Но за всё надо платить. Платить не только в буквальном смысле, но и платить временем и усилиями технического персонала компании, которым необходимо не просто развернуть готовое решение, но и заниматься его поддержкой, возможно, и разработкой новых функций. Тем более, после выхода новой версии продуктов Microsoft SharePoint 2010 и Microsoft Office 2010.

Конечно же, технологии Microsoft SharePoint хорошо документированы в статьях MSDN и на других ресурсах Интернета, но иметь под рукой удобный справочник с готовыми рекомендациями мечтает любой специалист по Microsoft SharePoint. И предлагаемая книга отлично претендует на роль такого универсального справочника.

Здесь вы найдете и примеры использования Microsoft SharePoint 2010, и готовые решения интеграции с продуктами Microsoft Office, и отличное руководство по развертыванию SharePoint 2010. Отдельной большой частью книги является достаточно подробное руководство по администрированию SharePoint 2010, что делает книгу буквально настольной для системных администраторов в компаниях, использующих Microsoft SharePoint 2010.

Отдельной главой книги освещается разработка и расширения функционала Microsoft SharePoint 2010 с помощью SharePoint Designer 2010 и Visual Studio 2010, то будет полезным для специалистов, которые разрабатывают и внедряют свои собственные решения на базе Microsoft SharePoint 2010.

Также следует отметить очень качественный перевод книги на русский язык, что, к сожалению, не очень часто встречается в технических книгах.

Таким образом у меня эта книга заняла должное место на полке над рабочим столом, думаю, для вас она также будет полезной.

Данные книги:

Майкл Ноэл, Колин Спенс
Microsoft SharePoint 2010. Полное руководство
Microsoft SharePoint 2010 Unleashed

Издательство: Вильямс, 2011 г.
Твердый переплет, 880 стр.
ISBN: 978-5-8459-1728-7, 978-0-672-33325-5

http://www.williamspublishing.com/Books/978-5-8459-1728-7.html

Выглядит расширение TabCloud вот так:

Для начала вы один раз авторизуетесь, после чего всегда можно щелкнуть по кнопке и сохранить состояние сессии браузера, и на любом другом компьютере с установленным расширением одним кликом восстановить эту сессию браузера.

Очень удобно.

Берем расширение здесь:

https://chrome.google.com/webstore/detail/npecfdijgoblfcgagoijgmgejmcpnhof

Поскольку мне приходится делать это буквально на каждом сайте, я озадачился написать  достаточно простое и легко переносимое решение, и, наконец, сегодня до этого дошли руки.

Итак, идея довольно простая:

• Сваливаем все css файлы в одну папку на сайте, например, /css/
• C помощью скрипта, который стоит дефолтовым документом в этой папке, проверяем время изменения файлов
• На основе этого времени реализуем правильную реакцию на запрос GET If-Modified-Since, чтобы задействовать кэш браузера и возможных прокси
• Обязательно разрешаем кэширование, при условии валидации в запросе (см. пункт выше)
• Сливаем все файлы в CSS в один поток и сжимаем его gzip
• Что получилось, то и отдаем пользователю (304 Not Modified или gzip поток)

В общем, эта нехитрая идея реализуется вот таким скриптом index.php

<?php
/*
 * Сборка CSS файлов в один и передача его с сжатом виде клиенту
 */
 
// Расширение файлов, с которым работаем
define('FILE_EXT', '.css');
// Тип содержимого
define('CONTENT_TYPE', 'text/css');
// Политика кэширования
define('CACHE_CONTROL', 'public, max-age=86400, must-revalidate');
 
// Ищем все файлы по расширению, стоем спискок файлов, проверяем дату последней модификации
$myFiles = array();
$lastModified = 0;
if ($handle = opendir('.')) {
    while (false !== ($file = readdir($handle))) 
	{
        // Это мой файл?
		if (strpos($file, FILE_EXT) !== false)
		{
			// Запомним файл
			$myFiles[] = $file;
			// Дата его модификации
			$currentFileModification = filemtime($file);
			if ($currentFileModification > $lastModified)
				$lastModified = $currentFileModification;
		}
    }
    closedir($handle);
}
 
 
 
// Если файлов нет, возвращаем 404
if (count($myFiles) == 0)
{
	header('HTTP/1.0 404 Not Found');
	exit;
}
 
// Если был запрос If-Modified-Since, обрабатываем его
if (isset($_SERVER['HTTP_IF_MODIFIED_SINCE'])) 
{
	// Разбираем заголовок If-Modified-Since и формируем timestamp
	$if_modified_since = strtotime(preg_replace('/;.*$/', '', $_SERVER['HTTP_IF_MODIFIED_SINCE']));
 
	if ($if_modified_since > $lastModified)
	{
		// Изменений не было
		header('HTTP/1.1 304 Not Modified');
		header('Cache-Control: ' . CACHE_CONTROL);
		header('Last-Modified: ' . gmdate('D, d M Y H:i:s', $lastModified) . ' GMT');
		exit;
	}
}
 
// Передаем заголовки
header('Content-Type: ' . CONTENT_TYPE);
header('Cache-Control: ' . CACHE_CONTROL);
header('Last-Modified: ' . gmdate('D, d M Y H:i:s', $lastModified) . ' GMT');
 
 
// Старт сжатия
ob_start("ob_gzhandler");
 
// Порядок передачи -- по алфавиту по именам файлов
asort($myFiles);
 
// Передаем файлы
foreach($myFiles as $file)
	include($file);
 
// Вывод результата
ob_end_flush();
?>

Теперь наши CSS подключаются невероятно просто:

<link rel="stylesheet" type="text/css" href="/css/">

Результат, как видно, налицо!

• Более чем 3х кратное сжатие (7,37 Kb сжимается до 2 Kb)
• Активное использование кэша браузера
• Минимальное число обращений к серверу

Первый запрос:

Второй запрос (другая страница):

Этот простой способ можно также применить и для сжатия нескольких JS-файлов.

Вот пример скрипта для скачивания.

Но этот счет высказывались все, не исключая Гегемона Дизайна Всея Руси (см. § 91 Откровений Горнила Мудрости), но все эти экзерсизы подразумевают  технику написания телефонного номера на бумаге, в печатном виде, а сайт — это, прежде всего, не бумага и не полиграфия!

Итак, как всё же правильно указать номер телефона на сайте?

Я оттолкнусь от очень простого утверждения, что телефон нужен чтобы по нему звонить. Если я вижу нужный мне телефон на экране, я звоню двумя способами:

1. Если экран мобильного — просто щелкаю по ссылке (практически все мобильники умеют выделять телефоны в тексте и делать их ссылками на звонок)
2. Если это экран настольного компьютера или ноутбука, я копирую интересующий меня телефон или в Заметки, или в «звонилку», типа Skype

Опять же, предполагается что телефон уже написан правильно для звонка. А что будет если позвонить вот по этому телефону?

Мы позвоним в страну с кодом +49 — а это Германия!

Точно так же, вставлять «8» или «+7» перед каждым телефонным номером, скопированным или взятым с сайта, всегда бывает утомительным, попробуйте сделать это на мобильнике!

Отсюда вывод: на сайте всегда пишите телефон полностью! С кодом страны и кодом города, в соответствии с рекомендацией E.164, то есть вот так, и никак иначе:

+7 (495) 780-48-48

(из мрачного юмора сотрудников безопасности)

О пользе, как и о вреде социальных сетей можно рассуждать долго. В любом случае это явление имеет место, а, следовательно, нужно думать, как помочь пользователю совершить минимум ошибок при работе в соответствующей сети. Несмотря на то, что в СНГ использование Facebook в качестве социальной сети еще часто воспринимается скорее как экзотика, следует отметить, что данная сеть интенсивно набирает своих приверженцев. Как правильно настроить профиль в Facebook, чтобы быть максимально защищенным? Именно этому и будет посвящена данная статья.

