О проекте Размещение рекламы Карта портала КорзинаКорзина Распечатать

Этапы построения системы IT-Безопасности


Этапы построения системы IT-Безопасности

В предыдущей статье мы попробовали разобраться с ключевыми компонентами типовой системы IT безопасности и пришли к выводу, что именно комплексный подход к организации защиты информационного пространства является одним из обязательных условий ее эффективности.
 
Однако далеко не каждой компании для защиты ее информационного пространства требуется весь спектр рассмотренных нами программно-технических,  административно-организационных и нормативно-правовых мероприятий. Акценты и приоритеты при формировании IT защиты напрямую зависят от размера предприятия, характера его деятельности, количества клиентов и многих других определяющих факторов. Кроме того, нельзя сбрасывать со счетов и уже имеющиеся компоненты системы защиты, в которые могут быть вложены немалые финансовые ресурсы. Поэтому, приступая к практической реализации, невозможно обойтись без предварительного анализа уже имеющейся инфраструктуры, на основе которого и будет строиться проект будущей системы IT безопасности.
 
АУДИТ
Начать следует с полного аудита имеющихся технических средств, периферийных устройств, сетевой инфраструктуры, программного обеспечения, механизмов функционирования существующей ИТ службы предприятия. Ясно, что для построения полноценной системы защиты должно быть, как минимум известно, что же в реальности надо будет защищать — какие рабочие станции, серверы, точки доступа, маршрутизаторы, принтеры, линии связи и так далее. В частности, необходимо составить список используемого в работе программного обеспечения, причем именно такого ПО,  без которого невозможны или сильно затруднены те или иные бизнес-процессы. В идеале — чем меньше программ, не имеющих отношения к их прямым рабочим обязанностям, доступно конечным пользователям, тем надежнее и эффективнее будет работать вся система.
 
Хотелось бы особо отметить важность интервьюирования всех пользователей на базе опросных листов: часто именно сбор жалоб и пожеланий конечных пользователей помогает зафиксировать многие неявные проблемы в работе IT системы. Проведение подобного аудита позволяет решить и некоторые другие задачи — например, избавиться от сбоев и определить «узкие места» в работе IT-системы, выявить потребность в модернизации и реконструкции, организовать и улучшить поддержку IT системы , разработать корпоративные стандарты поддержки IT системы и в конечном итоге повысить эффективность работы всей компании. Однако качественный аудит — задача далеко не простая, и собственными силами самой компании провести его не всегда реально, да вовсе и не обязательно, благо услуга IТ аудита довольно широко распространена на рынке. Более того, именно независимая проверка оказывается наиболее объективной, без оглядки на чье-либо мнение вскрывая промахи в работе как ИТ службы, так и руководящего состава компании. Как правило, по результатам такого аудита клиент получает подробный отчет, в котором, в частности, отражены такие направления, как состояние кабельной системы, реализация резервного копирования, наличие избыточного трафика в сети, наличие ошибок в трафике, список пользователей с целью предоставления рекомендаций по внедрению политики безопасности, наличие незащищенных дисковых ресурсов, состояние безопасности ИТ системы для выявления потенциальных угроз несанкционированного доступа, инвентаризация программных и аппаратных средств, загруженность каналов связи для определения и локализации критических участков инфраструктуры сети, перечень запущенных служб. Также может быть проведена оценка эффективности работы информационной системы, ее готовности к внедрению новых сервисов, даны рекомендации по легализации используемого ПО, внедрению новых программных и аппаратных решений. И одной из самых главных задач IT-аудита в нашем случае будет являться выявление наиболее уязвимых с точки зрения безопасности компонентов  информационного пространства компании.
 
АКЦЕНТЫ
Безусловно, использование самых дорогих, мощных и современных решений на всех этапах построения системы IT безопасности может только повысить общий уровень защищенности. Однако, скорее всего, столь бескомпромиссный подход к решению данной задачи может оказаться как раз тем случаем, когда батарейки к наручным часам будут занимать два чемодана. Поэтому разработка действительно эффективной системы информационной безопасности каждого конкретного предприятия или компании в условиях ограниченности бюджета и человеческих ресурсов должна в полной мере соответствовать убыткам, которые может понести компания при поражении того или иного компонента IT системы. Соответственно, акценты и приоритеты при формировании информационной защиты должны, прежде всего, основываться на перечне наиболее уязвимых точек и процессов IT-системы, полученном как раз в ходе рассмотренного чуть выше независимого аудита. И в целом финансовые затраты на обеспечение безопасности не должны превышать того оптимального уровня, за которым пропадает экономический смысл их применения или, еще хуже, теряется возможность просто нормально работать в такой системе. Грубо говоря, если вся работа вашей компании зависит от надежности интернет-канала, значит, именно его защите и резервированию надо уделить первоочередное внимание. Если же на первом месте — электронный документооборот, и при утере какого-нибудь чертежа завод попросту встанет, значит, при распределении бюджета приоритет следует отдать системам хранения и резервного копирования данных. Если же основные убытки вы можете понести в случае утечки конфиденциальной информации, то основные средства придется направить на качественную защиту от несанкционированного доступа, шифрование и DLP-системы (Data Loss/Leak Prevention]. Вообще каждую систему защиты следует разрабатывать индивидуально, учитывая даже такие особенности конкретной компании, как ее организационную структуру, объем и характер информационных потоков, количество и характер выполняемых операций, функциональные обязанности персонала, количество и характер клиентов, график суточной нагрузки и так далее, но анализ рисков — первоочередной фактор.
 
Разумеется, подобная расстановка акцентов при формировании бюджета будущей системы безопасности отнюдь не означает, что где-то можно сознательно оставлять «дыры» в защите. Наоборот, подобный подход должен улучшить степень защиты IT-пространства, сконцентрировав основные усилия в наиболее ответственных узлах системы, предотвращая совершенно излишнее распыление средств. Впрочем, в некоторых случаях достаточно и фрагментарного подхода к построению системы защиты. Так, если бюджет катастрофически ограничен, то может оказаться наиболее разумным сосредоточить его на противодействии строго определенным типам угроз, представляющим наибольшую опасность в данной конкретной компании, или же защите только конкретных, критически важных узлов системы. В простейшем варианте это уже упоминавшаяся нами в предыдущих статьях защита рабочих станций малого офиса с помощью антивирусных систем уровня Kaspersky Small Office Security. Но и в этом случае желательно иметь в виду переход в обозримом будущем к комплексному методу защиты, в который должны будут органично вписаться уже принятые меры. На полученную в ходе аудита оценку приоритетов необходимо опираться и при разработке политики безопасности предприятия. Бессмысленно вкладывать деньги только в программно-технические средства для защиты от утечек информации без строгой кадровой политики, разработки соответствующих нормативно-правовых документов, обязательных к исполнению работниками предприятия, без соответствующего контроля за действиями сотрудников.
 
Таким образом, для построения максимально эффективной системы информационной безопасности недостаточно одного лишь комплексного подхода. В основе всех без исключения ее составляющих, о которых мы писали в прошлой статье нашего цикла, должен лежать основанный на объективных данных независимого аудита анализ текущего состояния дел в этой области, а также оценка возможных убытков при поражении инфраструктуры, определение наиболее опасных типов угроз и «чувствительных» точек IT-пространства компании.
 
ОЦЕНКА ЗАТРАТ
Правильно выделить и распределить бюджет без предварительной оценки затрат на внедрение и обслуживания системы IT-безопасности вряд ли получится. Можно, конечно, оторвать от сердца некую произвольную сумму денег (сколько не жалко), а дальше пусть IT-отдел крутится, как хочет. Но тут почему-то сразу вспоминается известный мультфильм про то, как заказчик требовал сшить ему семь шапок из одной шкурки. Не конфигурация системы безопасности должна быть следствием выделенного бюджета, как у нас часто принято, а как раз наоборот. Задачи, которые требуют решения, должны быть определяющим фактором при выделении финансовых и человеческих ресурсов. На сегодняшний день нормой, с точки зрения специалистов по IT-безопасности, считается, если затраты на обеспечение режима информационной безопасности составляют до 30 % всех затрат на информационную систему в случае повышенных требований к безопасности (например, в банках, на критических производствах] и до 10—20% стоимости информационной системы на обычных предприятиях (объекты гостайны, напомню, мы не рассматриваем). Тогда система безопасности себя действительно оправдывает, и ее пользователи вполне могут чувствовать себя защищенными. Эти деньги должны пойти на следующее:
—     IT-аудит;
—     закупка и настройка программно-технических средств защиты;
—     затраты на обеспечение физической безопасности;
—     обучение персонала;
—     управление и поддержка системы  (администрирование безопасности);
—     периодическая модернизация и аудит системы ИБ.
 
Опять же в отечественном малом и среднем бизнесе далеко не каждой компании по плечу все это правильно просчитать и спрогнозировать, да и вряд ли в этом есть смысл. У специалистов, занимающихся информационной безопасностью, имеются и опыт, и адекватные методики, позволяющие оценить совокупную стоимость владения для подсистемы ИБ. Причем при грамотном расчете таких базовых составляющих, как затраты на контроль системы и предупреждение нарушений, общие затраты на безопасность могут быть существенно снижены, поскольку меньше придется тратить на компенсацию последствий нарушений политики безопасности, притом что уровень защиты будет близок к максимально возможному.

Разумеется, мы рассмотрели основные этапы подготовки к внедрению системы IT-безопасности в весьма упрощенном виде — на практике существует великое множество нюансов, требующих порой весьма нестандартного подхода. Но, думается, даже этот краткий обзор поможет отнестись к процессу создания системы IT-безопасности с должной долей ответственности. Самое же разумное — не полагаться на студентов, готовых за порцию «Доширака» установить пиратские антивирусы, а воспользоваться услугами профессионалов. Безопасность — как раз тот случай, когда скупой платит даже не дважды, а, пожалуй, на порядки больше.

Источник: www.stroyip.ru


Размещение рекламы в каталоге

Перейти в раздел:
Системы безопасности и связи




 

ООО КЛИНИНГОВАЯ КОМПАНИЯ РАЙДО

© 2005-2019 Интернет-каталог товаров и услуг StroyIP.ru

Екатеринбург
Первомайская, 104
Индекс: 620049

Ваши замечания и предложения направляйте на почту
stroyip@stroyip.ru
Телефон: +7 (343) 383-45-72
Факс: +7 (343) 383-45-72

Информация о проекте
Размещение рекламы