Теорія

Введение в Информационную безопасность для Руководителей и Сотрудников

Leave a comment

480px-5%d0%a1%d0%b8%d1%80%d0%be%d1%82%d0%b8%d0%bd1Сегодня можно найти немало публикаций на тему информационной безопасности поскольку теоретиков и просто любителей поговорить на серьезные темы существует в избытке, а тема безопасности действительно серьезная и говорить о ней можно почти бесконечно. Но пока серьезные темы только обсуждаются руководители и сотрудники компаний, формально заинтересованные в информационной безопасности, продолжают существовать без нее. Причина простая - они не хотят изучать саму безопасность, им просто необходимо, чтобы она была и они согласны выполнить  для этого определенные инструкции, но из слов теоретиков не могу понять какие именно.

Ниже я нарушу привычный порядок лекций, и сначала опишу главные факторы и несколько моделей безопасности с конкретными инструкциями для руководителей и сотрудников. Теорию и объяснения я перенесу во вторую часть.

Категории Моделей

Итак, отложив все объяснения и теорию на потом я сейчас дам конкретные инструкции на основе усредненной практики.

Набор инструкций определится категорией модели информационной безопасности, которая вам подходит. Выбор модели зависит от многих факторов, от числа компьютеров, отношений между сотрудниками и уровня их компьютерной компетенции. Читайте последовательно описания моделей, которые упорядочены по возрастанию сложности и цены.

Нулевая

Нулевая безопасность - самая распространенная модель и понимать ее надо буквально, как отсутствие безопасности. Нулевая модель используется там, где нет сотрудников с компетенцией в области информационной безопасности. Практически эта модель не подходит никому и других достоинств кроме нулевой стоимости она не имеет:

  • учетные записи не используются
  • пароли отсутствуют или простые известные всем сотрудникам
  • права всех записей максимальные администраторские
  • доступ ко всем данным есть у всех пользователей
  • риски самые высокие из-за высокой уязвимости со всех сторон, и со стороны ошибок пользователей, и со стороны других компьютеров, и со стороны Интернет, вся система может быть поражена из любой точки
  • настройка почти не требуется, и часто состоит в отключении подсистем защиты, которые мешают работе пользователей
  • цена нулевой модели тоже нулевая, но только до первого прецедента, которым может стать как случайность, так и саботаж, диверсии, поломки, ошибки в эксплуатации, которые могут полностью уничтожить все данные в системе, таким образом цена модели окажется равной цене всех потерянных данных
  • компетенция минимальная
Минимальная

Минимальная модель состоит в максимальном упрощении мероприятий защиты внутри системы, но создании первичной защиты от возможных внешних факторов. Подойдет для микро-офиса, маленького семейного бизнеса или магазинчика, для дома без детей:

  • парк компьютеров от 1 до 5, при большем числе риски и цена аварии очень увеличиваются (см. ниже)
  • учетная запись единая для всех
  • пароли стойкие и соответствуют требованиям, известны всем сотрудникам
  • права всех записей максимальные администраторские
  • доступ ко всем данным есть у всех пользователей
  • риски высокие из-за высокой уязвимости со стороны ошибок пользователей, и со стороны других компьютеров, при поражении системы в любой точке система может быть поражена полностью
  • настройка состоит в применении штатных средств безопасности
  • цена низкая при настройке и высокая при восстановлении потерь данных
  • компетенция настройки начальная базовая, может быть выполнена опытным пользователем самостоятельно
  • компетенция эксплуатации высокая т.к. каждый пользователь самостоятельно управляет системой и данными и любые ошибки могут сильно повредить
Базовая

Базовая модель состоит в использовании штатных мер защиты систем и личных данных и полной доступности общих данных для неограниченной коллективной работы. Подойдет для небольшого офиса и для общего домашнего компьютера:

  • парк компьютеров от 1 до 10
  • учетная запись единая для всех или определяется специализацией (например одна запись для директора, другая для  всех бухгалтеров, третья для менеджеров)
  • пароли стойкие и соответствуют требованиям, известны группам сотрудников по специализации и руководителям
  • права всех записей ограниченные, но в отдельным случаях по специализации администраторские
  • доступ ко всем данным есть у всех пользователей
  • антивирус крайне рекомендуется для повышения защищенности каждого компьютера
  • риски средние при эксплуатации системы и высокие для данных из-за уязвимости со стороны ошибок пользователей, при поражении системы в любой точке системы частично защищены, но данные могут быть поражены полностью
  • настройка учетной записи выполняется однократно на каждом компьютере и для каждой учетной записи, при изменении настройки выплняется на каждом компьютере относящемся к изменению.
  • цена средняя при настройке и высокая при восстановлении потерь данных
  • компетенция настройки средняя профессиональая, достаточно внештатного специалиста
  • компетенция эксплуатации системы средняя и высокая для данных, к которым пользователь имеет полный доступ
Профессиональная

Профессиональная модель состоит в применении штатных мер защиты системы и данных. Рекомендуется как основное решение для малого и среднего бизнеса:

  • парк компьютеров от 1 до 30 и больше
  • учетная запись создается каждому сотруднику и в особых случаях для группы по специализации
  • пароли стойкие и соответствуют требованиям, известны только самому сотруднику
  • права всех записей ограниченные, возможностью администратоского доступа пользователи сами не обладают, при не обходимости обращаются к администратору
  • доступ к данным назначается пользователям персонально или по группам специализации
  • антивирус крайне рекомендуется для повышения защищенности каждого компьютера
  • сервер хранящий данные и реализующих меры защиты данных независимо от пользователей крайне рекомендуется
  • риски низкие при эксплуатации системы и средние для данных из-за уязвимости со стороны ошибок пользователей, при поражении системы в любой точке другие системы защищены,  но данные частично могут быть поражены.
  • настройка учетной записи выполняется однократно на каждом компьютере и для каждой учетной записи, при изменении настройки выполняется на каждом компьютере относящемся к изменению, набольшее внимание уделятся настройке и обслуживанию сервера, объем настроек растет по экспоненте при увеличении парка.
  • цена средняя при настройке и восстановлении потерь данных, при использовании сервера цена восстановления низкая
  • компетенция настройки средняя профессиональная, для парка до 10 компьютеров достаточно внештатного специалиста компьютерной безопасности, парк от 10 до 30 компьютеров требует регулярных работ внештатного специалиста, парк более 30 компьютеров требует специалиста в штате.
  • компетенция эксплуатации системы средняя и средняя для данных, к которым пользователь имеет доступ
Доменная

Доменная модель используется в развитых информационных системах при наличии штатного высококвалифицированного специалиста в области информационной безопасности. Если вас не устроила Профессиональная модель, то читать дальше не будет для вас полезным, надо искать хорошего специалиста в штат, и уже он объяснит остальные подробности. Для полноты картины я дам представление и о Доменной модели:

  • парк компьютеров от 20 и больше
  • учетная запись создается каждому сотруднику
  • пароли стойкие и соответствуют требованиям, известны только самому сотруднику
  • права всех записей ограниченные, возможностью администратоского доступа сами пользователи не обладают, при не обходимости обращаются к администратору
  • доступ к данным назначается пользователям персонально или по группам специализации
  • антивирус обязателен
  • сервер обязателен и возможно не один
  • риски низкие при эксплуатации системы и средние для данных в пределах ошибок пользователей, при поражении системы в любой точке другие системы защищены, но данные частично могут быть поражены
  • настройка учетной записи выполняется однократно на сервере, при изменении настройка выполняется через сервер
  • цена низкая при настройке и восстановлении потерь данных
  • компетенция настройки высокая профессиональная, при парке больше 15 компьютеров требует специалиста в штате.
  • компетенция эксплуатации системы низкая и средняя для данных, к которым пользователь имеет доступ

Инструкции

Ниже приведены конкретные инструкции по организации каждой модели безопасности.