Стоит понимать, что ваш профиль в любой социальной сети уязвим, особенно если вы используете настройки по умолчанию. Не стала исключением и такая социальная сеть, как Facebook.

Поэтому если вы беспокоитесь о тайне вашей частной жизни (privacy), то вам помогут следующие подсказки:

1. Если вы беспокоитесь о тайне вашей личной жизни и своей безопасности, а также не хотите, чтобы от вашего имени рассылались порочащие вас предложения, позаботьтесь об устойчивом пароле для вашей учетной записи. На сегодня устойчивым может считаться пароль, состоящий как минимум из 12 символов и включающий три символьных набора[1] из 4-х.

2. Будьте осторожны при установке приложений от сторонних разработчиков. Ни в коем случае не устанавливайте приложения из источников, которым вы не доверяете.

3. Принимайте предложения о дружбе только от тех людей, которых вы знаете лично и непосредственно.

4. Тщательно прочитайте политику конфиденциальности. Ограничьте личную информацию, которую собираетесь сделать общедоступной.

5. Будьте осторожны, внимательно смотрите на то, что вы отправляете на сайт. Рассматривайте всю отправляемую информацию, в том числе и фотографии отправляемые вами, как общедоступную!

Настройка параметров профиля

Список параметров настройки находится в правом верхнем углу экрана Facebook.com под надписью Аккаунт. (рис. 1).

Figure 1 Меню Аккаунт

Выберите Настройки Аккаунта (рис.2)

Figure 2 Настройки Аккаунта

Стоит отдельно упомянуть такой параметр, как Безопасность аккаунта. Для обеспечения безопасности вашего аккаунта на Facebook можно получать e-mail, когда на него заходят с компьютера или мобильного устройства, ранее не используемого вами. Хотите получать уведомления о входе в Ваш аккаунт с не используемых Вами ранее устройств? Выберите Да

Далее выбираем Настройки конфиденциальности – Изменить настройки.

Все настройки разбиты на три раздела:

1. Информация, которой я делюсь

2. Информация, которой делятся другие

3. Контактная информация

Рассмотрим подробнее настройки каждого раздела

Настройки конфиденциальности

Информация, которой я делюсь (Таб.1)

Талица 1

Учтите, что дата рождения может использоваться для вашей идентификации, потому либо данный параметр должен быть виден только вам, либо должен быть заполнен неправильно.

Информация, которой делятся другие (Таб.2)

Таблица 2

Контактная информация (Таб. 3)

Таблица 3

В моих настройках вы можете либо настроить конкретные имена пользователей которые могут видеть те или иные настройки или оставить Только я.

Следующий важный раздел – настройки приложений

Настройки приложений – недавно использованные

Таблица 4

Надеюсь, данная статья поможет вам в работе с социальными сетями. Вместе с тем хочу заметить, что если вы что-то хотите оставить известным только себе и своим друзьям – не помещайте эту информацию в социальные сети! Цените живое общение. Помните, что информация в Интернете не бывает анонимной!

Приведем короткий список этих рекомендаций, а потом рассмотрим их подробнее.

1. Используйте надежные пароли и регулярно их меняйте;

2. Остерегайтесь почтовых вложений и загружаемых из Интернета модулей;

3. Установите, поддерживайте и применяйте антивирусные программы;

4. Установите и используйте межсетевой экран;

5. Удаляйте неиспользуемые программы и учетные записи пользователей, надежно удаляйте все данные на выводимом из эксплуатации оборудовании;

6. Используйте средства физического контроля доступа ко всем вычислительным устройствам;

7. Создавайте архивные копии важных файлов, папок и программ;

8. Устанавливайте обновления для программного обеспечения;

9. Внедрите систему безопасности сети с контролем доступа;

10. Ограничивайте доступ к ценным и конфиденциальным данным;

11. Составьте и соблюдайте план управления рисками, связанными с безопасностью;

12. При необходимости обращайтесь за технической поддержкой к сторонним организациям.

Рассмотрим данные рекомендации подробнее.

Рекомендация 1. Используйте надежные пароли и регулярно их меняйте

Затраты: минимальные (дополнительные вложения не требуются)

Уровень технических навыков: низкий/средний

Участники: все пользователи компьютерной сети

Для чего это нужно?

Пароли – самый просто способ аутентификации (способа разграничения прав доступа к компьютерной сети, электронной почте и т.д.). Парольная защита – довольно простой метод разграничения доступа. Вместе с тем необходимо помнить, что надежные пароли (пароли, тяжело поддающиеся взлому) позволяют затруднить работу большинства взломщиков. Для многих компаний текучесть кадров является большой проблемой, вместе с тем это увеличивает необходимость регулярной смены паролей. Так как вы не уверены в стойкости вашего пароля, то меняйте его каждый месяц, причем учтите, что пароли должны удовлетворять требованиям сложности и не должны повторяться в течение 24 месяцев. Данное положение достаточно легко реализуется в организации, компьютерная сеть которой основана на применении доменов на основе ОС Windows.

Вместе с тем необходимо помнить, что для каждой используемой задачи пароли должны быть разными, т.е. пароль для входа в компьютерную сеть и для работы с базой данных должны быть разными. Ведь в противном случае взлом одного пароля позволит получить беспрепятственный доступ ко всем ресурсам.

Никогда не записывайте пароли и ни в коем случае не сообщайте их другим лицам!

Если же вы боитесь забыть пароль, храните его в сейфе.

Вместе с тем помните, что пользователи вашей сети будут забывать пароли и при усилении требований к их сложности и длине они просто начнут их записывать на листиках и вскоре пароли можно будет встретить где угодно! Т.е. на мониторах, листиках под клавиатурой, в ящиках стола и т.д.

Как этого избежать? Только введением средств многофакторной аппаратной аутентификации. Это же позволит решить целый ряд проблем, речь о которых пойдет впереди.

Вместе с тем необходимо помнить, что каждый пользователь в сети обязан иметь собственный идентификатор, что позволит его однозначно аутентифицировать и тем самым избежать проблем с обезличиванием персонала.

Ненадежные пароли дают ложное ощущение безопасности

Помните, что надежность парольной защиты весьма относительна. Пароли взламываются злоумышленниками методом подбора по словарю или прямого перебора. На взлом по словарю злоумышленнику требуются секунды. Если злоумышленник знает личную информацию о пользователе, пароль которого он пытается подобрать, например, имена супруги (супруга), детей, хобби, то диапазон поиска существенно сужается, и в первую очередь проверяются эти слова. Часто применяемые пользователями ухищрения типа замены буквы «о» на цифру «0» или буквы «a» на символ «@» или буквы «S» на цифру «5» не защищают пароль от взлома. Иногда к парольной фразе вначале или в конце дописываются цифры, однако это также слабо влияет на защиту. Поэтому приведем здесь краткие рекомендации по выбору пароля.

В первую очередь

Для затруднения взлома вашего пароля в первую очередь он должен быть сложным и содержать большие и маленькие буквы, цифры и специальные символы. Нельзя использовать словарные слова, имена и их незначительные изменения. Длина пароля должна составлять не менее 8 символов, а для сетей с выходом в Интернет – не менее 12. При этом длина пароля администратора должна составлять не менее 15 символов. Составляя пароль, используйте некие заранее придуманные шаблоны. Это позволит вам вспомнить пароль в случае необходимости, не записывая его на бумаге.

