00:0006 марта 200100:00
9просмотров
00:0006 марта 2001
Системы защиты электронной корпоративной информации ежесуточно фиксируют в среднем пять атак.
<BR><BR>Системы защиты электронной корпоративной информации ежесуточно фиксируют в среднем пять атак. <BR>По некоторым данным, до 70% мирового совокупного национального продукта так или иначе зависят от "содержимого" компьютеров. Информация стала дорогим товаром, и ее потеря может обернуться настоящей катастрофой для компании любого масштаба. <BR>Сейчас обеспечение фирмы информационной системой практически всегда сопровождается установкой и систем защиты от несанкционированного доступа (НСД). <BR>"В 1992 году, когда мы начинали предлагать свой продукт банкам и компаниям, нам отвечали: "Вот если бы у вас были средства защиты не от НСД, а от НДС, мы бы купили!" - вспоминает генеральный директор ЗАО НИП "ИНФОРМЗАЩИТА" Петр Ефимов.<BR>Определяющим моментом в изменении отношения к защите информации, как всегда, оказались политические события в стране. Разработанная в 1995 году государственная автоматизированная система "Выборы" не принималась в эксплуатацию без системы защиты. В этом же году вышел указ Президента Российской Федерации об обязательной криптографической защите информации государственных структур.<BR>Частные и юридические лица, использующие криптографическую защиту своей информации, обязаны получить лицензию в Федеральном агентстве по связи и информации.<BR><BR><B>Конфликтный процесс</B><BR>На долю посторонних хакеров приходится не более 10-12% случаев НСД. По статистике, подавляющее большинство нарушителей (от 80 до 90%) - сотрудники предприятия, как работающие, так и уволенные.<BR>Специалисты по защите информации уверены, что безопасность компании во многом базируется на регламентированной структуре взаимоотношений. Между подразделениями и сотрудниками фирмы, с одной стороны, и в определении "прав всех и каждого" на доступ к той или иной информации - с другой.<BR>Что касается прав, то лучше всего, чтобы их не было вовсе. В таком случае в качестве заданного действует не режим разрешений, а режим запрета.<BR>На этом фоне доступ сотрудника к информации должен быть аргументирован (например, для выполнения служебных обязанностей и т.п.). <BR>Другими словами, вводится своеобразное "лицензирование" местного масштаба на доступ к информационному ресурсу, позволяющее усилить контроль за важными данными. К тому же разрешать что-то гораздо лучше, чем запрещать.<BR>"Управление информационной безопасностью - это некий конфликтный процесс, - поделился наблюдениями технический директор ЗАО НИП "ИНФОРМЗАЩИТА" Андрей Степаненко. - В управление безопасностью вовлечены минимум три уровня: бизнес-руководители, IT-специалисты и администраторы безопасности".<BR>Ответственные за безопасность часто остаются "на периферии" событий.<BR>Руководители вольны давать распоряжения, не заботясь о технической стороне их выполнения; "айтишники" же ориентированы на реализацию начальственных приказов, причем вопрос безопасности для них не всегда актуален.<BR>"Директор дает распоряжение: с понедельника допустить бухгалтера Иванова к расчету зарплаты администрации. И в понедельник уже вся бухгалтерия знает размер зарплаты руководителя", - привели пример последствий "конфликтного процесса" в одной из компаний.<BR><BR><B>Волшебное слово</B><BR>Одним из наиболее распространенных методов взлома остается подбор паролей. Практика перебора паролей по словарю постепенно стала отходить по причине возрастающей просвещенности "юзеров" в этом вопросе. Хотя существует официальное мнение, что пароль из двух, даже никак не связанных, слов все равно не дает надежной гарантии от несанкционированного входа в систему.<BR>Еще один способ подбора паролей - проверка паролей, устанавливаемых разработчиками программного обеспечения по умолчанию. Такие пароли находятся в открытом доступе в Интернете практически по всем версиям программного продукта. Если пароль не сменен администратором купившей продукт компании, взломщик легко получает доступ ко всей системе.<BR>Довольно часто сотрудник на время длительного отсутствия (отпуск, командировка и т.п.) передает свой пароль коллеге: "а вдруг чего понадобится". Избежать этого можно блокировкой прав в сети отсутствующего сотрудника, что позволяют современные системы защиты информации. Просьба назвать пароль может поступить и якобы от службы информационной безопасности фирмы. Такая тактика была успешно реализована в Интернете, когда пользователям рассылались сообщения "от имени" почтовых серверов. Предупредить подобное в компании можно установкой жесткого регламента запроса и смены пароля.<BR><BR><B>Угрозы</B><BR>системам электронного бизнеса, объединяющим несколько компаний:<BR>- неавторизованный доступ,<BR>- манипуляция данными,<BR>- возможное прерывание процесса.<BR>Источник: ООО "Морской экспресс"<BR><BR>Управление безопасностью информационных систем включает:<BR>- принцип минимальных привилегий,<BR>- контроль работы сотрудников в информационной системе,<BR>- своевременная корректировка параметров системы в соответствии с происходящими изменениями.
