Что выбрать?
Универсальных рецептов тут нет. Все зависит от тех целей, которые ставит перед собой руководитель организации или ИТ-отдела. Можно привести только некоторые общие рекомендации. Во-первых, затраты на обеспечение информационной безопасности не должны превышать стоимость защищаемого объекта или величину ущерба, который может возникнуть вследствие атаки на защищаемый объект. Основная проблема - правильно оценить возможную стоимость такого ущерба.
В зависимости от масштаба компании можно выделить три основных класса сетей:
-
IECO (International Enterprise Central Office) - центральная сеть международной распределенной компании, которая может насчитывать сотни и тысячи узлов;
-
ROBO (Regional Office / Branch Office) - сеть регионального филиала, насчитывающего несколько десятков или сотен узлов;
-
SOHO (Small Office / Home Office), - сети небольших филиалов или домашние (мобильные) компьютеры, подключаемые к центральной сети.
Можно также выделить три основных сценария обеспечения информационной безопасности для этих классов сетей, различающихся различными требованиями по обеспечению защиты информации.
При первом сценарии минимальный уровень защищенности обеспечивается за счет возможностей, встроенных в сетевое оборудование, которое установлено на периметре сети (например, в маршрутизаторах). В зависимости от масштабов защищаемой сети эти возможности (защита от подмены адресов, минимальная фильтрация трафика, доступ к оборудованию по паролю и т. д.) реализуются в магистральных маршрутизаторах - например, Cisco 7500 или Nortel BCN, маршрутизаторах региональных подразделений - например, Cisco 2500 или Nortel ASN, и маршрутизаторах удаленного доступа - например, Cisco 1600 или 3Com OfficeConnect. Больших дополнительных финансовых затрат этот сценарий не требует.
Второй сценарий, обеспечивающий средний уровень защищенности, реализуется уже при помощи дополнительно приобретенных средств защиты, к которым могут быть отнесены несложные межсетевые экраны, системы обнаружения атак и т. п. В центральной сети может быть установлен межсетевой экран (например, CheckPoint Firewall-1), на маршрутизаторах могут быть настроены простейшие защитные функции, обеспечивающие первую линию обороны (списки контроля доступа и обнаружение некоторых атак), весь входящий трафик проверяется на наличие вирусов и т. д. Региональные офисы могут защищаться более простыми моделями межсетевых экранов. При отсутствии в регионах квалифицированных специалистов рекомендуется устанавливать программно-аппаратные комплексы, управляемые централизованно и не требующие сложной процедуры ввода в эксплуатацию (например, CheckPoint VPN-1 Appliance на базе Nokia IP330).
Третий сценарий, позволяющий достичь максимального уровня защищенности, предназначен для серверов e-Commerce, Internet-банков и т. д. В этом сценарии применяются высокоэффективные и многофункциональные межсетевые экраны, серверы аутентификации, системы обнаружения атак и системы анализа защищенности. Для защиты центрального офиса могут быть применены кластерные комплексы межсетевых экранов, обеспечивающих отказоустойчивость и высокую доступность сетевых ресурсов (например, CheckPoint VPN-1 Appliance на базе Nokia IP650 или CheckPoint VPN-1 с High Availability Module). Также в кластер могут быть установлены системы обнаружения атак (например, RealSecure Appliance).
Для обнаружения уязвимых мест, которые могут быть использованы для реализации атак, могут быть применены системы анализа защищенности (например, семейство SAFE-suite компании Internet Security Systems). Аутентификация внешних и внутренних пользователей осуществляется при помощи серверов аутентификации (например, CiscoSecure ACS). Ну и, наконец, доступ домашних (мобильных) пользователей к ресурсам центральной и региональных сетей обеспечивается по защищенному VPN-соединению. Виртуальные частные сети (Virtual Private Network - VPN) также используются для обеспечения защищенного взаимодействия центрального и региональных офисов. Функции VPN могут быть реализованы как при помощи межсетевых экранов (например, CheckPoint VPN-1), так и при помощи специальных средств построения VPN.
Казалось бы, после того как средства защиты приобретены, все проблемы снимаются. Однако это не так: приобретение средств защиты - это только верхушка айсберга. Мало приобрести защитную систему, самое главное - правильно ее внедрить, настроить и эксплуатировать. Поэтому финансовые затраты только на приобретении СЗИ не кончаются.
Необходимо заранее заложить в бюджет такие позиции, как обновление программного обеспечения, поддержку со стороны производителя или поставщика и обучение персонала правилам эксплуатации приобретенных средств. Без соответствующего обновления система защиты со временем перестанет быть актуальной и не сможет отслеживать новые и изощренные способы несанкционированного доступа в сеть компании.
Авторизованное обучение и поддержка помогут быстро ввести систему защиты в эксплуатацию и настроить ее на технологию обработки информации, принятую в организации. Примерная стоимость обновления составляет около 15-20% стоимости программного обеспечения. Стоимость годовой поддержки со стороны производителя, которая, как правило, уже включает в себя обновление ПО, составляет около 20-30% стоимости системы защиты. Таким образом, каждый год нужно тратить не менее 20-30% стоимости ПО на продление технической поддержки средств защиты информации.
