- Cos'è l'intelligenza artificiale?
- Mito o realtà dell'intelligenza della rete neurale?
- Protezione dell'accesso alle informazioni
- La vita nella nuvola
- Cloud computing
- Anonymizer come mezzo per proteggere la moneta elettronica
- Creazione di un blog aziendale
- Virus sui siti web
- Infinite distese di Internet. E-mail.
- Introduzione a OpenCL
- Sicurezza delle informazioni di una piccola organizzazione
- Sistemi di videoconferenza
Kretov Nikolai Nikolaevich: Sicurezza delle informazioni di una piccola organizzazione
Se, almeno occasionalmente, ascolti i comunicati stampa, probabilmente hai sentito parlare del furto o della distruzione di informazioni importanti e riservate in banche, enti governativi e molte altre organizzazioni. Forse hai anche un elenco telefonico sul tuo computer, che, secondo un conoscente, per una barretta di cioccolato, è stato fornito da un buon amico Petya, che lavora in una centrale telefonica automatica della città, dai cui computer è stato copiato questo elenco. Questi sono tutti "bug" relativi alla sicurezza delle informazioni nelle organizzazioni. Sfortunatamente, questo è possibile anche nella tua organizzazione.
Non credi? Ecco alcuni esempi:Nello staff della tua organizzazione c'è un ragazzo gentile Kolya, che ripara stampanti, pulisce computer, installa vari programmi vitali per il lavoro e talvolta può persino impostare 1C Accounting o Fireplace. Ma spesso si lamenta del piccolo stipendio, e quando, secondo lui, lo stipendio cessa di pagargli il lavoro, se ne va. E dopo pochi giorni, i tuoi database da 1C "lasciano" nell'oblio, che, a causa di una coincidenza inimmaginabile, non può essere ripristinato. Peggio ancora, se questo Kolya, in un impeto di giusta vendetta, come gli sembra, invia le basi all'ufficio delle imposte, o lo mette da qualche parte su Internet, e molti studenti di economia avranno un'ottima opportunità per esercitarsi a redigere vari tipi di bilanci utilizzando l'esempio della vostra azienda.
Succede che il bravo ragazzo Kolya non si lamenta nemmeno del suo stipendio, e ci prova come San Francesco, ma un bel giorno, alcuni signori di ventura, aprendo la porta, portano via tutti i beni della tua organizzazione acquisiti dal superlavoro (insieme con i computer) e i tuoi commercialisti ingoiano tonnellate di Validol, rendendosi conto che una denuncia per l'ufficio delle imposte non può essere fatta da pezzi di carta. E se c'è un incendio nella tua organizzazione (Dio non voglia!), allora non rimarranno nemmeno i documenti. Sicuramente, dopo aver letto tutto quello che c'è scritto sopra, hai pensato: “Bene! Questo è da una serie di ciò che è sfortunato e come affrontarlo! o si! Sì! Valuteremo sicuramente come stanno andando le cose, ma tra una settimana". E il giorno dopo, succede qualcosa che porta alla morte delle tue informazioni e sei pronto a strapparti i capelli, ma come si suol dire: "È troppo tardi, amico mio!"
Immagini scure, giusto? Se hai familiarità con tutto questo per esperienza personale o per esperienza di amici e hai tratto le conclusioni appropriate, sei fortunato! Si dice che tu abbia ridotto al minimo il rischio di perdere informazioni. Con quei signori e signore che non hanno ancora incontrato tali problemi (pah-pah), voglio condividere la mia esperienza.
Quindi, è tempo di considerare metodi pratici per affrontare i pericoli che ci minacciano. Primo. Hai bisogno di un normale, sano, amministratore di sistema. Per semplicità, in futuro, lo chiameremo amministratore di sistema. È altamente auspicabile fare domande da lavori precedenti sulla persona che si candida per il ruolo di amministratore di sistema. Può essere, come si dice "sette spanne sulla fronte", un tuttofare, ma essere canaglia e avere un debole per il lavoro part-time "di sinistra", ad esempio, passando qualsiasi dato sulla tua organizzazione ai tuoi concorrenti, che provoca danni diretti alla tua organizzazione. Per mia esperienza (vi può sembrare paradossale, ma è un dato di fatto) posso consigliare di cercare un amministratore di sistema tra gli studenti universitari delle università tecniche. Di norma, ci sono 3-4 teste "luminose", tra le quali puoi scegliere una persona che è abbastanza in grado di far fronte ai compiti amministrativi nella fase iniziale della formazione dell'organizzazione. Inoltre, molti studenti senior, nella fase iniziale della loro carriera, “non sono torturati dalla vita”, non sono gravati dalle famiglie e si battono per qualcosa di nuovo. E il desiderio di qualcosa di nuovo nel lavoro di un amministratore di sistema è una qualità importante, poiché il software con cui deve lavorare cambia molto rapidamente.
