- Qu'est-ce que l'intelligence artificielle ?
- Mythe ou réalité de l'intelligence des réseaux de neurones ?
- Protection de l'accès aux informations
- La vie dans le nuage
- Cloud computing
- Anonymizer comme moyen de protection de la monnaie électronique
- Création d'un blog d'entreprise
- Virus sur les sites Web
- Des étendues infinies d'Internet. E-mail.
- Présentation d'OpenCL
- Sécurité de l'information d'une petite organisation
- Systèmes de visioconférence
Kretov Nikolai Nikolaevich: Sécurité de l'information d'une petite organisation
Si vous écoutez, au moins occasionnellement, des communiqués de presse, vous avez probablement entendu parler du vol ou de la destruction d'informations importantes et confidentielles dans des banques, des organismes gouvernementaux et de nombreuses autres organisations. Peut-être avez-vous même un annuaire téléphonique sur votre ordinateur, qui, selon une connaissance, pour une barre de chocolat, a été donné par un bon ami Petya, qui travaille dans un central téléphonique automatique de la ville, à partir duquel cet annuaire a été copié. Ce sont tous des "bugs" liés à la sécurité de l'information dans les organisations. Malheureusement, cela est possible même dans votre organisation.
Vous ne croyez pas ? Voici quelques exemples:Dans le personnel de votre organisation, il y a un gars gentil, Kolya, qui répare les imprimantes, nettoie les ordinateurs, installe divers programmes essentiels au travail et peut même parfois configurer 1C Accounting ou Fireplace. Mais souvent, il se plaint du petit salaire, et quand, à son avis, le salaire cesse de payer son travail, il part. Et après quelques jours, vos bases de données de 1C "partent" dans l'oubli, qui, en raison d'une coïncidence inimaginable, ne peuvent pas être restaurées. Pire encore, si ce Kolya, dans un accès de juste vengeance, comme il lui semble, envoie les bases au bureau des impôts ou les met quelque part sur Internet, et de nombreux étudiants en économie auront une excellente occasion de s'entraîner à rédiger divers types de bilans en prenant l'exemple de votre entreprise.
Il arrive que le bon gars Kolya ne se plaigne même pas de son salaire, et essaie comme saint François, mais un beau jour, quelques messieurs de fortune, ouvrant la porte, emportent tous les biens de votre organisation acquis par le surmenage (le long avec des ordinateurs) et vos comptables avalent des tonnes de Validol, réalisant qu'un rapport pour le bureau des impôts ne peut pas être fait à partir de morceaux de papier. Et s'il y a un incendie dans votre organisation (à Dieu ne plaise !), il ne restera même plus de papiers. Sûrement, après avoir lu tout ce qui est écrit ci-dessus, vous vous êtes dit : « Eh bien ! Il s'agit d'une série de ce qui est malchanceux et comment y faire face ! ou oui! Oui! Nous examinerons certainement comment les choses se passent avec nous, mais dans une semaine. Et un jour plus tard, il se passe quelque chose qui entraîne la mort de vos informations et vous êtes prêt à vous arracher les cheveux, mais comme on dit : "C'est trop tard, mon ami !"
Des images sombres, non ? Si vous connaissez tout cela par expérience personnelle ou par l'expérience d'amis et que vous en avez tiré les conclusions appropriées, vous avez de la chance ! On dit que vous avez minimisé votre risque de perdre des informations. Avec ces messieurs et ces dames qui n'ont pas encore rencontré de tels problèmes (pah-pah), je veux partager mon expérience.
Il est donc temps d'envisager des méthodes pratiques pour faire face aux dangers qui nous menacent. Première. Vous avez besoin d'un administrateur système normal et sain d'esprit. Pour plus de simplicité, à l'avenir, nous l'appellerons administrateur système. Il est hautement souhaitable de se renseigner auprès des emplois précédents sur la personne postulant pour le rôle de votre administrateur système. Il peut être, comme on dit "sept travées dans le front", un touche-à-tout, mais être voyou et avoir un penchant pour le travail à temps partiel "gauche", par exemple, transmettre toute donnée sur votre organisation à vos concurrents, qui cause des dommages directs à votre organisation. D'après mon expérience (cela peut vous sembler paradoxal, mais c'est un fait), je peux recommander de rechercher un administrateur système parmi les étudiants de premier cycle des universités techniques. En règle générale, il y a 3-4 chefs "brillants", parmi lesquels vous pouvez choisir une personne tout à fait capable de faire face aux tâches administratives au stade initial de la formation de l'organisation. De plus, de nombreux étudiants seniors, au stade initial de leur carrière, ne sont «pas torturés par la vie», ne sont pas accablés par les familles et aspirent à quelque chose de nouveau. Et le désir de quelque chose de nouveau dans le travail d'un administrateur système est une qualité importante, car les logiciels avec lesquels il doit travailler changent très rapidement.
