Информационная безопасность. Общее понимание.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
В последние три десятилетия информационные технологии совершили настоящий прорыв. Появление гипертекста, IP-телефонии, увеличение тактовых частот процессоров и пропускной способности каналов связи, развитие «облачных технологий» и мобильных устройств и многое другое. Все это существенно усложнило процесс не только разработки, но и обслуживания ИТ-инфраструктуры. Появилась новая профессия – системный администратор.
Системный администратор является специалистом, обеспечивающим бесперебойную работу всей ИТ-инфраструктуры компании. Далеко не последнее место в работе сисадмина занимает обеспечение информационной безопасности корпоративных ресурсов.
Для обеспечения информационной безопасности администратору нужно как самому корректно устанавливать программное обеспечение, так и устанавливать обновления и исправления на уже использующееся ПО. Решение данных задач, особенно в крупных компаниях, требует зачастую много времени и большого числа специалистов, так как обычно в крупных компаниях обслуживанием системы телефонии, серверов электронной почты, веб-ресурсов и других систем занимаются разные специалисты. Но при этом каждая из этих систем должна быть построена с учетом требований по обеспечению информационной безопасности. Однако информационные системы, как правило, взаимосвязаны, например серверы электронной почты под управлением Microsoft Exchange должны входить в домен Active Directory, система IP-телефонии связана с почтовой системой, а веб-серверы связаны с серверами баз данных. Кроме того, благодаря развитию концепции BYOD (Bring Your Own Device, Принеси свое устройство с собой) многие сотрудники теперь используют для работы свои мобильные устройства: планшеты и телефоны. Эффективное обеспечение информационной безопасности для таких интегрированных систем требует от соответствующего специалиста обширных технических знаний в смежных областях, так как иначе плохая защищенность одного элемента интегрированной системы может свести на нет все усилия по защите других ее элементов. Как говорится, прочность всей цепи определяется прочностью ее самого слабого звена.
Лучше всего непосредственно при построении корпоративной сети использовать наиболее жесткие настройки для всех ресурсов. Как правило, производители приложений и оборудования сами рекомендуют использовать наиболее защищенные режимы работы и подробно описывают их настройку (например, применение сложных паролей для входа пользователей в систему, защита электронной почты от нежелательных рассылок, отключение учетных записей пользователей по умолчанию, запрет удаленного доступа к корпоративным ресурсам и т. д.).
Однако типичной ситуацией является наличие какой-либо корпоративной инфраструктуры, которая строилась на протяжении нескольких лет различными специалистами, на разных моделях оборудования и приложений. При этом в данную инфраструктуру встраиваются «облачные» сервисы, такие как «облачное» хранилище файлов, офисные приложения и другое. Также здесь актуальна проблема, уже упоминавшаяся ранее с использованием мобильных устройств. В таких случаях корпоративные ресурсы по различным причинам содержат уязвимости и недостатки, связанные с информационной безопасностью.
У системного администратора, как правило, много работы. Особенно в небольших компаниях, где порядка 100 рабочих мест, полтора-два десятка серверов и один, максимум два человека должны все это обслуживать. В результате эти специалисты ежедневно заняты текущей работой, такой как решение проблем пользователей, замена картриджей в принтерах и бумаги в факсах, подготовка рабочих мест для новых пользователей и т. п. При этом зачастую задачи по обеспечению безопасной настройки программного обеспечения и оборудования, написания инструкций и политик по информационной безопасности
для пользователей ставятся на задний план и, как правило, не выполняются. Причиной этого является как занятость системных администраторов, так и отсутствие у них соответствующих знаний и навыков для обеспечения информационной безопасности.
Для крупных компаний эта проблема не так актуальна, потому что, например, в больших банках имеется отдел или даже департамент по обеспечению информационной безопасности. Соответственно, решением задач информационной безопасности занимаются уже не системные администраторы, а администраторы по безопасности. При этом системные администраторы и администраторы по информационной ьезопасности выполняют различные задачи, одни обслуживают ИТ-ресурсы и обеспечивают их функциональность, а другие обеспечивают безопасность ИТ-инфраструктуры. Администраторы по информационной безопасности готовят политики и инструкции для системных администраторов.
Но в любом случае, независимо от того, кто отвечает за обеспечение информационной безопасности, системный администратор или администратор по информационной безопасности, этому специалисту необходимо регулярно производить оценку защищенности корпоративных ИТ-ресурсов, то есть аудит информационной безопасности системы.
Конечно, многие крупные организации предпочитают привлекать для осуществления проверки защищенности корпоративной информационной системы профессиональных аудиторов. Однако это имеет смысл только для крупных организаций, к которым предъявляются требования различных стандартов (ГОСТ, ISO и др.). Небольшим компаниям подобный аудит просто не по карману, и поэтому задача осуществления практического аудита ложится на системного администратора как главного специалиста по корпоративной сети. К тому же такие проверки необходимо делать регулярно, что также накладывает дополнительные расходы.