Создайте политику использования парольной защиты, в которой опишите ваши требования и ознакомьте с ее требованиями ваших сотрудников под роспись. Это приучит к порядку ваших сотрудников.

В особо ответственных случаях для организации парольной защиты используйте многофакторную аутентификацию на базе eToken или смарт-карт. Это существенно затруднит взлом.

Для доступа к ресурсам вашей сети из Интернет, например, для сотрудников, работающих из дома, используйте одноразовые пароли.

Дополнительные действия

Настройте в требованиях политик обязательную минимальную длину и уровень сложности политик. Вместе с тем не забудьте ограничить срок действия паролей, чтобы заставить пользователей соблюдать частоту смены паролей. Введите требование неповторяемости паролей (например, на протяжении 24 месяцев). Это позволит достичь уникальности паролей одного и того же пользователя на протяжении 2-х лет.

Рекомендация 2. Остерегайтесь почтовых вложений и модулей, загружаемых из Интернет

Затраты: минимальные (дополнительные вложения не требуются)

Уровень технических навыков: низкий/средний

Участники: все, кто пользуется Интернет

Зачем это нужно?

Сегодня одним из наиболее часто используемых методов распространения компьютерных вирусов является использование электронной почты и Интернет. В последнее время вирусы научились использовать адреса, получаемые из адресных книг. Поэтому даже получение писем с известных вам адресов больше не является гарантией того, что эти письма действительно отправлены этими людьми. Компаниям необходимо внедрить жесткие политики безопасности использования электронной почты и Интернет, в которых четко указывать, что можно и что нельзя загружать и открывать в корпоративных системах.

Любой автор программного обеспечения может распространять его с помощью Интернет или в виде вложений в электронные письма. Однако стоит помнить, что запуская неизвестную программу у себя на компьютере, вы становитесь заложником автора этой программы. Любое ваше действие доступно и этой программе. Т.е. она может читать, удалять, модифицировать и копировать любую вашу информацию. Тем самым доступ к вашему компьютеру может получить и злоумышленник.

Что может произойти в результате вашей невнимательности?

Стоит помнить, что тексты электронной почты, вложения и загружаемые модули являются прекрасным средством для передачи вредоносного кода. Открывая почтовое вложение или соглашаясь на установку исполнимого кода, вы копируете некий программный код в вашу среду (иногда в папку временных файлов). Это может привести к атаке вашей системы через имеющиеся уязвимости.

Учтите, что если ваш компьютер будет заражен, весьма вероятно, что ваши партнеры по переписке получат от вас почтовое сообщение с вложением, которое будет атаковать их системы. Это может привести к полной остановке сети.

Если не принять предупредительных мер, то на ваш компьютер можно будет загрузить некое троянское приложение (троянский конь), который сможет отследить используемые вами пароли, переслать по определенному адресу вашу конфиденциальную информацию и т.д. Что делать?

В первую очередь

Опишите требования к безопасности использования электронной почты и Интернет в соответствующих политиках.

Приучите пользователей к тому, что запрещено выполнять следующие операции:

1. Использовать функцию предварительного просмотра почтового сообщения.

2. Открывать вложения, которые антивирусное приложение считает вредоносными.

3. Открывать почтовые сообщения от незнакомых людей (следует их просто удалять), особенно если поле «Тема»:

a. Пустое либо содержит бессмысленный набор букв и цифр;

b. Содержит сообщение о победе на конкурсе, в котором вы не участвовали либо о причитающихся вам деньгах;

c. Содержит описание продукта, который может вам понравиться;

d. Содержит уведомление о проблеме с инструкциями по установке программного обеспечения на вашем компьютере;

e. Содержит уведомление об ошибке в накладной или счете, но вы не пользуетесь данной услугой.

4. Если вы знаете отправителя или решили открыть почтовое сообщение, убедитесь, что содержимое, а также название вложений и текст в строке темы сообщения звучат осмысленно.

Дополнительные действия

1. Настройте веб-обозреватель таким образом, чтобы он уведомлял вас о загрузке модулей из Интернет (это сделано по умолчанию в Internet Explorer 7.0).

2. Удаляйте и никогда не пересылайте электронные «письма счастья».

3. Никогда не пользуйтесь функцией отмены подписки на услуги, которые вы не запрашивали (это даст злоумышленнику понять, что электронный адрес активен и позволит более активно атаковать вас).

4. Отключите Java-сценарии и элементы управления ActiveX в настройках веб-обозревателя и включайте их временно только для определенных доверенных страниц.

5. Принимая решение о приобретении программного обеспечения, убедитесь в наличии четкого описания программы и выполняемых ею функций, а также проверьте надежность источника информации.

Рекомендация 3. Установите, поддерживайте и применяйте антивирусные программы

Затраты: низкие/средние (в зависимости от количества и типов необходимых лицензий)

Уровень технических навыков: низкий/средний, в зависимости от выбранного подхода

Участники: все, кто пользуется электронными устройствами

Зачем это нужно?

В настоящее время сложно кого-либо удивить необходимостью установки антивирусного ПО. Количество уязвимостей, используемых вредоносным ПО, по данным Microsoft, удваивается ежегодно.

Пути проникновения вирусов в вашу систему могут быть различными: с помощью дискет, флеш-дисков, компакт-дисков, в виде вложения в почтовое сообщение, при загрузке с веб-узла или в виде зараженного загружаемого файла. Поэтому, вставляя сменный носитель, принимая электронную почту или загружая файл, необходимо проводить проверку на наличие вирусов.

Как работают антивирусные программы?

Из всех методов антивирусной защиты можно выделить две основные группы:

1. Сигнатурные методы – точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов.

2. Эвристические методы – приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен.

Сигнатурный анализ

Слово сигнатура в данном случае является калькой на английское signature, означающее «подпись» или же в переносном смысле «характерная черта, нечто идентифицирующее». Собственно, этим все сказано. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.

Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных вирусов составляют антивирусную базу.

Важное дополнительное свойство сигнатур – точное и гарантированное определение типа вируса. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вируса. Если бы сигнатурный анализ давал только ответ на вопрос, есть вирус или нет, но не давал ответа, что это за вирус, очевидно, лечение было бы невозможно – слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.

Другое важное, но уже отрицательное свойство – для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами.

Эвристический анализ

Слово «эвристика» происходит от греческого глагола «находить». Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок.

Поиск вирусов, похожих на известные

Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных.

Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры.

Отрицательные стороны:

· Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист – такие события называются ложными срабатываниями.

· Невозможность лечения – и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо.

· Низкая эффективность – против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

· Удаление файла.

· Запись в файл.

· Запись в определенные области системного реестра.

· Открытие порта на прослушивание.

· Перехват данных, вводимых с клавиатуры.

· Рассылка писем.

· И др.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные.

Отрицательные черты те же, что и раньше:

· Ложные срабатывания

· Невозможность лечения

· Невысокая эффективность

Дополнительные средства

Практически любой антивирус сегодня использует все известные методы обнаружения вирусов. Но одних средств обнаружения мало для успешной работы антивируса. Для того, чтобы чисто антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции, например, регулярное обновление антивирусных баз сигнатур.

Что делать?

В первую очередь

1. Установите антивирусные программы на всех узлах вашей сети (шлюзы Интернет, почтовые сервера, сервера баз данных, файловые сервера, рабочие станции).

2. Регулярно (не реже чем рекомендовано производителем) обновляйте базы сигнатур.

3. Ежегодно продляйте лицензию на установленные антивирусы (для того чтобы иметь возможность обновлять файлы сигнатур).

4. Создайте политику защиты от вредоносного ПО.

5. Создайте инструкции для пользователей и администраторов систем.

Дополнительные действия

1. На всех компьютерах настройте антивирусную защиту.

2. Создайте систему управления корпоративным антивирусом из единой точки управления.

3. Регулярно (достаточно один раз в неделю) запускайте антивирусный сканер для проверки всех файлов.

Рекомендация 4. Установите и используйте межсетевой экран

Затраты: умеренные

Уровень технических навыков: умеренный/высокий, в зависимости от выбранного подхода

Участники: специалисты по технической поддержке

Зачем это нужно?

Межсетевой экран практически исполняет роль охранной системы при входе в здание. Он проверяет входящие из Интернет и исходящие в Интернет сведения и определяет, будут ли эти сведения доставлены получателю или же будут остановлены. Может существенно сократить объем попадающих в систему нежелательных и вредоносных сообщений. Но, вместе с тем, стоит понимать, что на его настройку и обслуживание необходимы время и усилия. Кроме того, он пресекает различные формы нежелательного доступа к вашей сети.

Самое сложное при настройке межсетевого экрана – определить правила его настройки, т.е. указать, что может поступать в сеть (покидать сеть). Ведь если полностью запретить прием и отправку данных (стратегия запретить все), то это будет означать прекращение связи с Интернет. Такая стратегия вряд ли допустима в большинстве компаний, поэтому необходимо выполнить ряд дополнительных действий по настройке межсетевого экрана.

Что происходит, когда нет межсетевого экрана?

Если у вас нет межсетевого экрана, который проверяет входящие и исходящие данные, защита всей вашей сети зависит лишь от желания и умения каждого из пользователей следовать правилам работы с электронной почтой и загрузкой файлов. В случае же использования высокоскоростного подключения к Интернет вы будете зависеть, кроме того, еще и от других пользователей сети. При отсутствии межсетевого экрана ничего не помешает злоумышленнику изучить уязвимости ОС на каждом из компьютеров и атаковать их в любое время.

Что делать?

В первую очередь

Установите межсетевой экран на точке доступа в Интернет. Объясните сотрудникам необходимость его применения. Ведь в процессе разработки его правил возможно чрезмерное блокирование, которое усложнит пользование.

Дополнительные действия

1. Примените политику безопасности на основе правил межсетевого экрана.

2. Предусмотрите возможность пересмотра и корректировки политики в необходимых случаях.

3. Создайте механизм мониторинга и корректировки правил с учетом потребностей компании.

Рекомендация 5. Удаляйте неиспользуемые программы и учетные записи пользователей, уничтожайте все данные на выводимом из эксплуатации оборудовании

Затраты: низкие/средние

Уровень технических навыков: низкий/средний

Участники: специалисты по технической поддержке

Зачем это нужно?

Следует учитывать, что поставляемые компьютерные системы поддерживают большое количество функций, многие из которых никогда не будут вами использоваться. Более того, поскольку процесс установки оптимизирован с точки зрения простоты, а не безопасности, то часто активизированы функции, использование которых представляет серьезную опасность для системы, например, удаленное управление или удаленный обмен файлами.

Следует предусмотреть отключение и удаление неиспользуемого программного обеспечения, чтобы злоумышленник не мог организовать через него атаку.

Т.е. сотрудникам отдела технической поддержки необходимо настроить инсталляционную копию операционной системы, устанавливаемой на рабочие станции таким образом, чтобы удалить неиспользуемые функции ОС еще на этапе инсталляции. Процесс создания необходимой копии ОС необходимо оговорить в принимаемом документе.

Вместе с тем нельзя забывать, что поскольку каждый пользователь имеет собственную уникальную учетную запись, ограничивающую доступ к данным и программам, необходимым для выполнения поставленных задач, то в случае увольнения сотрудника или перехода его на другую должность его права нужно отменить (удалить соответствующую учетную запись) или изменить в соответствии с новыми служебными обязанностями.

Для этого необходимо обязать службу управления кадрами подавать списки увольняемых (перемещаемых) сотрудников в службу ИТ и службу информационной безопасности (ИБ) в течение одного рабочего дня после соответствующего приказа. А в случае увольнения (перемещения) системного администратора или администратора ИБ – не позднее 1 часа после соответствующего приказа. Это позволит существенно снизить возможность нанесения вреда компании.

Следует также помнить, что в настоящее время на жестких дисках рабочих станций, а уж тем более серверов, хранится огромный объем информации. Любой желающий может извлечь эти данные, получив доступ к жесткому диску посредством другого компьютера, и тем самым нанести непоправимый вред вашей компании. В случае передачи, продажи, утилизации, ремонта оборудования в условиях посторонней организации (например, гарантийный ремонт) вам необходимо обеспечить невосстановимое стирание всего дискового пространства, для предотвращения утечки конфиденциальной информации. При этом возможно два пути – использование программных средств невосстановимого стирания или аппаратных средств.

Почему нельзя оставить неиспользуемое программное обеспечение?

Неиспользуемое ПО и учетные записи могут быть использованы злоумышленником для атаки на вашу систему или для использования вашей системы для проведения последующих атак. Стоит помнить, что доступом к компьютеру нужно управлять очень тщательно. Ведь потеря конфиденциальных данных для компании может привести к крупным финансовым потерям и даже банкротству. Если неиспользуемые данные принадлежат бывшим сотрудникам вашей компании, то, получив доступ к системе, они могут быть в курсе всех ваших дел, нанести ущерб вашей компании, разгласив или модифицировав важные данные. Более того, в практике автора были случаи, когда атаку под видом уволенного сотрудника проводили действующие сотрудники компании.

В случае же ремонта (обновления) оборудования стоит помнить, что хранящиеся на нем данные без использования специальных средств невосстановимого стирания никуда не исчезают. Существует целый класс программного обеспечения, позволяющего восстанавливать удаленные данные с жестких дисков.

Что делать?

В первую очередь

1. Удаляйте учетные записи уволенных сотрудников. Перед сообщением человеку о том, что он будет уволен, заблокируйте его доступ к компьютеру и следите за ним, пока он находится на территории компании.

2. Установите правило, запрещающее установку ненужного ПО на рабочих компьютерах.

3. Предусмотрите политику удаления данных с жестких дисков компьютеров, которые перепрофилируются, утилизируются, передаются, реализуются, сдаются в ремонт.

Дополнительные действия

1. Удалите неиспользуемые программы и приложения.

2. Заведите формуляры компьютеров (рабочих станций и серверов), в которые записывайте устанавливаемое ПО, цель установки и кто произвел установку.

3. Запретите пользователям работать с правами локальных администраторов.

Рекомендация 6. Используйте средства физического контроля доступа ко всем вычислительным устройствам

Затраты: минимальные

Уровень технических навыков: низкий/средний

Участники: все, кто пользуется электронными устройствами

Зачем это нужно?

Независимо от того, насколько надежна ваша система безопасности, используете вы простые пароли или сложные, если у кого-то есть физический доступ к вашему компьютеру, значит он сможет прочесть, удалить или модифицировать находящуюся на нем информацию. Нельзя оставлять компьютеры без присмотра.

Уборщики, обслуживающий персонал, члены семьи сотрудника могут неумышленно (либо умышленно) загрузить вредоносный код либо модифицировать данные или настройки компьютера.

Если существуют активные, но не используемые сетевые разъемы в офисе, конференц-зале или любом другом помещении, значит любой человек сможет подключиться к сети и выполнить в ней несанкционированный действия.