Стандартный набор средств комплексной защиты информации в составе современной ИС обычно содержит следующие компоненты:
-
средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System - FES);
-
средства авторизации и разграничения доступа к информационным ресурсам, а также защиту от несанкционированного доступа к информации с использованием систем биометрической авторизации и технологии токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.);
-
средства защиты от внешних угроз при подключении к общедоступным сетям связи (Internet), а также средства управления доступом из Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection);
-
средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики;
-
средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии защищенных виртуальных частных сетей (VPN);
-
средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружения атак (Intrusion Detection);
-
средства обеспечения централизованного управления системой информационной безопасности в соответствии с согласованной и утвержденной "Политикой безопасности компании".
В зависимости от масштаба деятельности компании методы и средства обеспечения ИБ могут различаться, но любой квалифицированный CIO или специалист IT-службы скажет, что любая проблема в области ИБ не решается односторонне - всегда требуется комплексный, интегральный подход.
Приобретение и поддержка средств защиты - это не бесполезная трата финансовых средств. Это инвестиции, которые при правильном вложении окупятся с лихвой и позволят вывести бизнес на желаемый уровень!
- 0. Введение: Введение:
- Информация и информационная культура
- Информация, данные, знание и развитие экономики
- Информационные революции
- Информация и информационная культура предприятия
- Контрольные вопросы и задания
- Сферы применения информационных технологий
- Обработка информации
- Хранение информации. Базы и хранилища данных
- Развитие инструментальных средств обработки информации
- Предыстория эвм
- Вычислительные устройства
- Поколения эвм
- Суперкомпьютеры и кластеры
- Компьютеры следующего поколения
- Контрольные вопросы и задания
- Предпосылки быстрого развития информационных технологий
- Этапы развития информационных технологий
- Проблемы, стоящие на пути информатизации общества
- Задачи и процессы обработки информации
- Преимущества применения компьютерных технологий
- Инструментальные технологические средства
- Тенденции развития ит
- От обработки данных - к управлению знаниями
- Децентрализация и рост информационных потребностей
- Интеграция децентрализованных систем
- Капиталовложения и риски
- Психологический фактор и языковые уровни
- Развитие ит и организационные изменения на предприятиях
- Контрольные вопросы и задания
- Развитие Internet/Intranet технологий
- Поисковые системы
- Internet-технологии в бизнесе
- Электронная коммерция
- Контрольные вопросы и задания
- Понятие информационной системы
- Информационная стратегия как ключевой фактор успеха
- Внешнее и внутреннее информационное окружение предприятия
- Информационный контур, информационное поле
- Контрольные вопросы и задания
- Роль структуры управления в формировании ис
- Типы данных в организации
- От переработки данных к анализу
- Системы диалоговой обработки транзакций
- Рабочие системы знания и автоматизации делопроизводства
- Управляющие информационные системы
- Системы поддержки принятия решений
- Olap-технологии
- Технологии Data Mining
- Статистические пакеты
- Нейронные сети и экспертные системы
- Информационные системы поддержки деятельности руководителя
- Контрольные вопросы и задания
- Взаимосвязь информационных подсистем предприятия
- Сервис-ориентированная архитектура ис
- Контрольные вопросы и задания
- Принципы создания информационной системы
- Принцип "открытости" информационной системы
- Структура среды информационной системы
- Модель создания информационной системы
- Реинжиниринг бизнес-процессов
- Отображение и моделирование процессов
- Обеспечение процесса анализа и проектирования ис возможностями case-технологий
- Внедрение информационных систем
- Основные фазы внедрения информационной системы
- Контрольные вопросы и задания
- Управленческий учет и отчетность
- Автоматизированные информационные системы
- Интегрированная информационная среда
- Эволюция кис
- Контрольные вопросы и задания
- Методология планирования материальных потребностей предприятия mrp
- Стандарт mrp II
- Контрольные вопросы и задания
- Erp и управление возможностями бизнеса
- Состав erp-системы
- Основные различия систем mrp и erp
- Особенности выбора и внедрения erp-системы
- Основные принципы выбора erp-системы
- Основные технические требования к erp-системе
- Оценка эффективности внедрения
- Особенности внедрения erp-системы
- Основные проблемы внедрения и использования erp-систем
- Неэффективность внедрения
- Сложность эффективной интеграции erp-систем с приложениями третьих фирм
- Ограниченные аналитические возможности erp-систем и недостаточная поддержка процессов принятия решений
- Контрольные вопросы и задания
- Функциональное наполнение концепции crm
- Главные составляющие crm-системы
- Планирование ресурсов предприятия, синхронизированное с требованиями и ожиданиями покупателя
- Новая покупательская ценность
- Выстраивание новых взаимоотношений: фокус на покупателя, а не на продукт
- Главная цель - "интегрирование" покупателя
- Использование открытых технологий
- Методология scm: ключ к согласованному бизнесу
- Контрольные вопросы и задания
- Надо ли защищаться?
- От кого защищаться?
- От чего защищаться?
- Как защищаться?
- Чем защищаться?
- Кто и как должен заниматься организацией защиты?
- Что выбрать?
- Контрольные вопросы и задания
- 14. Лекция: Заключение: