10 Советов от Ernst&Young по защите информации

• Заставьте служащих, поставщиков и нанятых по контракту работников подписать договор о неразглаше­нии. Регулярно создавайте резервные копии информации.

• Установите правила загрузки и использования информации в компьютерах.

• Запретите пользователям оставлять на рабочих местах памятки, содержащие идентификаторы и пароли доступа в корпоративную сеть.

• Запретите оставлять на корпусах мобильных компьютеров памятки, содержащие идентификаторы и па­роли, применяемые для удаленного доступа.

• Запретите использовать доступ к Internet не для деловых целей.

• Применение пароля на загрузку компьютеров должно быть обязательным для всех.

• Создайте классификацию всех данных по категориям важности и усильте контроль над ограничением доступа в соответствии с ней.

• Запирайте компьютеры либо любым другим способом предотвращайте доступ ко всем компьютерным системам по окончании рабочего дня.

• Введите правило использования паролей доступа к файлам, содержащим секретную или ответственную информацию.

Любому человеку, который хотя бы раз принимал участие в выборе и закупке средств защиты информации очевидна потребность в предварительном анализе ситуации на рынке таких средств и учета тенденций его развития. Ответственность за правильный выбор высока, поскольку ошибочный выбор средств защиты мо­жет привести к отказу от их использования уже в ближайшем будущем, и как следствие, к излишним матери­альным затратам.

Здесь предлагается краткий обзор текущей ситуации и особенностей рынка средств защиты информации в компьютерных системах.

На состояние рынка средств защиты в России оказывают влияние различные факторы. К числу основных из них относятся:

• раньше объектом защиты были отдельно стоящие компьютеры, максимум объединенные в ЛВС, сейчас это - совокупности территориально разнесенных связанных между собой сетей;

• все шире используются ОС со встроенной защитой от НСД (Windows NT 5. 0, Novell Netware 5. 0, UNIX), сложность которых значительно превосходит сложность MS-DOS;

• в мире не существует "самой лучшей" операционной системы (ОС), следовательно организации "обрече­ны" на применение различных ОС. Применение нескольких операционных систем существенно затрудня­ет обеспечение безопасности автоматизированной системы, так как увеличивается общее количество уязвимых мест (у каждой ОС они свои), а также усложняется сопровождение всей системы;

• проектируемые системы рассчитаны на довольно долгую жизнь. Именно поэтому особое внимание об­ращается потребителями на сопровождение программного продукта.

• усложняются способы информационного взаимодействия между пользователями, следовательно для обеспечения их безопасного взаимодействия необходимо использование средств криптозащиты.

• создание систем защиты класса защищенности ниже "5" не имеет смысла. Такие ОС как Windows NT, Novell Netware v4. 11 на сегодняшний день сертифицированы по классу С2 ("Orange Book" и "Red Book" соответственно), что схоже с требованиями класса защищенности "5" РД Гостехкомиссии России. Трудно предположить, что от добавления дополнительных программ эти ОС станут "сертифицированнее" по рос­сийским требованиям;

• разработка средств защиты под новые ОС должна учитывать особенности, присущие этим ОС, и добав­лять только те возможности, которые нужны администраторам и конечным пользователям, но не реали­зованные производителем ОС в силу различных причин;

• особое внимание следует уделять вопросам удобства управления существующими и дополнительными механизмами защиты с целью облегчения работы администратора по управлению безопасностью в орга­низации;

• в связи с использованием нескольких ОС в одной и той же организации остро встает вопрос о преем­ственности модельного ряда систем защиты одного производителя для того, чтобы обеспечить единый подход к защите данных;

• создание систем защиты с учетом указанных выше положений требует значительно больших материаль­ных затрат и объединения усилий большего количества программистов.