Если вы используете беспроводные технологии, то позаботьтесь об устойчивом шифровании сети, чтобы посторонний человек не смог подключиться к вашей сети, ведь в таком случае он даже не должен заходить физически в ваш офис.

Если в вашей организации используются переносные компьютеры (ноутбуки, КПК, смартфоны) позаботьтесь о шифровании мобильных носителей, ведь на сегодня более 10% таких устройств просто воруется, а порядка 20% – элементарно теряются пользователями.

Потеря физического контроля как потеря безопасности

Следует учесть, что любой человек, обладающий физическим доступом к вашему компьютеру, может обойти средства безопасности, установленные на нем, и нанести непоправимый ущерб вашей организации. Следовательно, большое внимание необходимо уделять физической безопасности ваших устройств.

Что делать?

В первую очередь

Внедрите политику допустимого использования компьютеров, предусматривающую следующее:

1. Оставляя компьютер без присмотра даже на короткое время, выходите из системы или блокируйте экран.

2. Установите ответственных пользователей за доступ к компьютерам и вынос оборудования за пределы компании.

3. Ограничьте использование рабочих компьютеров только служебными целями.

4. Запретите использование личных компьютеров (ноутбуков, КПК, смартфонов) в корпоративной сети.

5. Установите ответственность пользователей в случае нарушения правил использования компьютеров.

6. Все используемое компьютерное оборудование должно быть надежно защищено от всплесков пропадания электропитания.

7. Храните неиспользуемое оборудование под замком и установите процедуру его выдачи только под расписку ответственного сотрудника.

8. Проинформируйте сотрудников о принятой политике и время от времени проверяйте ее выполнение.

Дополнительные действия

1. Закрывайте пустые офисы и конференц-залы, в которых имеются активные сетевые разъемы.

Рекомендация 7. Создавайте архивные копии важных файлов, папок и программ

Затраты: умеренные/высокие (в зависимости от уровня автоматизации и сложности выбранных средств)

Уровень технических навыков: средний/высокий

Участники: специалисты по технической поддержке и пользователи (если пользователи обязаны самостоятельно архивировать свои данные)

Зачем это нужно?

Сможете ли вы продолжать эффективно работать, если злоумышленнику удастся повредить настройки ваших систем? Или уничтожить хранящуюся информацию? Если произойдет непредвиденный сбой системы?

В таком случае наиболее эффективным способом будет восстановление данных из архивной копии.

Для создания такой копии вам потребуется создать источник для возможного восстановления системы в случае необходимости. Выполнять создание такой копии лучше воспользовавшись специализированным ПО.

Следует помнить, что резервные копии необходимо создавать при каждом изменении исходных данных. Выберите подходящий вам вариант с учетом затрат (время, оборудование, покупка необходимого ПО), наличия времени на проведение резервного копирования, требуемого времени на проведение процесса восстановления оригинальных копий из резервных.

Следует предусмотреть хранение резервных копий в надежном месте, по возможности вне офиса, в другом здании, чтобы избежать возможного уничтожения их вместе с оригиналом. Вместе с тем нельзя забывать о физической безопасности резервных копий как в процессе доставки их к месту хранения, так и физической безопасности самого места хранения.

Если архивных копий нет

Поскольку абсолютной защиты не существует, то весьма вероятно, что атака на вашу организацию может быть успешной и злоумышленнику (вирусу) удастся нанести вред вашей компьютерной сети или какая-то часть вашего оборудования может быть разрушена вследствие стихийного бедствия. Без средств восстановления (или при неправильной настройке таковых) вам потребуется множество времени и денег для восстановления системы (впрочем, конечно же, это при условии, что вам удастся ее восстановить, что вовсе не очевидно).

В первую очередь

1. Создайте график проведения резервного копирования. Создавая его, учтите, что все изменения, прошедшие от момента создания резервной копии до времени восстановления, вам придется восстанавливать вручную.

2. Храните резервные копии на протяжении достаточно длинного периода времени, чтобы можно было устранить проблемы, выявленные с опозданием.

3. Время от времени тестируйте процесс архивации и проверяйте процесс восстановления.

4. Создайте план работы в случае чрезвычайной ситуации.

5. Время от времени устраивайте проверку работы сотрудников в случае чрезвычайной ситуации и знание ими своих обязанностей.

Дополнительные действия

1. Максимально автоматизируйте процесс архивации.

2. Убедитесь, что в процессе создания резервной копии регистрируется время и дата.

3. Создавайте копии на различных носителях.

4. Проверяйте процесс создания резервных копий, восстанавливая и контролируя корректность восстановленных данных.

.
Рекомендация 8. Устанавливайте обновления для программного обеспечения

Затраты: умеренные — плата за обслуживание программного обеспечения плюс время, затрачиваемое персоналом на установку и проверку

Уровень технических навыков: средний/высокий

Участники: специалисты по технической поддержке

Зачем это нужно?

Для улучшения программного обеспечения или исправления ошибок поставщики регулярно выпускают обновления (исправления). Многие из этих обновлений предназначены для устранения так называемых уязвимостей программного обеспечения, которые могут быть использованы злоумышленниками. Регулярная установка таких обновлений позволяет свести к минимуму возможности использования уязвимостей для нанесения ущерба вашей организации.

В основном, бесплатные обновления предлагаются с веб-узла соответствующего поставщика ПО. Для уведомления о выходе обновлений рекомендуется подписаться на бесплатную рассылку у соответствующего поставщика.

Кроме того, следует знать, что вполне вероятна ситуация, при которой обновление, закрывая одну уязвимость, порождает другую.

Устанавливая обновления, стоит помнить о необходимости их тестирования до установки.

Если не устанавливать обновления

Следует помнить, что любое программное обеспечение пишут люди, а людям свойственно ошибаться! Следовательно, любое ПО содержит ошибки. Не устанавливая обновлений, вы рискуете не устранить уязвимости, уже выявленные другими людьми и успешно используемые злоумышленниками и написанным ими вредоносным ПО. Чем дольше вы не устанавливаете обновления, тем выше вероятность, что рано или поздно злоумышленники используют не устраненные вами уязвимости для атаки на вашу систему.

Что делать?

В первую очередь

Приобретая программное обеспечение, обратите внимание, как предоставляются обновления. Узнайте, осуществляется ли техническая поддержка. Если обновления не предоставляются, узнайте, как производится переход на новую версию и когда ее ждать.

Как можно быстрее обновляйте операционные системы и коммуникационное ПО. Подпишитесь на службу рассылки уведомлений.

Дополнительные действия

Некоторые разработчики ПО предлагают программное обеспечение, которое само следит за актуальностью обновлений. Такое ПО обладает функцией проверки, загрузки и установки обновлений. Вместе с тем нельзя забывать, что вначале нужно протестировать представленное обновление, а уж затем его устанавливать.

Рекомендация 9. Внедрите систему безопасности сети с контролем доступа

Затраты: умеренные/высокие, в зависимости от выбранного варианта

Уровень технических навыков: умеренный/высокий

Участники: специалисты службы поддержки и все пользователи сети

Зачем это нужно?

Хорошая система защиты информации включает в себя защиту доступа ко всем сетевым компонентам, включая межсетевые экраны, маршрутизаторы, коммутаторы и подключенные рабочие станции.

Исходя из того, что все это еще и разбросано территориально, обеспечить контроль за всем этим оборудованием и программным обеспечением – тяжелая задача.

Дополнительные сведения

Чрезвычайно важно иметь надежный контроль доступа в случае использования беспроводных сетей. Совсем несложно получить доступ к незащищенной беспроводной сети и подвергнуть опасности всю организацию.

