Три основные части стратегии безопасности компьютерных систем
Директора информационных служб и другие руководители часто задают вопросы, касающиеся безопасности компьютерных технологий, электронной коммерции и защиты прав и свобод личности. Можем ли мы чувствовать себя в безопасности? Во сколько обойдется защита существующих систем? Конечно, знать это очень важно, но лучше все же посмотреть на ситуацию под несколько иным углом.
Какой уровень безопасности нам необходим?
Требуемый уровень безопасности зависит от характера конкретной угрозы и уязвимости подсистем хранения, передачи и обработки информации. Для разработки оптимального плана необходимо сопоставить расходы на проектирование системы безопасности со стоимостью информации и степенью риска, которому эта информация подвергается.
Безусловно, на создание сложной и надежной системы уйдет немало времени. Поэтому организациям, обеспокоенным собственной безопасностью, не стоит начинать с разработки грандиозных проектов. Прежде всего нужно оценить степень внешней угрозы и уязвимости информационной системы. Если руководство предприятия сделает вывод, что средства безопасности необходимо укреплять, нужно наметить план основных действий и постепенно претворять их в жизнь. Как правило, эти простейшие мероприятия обходятся достаточно дешево и спасают лишь от неискушенных взломщиков. Неплохо для начала изучить опыт, накопленный сотрудниками служб безопасности других организаций. Перечень возможных действий опубликован в материале Fundamentals of Effective Network Security («Основы эффективной безопасности в сети»), который находится на узле www.sans.org.
Насколько успешно мы продвигаемся в области повышения безопасности?
После того как определен необходимый уровень безопасности, постарайтесь оценить эффективность проводимых мероприятий, а после завершения работ — проанализировать, удалось ли достичь намеченной цели.
Большинство организаций, как правило, не имеют никакого представления о состоянии своих средств безопасности. Система учета абсолютно не налажена. Отсутствие необходимых знаний и недостаточно строгий контроль способствуют появлению уязвимых мест и создают предпосылки для успешной атаки.
К счастью, технологии продолжают развиваться, и уже сегодня можно определить, присутствуют ли в информационной системе базовые средства контроля, и каковы последствия компромисса, на который пришлось пойти разработчикам. Однако большинство организаций, даже выявив незащищенность своих систем, отнюдь не торопятся встроить дополнительные элементы управления, позволяющие ужесточить контроль. В результате обнаруженные слабые места так и остаются открытыми, все чаще возникает рецидив старых болезней, появляются и другие потенциальные источники угрозы.
Чтобы усовершенствовать средства контроля, компаниям нужны системные и сетевые администраторы, обладающие соответствующими знаниями и навыками. Однако найти хорошего специалиста в области безопасности непросто. Специалисты по информационным системам и сетям редко стремятся повысить свою квалификацию и побольше узнать о новейших достижениях в сфере обеспечения безопасности.
Чтобы гарантировать четкое управление базовыми элементами контроля, нужно проводить обучение системных и сетевых администраторов и стимулировать тех из них, кто добился наибольшего успеха на этом поприще.
Не менее важно заполнять вакуум новыми средствами. Без тщательной настройки конфигурации и регулярной проверки оборудования и процессов повысить эффективность системы безопасности невозможно.
Как вовремя распознать вторжение, и что в этом случае необходимо предпринять?
Чтобы убедиться в том, что вы действительно подверглись атаке, нужно иметь в своем распоряжении соответствующие средства обнаружения (позволяющие распознать попытки проникновения в систему как извне, так и изнутри), а персонал должен постоянно быть начеку и обладать навыками, позволяющими быстро отразить нападение. Надежные средства, предназначенные для выполнения данной задачи, уже существуют, но их явно недостаточно.
Еще важнее иметь хорошо протестированную систему организации противодействия, которая в самый короткий срок уничтожит противника и создаст необходимые условия для продолжения работы.
В заключение хотелось бы сказать, что высшее руководство всегда стремится решить задачу простейшим способом, быстро и с минимальными затратами. Однако эффективная система безопасности должна предусматривать возможность дальнейшего долгосрочного развития. Чтобы защитить себя, компании нужно вкладывать деньги в процедуры управления рисками, в обучение специалистов и в автоматизацию процесса контроля.