- Was ist künstliche Intelligenz?
- Mythos oder Realität der neuronalen Netzwerkintelligenz?
- Zugriffsschutz für Informationen
- Leben in der Wolke
- Cloud Computing
- Anonymizer als Mittel zum Schutz von elektronischem Geld
- Erstellung eines Firmenblogs
- Viren auf Webseiten
- Endlose Weiten des Internets. E-Mail.
- Einführung in OpenCL
- Informationssicherheit einer kleinen Organisation
- Videokonferenzsysteme
Kretov Nikolai Nikolaevich: Informationssicherheit einer kleinen Organisation
Wenn Sie sich zumindest gelegentlich Pressemitteilungen anhören, haben Sie wahrscheinlich schon vom Diebstahl oder der Zerstörung wichtiger und vertraulicher Informationen in Banken, Regierungsbehörden und vielen anderen Organisationen gehört. Vielleicht haben Sie sogar ein Telefonbuch auf Ihrem Computer, das einem Bekannten zufolge von einer guten Freundin Petja, die in einer städtischen Telefonzentrale arbeitet, für einen Schokoriegel bekommen hat, von deren Computern dieses Verzeichnis kopiert wurde. Dies sind alles „Bugs“ im Zusammenhang mit der Gewährleistung der Informationssicherheit in Organisationen. Leider ist dies auch in Ihrer Organisation möglich.
Glauben Sie nicht? Hier sind einige Beispiele:In den Mitarbeitern Ihrer Organisation gibt es einen freundlichen Kolya, der Drucker repariert, Computer reinigt, verschiedene für die Arbeit wichtige Programme installiert und manchmal sogar 1C-Buchhaltung oder Kamin einrichten kann. Aber oft beschwert er sich über das geringe Gehalt, und wenn seiner Meinung nach das Gehalt für seine Arbeit nicht mehr bezahlt wird, geht er. Und nach ein paar Tagen „verschwinden“ Ihre Datenbanken von 1C in Vergessenheit, die aufgrund eines unvorstellbaren Zufalls nicht wiederhergestellt werden können. Schlimmer noch, wenn dieser Kolya aus rechtschaffener Rache, wie es ihm scheint, die Grundlagen ans Finanzamt schickt oder irgendwo ins Internet stellt, und viele Wirtschaftsstudenten haben eine hervorragende Gelegenheit, das Erstellen verschiedener zu üben Arten von Bilanzen am Beispiel Ihres Unternehmens.
Es kommt vor, dass der gute Kerl Kolya sich nicht einmal über sein Gehalt beschwert und es wie der heilige Franziskus versucht, aber eines schönen Tages öffnen ein paar Glücksritter die Tür und nehmen das gesamte durch Überarbeitung erworbene Eigentum Ihrer Organisation weg (zusammen mit Computern) und Ihre Buchhalter schlucken tonnenweise Validol und erkennen, dass ein Bericht für das Finanzamt nicht aus Zetteln gemacht werden kann. Und wenn es in Ihrer Organisation brennt (Gott bewahre!), dann bleiben nicht einmal Papiere übrig. Nachdem Sie alles oben Geschriebene gelesen hatten, dachten Sie sicherlich: „Nun! Dies ist aus einer Serie darüber, was Pech hat und wie man damit umgeht! oder Ja! Ja! Wir werden auf jeden Fall überlegen, wie es bei uns weitergeht, aber in einer Woche.“ Und einen Tag später passiert etwas, das zum Tod Ihrer Informationen führt, und Sie sind bereit, sich die Haare zu raufen, aber wie sie sagen: "Es ist zu spät, mein Freund!"
Dunkle Bilder, oder? Wenn Ihnen das alles aus eigener Erfahrung oder von Freunden bekannt ist und Sie die entsprechenden Schlüsse gezogen haben, haben Sie Glück! Sie sollen Ihr Risiko, Informationen zu verlieren, minimiert haben. Mit den Herren und Damen, die noch nicht auf solche Probleme gestoßen sind (pah-pah), möchte ich meine Erfahrung teilen.
Es ist also an der Zeit, über praktische Methoden zum Umgang mit den Gefahren nachzudenken, die uns bedrohen. Zuerst. Sie brauchen einen normalen, vernünftigen Systemadministrator. Der Einfachheit halber nennen wir ihn künftig Systemadministrator. Es ist sehr wünschenswert, Anfragen aus früheren Jobs über die Person zu stellen, die sich für die Rolle Ihres Systemadministrators bewirbt. Er kann, wie man so schön sagt, „sieben Schläge auf der Stirn“, ein Alleskönner sein, aber auch schurkisch sein und eine Vorliebe für „linke“ Teilzeitarbeit haben, z. was Ihrer Organisation direkten Schaden zufügt. Aus meiner Erfahrung (es mag Ihnen paradox erscheinen, aber es ist eine Tatsache) kann ich empfehlen, unter Studenten technischer Universitäten nach einem Systemadministrator zu suchen. In der Regel gibt es 3-4 "helle" Köpfe, aus denen Sie eine Person auswählen können, die in der Anfangsphase der Organisationsgründung durchaus in der Lage ist, administrative Aufgaben zu bewältigen. Hinzu kommt, dass viele Senioren in der Anfangsphase ihrer Karriere „nicht vom Leben gequält“, nicht von Familien belastet sind und nach Neuem streben. Und der Wunsch nach Neuem in der Arbeit eines Systemadministrators ist eine wichtige Eigenschaft, da sich die Software, mit der er arbeiten muss, sehr schnell ändert.
In einem Arbeitsvertrag (oder einem anderen Dokument, z. B. einem Vertrag) ist es zwingend erforderlich, die Haftung für illegale Handlungen in Bezug auf Ihre Informationen seitens Ihres Systemadministrators festzulegen. Natürlich enthält das Strafgesetzbuch der Russischen Föderation relevante Artikel zu diesem Thema (angegeben in Kapitel 28 des Strafgesetzbuchs, das als "Verbrechen im Bereich Computerinformationen" bezeichnet wird und drei Artikel enthält: "Illegaler Zugriff auf Computerinformationen" (Art. 272), „Erstellung, Nutzung und Verbreitung von Schadprogrammen für Computer“ (Art. 273) und „Verstoß gegen die Vorschriften für den Betrieb von Computern, Computersystemen oder deren Netzen“ (Art. 274), sondern eine Erwähnung im Vertrag Haftung wäre nicht überflüssig. Denn wenn ein Mensch weiß, dass er direkt (und am besten finanziell) für etwas verantwortlich ist, dann überlegt er es sich zehnmal, bevor er etwas falsch macht.
Natürlich sollte die Vergütung des Systemadministrators angesichts der oben genannten Anforderungen angemessen sein. Zumindest nicht wie eine Putzfrau. Seien Sie bereit, Ihren Systemadministrator wie einen guten Buchhalter zu bezahlen.
Darüber hinaus ist es sehr wünschenswert, im Arbeitsvertrag festzulegen, dass alle Softwareprodukte und Quellcodes dafür, die von Ihrem Systemadministrator für die Bedürfnisse der Organisation während der Zeit der Arbeit darin entwickelt wurden, Eigentum der Organisation sind. Sie benötigen dieses Element, falls Ihr Administrator beschließt, das Programm zu beenden. Es wird für eine neue Person viel einfacher sein, die Angelegenheiten eines alten Systemadministrators zu verstehen. Und dies wiederum ermöglicht es Ihrem Unternehmen, ohne Ausfälle im Zusammenhang mit der Informationstechnologie zu arbeiten.
Erinnern! Ein guter Systemadministrator ist Ihre linke, wenn nicht sogar rechte Hand im Management des Unternehmens. Es kann in verschiedenen kritischen und sogar gewöhnlichen Situationen sehr hilfreich sein. Hören Sie auf seine Meinung! Wenn der Administrator dumm und faul ist und sich nicht um Entwicklung bemüht, dann erwarten Sie Ärger!
Zweite. Sie müssen zusammen mit Ihrem Systemadministrator eine Art interner technologischer Regulierung entwickeln, die strikt befolgt werden muss. Die Verordnung sollte mindestens die folgenden Abschnitte enthalten:
- So sichern Sie wichtige und kritische Informationen
- Das Verfahren zum Überprüfen von Backups und Wiederherstellen von Informationen im Notfall
- Benutzerrechterichtlinie
Warum brauchen Sie es? Betrachten wir die Punkte:
Das Verfahren zur Sicherung wichtiger Informationen sollte regeln, wann, wie und wo Sie Ihre Datenbanken sichern, die Informationen enthalten, die für das normale Funktionieren der Organisation erforderlich sind. Beispielsweise nehmen Sie jeden Freitag um 17:00 Uhr nach Arbeitsende der Buchhalter eine mobile Festplatte oder eine Flash-Disk mit großer Kapazität aus Ihrem feuerfesten Safe (im Volksmund als „Flash-Laufwerk“ bezeichnet) und Ihr Systemadministrator erledigt dies mit Hilfe bestimmter in Ihrer „Ordnung“ befindlicher Programme, um Datenbanken von Ihren Servern oder Workstations auf diese Platte zu sichern. Es gibt mittlerweile viele Sicherungsprogramme, und Ihr Systemadministrator entscheidet möglicherweise, von welchem Programm Kopien erstellt werden sollen.
