На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Пять основных условий обеспечения информационной безопасности


Главное, что нужно сделать для защиты информационной сис­темы от внешних и внутренних угроз, — выработать корпоративную политику. Обдумайте, чего вы хотите добиться и как можно достичь
поставленной цели; составьте ясный документ, посвященный полити­ке защиты.
2. Регулярно проводите занятия с сотрудниками, повышая их об­разовательный уровень и степень информированности обо всех аспек­тах информационной безопасности компании. Объясняйте сотрудни­кам, в чем могло бы состоять их участие в обеспечении информацион­ной безопасности компании.
3. Периодически проводите тестирование и оценку системы за­щиты, чтобы проверить, насколько внешняя и внутренняя защиты со­ответствуют корпоративной политике. Работайте только с теми кон­сультантами, которые придерживаются структурированного подхода и не заинтересованы напрямую в результатах тестирования.
4. Не забывайте о простых способах физической защиты. Следи­те за доступом к распределительным шкафам, серверам, комнатам те­лефонной связи и кроссам точно так же, как вы следите за доступом к вычислительным центрам.
5. Рассмотрите вопрос об использовании услуг сторонних ком­паний, специализирующихся в области защиты данных; они должны работать в контакте с отделом автоматизации. Эти компании могут оказаться лучше подготовленными к тому, чтобы следить за защитой ваших данных 24 часа в сутки без выходных. Однако тогда вам придет­ся передать в чужие руки управление определенной частью своего биз­неса.
Десять способов поддержки работоспособности системы защиты
1. Время от времени проводите тестирование систем защиты -это позволит отслеживать все изменения в самих системах, сетях и по­ведении пользователей. Точечные проверки системы защиты данных предприятия стоит проводить ежемесячно, а полную проверку инфор­мационной безопасности предприятия — раз в год. Возможное влия­ние новых приложений на информационную безопасность следует
оценивать перед их установкой.
2. Постоянно проверяйте надежность парольной защиты, даже если ничто не внушает беспокойства. Длинные пароли лучше корот­ких, поскольку их труднее подобрать, однако их и труднее запомнить, не записывая. Вот примеры хороших паролей: PaSsWoRd (чередую­щиеся прописные и строчные буквы), ford6632 (распространенное слово и легко запоминающееся число), 3lite, \vrlt3m3, wlnn 13 (так пи­шут хакеры).
3. Следите за тем, как ваши пользователи работают с Internet, и регулируйте этот процесс.
4. В рамках программы непрерывного образования предложите сотрудникам ознакомиться со спещиальньгми играми и моделирующи--ми программами, которые позволят им осознать, какие последствия может иметь пренебрежение правилами защиты данных.
5. За счет использования механизмов управления доступом и технологий для интрасетей разделите вашу организацию на логичес­кие части. Секционирование ресурсов и информации повышает сте­пень защищенности. Подумайте также об использовании закрытой почтовой системы, ограничивающей возможность обмена информаци­ей между сотрудниками.
6. Станьте подписчиками новостных групп Internet, посвящен­ных проблемам безопасности, и просматривайте основные Web-стра­ницы; это позволит вам постоянно быть в курсе событий.
7. Немедленно устанавливайте все новые версии операционных систем, «заплаты» к прикладным программам и комплекты сервисов, выпускаемые производителем программного обеспечения. Тщательно проверяйте, не окажет ли новая программа негативного воздействия на другие системы.
8. Создайте из сотрудников вашей компании оперативную груп­пу компьютерной безопасности (Computer Emergency Response Team, CERT). CERT — это общепринятый термин для обозначения группы экспертов по компьютерным технологиям, которые призваны бороть­ся с компьютерными и сетевыми катастрофами. Установите контакты с группами CERT из родственных организаций, что позволит поддер­живать устойчивость системы защиты в более глобальном масштабе.
9. Просматривайте списки прав доступа пользователей и следи­те за их актуальностью. Ограничивайте пользователям возможности
доступа; максимально закручивайте все гайки в системе безопасности.
10. Рассматривайте защиту данных как процесс. Не следует ду­мать, что, установив систему защиты данных, можно поставить
ку в списке необходимых дел и на этом успокоиться. Разработайте по­литику поддержания корпоративной информационной безопасности, которая соответствовала бы потребностям вашего бизнеса.
Сигнал тревоги
По данным Национальной ассоциации компьютерной безопас­ности, за период с 1996 г. по ноябрь 1997 г. количество макровирусов возросло с 40 до 1300.
Иностранные агенты минимум из 23 стран пытались осущест­вить разведывательные действия против американских корпораций.
По данным ФБР, только в 1997 году потери американских компаний,
связанные с интеллектуальной собственностью, составили свыше 300
млрд.долларов.
Как показало исследование, проведенное компанией Warroom Research совместно с американским Сенатом, 58% компаний обнару­живали случаи несанкционированного доступа к своим сетям. Более
чем в 69% случаев успешных вторжений убытки компаний составили
свыше 50 тысяч долларов, а более чем в 27% случаев — свыше 500 тысяч долларов.
Исследование, проведенное компанией Warroom Research, пока­зало, что каждая из более чем 51% компаний уличала не менее шести своих сотрудников в злоупотреблениях, связанных с информацион­ными сетями. Более чем в 75% случаев единственным наказанием ста­ло устное или письменное порицание.
