KPETOB.COM

Kretov Nikolai Nikolaevich：小型组织的信息安全

如果您至少偶尔会听新闻发布，那么您可能听说过银行、政府机构和许多其他组织中重要和机密信息被盗或被破坏的情况。也许你的电脑上什至有一个电话簿，据一位熟人说，巧克力棒是由在城市自动电话交换机工作的好朋友 Petya 提供的，这个电话簿是从他的计算机上复制的。这些都是与确保组织中的信息安全相关的“错误”。不幸的是，即使在您的组织中也是可能的。

不相信？这里有些例子：

在您组织的员工中有一个好心人 Kolya，他修理打印机、清洁计算机、安装对工作至关重要的各种程序，有时甚至可以设置 1C 会计或壁炉。但他经常抱怨工资太低，当他认为工资不再支付他的工作时，他就离开了。几天后，您的 1C 数据库“离开”到遗忘状态，由于一些难以想象的巧合，无法恢复。更糟糕的是，如果这个 Kolya 出于正义的报复，在他看来，将基地送到税务局，或者放在互联网上的某个地方，许多经济学学生将有一个很好的机会来练习绘制各种以贵公司为例的各种资产负债表。

碰巧好人科利亚甚至没有抱怨他的薪水，而是像圣弗朗西斯一样尝试，但是在一个美好的一天，几位幸运的绅士打开了大门，带走了您组织因过度劳累而获得的所有财产（连同使用计算机）并且您的会计师吞下了大量的Validol，意识到无法用纸片制作税务局的报告。如果您的组织发生火灾（上帝保佑！），那么甚至不会留下文件。当然，在阅读了上面写的所有内容后，您会想：“好吧！这是从什么是不幸以及如何处理它的系列！或者是的！是的！我们肯定会考虑事情的进展，但在一周内。”一天后，发生了一些事情，导致你的信息死亡，你准备把头发扯下来，但正如他们所说：“为时已晚，我的朋友！”

黑暗的图片，对吧？如果您从个人经验或朋友的经验中熟悉了这一切，并且得出了适当的结论，那么您很幸运！据说您已将丢失信息的风险降至最低。和那些还没有遇到过这种麻烦的先生女士们（呸呸呸），我想分享一下我的经验。

因此，是时候考虑处理威胁我们的危险的实用方法了。第一的。你需要一个正常、理智的系统管理员。为简单起见，以后我们称他为系统管理员。非常希望从以前的工作中询问申请系统管理员角色的人。正如他们所说，他可能是“额头上的七跨”，多才多艺，但流氓，喜欢“左”兼职工作，例如，将有关您组织的任何数据传递给您的竞争对手，这会对您的组织造成直接损害。根据我的经验（对您来说这可能看起来很矛盾，但这是事实）我可以建议在技术大学的本科生中寻找系统管理员。通常有3-4个“聪明”的负责人，您可以从中选择一个在组织成立初期非常有能力应对行政任务的人。此外，许多高年级学生，在职业生涯的初期，“不为生活所折磨”，不为家庭所累，为新事物而奋斗。在系统管理员的工作中对新事物的渴望是一个重要的品质，因为他必须使用的软件变化非常快。

在雇佣合同（或其他文件，例如合同）中，必须规定系统管理员对与您的信息相关的非法行为的责任。当然，俄罗斯联邦的《刑法典》也有这方面的相关条款（见《刑法典》第 28 章，称为“计算机信息领域的犯罪”，包含三条：“非法获取计算机信息”）（第 272 条）、“为计算机创建、使用和分发恶意程序”（第 273 条）和“违反计算机、计算机系统或其网络的运行规则”（第 274 条），但在合同中提及责任不会是多余的。因为如果一个人知道他对某件事负有直接责任（最好是在经济上），那么他会在做错事之前三思而后行。

当然，有了上述要求，系统管理员的报酬应该是足够的。至少不像清洁工。准备好向您的系统管理员支付费用，就像一名优秀的会计师一样。

此外，非常希望在雇佣合同中规定，您的系统管理员在其工作期间为组织的需要开发的所有软件产品及其源代码都是组织的财产。如果您的管理员决定退出，您需要此项目。对于一个新人来说，了解老系统管理员的事务会容易得多。反过来，这将使您的公司能够在没有与信息技术相关的故障的情况下工作。