Dans un contrat de travail (ou tout autre document, par exemple un contrat), il est impératif de stipuler la responsabilité des actions illégales en relation avec vos informations de la part de votre administrateur système. Bien entendu, le Code pénal de la Fédération de Russie contient des articles pertinents à ce sujet (indiqués au chapitre 28 du Code pénal, qui s'intitule "Délits dans le domaine de l'information informatique" et contient trois articles : "Accès illégal à l'information informatique" (article 272), "Création, utilisation et diffusion de programmes malveillants pour ordinateurs" (article 273) et "Violation des règles de fonctionnement des ordinateurs, des systèmes informatiques ou de leurs réseaux" (article 274), mais une mention dans le contrat responsabilité ne serait pas superflu. Car si une personne sait qu'elle est directement responsable de quelque chose (et de préférence financièrement), alors elle réfléchira dix fois avant de faire quelque chose de mal.
Naturellement, avec les exigences ci-dessus, la rémunération de l'administrateur système doit être adéquate. Du moins pas comme une femme de ménage. Soyez prêt à payer votre administrateur système comme un bon comptable.
De plus, il est hautement souhaitable de stipuler dans le contrat de travail que tous les produits logiciels et leurs codes sources développés par votre administrateur système pour les besoins de l'organisation pendant la période de travail dans celle-ci sont la propriété de l'organisation. Vous aurez besoin de cet élément au cas où votre administrateur déciderait de quitter. Il sera beaucoup plus facile pour une nouvelle personne de comprendre les affaires d'un ancien administrateur système. Et cela, à son tour, permettra à votre entreprise de fonctionner sans défaillances liées aux technologies de l'information.
Se souvenir! Un bon administrateur système est votre bras gauche, sinon votre bras droit, dans la gestion de l'entreprise. Cela peut beaucoup aider dans diverses situations critiques, voire ordinaires. Écoutez son avis ! Si l'administrateur est stupide, paresseux et ne cherche pas à se développer, attendez-vous à des ennuis !
Seconde. Vous devez, avec votre administrateur système, développer une sorte de réglementation technologique interne, qui doit être strictement respectée. Le règlement devrait, au minimum, comprendre les sections suivantes :
- Comment sauvegarder des informations importantes et critiques
- La procédure de vérification des sauvegardes et de restauration des informations en cas d'urgence
- Politique des droits des utilisateurs
Pourquoi en avez-vous besoin? Considérons les points:
La procédure de sauvegarde des informations importantes doit réglementer quand, comment et où sauvegarder vos bases de données, qui contiennent les informations nécessaires au fonctionnement normal de l'organisation. Par exemple, tous les vendredis à 17h00, après la fin du travail des comptables, vous sortez un disque dur mobile ou un disque flash de grande capacité de votre coffre-fort ignifuge (communément appelé « lecteur flash »), et votre administrateur système le fait à l'aide de certains programmes de votre "commande", sauvegarde les bases de données de vos serveurs ou postes de travail sur ce disque. Il existe maintenant de nombreux programmes de sauvegarde et votre administrateur système peut très bien décider du programme dont il souhaite faire des copies.
Le lecteur sur lequel les sauvegardes sont effectuées doit être privé, ce qui signifie qu'il ne doit être conservé que par vous, de préférence dans un coffre-fort ignifuge, ou autrement hors de portée de tous vos employés. Se souvenir! En cas d'urgence, c'est la seule chose qui peut vous éviter de nombreux désagréments. Ce disque ne doit être entre les mains d'un administrateur système que lors de la sauvegarde ou de la restauration de données. Vous avez peut-être une question : "Pourquoi ne pouvez-vous pas en donner l'accès à l'administrateur système ?" Parce que l'âme de quelqu'un d'autre est sombre, et peu importe la qualité de votre administrateur système, du jour au lendemain, étant en colère pour une raison quelconque avec le monde entier ou spécifiquement avec vous, peut ruiner à la fois la base de données principale et sa copie de sauvegarde. Au final, il ne vous restera rien !
Des copies sont donc faites. Et après? Ensuite, vous devez fournir dans votre document réglementaire la procédure de restauration et de vérification des sauvegardes. Pourquoi? Et qui garantira que votre administrateur système n'a pas seulement bu du café, mais a consciencieusement fait ce qu'il était censé faire ? Pour le savoir, vous devez effectuer un essai de récupération de données à partir de votre disque (bien sûr, sur un autre ordinateur) et, par exemple, s'il s'agit d'informations comptables, demandez au comptable de vérifier les soldes pour le nombre à partir duquel la sauvegarde a été faite. Si les restes convergent - l'administrateur système est en alerte. Sinon, l'administrateur système devrait être puni pour négligence. Se souvenir! L'absence de rapprochements (par exemple, une fois par mois) peut conduire au fait que l'administrateur système vous informera que tout est en ordre, mais à un moment critique, il ne pourra rien faire.
Il est également recommandé de graver une copie de la base de données en cours de restauration sur des disques CD/DVD après une vérification réussie. Ces disques, comme le disque mobile, doivent être conservés dans votre coffre-fort. Au fur et à mesure que les informations sur les CD/DVD s'accumulent, elles peuvent être détruites, mais selon l'expérience personnelle, les disques qui datent d'un an ou plus peuvent être détruits s'ils ne contiennent pas d'informations qui pourraient être nécessaires à l'avenir. La destruction d'informations doit également être reflétée dans votre "Règlement" et doit être strictement respectée. Autrement dit, ne prenez pas simplement un disque ou une disquette et jetez-le dans un seau, donnant ainsi à un concurrent des données sur votre organisation, mais brûlez-le ou coupez-le en plusieurs parties. Il est logique d'interdire à tous les employés de simplement jeter des disques, des disquettes et même des papiers contenant des informations dans la poubelle sans d'abord les couper en morceaux ou les passer dans une déchiqueteuse. Après tout, si un attaquant trouve une disquette ou un autre support contenant des informations appartenant à votre organisation, même l'article de l'art. 272 du Code criminel (Accès illégal à l'information), parce qu'il vient de le trouver, et vous venez de le jeter. Et les concurrents ne dorment pas !
Compris avec sauvegarde. Tout? Pas! Il y a une autre menace. Cette fois, cela vient des utilisateurs d'ordinateurs. Si les utilisateurs ont la possibilité de surfer de manière incontrôlable sur le réseau, et plus encore sur Internet, les bases de données des sauvegardes devront être, comme le disent les administrateurs système, «supprimées» régulièrement. Pourquoi? Parce que les utilisateurs peuvent effacer librement des fichiers appartenant à d'autres utilisateurs, ils peuvent introduire un virus d'Internet dans votre réseau, ils peuvent enfin voir quand la calculatrice a calculé le salaire là-bas, et combien ils ont payé à qui, suivi d'une discussion sur les salaires dans le fumoir. Dans ma pratique, il y a eu un cas où un comptable A a fait des écritures pour le comptable B, et le comptable B, qui n'était pas là ce jour-là, a été licencié en vertu de l'article, car des transactions de compte ont été effectuées pour le compte du comptable B. Désagréable, d'accord ? C'est pourquoi il est nécessaire de définir un nom unique pour chaque utilisateur et l'utilisateur doit choisir un mot de passe d'accès, qu'il (et lui seul) doit changer régulièrement (une fois par mois suffit) et non écrire sur une feuille de papier rentrée sous le clavier. Le mot de passe doit être "fort". C'est-à-dire que même un pirate inexpérimenté trouvera un mot de passe comme 211281 en quelques minutes. Mais même un pirate informatique expérimenté ne pourra pas récupérer le mot de passe "zgxv 123 $".
Vous pouvez objecter, mais comment se souvenir de ce fouillis insignifiant de lettres et de chiffres ? Je recommande la méthode suivante. Prenez n'importe quelle rime dont vous vous souvenez depuis votre enfance, par exemple, "D'un sourire, il deviendra plus brillant pour tout le monde". Nous tapons les premières lettres des mots de la rime dans la disposition du clavier anglais. Nous obtenons une chaîne comme "jecdc". Ajoutons le mot de passe à 7 caractères, par exemple, les chiffres 12. Si nous ajoutons un autre signe $ ou #, nous obtiendrons un mot de passe comme "jecdc12#", qui sera trop difficile même pour un pirate expérimenté.
De plus, votre administrateur système doit différencier les utilisateurs à l'aide de droits d'accès (il sait comment faire), ne donner accès qu'aux répertoires (dossiers) nécessaires au travail sur votre serveur, fermer Internet à toute personne non censée (car le Internet est désormais un foyer de virus), pour donner accès à Internet à qui cela est nécessaire. Tout cela doit être précisé dans votre "Politique des droits des utilisateurs". Se souvenir! Il est très important que les utilisateurs de votre ordinateur entrent le système d'exploitation de l'ordinateur (le même Windows) et divers programmes (s'ils ont la fonction correspondante) sous leurs "noms" et avec leurs "mots de passe". N'autorisez pas l'utilisation de mots de passe ou de noms d'utilisateur "étrangers" par les employés. Répondez aux messages de l'administrateur système concernant l'utilisation de noms d'utilisateur autres que vos noms d'utilisateur par les employés en les inculquant. Ce n'est qu'en respectant strictement la politique d'utilisation des mots de passe et des noms d'utilisateur qu'il est possible d'établir rapidement qui, comment et quand a corrompu certains fichiers, documents, bases de données. Ces mesures simplifient la récupération des données corrompues et réduisent les temps d'arrêt en cas de défaillance de la fourniture d'informations à l'organisation. Si tous les employés saisissent différents programmes sous le nom "Administrateur" avec le mot de passe "1", alors les auteurs d'échecs et d'erreurs ne seront pas retrouvés !
Troisième. Ne stockez jamais les signatures numériques électroniques (EDS), les mots de passe des systèmes Bank-Client, les cartes plastiques, les programmes de transfert de données vers le Service fédéral des impôts et d'autres organisations sur les disques durs de vos ordinateurs. Vous ne voulez pas voir des zéros sur vos comptes à un moment donné ? Je pense que non. Par conséquent, toutes les informations critiques doivent être stockées sur un support amovible dans votre coffre-fort personnel. (Par exemple, sur un lecteur flash personnel) PERSONNE sauf vous ne devrait avoir accès à ce support. Outre le risque d'utiliser votre EDS ou votre mot de passe pour transférer de l'argent dans les systèmes Banque-Client par des employés de votre organisation (par intention malveillante ou par erreur), il existe une possibilité que ces données soient volées par des virus ou d'autres programmes qui se sont sur votre ordinateur via Internet. Dans ce dernier cas, vous découvrirez peut-être que l'argent a été débité des comptes hier, et même les tentatives pour savoir qui l'a fait seront infructueuses. La tragédie sera également que la même banque exécutera l'ordre de transfert d'argent, car le bon mot de passe ou le bon EDS sera entré, et il sera impossible de prouver que ce n'est pas vous qui avez entré la signature ou le mot de passe. Les mêmes exigences devraient s'appliquer à l'EDS des comptables travaillant avec la Banque, le Service fédéral des impôts et d'autres agents. Les comptables doivent disposer de supports personnels contenant des informations de ce type.
En cas de suspicion, même minime, que quelqu'un pourrait découvrir ne serait-ce qu'une partie du mot de passe ou au moins pendant une seconde pourrait utiliser (même simplement tenir) le média avec EDS - bloquez-le immédiatement et modifiez ensuite les mots de passe ou EDS.
Quatrième. Utilisez un logiciel sous licence (logiciel). Économiser sur les logiciels peut entraîner à la fois le risque d'être poursuivi et le fait que les logiciels sans licence peuvent être une source de dommages à vos données ou de transfert de vos données à des attaquants sur Internet (les pirates rendent les logiciels "gratuits" non seulement pour l'amour d'art). Dans le cas des logiciels, votre administrateur système vous indiquera ce qui est nécessaire pour assurer la performance de votre organisation. Au minimum, en plus des programmes permettant d'effectuer le travail principal des employés, tous les postes de travail et serveurs sans exception doivent disposer d'un système d'exploitation sous licence avec le dernier ensemble de mises à jour et d'un antivirus sous licence avec les dernières bases de données antivirus installées. Cependant, essayez d'éviter les "bibelots" dernier cri, car les programmes non testés, en règle générale, sont instables et peuvent endommager vos données.
Ce ne sont là que quelques recommandations importantes basées sur l'expérience de l'auteur en tant qu'administrateur système et responsable d'un administrateur système dans diverses organisations. Écoutez, et même si quelque chose arrive à vos données, l'incident ne sera pas un désastre.
PS Au moment où l'article a été écrit, l'auteur, à la demande d'un ami, a dû faire face aux conséquences d'un incendie dans une organisation, juste avant le Nouvel An. Ils ont strictement respecté les exigences énumérées ci-dessus, effectué des sauvegardes, mais ... une fois tous les six mois. Non, avant ils faisaient tout comme prévu, une fois par semaine, mais comme rien de grave ne s'est produit, l'organisation a agité la main et s'est détendue. Il y a eu un incendie, a brûlé tous les rapports sur papier, y compris la délivrance des salaires et la comptabilité des stocks. Et en début d'année, comme de nombreux comptables le savent probablement, une déclaration au Service fédéral des impôts est obligatoire ...
Malheureusement, le disque dur du serveur n'a pas pu être restauré. Et la sauvegarde qui a été restaurée était datée du 3 juillet 2009.