Das Laufwerk, auf dem Backups erstellt werden, sollte privat sein, d. h. es sollte nur von Ihnen aufbewahrt werden, vorzugsweise in einem feuerfesten Safe oder anderweitig außerhalb der Reichweite aller Ihrer Mitarbeiter. Erinnern! Im Notfall ist dies das einzige, was Ihnen helfen kann, viele Probleme zu vermeiden. Diese Festplatte sollte nur in den Händen eines Systemadministrators sein, während Daten gesichert oder wiederhergestellt werden. Sie haben vielleicht eine Frage: „Warum können Sie dem Systemadministrator keinen Zugriff darauf gewähren?“ Denn die Seele eines anderen ist dunkel, und egal wie gut Ihr Systemadministrator ist, er kann über Nacht, aus irgendeinem Grund wütend auf die ganze Welt oder speziell auf Sie, sowohl die Hauptdatenbank als auch ihre Sicherungskopie ruinieren. Am Ende bleibt Ihnen nichts!
Es werden also Kopien gemacht. Was weiter? Als nächstes müssen Sie in Ihrem Regulierungsdokument das Verfahren zum Wiederherstellen und Überprüfen von Backups angeben. Wozu? Und wer garantiert, dass Ihr Systemadministrator nicht nur Kaffee getrunken, sondern gewissenhaft getan hat, was er tun sollte? Um dies herauszufinden, müssen Sie eine Probedatenwiederherstellung von Ihrer Festplatte (natürlich auf einem anderen Computer) durchführen und beispielsweise, wenn es sich um Buchhaltungsinformationen handelt, den Buchhalter bitten, die Salden auf die Nummer zu überprüfen, ab der die Sicherung erstellt wurde wurde gemacht. Wenn die Reste zusammenlaufen, ist der Systemadministrator in Alarmbereitschaft. Andernfalls sollte der Systemadministrator für Fahrlässigkeit bestraft werden. Erinnern! Das Fehlen von Abstimmungen (z. B. einmal im Monat) kann dazu führen, dass der Systemadministrator Sie darüber informiert, dass alles in Ordnung ist, aber in einem kritischen Moment nichts unternehmen kann.
Es empfiehlt sich auch, nach erfolgreicher Überprüfung eine Kopie der wiederherzustellenden Datenbank auf CD/DVD zu brennen. Diese Discs müssen ebenso wie die mobile Disc in Ihrem Safe aufbewahrt werden. Wenn sich Informations-CDs/DVDs ansammeln, können sie vernichtet werden, aber nach persönlicher Erfahrung können Discs, die ein Jahr oder älter sind, vernichtet werden, wenn sie keine Informationen enthalten, die in Zukunft möglicherweise benötigt werden. Die Vernichtung von Informationen sollte sich auch in Ihren „Vorschriften“ widerspiegeln und muss strikt eingehalten werden. Das heißt, nehmen Sie nicht einfach eine Diskette oder Diskette und werfen Sie sie in einen Eimer, um einem Konkurrenten Daten über Ihre Organisation zu geben, sondern brennen oder schneiden Sie sie in mehrere Teile. Es ist sinnvoll, allen Mitarbeitern zu verbieten, Discs, Disketten und sogar Papiere mit irgendwelchen Informationen einfach in die Tonne zu werfen, ohne sie vorher in Stücke zu schneiden oder durch einen Aktenvernichter zu schreddern. Wenn schließlich ein Angreifer eine Diskette oder ein anderes Medium mit Informationen findet, die Ihrer Organisation gehören, wird sogar der Artikel von Art. 272 des Strafgesetzbuches (Illegaler Zugang zu Informationen), weil er es gerade gefunden hat und Sie es einfach weggeworfen haben. Und Konkurrenten schlafen nicht!
Verstanden mit Backup. Alles? Nein! Es gibt eine weitere Bedrohung. Diesmal kommt es von Computerbenutzern. Wenn Benutzern die Möglichkeit gegeben wird, unkontrolliert im Netzwerk und erst recht im Internet zu surfen, müssen Datenbanken aus Backups, wie Systemadministratoren sagen, regelmäßig „geliftet“ werden. Wieso den? Denn Benutzer können Dateien anderer Benutzer frei löschen, sie können einen Virus aus dem Internet in Ihr Netzwerk einbringen, sie können endlich sehen, wann der Rechner dort das Gehalt berechnet hat und wie viel sie an wen gezahlt haben, gefolgt von einer Gehaltsdiskussion das Raucherzimmer. In meiner Praxis gab es einen Fall, in dem ein Buchhalter A Buchungen für Buchhalter B machte und Buchhalter B, der an dem Tag nicht da war, wegen des Artikels gefeuert wurde, weil Kontotransaktionen im Auftrag von Buchhalter B durchgeführt wurden. Unangenehm, richtig ? Deshalb ist es notwendig, für jeden Benutzer einen eindeutigen Namen zu definieren und der Benutzer muss ein Passwort für den Zugang wählen, das er (und nur er) regelmäßig ändern muss (einmal im Monat reicht) und nicht auf einen Zettel stecken unter der Tastatur. Das Passwort muss „stark“ sein. Das heißt, selbst ein unerfahrener Hacker wird ein Passwort wie 211281 in ein paar Minuten abgreifen. Aber selbst ein erfahrener Hacker wird nicht in der Lage sein, das Passwort "zgxv $ 123" abzugreifen.
Sie mögen widersprechen, aber wie soll man sich dieses sinnlose Durcheinander von Buchstaben und Zahlen merken? Ich empfehle folgende Methode. Nehmen Sie einen beliebigen Reim, an den Sie sich aus Ihrer Kindheit erinnern, zum Beispiel „Aus einem Lächeln wird es für alle heller.“ Wir geben die ersten Buchstaben der Wörter des Reims im englischen Tastaturlayout ein. Wir erhalten eine Zeichenfolge wie "jecdc". Lassen Sie uns das Passwort zu 7 Zeichen hinzufügen, zum Beispiel die Zahlen 12. Wenn wir ein weiteres $- oder #-Zeichen hinzufügen, erhalten wir ein Passwort wie "jecdc12#", das selbst für einen erfahrenen Hacker zu schwierig sein wird.
Außerdem muss Ihr Systemadministrator Benutzer anhand von Zugriffsrechten unterscheiden (er weiß, wie das geht), Zugriff nur auf die Verzeichnisse (Ordner) gewähren, die für die Arbeit auf Ihrem Server erforderlich sind, das Internet für alle sperren, die dies nicht tun sollen (weil die Das Internet ist jetzt eine Brutstätte von Viren), um denjenigen Zugang zum Internet zu verschaffen, die dies benötigen. All dies sollte in Ihrer „Richtlinie zu Benutzerrechten“ festgehalten werden. Erinnern! Es ist sehr wichtig, dass Ihre Computerbenutzer das Betriebssystem des Computers (dasselbe Windows) und verschiedene Programme (wenn sie die entsprechende Funktion haben) unter ihrem "Namen" und mit ihrem "Passwort" eingeben. Erlauben Sie Mitarbeitern nicht, „fremde“ Passwörter oder Benutzernamen zu verwenden. Reagieren Sie auf Nachrichten des Systemadministrators über die Verwendung von Nicht-Ihren Benutzernamen durch Mitarbeiter, indem Sie diese einführen. Nur bei strikter Einhaltung der Richtlinie zur Verwendung von Passwörtern und Benutzernamen ist es möglich, schnell festzustellen, wer, wie und wann bestimmte Dateien, Dokumente, Datenbanken beschädigt hat. Diese Maßnahmen vereinfachen die Wiederherstellung beschädigter Daten und reduzieren Ausfallzeiten bei Ausfällen in der Informationsbereitstellung der Organisation. Wenn alle Mitarbeiter verschiedene Programme unter dem Namen "Administrator" mit dem Passwort "1" eingeben, werden die Verursacher von Ausfällen und Fehlern nicht gefunden!