记住！一个好的系统管理员是你管理公司的左手，如果不是右手的话。它在各种危急甚至普通情况下都有很大帮助。听听他的意见！如果管理员又蠢又懒，不努力发展，那就麻烦了！

第二。您需要与您的系统管理员一起制定某种内部技术规范，必须严格遵守。该法规至少应包括以下部分：

如何备份重要和关键信息
紧急情况下验证备份和恢复信息的程序
用户权利政策

你为什么需要它？让我们考虑以下几点：

备份重要信息的程序应规范备份数据库的时间、方式和地点，其中包含组织正常运作所需的信息。比如每周五17-00，会计下班后，你从你的防火保险箱（俗称“闪存盘”）中取出一个移动硬盘或大容量闪存盘，以及您的系统管理员在您的“订单”程序中的某些帮助下完成此操作，将您的服务器或工作站的数据库备份到此磁盘。现在有很多备份程序，您的系统管理员可能会决定要复制哪个程序。

进行备份的驱动器应该是私有的，这意味着它应该只由您保存，最好放在防火保险箱中，或者其他所有员工都无法接触到的地方。记住！在紧急情况下，这是唯一可以帮助您避免许多麻烦的事情。此磁盘只能在备份或恢复数据时由系统管理员使用。您可能有一个问题：“为什么不能将访问权限授予系统管理员？”因为，别人的灵魂是黑暗的，无论你的系统管理员多么优秀，他一夜之间，出于某种原因对整个世界或特别是对你生气，可能会毁掉主数据库及其备份副本。最后，你将一无所有！

所以制作了副本。下一步是什么？接下来，您需要在监管文件中提供恢复和验证备份的过程。做什么的？谁能保证你的系统管理员不只是喝咖啡，而是认真地做了他应该做的事？要找出这一点，您需要从您的磁盘（当然，在另一台计算机上）进行试用数据恢复，例如，如果这是会计信息，请会计师检查余额中备份的数量被制作了。如果残余物汇聚 - 系统管理员处于警戒状态。否则，系统管理员应因疏忽受到处罚。记住！缺乏对账（比如一个月一次）可能会导致系统管理员会通知你一切正常，但在关键时刻他将无能为力。

在成功验证后，将正在恢复的数据库的副本刻录到 CD/DVD 光盘也是一个很好的做法。这些光盘与移动光盘一样，必须存放在您的保险箱中。随着信息 CD/DVD 的积累，它们可以被销毁，但根据个人经验，如果光盘不包含将来可能需要的信息，则可以销毁一年或更早的光盘。销毁信息也应体现在您的《规定》中，必须严格遵守。也就是说，不只是将磁盘或软盘扔进桶中，从而向竞争对手提供有关您组织的数据，而是将其刻录或切割成几个部分。禁止所有员工在未先将其切成碎片或将其通过碎纸机的情况下简单地将带有任何信息的光盘、软盘甚至纸张扔进垃圾箱是有道理的。毕竟，如果某些攻击者找到了包含属于您组织的信息的软盘或其他介质，甚至是艺术文章。刑法第 272 条（非法获取信息），因为他刚刚找到它，而你只是把它扔掉。竞争对手不睡觉！

有备份就明白了。一切？不是！还有另一个威胁。这一次，它来自计算机用户。如果用户有机会不受控制地上网，甚至上网，那么备份数据库将不得不像系统管理员所说的那样定期“提升”。为什么？因为用户可以随意擦除属于其他用户的文件，他们可以将病毒从互联网带入你的网络，他们终于可以看到计算器计算工资的时间，支付给谁，然后讨论工资吸烟室。在我的实践中，曾经有过这样一个案例，一位会计 A 为会计 B 记账，而那天不在的会计 B 根据该条被解雇，因为账户交易是代表会计 B 进行的。不愉快，对?这就是为什么有必要为每个用户定义一个唯一的名称，并且用户必须选择一个访问密码，他（而且只有他）必须定期更改（一个月一次就足够了），而不是写在一张折叠的纸上键盘下方。密码必须是“强”。也就是说，即使是没有经验的黑客也会在几分钟内获得像 211281 这样的密码。但即使是经验丰富的黑客也无法获取密码“zgxv $123”。