Использование удаленного доступа к сети организации должно тщательно контролироваться, так как бесконтрольное использование таких точек доступа приведет к взлому сети всей организации.

Что происходит, когда надежная защита сети не обеспечена?

Если надежная защита не обеспечена, несложно понять, что такая сеть будет взломана на протяжении нескольких часов или минут, особенно если доступ к Интернет предоставляется с помощью высокоскоростного соединения. В свою очередь взломанное устройство будет представлять собой опасность для всей остальной сети, так как оно будет использовано для последующей атаки на всю сеть.

Стоит помнить, что наибольшую опасность представляют не внешние, а внутренние взломщики, т.е. злоумышленники из числа персонала. Если безопасность поставлена из рук вон плохо и ею никто всерьез не занимается, то сотрудники могут взломать компьютеры своих коллег, ведь средств для этого в Интернет достаточно.

Что делать?

В первую очередь

1. Ограничить доступ к компонентам, чтобы защитить их от несанкционированного доступа и повреждения;

2. Реализовать процедуру аутентификации на основе надежной парольной защиты;

3. Отключить на каждом компьютере функции совместного использования файлов и принтеров;

4. Провести инструктаж с сотрудниками об отключении компьютеров при их неиспользовании;

5. Предоставить доступ к устройствам защиты сети только тем сотрудникам, которые отвечают за их обслуживание и поддержку;

6. Требовать проходить проверку подлинности при беспроводном и удаленном соединении.

Дополнительные действия

1. Проанализируйте возможность внедрения средств строгой аутентификации (смарт-карт, одноразовых аппаратных паролей, eToken и т.д.) для организации удаленного доступа к ключевым компонентам сети.

2. Научите сотрудников использовать данные устройства.

3. Организуйте мониторинг вторжений, чтобы обеспечить надлежащее использование сети.

Рекомендация 10. Ограничивайте доступ к ценным и конфиденциальным данным

Затраты: умеренные/высокие, в зависимости от выбранного варианта

Уровень технических навыков: умеренный/высокий

Участники: специалисты по технической поддержке

Зачем это нужно?

Поскольку мы не можем надеяться на соблюдение сотрудниками всех установленных правил, то обязаны следить за их поведением и не давать лишний повод нарушить инструкции.

Что это значит в нашем случае?

1. Электронная почта просматривается только теми лицами, кому она адресована;

2. Доступ к файлам и базам данных предоставляется только тем, кто обладает соответствующими полномочиями, причем не более того, что им нужно для выполнения работы.

А раз так, то, следовательно, мы должны контролировать просмотр и использование информации можно с помощью соответствующих списков доступа.

Если вы не можете жестко контролировать доступ к данным, то такие данные необходимо шифровать. При этом механизм шифрования должен быть достаточно сложным, чтобы максимально затруднить взлом шифра.

Что делать?

В первую очередь

1. Объясните сотрудникам необходимость осторожности при пересылке конфиденциальных данных по электронным каналам;

2. При тестировании не используйте реальных данных;

3. Не используйте общедоступные ПК для получения доступа к конфиденциальной информации;

4. Не раскрывайте личные и финансовые данные на малоизвестных сайтах.

Рекомендация 11. Составьте и соблюдайте план управления рисками, связанными с безопасностью

Затраты: умеренные, методология управления рисками доступна бесплатно

Уровень технических навыков: низкий/умеренный

Участники: представители всех уровней компании и специалисты службы поддержки

Для чего это нужно?

Для того чтобы защита вашей информации была действительно эффективной, безопасность должна быть последовательно внедрена во всей организации. Необходимо понимать, что внедрение самых строгих технических мер контроля не является панацеей. Необходимо комплексное внедрение организационных и технических мер защиты. А лучшим решением является внедрение плана управления рисками безопасности.

При этом процесс планирования должен включать следующее:

1. Обучение и информирование пользователей о проблемах безопасности;

2. Политики и правила безопасности;

3. Совместные мероприятия по безопасности (партнеры, подрядчики, сторонние компании);

4. Политику непрерывности бизнеса;

5. Физическую безопасность;

6. Безопасность сети;

7. Безопасность данных.

В повседневной деятельности не сложно упустить из вида такие мероприятия, как обучение сотрудников правилам соблюдения безопасности, планирование непрерывности бизнеса. Однако необходимо понимать, что ваша компания зависит от информационных технологий в гораздо большей степени, чем вы себе представляете.

Что происходит в отсутствие плана управления рисками, связанными с безопасностью?

Если у вас нет четкого плана управления рисками, то на все инциденты безопасности вы вынуждены реагировать постфактум. Все ваши меры будут сводиться лишь к латанию дыр.

Что делать?

В первую очередь

Создайте и проанализируйте план на случай возникновения чрезвычайной ситуации:

1. Определите самые главные угрозы вашей организации.

2. Проанализируйте воздействие естественных угроз (наводнение, ураган, длительное отсутствие электроэнергии).

Дополнительные действия

1. Определите ваши технологические активы;

2. Определите угрозы для этих активов;

3. Разработайте план безопасности.

Рекомендация 12. При необходимости обращайтесь за технической поддержкой и сторонней помощью

Затраты: низкие/высокие, в зависимости от требуемых услуг

Уровень технических навыков: средний/высокий

Участники: руководство компании и специалисты по технической поддержке

Обращайтесь за необходимой помощью

Защиту информации нельзя строить методом проб и ошибок. Безопасность – динамичный процесс, который не прощает ошибок. Кроме того, стоит понимать, что создание системы защиты информации – непрерывный процесс, построение которого нельзя доверять дилетантам.

Необходимо тщательно рассматривать кандидатуры на должности связанные с защитой информации. Лица, занимающиеся вопросами безопасности не должны вызывать ни малейших сомнений. Требуйте, чтобы они смогли вам показать, как принятые ими меры могут защитить вашу компанию от атак.

Что делать?

В первую очередь

Если вы собираетесь обратиться за внешней поддержкой, обратите внимание на следующее:

1. Опыт работы.

2. Список клиентов.

3. Рекомендации нынешних клиентов.

4. Как долго компания занимается этим бизнесом.

5. Кто конкретно из специалистов будет с вами работать.

6. Их квалификация, наличие сертификатов.

7. Как предоставляется поддержка.

8. Как контролируется внешний доступ.

Дополнительные действия

Не реже одного раза в год проводите аудит своей службы безопасности (внешний или внутренний).

Заключение

Хотелось бы верить, что эти советы смогут помочь вам в нелегком деле защиты информации. Стоит понимать, что ни один человек не в состоянии дать вам исчерпывающие рекомендации. Защита информации непрерывный процесс и доверять его создание необходимо профессионалам.

1. Что шифровать?

2. Чем шифровать?

3. Как обеспечить законность применения средств криптографической защиты?

4. Как не нанести большего вреда?

Лишь в том случае если у вас есть ответы на все эти вопросы и эти ответы вас устраивают, можно переходить непосредственно к шифрованию. А, казалось бы, все так просто, берешь ПО, шифруешь и все. Ан не тут-то было! Давайте задумаемся, а почему?

Что шифровать?

На самом деле вопрос не тривиален. Внедрение каждого программного обеспечения это, прежде всего расходы. Времени, денег и т.д. Поэтому вопрос, а что же мы будем шифровать, нужно рассматривать очень внимательно. Я не собираюсь здесь долго разъяснять, почему ответ «ВСЕ!» даже не рассматривается. ВСЕ – это означает бездумную трату материальных и людских ресурсов. В самом деле, зачем шифровать жесткий диск в отделе рекламы? Таким образом, мы с вами приходим к мысли, что вначале-то, собственно, нужно понять, какая информация обрабатывается в компании, что именно составляет коммерческую или банковскую тайну, а что компания просто считает конфиденциальным и определить для себя некий порог возможной стоимости потерь, начиная с которого вы предпочтете информацию шифровать.

Что, на мой взгляд, шифровать нужно однозначно:

1. Мобильные устройства, содержащие информацию, отнесенную к коммерческой и/или банковской тайне или информации с ограниченным доступом;

2. Жесткие диски серверов, подлежащих перевозке (доставке) в филиалы средствами сторонних перевозчиков;

3. Жесткие диски компьютеров, содержащих банковскую (коммерческую) тайну (на случай выхода жестких дисков (компьютеров) из строя с последующим гарантийным ремонтом). На самом деле в данном случае нужно посчитать, что дешевле, шифровать или просто купить новый жесткий диск. Однозначно необходимо шифровать, если у вас с поставщиком не заключен договор о возможности сдачи в гарантийный ремонт ПК без жесткого диска.

Чем шифровать?

Вопрос отнюдь не праздный. Криптографические меры безопасности на Украине регулируются государством, причем достаточно жестко. Поэтому стоит учитывать и этот аспект. Хотя мне многие могут возразить, что купить можно много разного ПО для шифрования, я все же хочу спросить – вы хотите иметь дело со службой безопасности Украины и объяснять, откуда вы взяли и почему нарушаете правила лицензирования и соответствующий закон, применяя не сертифицированные средства?

Об этом аспекте тоже, как видите, нужно думать. Хочу сказать, что я никогда не буду применять бесплатное ПО в области шифрования. И вам тоже советую

Как обеспечить законность применения средств криптографической защиты?

Этот вопрос тесно перекликается с предыдущим. В обязательном порядке у вас должны быть предусмотрены процедуры для пользователей о хранении ключей шифрования, о правилах в случае утраты ключей и т.д.

Советую продумывать подобные инструкции и процедуры ДО того как что-то произойдет. А то, что рано или поздно неприятности придут, не сомневайтесь. Причем придут, во-первых, рано, во-вторых, вы, как обычно, будете к ним не готовы. Ведь бутерброд всегда падает маслом вниз, верно?

Как не нанести большего вреда?

Применяя шифрование сотрудники ИТ и службы безопасности не задумываются о том, что применение, особенно неграмотное применение средств шифрования, приносит гораздо больше вреда чем пользы! Да-да!

Почему? Попробуем привести пару примеров.

Ваши сотрудники имеют право шифровать свои ноутбуки, однако вы не продумали процедуру хранения резервных ключей (скажете, такого не бывает?). Сотрудник забыл пароль – диск форматировать?

Ваш сотрудник выносит информацию на шифрованной флешке? Ситуация невероятная? Отнюдь.

К чему это я? Да просто никогда ТОЛЬКО шифрованием дыры не закрыть! Хотелось, чтобы вы об этом помнили!

На самом деле хотелось бы просто, чтобы уважаемые читатели понимали, что шифрование это хорошо, однако не поддержанное политикой безопасности, организационными документами, инструкциями, обучением пользователей, оно может принести куда больше вреда чем пользы.

Сегодня вряд ли удастся найти организацию, в которой никто и никогда не задумывался бы о защите информации. Вместе с тем не всегда можно встретить правильное понимание информационной безопасности как комплекса организационных и технических мероприятий. Важнейшим элементом ее обеспечения является человек, и он же — основной фактор ее нарушения.

Информационная безопасность должна восприниматься как комплекс организационно-технических мер, поскольку обеспечить конфиденциальность, целостность и доступность нельзя ни отдельно взятыми техническими мерами, ни только организационными.

Скажем, вы решили обеспечивать защиту только техническими мерами, при этом организационные документы у вас полностью отсутствуют. Так часто бывает, если защитой занимается отдел ИТ или начальник отдела информационной безопасности (ИБ) — бывший представитель ИТ-структур. Что в этом случае произойдет? Предположим, что один из сотрудников компании систематически передает конфиденциальную информацию по электронной почте конкурентам. Вы обнаружили утечку, но документов у вас нет, следовательно, наказать сотрудника (например, уволить его) вы просто не имеете права. А если вы это сделаете, умный злоумышленник подаст на вас в суд за нарушение его конституционных прав на личную переписку. Самое печальное в том, что юридически он будет абсолютно прав: внутри вашей организации не документировано, что вся информация, передаваемая средствами электронной почты с адресов, принадлежащих вашей организации, является собственностью фирмы.

Рассмотрим вторую крайность. Она, как правило, характерна для бывших военнослужащих и сотрудников спецслужб. У вас подготовлены великолепные документы, но абсолютно отсутствует их техническая поддержка. Что произойдет в таком случае? Ваши сотрудники рано или поздно нарушат положения организационных документов и, увидев, что их никто не контролирует, будут делать это систематически.

Таким образом, информационная безопасность — гибкая система, включающая в себя как организационные, так и технические меры. При этом нужно понимать, что здесь нельзя выделить более значимые меры или менее значимые. Важно всё. Нужно соблюдать меры защиты во всех точках сети, при работе любых субъектов с вашей информацией. (Под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации). Каждый информационный ресурс, будь то компьютер пользователя или сервер организации, должен быть полностью защищен. Защищены должны быть файловые системы, сеть и т. д. Способы реализации мы здесь обсуждать не будем.

Существует огромное количество программного обеспечения, направленного на решение задачи защиты информации. Это и антивирусные программы, и сетевые экраны, и встроенные средства операционных систем. Однако самым уязвимым фактором всегда остается человек. Работоспособность любого программного обеспечения зависит от качества его написания, от грамотности администратора, который его настроил.

Многие организации в связи с этим создают отделы защиты информации или ставят задачи по обеспечению безопасности информации перед своими ИТ-отделами. Но не раз уже говорилось, что нельзя взваливать на ИТ-службу не свойственные ей функции. Предположим, что в вашей организации создан отдел ИТ-безопасности. Что делать дальше? С чего начинать его деятельность?

Первые шаги отдела ИБ

На мой взгляд, начинать нужно с обучения сотрудников! И в дальнейшем делать это не реже двух раз в год. Обучение обычного персонала основам защиты информации должно стать постоянным делом сотрудников отдела защиты информации!

Многие руководители пытаются сразу же получить от отдела защиты информации документ под названием «Политика безопасности». Это ошибка. Перед тем как вы сядете за написание этого серьезнейшего документа, который будет определять в дальнейшем все ваши усилия по обеспечению информационной безопасности вашей организации, нужно задать себе следующие вопросы:

Какую информацию вы обрабатываете?

Как ее классифицировать?

Какими ресурсами вы обладаете?

Как распределена обработка информации по ресурсам?

Как классифицировать ресурсы?

Постараемся ответить на эти вопросы.

Классификация информации

В нашей стране исторически сложился подход к классификации информации (в первую очередь государственной) по уровням требований к ее защищенности исходя из одного ее свойства — конфиденциальности (секретности).

Требования к обеспечению целостности и доступности информации, как правило, лишь косвенно упоминаются среди общих требований к системам обработки данных.

Если такой подход в какой-то степени оправдан для обеспечения безопасности информации, составляющей государственную тайну, то это не означает, что перенос его в другую предметную область (с другими субъектами и их интересами) будет правильным.

Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими являются совершенно другие свойства, скажем такие, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является их целостность (достоверность). Затем следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требования к обеспечению конфиденциальности платежных документов, как правило, находятся на третьем месте.