Dritter. Speichern Sie niemals elektronische digitale Signaturen (EDS), Passwörter von Bank-Client-Systemen, Plastikkarten, Programme zur Übermittlung von Daten an die Bundessteuerverwaltung und andere Organisationen auf den Festplatten Ihrer Computer. Sie wollen nicht in einem schönen Moment Nullen auf Ihren Konten sehen? Ich denke nicht. Daher müssen alle kritischen Informationen auf einem Wechseldatenträger in Ihrem persönlichen Safe gespeichert werden. (Zum Beispiel auf einem persönlichen Flash-Laufwerk) NIEMAND außer Ihnen sollte Zugriff auf dieses Medium haben. Neben dem Risiko, Ihr EDS oder Ihr Passwort zu verwenden, um Geld in Bank-Client-Systemen durch Mitarbeiter Ihrer Organisation (vorsätzlich oder versehentlich) zu überweisen, besteht die Möglichkeit, dass diese Daten durch Viren oder andere Programme gestohlen werden auf Ihrem Computer über das Internet. Im letzteren Fall können Sie feststellen, dass das Geld gestern von den Konten abgebucht wurde, und selbst Versuche herauszufinden, wer es getan hat, werden erfolglos bleiben. Die Tragödie besteht auch darin, dass dieselbe Bank den Überweisungsauftrag ausführt, da das richtige Passwort oder der richtige EDS eingegeben wird und es unmöglich ist, zu beweisen, dass Sie nicht die Unterschrift oder das Passwort eingegeben haben. Die gleichen Anforderungen sollten für die EDS von Buchhaltern gelten, die mit der Bank, dem Bundessteuerdienst und anderen Stellen zusammenarbeiten. Buchhalter müssen über persönliche Medien mit Informationen dieser Art verfügen.
Bei dem geringsten Verdacht, dass jemand auch nur einen Teil des Passworts erfahren oder zumindest für eine Sekunde die Medien mit EDS verwenden (auch nur halten) könnte - sofort sperren und anschließend Passwörter oder EDS ändern.
Vierte. Verwenden Sie lizenzierte Software (Software). Das Einsparen von Software kann sowohl zur Gefahr führen, strafrechtlich verfolgt zu werden, als auch dazu, dass unlizenzierte Software eine Quelle der Beschädigung Ihrer Daten oder Weitergabe Ihrer Daten an Angreifer im Internet sein kann (Hacker machen Software nicht nur aus Liebe "kostenlos". der Kunst). Im Falle von Software teilt Ihnen Ihr Systemadministrator mit, was erforderlich ist, um die Leistungsfähigkeit Ihrer Organisation sicherzustellen. Zusätzlich zu den Programmen zur Erledigung der Hauptarbeit der Mitarbeiter müssen ausnahmslos alle Arbeitsstationen und Server mindestens über ein lizenziertes Betriebssystem mit den neuesten Updates und ein lizenziertes Antivirenprogramm mit den neuesten installierten Antivirendatenbanken verfügen. Versuchen Sie jedoch, neumodischen „Schnickschnack“ zu vermeiden, denn ungetestete Programme sind in der Regel instabil und können Ihre Daten beschädigen.
Dies sind nur einige wenige, aber wichtige Empfehlungen, die auf der Erfahrung des Autors als Systemadministrator und Leiter eines Systemadministrators in verschiedenen Organisationen beruhen. Hören Sie zu, und selbst wenn etwas mit Ihren Daten passiert, wird der Vorfall keine Katastrophe sein.
P.S. Als der Artikel geschrieben wurde, musste sich der Autor kurz vor Neujahr auf Wunsch eines Freundes mit den Folgen eines Brandes in einer Organisation auseinandersetzen. Sie hielten sich streng an die oben aufgeführten Anforderungen, erstellten Backups, aber ... einmal alle sechs Monate. Nein, vorher haben sie alles wie erwartet einmal pro Woche gemacht, aber da nichts Schlimmes passiert ist, hat die Organisation mit der Hand gewinkt und sich entspannt. Es brannte ein Feuer, das gesamte Berichtswesen auf Papier brannte ab, einschließlich der Gehaltsausgabe und der Bestandsbuchhaltung. Und zu Beginn des Jahres ist, wie viele Buchhalter wahrscheinlich wissen, die Meldung an den Bundessteuerdienst erforderlich ...
Leider konnte die Festplatte des Servers nicht wiederhergestellt werden. Und die wiederhergestellte Sicherung war vom 3. Juli 2009.