Информационно-аналитическое издание компании "Информ Сервис", г. Лысьва, Пермский край  № 40, декабрь 2009 г.  
 
  Информ сервис Информ Газета Главная

О Газете

Архив

Сайт Информ Сервис

 
 
 


Весь номер


  • В новый год - с новой программой
    Начало года - лучшее время для перехода на новую версию программы Бухгалтерия 8.
    Читать статью


  • Что ждет в 2010 году бухгалтеров? и директоров?
    Изменения в налоговом законодательстве России.
    Читать статью


  • Записки автоматизатора
    Продолжение истории про автоматизацию - в лицах, фактах и цифрах.
    Читать статью


  • Законодательство
    Актуальные изменения в Российском законодательстве


  • Информационная безопасность
    Угрозы информационной безопасности предприятия - просто о сложном.
    Читать статью


  • ЛИНИЯ КОНСУЛЬТАЦИЙ
    Ответы на часто задаваемые вопросы по работе в бухгалтерских программах.
    Читать статью


Алексей Морозов





Алексей Гладких,
руководитель отдела технического обслуживания
компании "Информ Сервис"


Распространение информационных технологий в бизнесе и повсеместное внедрение электронных способов хранения и обработки данных позволило поднять эффективность работы с информацией но и повлекло за собой новые проблемы, связанные с обеспечением безопасности данных. К сожалению, большинство пользователей, работающих с теми или иными электронными устройствами, имеют весьма поверхностное представление о возможных опасностях и о тех ситуациях, с которыми они могут столкнуться. Мы начинаем цикл статей, посвященный информационной безопасности, начнем с теории.


Информационная безопасность

Цель информационной безопасности - защита конфиденциальности, целостности и доступности информации, хранящейся в электронном виде. Конфиденциальность - это защита информации от людей, которым запрещен к ней доступ. Целостность означает то, что данные не могут изменяться теми, кто не имеет для этого прав. Доступность говорит о том, что к данным или сервисам всегда есть доступ для тех, кому даны на это права.

Также при обеспечении информационной безопасности учитывается, что угрозы могут быть внешние и внутренние. К внешним относятся угрозы, вызываемые вирусами, атаками из Интернет, действиями злоумышленников. К внутренними, действия, вызываемы персоналом, начиная от ошибок пользователа, заканчивая инсайдерскими случаями.

Исходя из этих положений существует и несколько направлений в организации защиты данных. Рассмотрим основные угрозы и методы защиты.

Хранение и передача данных. Доступ к данным

Аутентификация - это процесс определения личности пользователя по предоставленной им информации. Она необходима для разграничения доступа к данным и сервисам. Существуют разные способы аутентификации пользователей - ставшие уже классическими пароли, ключевые файлы, электронные ключи, и пока еще не очень широко распространенные, например биометрия.

Пароли - один из самых простых и распространенных способов аутентификации. Современным пользователям приходится работать с несколькими десятками систем, каждая из которых требует авторизации - это доступ по паролю к рабочему компьютеру, базе данных, системам типа банк-клиент. При выработке паролей следует придерживаться следующих базовых правил. Пароли должны быть достаточной длины (не менее 6 - 8 символов, а лучше более) и представлять собой случайные сочетания букв в разных регистрах, цифр, а также дополнительных символов. Рекомендуется периодически менять пароли. При этом желательно, чтобы они не повторялись для разных систем.

Шифрование данных

Авторизация не является единственным способом ограничения доступа к информации, поскольку не подразумевает защиту самих данных в процессе хранения. Шифрование - это искусство преобразовывать информацию так, чтобы она становилась непонятной, а также умение выполнять обратный процесс. С помощью шифрования обеспечивается безопасность при хранении и передаче данных.

В современных условиях многие программные комплексы используют шифрование при работе с хранимыми данными. Так же есть специализированные системы для шифрования переписки по электронной почте, пользовательских документов.

Хранение данных

Хранение данных так же рассматривается с точки зрения их конфиденциальности, целостности и доступности. При организации хранилищ данных используются специальные аппаратные средства, повышающие надежность хранения, программные средства, исключающие риск несанкционированного доступа.

Программное обеспечение

Разработчики программного обеспечения регулярно выпускают заплатки или новые версии программ, позволяющие устранить найденные уязвимости. Рекомендуется оперативно устанавливать такие обновления, поскольку с момента обнаружения ошибки и до ее использования в каком-то вирусе может пройти всего несколько дней. В некоторых случаях, например для операционной системы Windows, обновление может осуществляться в автоматическом или полуавтоматическом режиме.

Другая проблема - угрозы со стороны непроверенного программного обеспечения, если у пользователя компьютера есть возможность установки такового.

Компьютерные вирусы

Вредоносные программы несут угрозу конфиденциальности, целостности и доступности информации, уничтожая данные, воруя информацию или выводя из стоя операционный системы на персональных компьютерах.

Компьютеры, зараженные вирусами или троянскими программами, представляют угрозу не только для своих пользователей, поскольку распространяют сетевых червей и служат источниками вирусов. В последнее время зараженные машины нередко применяются для рассылки спама или для организации распределенных атак на web-сайты, что уже не раз приводило к перебоям в работе ряда ресурсов на несколько часов и даже суток. Использование антивируса с регулярно обновляемыми антивирусными базами, а также специальных программ, предназначенных для борьбы со шпионским программным обеспечением, значительно снижает угрозу заражения компьютера вредоносными программами.

Интернет и безопасность

Интернет - это не только мощная информационная среда, но и место, представляющее опасность для всех его пользователей. Среди угроз, исходящих из Сети, - вирусы и сетевые черви, эксплуатация уязвимостей в программах, спам и различные виды мошеннических приемов.

Безопасная работа в Интернете подразумевает не только корректное поведение и регулярную установку обновлений используемого программного обеспечения, включая операционную систему, но и применение персонального брандмауэра. При этом необходимо обеспечивать фильтрацию как входящих, так и исходящих соединений. Брандмауэр, предусмотренный в Windows XP, - хорошее средство, защищающее от сетевых червей, эксплуатирующих уязвимости в операционной системе, однако не является полноценным решением, поскольку осуществляет фильтрацию только входящих соединений и соответственно не может защитить от несанкционированной передачи данных из компьютера в Сеть.

Персональная информация

Пользователи, ведущие в Сети активную деятельность, оставляют в Интернете массу персональной информации, которой могут воспользоваться не только их друзья и знакомые, но и различные недоброжелатели. Это касается и различных данных, оставляемых в форумах, конференциях, социальных сетях и гостевых книгах.

Резервное копирование

Многие пользователи недооценивают необходимость постоянного резервного копирования важных данных. Обычно подобное отношение продолжается ровно до первого выхода из строя используемого ими жесткого диска вместе с потерей всей содержащейся на нем информации. Жесткие диски являются весьма сложными электронно-механическими устройствами, и даже использование предназначенных для мониторинга их технического состояния технологий, подобных SMART, не всегда позволяет предупредить поломку.

Конечно, стоимость используемого решения должна быть соотносима с важностью информации, но например на источник бесперебойного питания жалеть денег точно не следует, поскольку неожиданное выключение компьютера или случайный скачок напряжения может привести к выходу из строя блока питания и к поломке жесткого диска, а также других компонентов компьютера. В тех случаях, когда требуется обеспечить бесперебойность работы системы или доступа к информации, решение может заключаться в использовании технологии RAID, например в режиме зеркалирования дисков, когда выход одного из них не влияет на работу компьютера в целом.

Инсайд. Похищение информации

Еще одна угроза, которая проявляется при бесконтрольном использовании информационных систем - это похищение деловой информации неблагонадежными сотрудниками и третьими лицами. Комплекс решений в данном случае - это контроль и аудит доступа сотрудников к данным, а также ограничение утечек через сменные носители, электронную почту или

Заключение

Невозможно в рамках одной публикации раскрыть все аспекты, связанные с обеспечением безопасности. Важно понять, что обеспечение безопасности возможно только в комплексе многих отдельных решений. В следующих статьях я постараюсь разобрать более подробно отдельные решения для обеспечения информационной безопасности.



 
  Использование материалов допускается только по согласованию с редакцией. При использовании материалов ссылка на сайт Информ Сервис обязательна, при публикаци на сайтах необходима установка гиперссылки на сайт Информ Сервис. По вопросам размещения рекламы и с предложениями и замечаниями по работе сайта обращайтесь на

©2009, ООО "Информ Сервис"