Корпоративна безпека інформації. Три стовпи захисту.

Немає витокам інформації!
Апаратний аспект.
Аспект організації праці.
Аспект забезпечення безпеки інформації при використанні або за допомогою програм.
StaffCop
WorkVisor
Є питання по статті?

Немає витокам інформації!

Отже, ця стаття освітить таку велику і благодатний тему, як корпоративна безпека. Безумовно, тема дуже широка і багатогранна. Тому будуть розглянуті лише основні концепції безпеки, а також деякі програмні інструменти. Для початку треба розглянути проблему корпоративної безпеки в цілому. Що це таке і звідки вона сталася? Безумовно, корпоративна безпека існувала в тій чи іншій формі на протязі всієї людської історії, хоча саме так її ніхто не називав. По суті питання корпоративний безпеки - питання тієї ж інформаційної, лише ускладнений ще й соціальними та економічними аспектами. Питання корпоративної безпеки - як зберегти в таємниці від конкурентів весь свій нескінченний документообіг, а разом з тим і багато секретів співпраці і виробництва.

Отже, до проблеми можна підійти з різних сторін. Перший підхід: по виду вирішуваних завдань: проблему можна розділити на проблему корпоративний безпеки за можливостями апаратного забезпечення, проблему корпоративної безпеки з програмного забезпечення і проблему корпоративної безпеки по організації праці. Інший підхід визначає принципові місця витоку інформації без попередньої класифікації за типом. Тобто, для того, щоб вкрасти інформацію, необхідно її перехопити. Таким чином, розглядаючи систему документообігу фірми як єдину систему, виділяємо «вузькі» місця і усуваємо можливість витоку інформації або змінюємо тип передачі інформації (наприклад. Передача документів кур'єром замість передачі по відкритих каналах даних). У даній статті буде розглянуто саме перший підхід. Особливий упор буде зроблений саме на інструменти забезпечення програмної безпеки та безпеки трафіку, інші ж будуть дані просто оглядово.

Апаратний аспект.

Апаратний аспект має на увазі забезпечення неможливості використання зловмисниками апаратних «дірок» в системі безпеки, а також, по можливості, їх усунення. По суті витік даних може статися двома шляхами: під час їх зберігання під час їх передачі. Але по суті проблема втрати даних при зберіганні даних зводиться до втрати при передачі - бо зловмисникові необхідно скопіювати дані собі на комп'ютер, що, по суті, є несанкціонована передача даних. Таким чином якщо існує замкнута система передачі даних, то необхідно розділити її на кілька замкнутих підсистем, з високою надійністю внутрішнього обміну даними і кількома потужними і захищеними каналами передачі даних між підсистемами.

Також мають бути заблоковані від змін BIOS всіх робочих станцій. Крім того важливою частиною апаратного аспекту є відключення на робочих станціях всіх оптичних приводів і, особливо., USB-портів, тому що наскільки б суворої була служба контролю, люди все одно будуть протягати на робоче місце всіляку абсолютно зайву інформацію, начебто флеш-ігор або своїх електронних фотоальбомів, разом з якими можуть бути принесені і шкідливі програми, що ставлять собі за мету крадіжку інформації. Необхідно, щоб єдиною можливістю передачі інформації був кабель локальної мережі.

Аспект організації праці.

Даний аспект найменше відноситься до нашої тематики. Якщо говорити коротко, повинна бути організована добре поставлена служба контролю за інформацією, тобто хто чим займається, повинен вестися журнал доступу до того чи іншого корпоративного ресурсу. Сюди також відноситься і політика компанії по набору нового персоналу і система вступних випробувань при цьому.

Аспект забезпечення безпеки інформації при використанні або за допомогою програм.

Даний аспект дуже широкий і найбільш наближений до тематики нашого порталу. Тут перш за все треба відзначити, що треба розділяти безпеку програмного забезпечення та програмне забезпечення для безпеки. Оскільки безпеку другого може гарантувати лише фірма-виробник, його вибору необхідно приділити якомога більше уваги. Багато що програмне забезпечення включає в себе захист інформації, як функціональну частину. Поширеним прикладом такого програмного забезпечення є бази даних. Тобто, однією з характерестики баз даних є їх клас безпеки. Наприклад, клас безпеки В1 вимагає поділу функцій різних класів користувачів, ведення журналу операцій і входу / виходу в систему, то клас С2 вимагає лише присутності загальному протоколі операцій. Естественнимя є вимога для установки ефективного антивіруса з модулями захисту від шпигунів і Фаєрвол. Однак нижче будуть розглянуті найбільш ефективні програми для забезпечення безпеки зберігання інформації і передачі безпервоначального (так би мовити, «апріорі») можливо вбудованої можливості захисту даних.

Варто зазначити, що кожне з описаних додатків працює в режимі «клієнт-сервер», тобто складається з двох частин - серверної і клієнтської. До того ж кожна програма є платною і платній дуже навіть пристойно. А що ви хотіли, безпеку грошей коштує.

StaffCop

Розробка однієї з пітерських софтових компаній. Містить в собі велику кількість корисних і зручних модулів. Передбачено стеження за клієнтами для обміну повідомленнями, такими як ICQ, QIP і інші. Таким чином будь-яка листування співробітників буде під контролем. Однак в даному випадку необхідно враховувати. Що співробітники повинні знати про те, що їх «прослуховують». Інакше може статися порушення прав людини і як наслідок - судовий позов. Крім того програма постійно робить скріншоти робочого столу на кожній зі станцій (через заданий проміжок часу). Також можливо віддалене управління підключеними до робочої станції USB-пристроями. Також ведеться логирование всіх файлових операцій на кожній зі станцій, а також обмін файлами по локальній мережі. Присутній також модуль клавіатурного шпигуна. Мабуть єдиний недолік цієї програми - вона не підтримує операційні системи Windows Vista і більш сучасні. Ну також і досить велика ціна -в мінімальній комплектації за програму просять не менше семи неоподатковуваних мінімумів доходів громадян. Присутній також п'ятнадцятиденний демо-версія для оцінки можливостей.

WorkVisor

Програма створена однією з московських компаній. Дана програма підходить до вирішення проблеми з іншого боку - по суті вона є оболонкою для внутрікорпопратівного обміну миттєвими повідомленнями при робочому процесі, в процесі якого неявним чином відбувається уточнення і обчислення контролю за діяльністю конкретного працівника. Тут також можна налаштувати масові скріншоти робочих столів співробітників, причому в даному випадку ми не обмежені локальною мережею компанії і можемо відстежувати навіть тих. Хто працює віддалено. Вартість програми досить висока навіть для її конкурентів - початкова ціна серверного модуля - 17 тисяч рублів і по три з половиною тисячі за кожне клієнтське модуль. Демо версія з обмеженням за часом і кількістю клієнтських модулів присутній і доступна для скачування.

Дана стаття не є безумовним керівництвом до дії, вона описує лише вершину айсберга корпоративної безпеки, але хоча б вона дозволяє хоча б трохи соріенітіроваться в послідовності прийнятих рішень і необхідності їх прийняття, а також закупівлі і установки необхідного софта.

Є питання по статті?

Ласкаво просимо в наш Форум !

Шукаєте щось конкретне?

Що це таке і звідки вона сталася?
Є питання по статті?
Шукаєте щось конкретне?

Think : Студия веб-дизайна