Как обманывают провайдера
Для хакера выбор провайдера — это отправная точка, с которой он начинает свой путь по стезе порока. Хакеры, как правило, не быва­ют глупыми. Как говорили на Диком Западе, «либо ты быстрый, ли­бо мертвый». Так же и тут: либо умный, либо не хакер. Однако нали­чие ума не означает отсутствия лени, и вот таких ленивых хакеров и должен отлавливать провайдер, чтобы не позволить им грабить нор­мальных клиентов фирмы и не распугать всю клиентуру.
Разумеется, хакеры учитывают то обстоятельство, что практи­чески все провайдеры требуют идентификации их личности (ФИО,
паспортные данные и т. д. ), и принимают против этого меры предосто­рожности.

Прием 1. «Левая ксива»
Ни один хакер никогда не станет регистрироваться под настоя­щим именем, ибо неизвестно, к кому могут попасть его данные и для чего их могут использовать. Самым простым способом является простейшая подделка документов — хакер при регистрации у провай­дера предъявляет «левую кашу» со своей фотографией и левыми дан­ными. Для убедительности ставится печать (берется у друзей, можно вообще сделать ее — любая печать в Москве стоит порядка 50 долла­ров) — лучше государственного типа. Ксива может, например, гласить, что имярек: охранник, работник прокуратуры, сотрудник ФАПСИ (ФСБ, МВД) или просто какой-либо сотрудник какой-либо фирмы.
Для начала он берет любую телефонную базу, например, КОТИК или ее Online версию: http://www. xland. ru:8088/tel_win/owa/tel. form, и вводит любую выдуманную им фамилию. Он не станет вводить
тривиальные фамилии, вроде Иванов, Петров, Смирнов, Андреев,
Алексеев и т. д. Как правило, берется что-то не совсем обычное, первое, что приходит в голову: Левашов, Дубинин, Авдотин, Садовский и т. д. И плюс ко всему необходимо выдумать левые паспортные данные: се­рия, номер, кем выдан, когда. Кстати, по базе ОЗОМ он может легко определить принадлежность конкретной улицы к конкретному отде­лению милиции — для еще большей достоверности.
Далее злоумышленник едет в контору к провайдеру (чаще с ут­ра, хочет зарегистрироваться (стать их клиентом), а когда доходит до паспорта (иногда достаточно просто вписать паспортные данные, не предъявляя его), говорит, что не взял его (мол, никто и не говорил по телефону, что нужен паспорт), НО он наизусть помнит свои паспорт­ные (левые, естественно!) данные. Для убедительности он можетпока­зать свое удостоверение. Как правило, сотрудницы, сидящие на оформлении документов, на такое соглашаются и отныне ваш сервер
находится под постоянной угрозой влома.
Если номер «не прокатит», несостоявшийся клиент уходит с
обиженным видом и угрозами: мол, ноги моей больше не будет в ва­шей гнилой конторе.
Прием 2. Наличие АОНа
Умный хакер, если хочет сохранить свою конфиденциальность при работе с Интернет, прежде всего удостоверяется в отсутствии ап­паратуры АОН у провайдера. Для этого производятся контрольные звонки на рабочие (именно рабочие, а не тестовые линии — их телефо-
и ы узнают заранее у провайдера или из других источников) телефон­ные линии, например, с сотового телефона, с телефона-двойника типа Панасоник, с таксофона или с телефона, который гарантированно не определяется системой АОН. АОН засвечивает себя характерным щелч­ком и звуковым сигналом, как правило, после первого гудка (т. е. он сни­мает трубку, а далее уже идут гудки, выдаваемые самими АОН и по то­нальности, как правило, отличающиеся от первого гудка).
Если АОН есть, но хакеру все же надо остаться анонимным (на­пример, если он надумал провести акцию информационной войны, за­качать новый вирус и т. п.), то он воспользуется АнтиАОНом. Функ­ции АнтиАОНа присутствуют практически во всех телефонных аппа­ратах с АОН (например, в Русь или в Phone Master). Аппаратура АОН имеется у всех провайдеров, использующих модемы Zyxell (например, Deol), у всех провайдеров, производящих оплату в кредит (МТУ-Ин-форм, ГОТ и др. ). Это не самая дорогая аппаратура в мире, однако она помогает моментально вычислить паршивую овечку в благородном стаде интернет-клиентов.
Прием 3. Не рискуйте рекламным доступом!
Некоторые провайдеры (например, Россия Онлайн) предлагают
(или прилагают к купленному модему, компьютеру и т. д.) пакет ПО, документацию и некоторое количество часов бесплатной работы в Ин­тернет (как правило, 5-10 часов).
Другие провайдеры (например, СИТЕК) просто продают запе­чатанный конверт, в котором находится имя, пароль и определенное
количество часов работы в Интернет. Это, пожалуй, самый безопас­ный вариант, где хакер никоим образом не засвечивает свои данные. Такие конверты можно, например, приобрести на радиорынке в Мити­но или в самом СИТЕКе.
Ну и разумеется, продающиеся сейчас интернет-карточки других провайдеров значительно упрощают жизнь хакера.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика