исключением доверенных лиц, не имел полного доступа ко всей информации разом. Документооборот предприятия лучше всего вести целиком в электронном виде, минимизировав хождение бумажных документов: в некоторых случаях выкрасть или скопировать бумажный документ гораздо проще, чем взломать корпоративный сервер.

Устанавливая пользователям жёсткие диски малого объёма, необходимо всячески поощрять их к хранению информации на файловом сервере предприятия или в хранилище данных: гораздо легче сделать резервную копию этой информации, провести сканирование на вирусы и восстановить потерянные сведения.

Одним из неплохих вариантов организации хранения данных будет установка системы управления версиями документов и файлов. Существуют очень хорошие бесплатные системы, вроде CVS или Subversion, которые позволяют восстанавливать файл определённой версии или вести мониторинг изменений, то есть пользователь не перезаписывает файл, а добавляет новую версию файла, не удаляет файл, а добавляет новую версию каталога и т.д.

Не стоит забывать и про обучение пользователей: если возможно, пусть системный администратор еженедельно проводит 30-минутный семинар для пользователей предприятия, на котором ненавязчиво рассказывает об основных правилах информационной безопасности и возможных угрозах, с которыми могут столкнуться рядовые пользователи.

Заключение

Описанные способы обеспечения информационной безопасности предприятия являются мало затратными и достаточно эффективными, чтобы обезопасить предприятие от множества угроз  как извне, так и изнутри. Хотя существуют и другие способы, вроде тотальной слежки за сотрудниками, их эффективность значительно ниже и не попадает под категорию простых средств. Кроме того, не стоит забывать, что обеспечение информационной безопасности не должно наносить вред деятельности предприятия или создавать помехи для работы сотрудникам, ведь в конечном счёте любые бизнес-процессы предприятия должны быть направлены на обеспечение основной деятельности, а не вспомогательных служб.

За консультацией по любому вопросу вы можете обращаться  на www.logmarket.christihouse.ru или по электронной почте: cchd@yandex.ru.  Мы профессионально можем проверить  соблюдение безопасности на вашем предприятии, выявить существующие угрозы и предложить меры по обеспечению информационной безопасности.