Общие инструкции

Для администрирования будут необходимы два пароля:

  • Придумайте пароль локального администратора, который будет общим на всех компьютерах, при этом учтите рекомендации. Никогда и никому ни при каких обстоятельствах не сообщайте этот пароль. Пароль следует передать директору только в случае увольнения.
  • Придумайте пароль дополнительного администратора для использования в ненадежных среда.
  • После установки системы запись администратора необходимо активировать и установить пароль локального администратора. Встроенная учетная запись администратора должна использоваться только для задач администрирования.
  • Назначьте имя компьютеру, при этом учтите рекомендации.
Инструкции к Минимальной модели

а:

  • Придумайте общий пароль доступа пользователей к системе
  • Создайте на каждом компьютере учетную запись Super с общим паролем доступа и правами администратора. Сообщите пароль пользователям.
Инструкции к Базовой модели

а:

  • Создайте на каждом компьютере учетную запись User с паролем "0000" и ограниченными правами. Сообщите об этом пользователям с общим доступом.
  • Придумайте пароль для привилегированного доступа пользователей к системе
  • Создайте на каждом компьютере учетную запись Super с паролем привилегированного доступа и правами администратора. Сообщите пароль пользователям, которым необходим привилегированный доступ.
Инструкции к Профессиональной модели

а:

  • Создайте на каждом компьютере учетную запись User с паролем "0000" и ограниченными правами.
  • Создайте на каждом компьютере персональные учетные записи пользователей или записи по специализации, при этом учтите рекомендации.
  • Подготовьте матрицу доступа по имени и специализации пользователей в столбцах и доступными ресурсами в строках
  • Создайте группы пользователей по специализации и ограничьте права записей включением в эти группы.
  • Для созданных групп по специализации установите права доступа к ресурсам.

Модели

ос удовлетворит. !!! все остальное будет определяться этим выбором.

Нулевая Компьютеров: 1-3
Число сотрудников: 1-5
Отношения: доверительные партнерские
Описание: Предельно простая модель подойдет если вы - единственный пользователь, либо все пользователи равноправны. Подойдет для микро-офиса, маленького семейного бизнеса или магазинчика, для дома без детей.
Малая Компьютеров: 1-10
Число сотрудников: 3-15
Отношения: функциональное разделение с коллективной ответственностьюОписание: !!! простейший способ авторизации по функциональному назначению, если пользователей надо разделить только по решаемым задачам (если все директора работают на одном ПК и/или с одним набором документов, если бухгалтеры часто меняются и/или несколько бухгалтеров работают на одном компьютере и/или с одними и теми же документами)
Средняя Компьютеров:  до ~25
Пользователей: до ~50
Отношения: персональное и смено-бригадное резделение и ответственность.
Облачная учетные записи Microsoft
Большая учетные записи в домене

Факторы и элементы безопасности

Авторизация

Все современные системы взаимодействуя с пользователями или другими программами всегда создают некую среду взаимодействия, которая хранит настройки, результаты и историю взаимодействий.

Чтобы со временем вернуться в свою среду и продолжить взаимодействие, а также для того чтобы посторонние не могли в эту среду попасть, перед открытием среды пользователь выполняет авторизацию.

Авторизация заключается во вводе имени и пароля, поэтому у любой среды они есть, даже если  на практике пользователь их не вводит.

Прежде чем станет возможным авторизоваться именем и паролем необходимо сначала создать учетную запись с этим именем и установить пароль.

В русских системах Winodows всегда есть учетная запись с именем Администратор, которая первоначально не имеет пароля.

Начиная с Windows 7 учетная запись Администратор первоначально отключена и требует для использования  явного включения.

На учетную запись Администратор необходимо установить достаточно сложный пароль, который защитит ее в первую очередь от вирусных и хакерских атак и только во вторую очередь от других пользователей.

Учетная запись Администратор предназначена для выполнения настроек и аварийных работ, поэтому пользоваться повседневно  ею не следует.

Для повседневной работы необходимо создать новую учетную запись

User -

User для максимальной простоты, и при абсолютной уверенность, что более сложная модель безопасности не понадобится.
Boss
Book
Officer		 простейший способ авторизации по функциональному назначению, если пользователей надо разделить только по решаемым задачам (если все директора работают на одном ПК и/или с одним набором документов, если бухгалтеры часто меняются и/или несколько бухгалтеров работают на одном компьютере и/или с одними и теми же документами)
персональные учетные записи

.

Leave a Reply