Для сайта Internet-газеты на первом месте будет стоять доступность и целостность информации, а не ее конфиденциальность. Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности, терпят провал. Основными причинами этого являются узость традиционного подхода к защите информации, отсутствие у отечественных специалистов опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.

Для усовершенствования классификации информации в зависимости от требований к ее защищенности следует ввести несколько степеней (градаций, категорий) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности.

Количество градаций и вкладываемый в них смысл могут различаться.

Категории защищаемой информации

Исходя из необходимости обеспечить различные уровни защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, введем несколько категорий конфиденциальности и целостности защищаемой информации.

Категории конфиденциальности

«Строго конфиденциальная» — информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайна, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации, вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам клиентов, корреспондентов, партнеров или сотрудников).

«Конфиденциальная» — информация, не отнесенная к категории «строго конфиденциальная», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам клиентов, корреспондентов, партнеров или сотрудников).

«Открытая» — информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Категории целостности

«Высокая» — к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба организации, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (средствами электронной цифровой подписи, ЭЦП) в соответствии с обязательными требованиями действующего законодательства, приказов, директив и других нормативных актов.

«Низкая» — к данной категории относится информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам, партнерам или сотрудникам, целостность которой должна обеспечиваться в соответствии с решением руководства (методами подсчета контрольных сумм, хеш-функций).

«Нет требований» — к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

Категории доступности

В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов вводится четыре требуемых степени (категории) доступности информации.

«Беспрепятственная доступность» — доступ к задаче должен обеспечиваться в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут).

«Высокая доступность» — доступ должен осуществляться без существенных задержек по времени (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов).

«Средняя доступность» — доступ может обеспечиваться с существенными задержками по времени (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней).

«Низкая доступность» — задержки по времени при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата — несколько недель).

На первом этапе работ производится категорирование всех видов информации, используемой при решении задач на конкретном компьютере (установление категорий конфиденциальности и целостности конкретных видов информации). Составляется «Перечень информационных ресурсов, подлежащих защите».

На втором этапе происходит категорирование всех функциональных задач, решаемых на данном компьютере. В ходе третьего этапа устанавливается категория компьютера, исходя из максимальных категорий обрабатываемой информации и задач, решаемых на нем.

После того как вы распределили обрабатываемую у вас информацию по соответствующим категориям, следует провести инвентаризацию ресурсов.

Категорирование ресурсов

Категорирование ресурсов подразумевает выявление (инвентаризацию) и анализ всех ресурсов информационной системы организации, подлежащих защите. Вот примерная последовательность и основное содержание этих работ.

Прежде всего для анализа всех подсистем информационной системы организации, инвентаризации и категорирования ресурсов, подлежащих защите, формируется специальная рабочая группа. В ее состав включаются специалисты (осведомленные в вопросах технологии автоматизированной обработки информации) подразделения компьютерной безопасности и других подразделений организации.

Издается распоряжение руководства организации, в котором, в частности, даются указания всем руководителям структурных подразделений оказывать содействие и помощь рабочей группе в проведении анализа ресурсов всех компьютеров.

Для оказания помощи должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в подразделениях.

В ходе обследования конкретных подразделений организации и подсистем информационной системы предприятия выявляются и описываются все функциональные задачи, решаемые с использованием компьютеров, а также все виды сведений, используемые при решении этих задач в подразделениях.

После этого составляется общий перечень функциональных задач и для каждой задачи оформляется формуляр. Следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно ведется учет программных средств, используемых при решении функциональных задач подразделения.

При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т. п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности или доступности может нанести ощутимый ущерб организации.

Выявляя все виды информации, циркулирующей и обрабатываемой в подсистемах, необходимо оценивать последствия, к которым могут привести нарушения ее свойств. Для получения первоначальных оценок целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как можно на нее воздействовать или незаконно использовать, к каким последствиям это может привести.

Если невозможно количественно оценить вероятный ущерб, то дается его качественная оценка (например: очень низкая, низкая, средняя, высокая, очень высокая).

При составлении перечня и формуляров функциональных задач, решаемых в организации, необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач).

Все выявленные в ходе обследования виды информации заносятся в соответствующий документ.

Далее необходимо определить, к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставленных организации прав).

Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения (на основе их личных оценок вероятного ущерба вследствие нарушения свойств конфиденциальности и целостности информации). Затем перечень согласовывается с руководителями отделов подразделений автоматизации и компьютерной безопасности и выносится на рассмотрение руководства организации.

На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных со службой ИТ, категорируются все прикладные функциональные задачи, решаемые в подразделениях с использованием компьютерной техники. Информация заносится в формуляры задач. Не следует проводить категорирование системных задач и программных средств вне привязки к конкретным компьютерам и прикладным задачам.

В дальнейшем с участием ИТ-специалистов и подразделения ИБ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты. Эти данные будут использоваться в качестве эталона настроек средств защиты соответствующих компьютеров, а также для контроля правильности их установки.

На последнем этапе устанавливается категорирование компьютеров, исходя из максимальной категории специальных задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера заносится в его формуляр.

В понятие инвентаризации ресурсов входит не только сверка активных и пассивных сетевых ресурсов, которыми вы обладаете, со списком оборудования (и его комплектности), закупленного организацией. Для сверки оборудования и его комплектности можно воспользоваться соответствующим программным обеспечением (например, Microsoft SMS Server) и т. п.

Сюда же можно отнести создание карты сети с описанием всех возможных точек подключения, составление списка используемого программного обеспечения, формирование фонда эталонов лицензионного программного обеспечения, используемого в организации, а также фонда алгоритмов и программ собственной разработки.

Следует учесть, что программное обеспечение может быть допущено к работе лишь после его проверки отделом защиты информации на соответствие поставленным задачам, отсутствие всевозможных закладок и «логических бомб».

Хотелось бы сказать о появившейся у нас тенденции к использованию приложений с открытыми кодами. Бесспорно, они приносят существенную экономию ресурсов. Однако, думается, в этом случае безопасность определяется доверием уже не только к разработчику системы, но и к вашему администратору. А если принять во внимание зарплату администратора, то нетрудно сделать вывод, что купить ваши секреты намного проще и дешевле, чем осуществлять прямую внешнюю атаку. Стоит упомянуть и о том, что большую часть успешных атак осуществили инсайдеры (служащие самой компании).

Думается, что применять свободно распространяемое ПО, если существует риск нанесения серьезного ущерба, можно лишь при условии, что оно будет поставляться вам в откомпилированном виде и с цифровой подписью организации, гарантирующей отсутствие логических бомб, всяческого рода закладок и «черных ходов». Причем организация-гарант должна нести материальную ответственность. Однако на сегодня такое предложение стоит отнести к разряду нереальных.

После проверки эталонное программное обеспечение заносится в фонд алгоритмов и программ (эталонная копия должна сопровождаться файлом контрольной суммы, а лучше — электронной подписью разработчика). В дальнейшем, при смене версий, появлении обновлений, проверка программного обеспечения производится установленным порядком.

В формуляр каждого компьютера заносятся сведения об установленном программном обеспечении, указывается дата установки, цели, решаемые с помощью данного ПО, задачи, ставится фамилия и подпись лица, производившего установку и настройку ПО. После создания подобных формуляров служба информационной безопасности должна обеспечивать регулярную проверку соответствия реального положения формуляру.

Следующим этапом в построении службы защиты информации должен стать анализ рисков организации, на основе которого будет создаваться политика безопасности.