In un contratto di lavoro (o altro documento, ad esempio un contratto), è imperativo stabilire la responsabilità per azioni illegali in relazione alle tue informazioni da parte del tuo amministratore di sistema. Naturalmente, il codice penale della Federazione Russa contiene articoli pertinenti su questo argomento (dato nel capitolo 28 del codice penale, chiamato "Reati nel campo delle informazioni informatiche" e contiene tre articoli: "Accesso illegale alle informazioni informatiche" (art. 272), “Creazione, uso e diffusione di programmi dannosi per computer” (art. 273) e “Violazione delle norme per il funzionamento degli elaboratori, dei sistemi informatici o delle loro reti” (art. 274), ma una menzione nel contratto di responsabilità non sarebbe superfluo. Perché se una persona sa di essere direttamente responsabile di qualcosa (e preferibilmente finanziariamente), penserà dieci volte prima di fare qualcosa di sbagliato.
Naturalmente, con i requisiti di cui sopra, la remunerazione dell'amministratore di sistema dovrebbe essere adeguata. Almeno non come una donna delle pulizie. Preparati a pagare il tuo amministratore di sistema come un buon contabile.
Inoltre, è altamente auspicabile stipulare nel contratto di lavoro che tutti i prodotti software e i relativi codici sorgente sviluppati dall'amministratore di sistema per le esigenze dell'organizzazione durante il periodo di lavoro in essa sono di proprietà dell'organizzazione. È necessario questo elemento nel caso in cui l'amministratore decida di uscire. Sarà molto più facile per una nuova persona capire gli affari di un vecchio amministratore di sistema. E questo, a sua volta, consentirà alla tua azienda di lavorare senza guasti associati alla tecnologia dell'informazione.
Ricordare! Un buon amministratore di sistema è la tua mano sinistra, se non la tua destra, nella gestione dell'azienda. Può aiutare molto in varie situazioni critiche e persino ordinarie. Ascolta la sua opinione! Se l'amministratore è stupido, pigro e non cerca lo sviluppo, aspettati guai!
Secondo. È necessario, insieme al proprio amministratore di sistema, sviluppare una sorta di regolamentazione tecnologica interna, che deve essere seguita rigorosamente. Il regolamento dovrebbe includere almeno le seguenti sezioni:
- Come eseguire il backup di informazioni importanti e critiche
- La procedura per la verifica dei backup e il ripristino delle informazioni in caso di emergenza
- Politica sui diritti degli utenti
Perchè ne hai bisogno? Consideriamo i punti:
La procedura per il backup delle informazioni importanti dovrebbe regolare quando, come e dove eseguire il backup dei database, che contengono le informazioni necessarie per il normale funzionamento dell'organizzazione. Ad esempio, ogni venerdì alle 17-00, dopo la fine del lavoro di commercialista, estrai un disco rigido mobile o un disco flash di grande capacità dalla tua cassaforte ignifuga (denominata comunemente "unità flash") e il tuo amministratore di sistema lo fa con l'aiuto di alcuni programmi nel tuo "ordine", database di backup dai tuoi server o workstation su questo disco. Ci sono molti programmi di backup ora e il tuo amministratore di sistema potrebbe decidere di quale programma fare delle copie.
L'unità su cui vengono effettuati i backup dovrebbe essere privata, il che significa che dovrebbe essere conservata solo da te, preferibilmente in una cassaforte ignifuga, o comunque fuori dalla portata di tutti i tuoi dipendenti. Ricordare! In caso di emergenza, questa è l'unica cosa che può aiutarti a evitare molti problemi. Questo disco dovrebbe essere nelle mani di un amministratore di sistema durante il backup o il ripristino dei dati. Potresti avere una domanda: "Perché non puoi concedere l'accesso all'amministratore di sistema?" Perché l'anima di qualcun altro è oscura, e non importa quanto sia bravo il tuo amministratore di sistema, da un giorno all'altro, essendo arrabbiato per qualche motivo con il mondo intero o in particolare con te, può rovinare sia il database principale che la sua copia di backup. Alla fine, non rimarrai senza nulla!
Quindi si fanno delle copie. Qual è il prossimo? Successivamente, è necessario fornire nel documento normativo la procedura per il ripristino e la verifica dei backup. Per che cosa? E chi garantirà che il tuo amministratore di sistema non abbia solo bevuto caffè, ma abbia fatto coscienziosamente ciò che doveva fare? Per scoprirlo, è necessario eseguire un recupero dati di prova dal proprio disco (ovviamente su un altro computer) e, ad esempio, se si tratta di dati contabili, chiedere al commercialista di controllare i saldi per il numero a partire dal quale il backup era fatto. Se i resti convergono, l'amministratore di sistema è in allerta. In caso contrario, l'amministratore di sistema dovrebbe essere punito per negligenza. Ricordare! La mancanza di riconciliazioni (ad esempio una volta al mese) può portare al fatto che l'amministratore di sistema ti informerà che tutto è in ordine, ma in un momento critico non potrà fare nulla.
È inoltre buona norma masterizzare una copia del database da ripristinare su dischi CD/DVD dopo aver verificato con successo. Questi dischi, come il mobile disc, devono essere conservati nella tua cassaforte. Man mano che i CD/DVD di informazioni si accumulano, possono essere distrutti, ma in base all'esperienza personale, i dischi che hanno un anno o più possono essere distrutti se non contengono informazioni che potrebbero essere necessarie in futuro. La distruzione delle informazioni dovrebbe riflettersi anche nel tuo "Regolamento" e deve essere rigorosamente osservata. Cioè, non solo prendere un disco o un floppy disk e gettarlo in un secchio, fornendo così a un concorrente i dati sulla tua organizzazione, ma masterizzarlo o tagliarlo in più parti. Ha senso vietare a tutti i dipendenti di gettare semplicemente dischi, floppy disk e persino documenti con qualsiasi informazione nel cestino senza prima tagliarli a pezzi o farli passare attraverso un distruggidocumenti. Del resto, se qualche aggressore trova un floppy disk o altro supporto con informazioni appartenenti alla tua organizzazione, anche l'art. 272 cp (Accesso illegale alle informazioni), perché lui l'ha appena trovata e tu l'hai appena buttata via. E i concorrenti non dormono!
Inteso con backup. Qualunque cosa? Non! C'è un'altra minaccia. Questa volta, viene da utenti di computer. Se agli utenti viene data l'opportunità di navigare in modo incontrollabile sulla rete, e ancor di più su Internet, i database dei backup dovranno essere regolarmente "sollevati" come dicono gli amministratori di sistema. Come mai? Poiché gli utenti possono cancellare liberamente i file appartenenti ad altri utenti, possono portare un virus da Internet nella tua rete, possono finalmente vedere quando la calcolatrice ha calcolato lo stipendio lì e quanto hanno pagato a chi, seguito da una discussione sugli stipendi in la sala fumatori. Nella mia pratica, c'è stato un caso in cui un contabile A ha registrato registrazioni per il contabile B e il contabile B, che non era presente quel giorno, è stato licenziato ai sensi dell'articolo, perché le transazioni del conto sono state eseguite per conto del contabile B. Sgradevole, giusto ? Ecco perché è necessario definire un nome univoco per ogni utente e l'utente deve scegliere una password per l'accesso, che lui (e solo lui) deve cambiare regolarmente (una volta al mese è sufficiente) e non scrivere su un pezzo di carta nascosto sotto la tastiera. La password deve essere "forte". Cioè, anche un hacker inesperto raccoglierà una password come 211281 in un paio di minuti. Ma anche un hacker esperto non sarà in grado di raccogliere la password "zgxv $ 123".
Potresti obiettare, ma come ricordare questo guazzabuglio senza senso di lettere e numeri? Consiglio il seguente metodo. Prendi qualsiasi rima che ricordi dall'infanzia, ad esempio: "Da un sorriso diventerà più luminoso per tutti". Digitiamo le prime lettere delle parole della rima nel layout della tastiera inglese. Otteniamo una stringa come "jecdc". Aggiungiamo la password a 7 caratteri, ad esempio i numeri 12. Se aggiungiamo un altro segno $ o #, otterremo una password come "jecdc12#", che sarà troppo difficile anche per un hacker esperto.
Inoltre, il tuo amministratore di sistema deve differenziare gli utenti usando i diritti di accesso (sa come fare), dare accesso solo alle directory (cartelle) necessarie per lavorare sul tuo server, chiudere Internet a chiunque non dovrebbe (perché il Internet è ormai una fucina di virus), per dare accesso a Internet a chi è necessario. Tutto questo dovrebbe essere esplicitato nella tua "Politica sui diritti dell'utente". Ricordare! È molto importante che gli utenti del tuo computer inseriscano il sistema operativo del computer (lo stesso Windows) e vari programmi (se hanno la funzione corrispondente) sotto i loro "nomi" e con le loro "password". Non consentire l'uso di password o nomi utente "stranieri" da parte dei dipendenti. Rispondi ai messaggi dell'amministratore di sistema sull'uso di nomi utente diversi dai tuoi dipendenti da parte dei dipendenti. Solo con il rigoroso rispetto della politica di utilizzo di password e nomi utente è possibile stabilire rapidamente chi, come e quando vengono danneggiati determinati file, documenti, database. Queste misure semplificano il recupero dei dati danneggiati e riducono i tempi di inattività in caso di errori nella fornitura di informazioni dell'organizzazione. Se tutti i dipendenti inseriscono programmi diversi sotto il nome "Amministratore" con la password "1", gli autori di errori ed errori non verranno trovati!
Terzo. Non archiviare mai firme digitali elettroniche (EDS), password da sistemi banca-cliente, carte di plastica, programmi per il trasferimento di dati al Servizio fiscale federale e ad altre organizzazioni sui dischi rigidi dei tuoi computer. Non vuoi vedere zeri sui tuoi conti in un bel momento? Penso che nessuno. Pertanto, tutte le informazioni critiche devono essere archiviate su un supporto rimovibile nella tua cassaforte personale. (Ad esempio, su un'unità flash personale) NESSUNO tranne te dovrebbe avere accesso a questo supporto. Oltre al rischio di utilizzare il tuo EDS o la tua password per trasferire denaro nei sistemi Banca-Cliente da parte dei dipendenti della tua organizzazione (per intento dannoso o per errore), esiste la possibilità che questi dati vengano rubati da virus o altri programmi che sono stati sul tuo computer tramite Internet. In quest'ultimo caso, potresti scoprire che il denaro è stato addebitato sui conti ieri e persino i tentativi di scoprire chi l'ha fatto non avranno successo. La tragedia sarà anche che la stessa Banca eseguirà l'ordine di trasferimento di denaro, poiché verrà inserita la password corretta o l'EDS corretto, e sarà impossibile provare che non sei stato tu a inserire la firma o la password. Gli stessi requisiti dovrebbero applicarsi all'EDS dei contabili che lavorano con la Banca, il Servizio fiscale federale e altri agenti. I contabili devono disporre di supporti personali con informazioni di questo tipo.
In caso di sospetto, anche minimo, che qualcuno possa scoprire anche solo una parte della password o almeno per un secondo potrebbe utilizzare (anche solo trattenere) il supporto con EDS - bloccarlo immediatamente e successivamente modificare password o EDS.
Il quarto. Utilizzare software con licenza (software). Risparmiare sul software può comportare sia il rischio di essere perseguiti, sia il fatto che il software senza licenza può essere una fonte di danno ai tuoi dati o il trasferimento dei tuoi dati ad aggressori su Internet (gli hacker rendono il software "gratuito" non solo per amore dell'arte). Nel caso del software, l'amministratore di sistema ti dirà cosa è necessario per garantire le prestazioni della tua organizzazione. Come minimo, oltre ai programmi per l'esecuzione del lavoro principale dei dipendenti, tutte le workstation e i server senza eccezioni devono disporre di un sistema operativo con licenza con l'ultima serie di aggiornamenti e di un antivirus con licenza con i database antivirus più recenti installati. Tuttavia, cerca di evitare "gingilli" nuovi, perché i programmi non testati, di regola, sono instabili e possono danneggiare i tuoi dati.
Questi sono solo alcuni, ma importanti consigli basati sull'esperienza dell'autore come amministratore di sistema e capo di un amministratore di sistema in varie organizzazioni. Ascolta, e anche se succede qualcosa ai tuoi dati, l'incidente non sarà un disastro.
PS Quando l'articolo è stato scritto, l'autore, su richiesta di un amico, ha dovuto affrontare le conseguenze di un incendio in un'organizzazione, poco prima del nuovo anno. Hanno rigorosamente rispettato i requisiti sopra elencati, eseguito backup, ma ... una volta ogni sei mesi. No, prima che facessero tutto come previsto, una volta alla settimana, ma poiché non è successo nulla di terribile, l'organizzazione ha agitato la mano e si è rilassata. C'è stato un incendio, che ha bruciato tutti i rapporti su carta, compreso l'emissione degli stipendi e la contabilità dell'inventario. E all'inizio dell'anno, come probabilmente sanno molti contabili, è richiesto il rapporto al Servizio fiscale federale ...
Sfortunatamente, non è stato possibile ripristinare il disco rigido del server. E il backup che è stato ripristinato era datato 3 luglio 2009.