你可能会反对，但是如何记住这些无意义的字母和数字呢？我推荐以下方法。以你童年时记得的任何韵律为例，“从一个微笑中，每个人都会变得更加明亮。”我们在英文键盘布局中键入押韵单词的首字母。我们得到一个像“jecdc”这样的字符串。让我们将密码添加到 7 个字符中，例如数字 12。如果我们再添加一个 $ 或 # 符号，那么我们将得到一个类似“jecdc12#”的密码，即使对于有经验的黑客来说也太难了。

此外，您的系统管理员必须使用访问权限区分用户（他知道如何做到这一点），仅授予对在您的服务器上工作所必需的目录（文件夹）的访问权限，对不应该访问的任何人关闭 Internet（因为互联网现在是病毒的温床），以便有必要的人访问互联网。所有这些都应在您的“用户权利政策”中详细说明。记住！非常重要的是，您的计算机用户以他们的“名称”和“密码”输入计算机的操作系统（相同的 Windows）和各种程序（如果他们有相应的功能）。不允许员工使用“外国”密码或用户名。通过灌输他们来回应系统管理员关于员工使用非您的用户名的消息。只有严格遵守使用密码和用户名的政策，才能快速确定谁、如何以及何时损坏了某些文件、文档、数据库。这些措施简化了损坏数据的恢复，并减少了组织信息提供失败时的停机时间。如果所有员工都以“Administrator”的名义输入不同的程序，密码为“1”，那么就找不到失败和错误的肇事者！

第三。切勿将电子数字签名 (EDS)、银行客户系统的密码、塑料卡、用于向联邦税务局和其他组织传输数据的程序存储在计算机硬盘上。您不想在某个美好的时刻看到您的帐户上的零吗？我想不是。因此，所有关键信息都必须存储在您个人保险箱中的可移动介质上。（例如，在个人闪存驱动器上）除了您应该有权访问此媒体之外，没有人。除了您组织的员工（出于恶意或错误）使用您的 EDS 或密码在银行客户系统中转账的风险之外，这些数据还可能被病毒或其他程序窃取通过 Internet 在您的计算机上。在后一种情况下，您可能会发现这笔钱是昨天从账户中扣除的，甚至试图找出是谁做的也不会成功。悲剧也将是同一家银行执行转账指令，因为会输入正确的密码或正确的EDS，并且无法证明输入签名或密码的不是你。同样的要求也适用于与银行、联邦税务局和其他代理机构合作的会计师的 EDS。会计师必须拥有包含此类信息的个人媒体。

万一怀疑，即使是最轻微的，有人甚至可以找到密码的一部分，或者至少一秒钟可以使用（甚至只是持有）带有 EDS 的媒体 - 立即阻止它，然后更改密码或 EDS。

第四。使用许可软件（软件）。节省软件费用可能会导致被起诉的风险以及未经许可的软件可能会损坏您的数据或将您的数据传输给 Internet 上的攻击者的事实（黑客让软件“免费”不仅是为了爱艺术的）。如果是软件，您的系统管理员会告诉您需要什么来确保您的组织的性能。至少，除了用于执行员工主要工作的程序之外，所有工作站和服务器无一例外都必须具有带有最新更新集的许可操作系统和安装了最新防病毒数据库的许可防病毒软件。但是，请尽量避免使用新奇的“小玩意”，因为未经测试的程序通常是不稳定的，可能会损坏您的数据。

这些只是基于作者作为系统管理员和各个组织的系统管理员负责人的经验提出的一些重要建议。听着，即使您的数据发生问题，该事件也不会是一场灾难。

附言写这篇文章时，应朋友的要求，作者不得不在新年前处理一个组织发生火灾的后果。他们严格遵守上面列出的要求，进行了备份，但是……每六个月一次。不，在他们按预期完成之前，每周一次，但由于没有发生任何可怕的事情，组织挥手放松。一场大火，烧毁了所有的纸质报告，包括发放工资和存货核算。正如许多会计师可能知道的那样，在年初，需要向联邦税务局报告……