Kretov Nikolai Nikolaevich:小さな組織の情報セキュリティ
少なくとも時折ニュースリリースを聞くと、銀行、政府機関、その他の多くの組織での重要な機密情報の盗難や破壊について聞いたことがあるでしょう。おそらくあなたはあなたのコンピュータに電話帳を持っているかもしれません、それは知人によると、チョコレートバーのために、このディレクトリがコピーされたコンピュータから市の自動電話交換機で働く親友のペティアによって与えられました。これらはすべて、組織の情報セキュリティの確保に関連する「バグ」です。残念ながら、これは組織内でも可能です。
信じない?ここではいくつかの例を示します。あなたの組織のスタッフには、プリンターの修理、コンピューターの掃除、仕事に欠かせないさまざまなプログラムのインストール、そして時には1C経理や暖炉の設置もできる親切な人Kolyaがいます。しかし、彼はしばしば少額の給料について不平を言い、彼の意見では、給料が彼の仕事の支払いをやめると、彼は去ります。そして、数日後、1Cからのデータベースは忘却に「置き去り」になります。これは、想像を絶する偶然のせいで、復元できません。さらに悪いことに、このコリャが、彼のように、正当な復讐にふさわしく、基地を税務署に送ったり、インターネット上のどこかに置いたりすると、多くの経済学の学生は、さまざまな絵を描く練習をする絶好の機会がありますあなたの会社の例を使った貸借対照表の種類。
たまたま善人のコリャは給料について文句を言わず、聖フランシスのようにしようとしますが、ある晴れた日、数人の幸運な紳士がドアを開け、過労によって獲得した組織のすべての財産を奪います(コンピューターを使って)そしてあなたの会計士はトンのValidolを飲み込み、税務署の報告は一枚の紙から作ることができないことに気づきました。そして、あなたの組織に火事があった場合(神は禁じられています!)、書類さえ残されません。確かに、上記のすべてを読んだ後、あなたは次のように考えました。これは、不運なこととそれに対処する方法のシリーズからのものです!またははい!はい!状況がどうなっているのかを確実に検討しますが、1週間以内です。」そして1日後、あなたの情報の死につながる何かが起こり、あなたはあなたの髪を引き裂く準備ができています、しかし彼らが言うように:「手遅れです、私の友人!」
暗い写真ですね。あなたが個人的な経験や友人の経験からこれらすべてに精通していて、適切な結論を導き出したなら、あなたは幸運です!あなたは情報を失うリスクを最小限に抑えたと言われています。まだそんな悩みを抱えていない紳士淑女(パパ)と、私の経験を共有したいと思います。
それで、私たちを脅かす危険に対処する実際的な方法を検討する時が来ました。初め。通常の、正気の、システム管理者が必要です。簡単にするために、将来的には彼をシステム管理者と呼びます。システム管理者の役割を申請する人については、以前の仕事から問い合わせることが非常に望ましいです。彼は、「額の7つのスパン」と言われているように、あらゆる取引のジャックになる可能性がありますが、不正であり、たとえば、組織に関するデータを競合他社に渡すなど、「左」のパートタイムの仕事を好む傾向があります。組織に直接的な損害を与えます。私の経験から(逆説的に思えるかもしれませんが、それは事実です)、高等専門学校の学部生の中からシステム管理者を探すことをお勧めします。原則として、3〜4人の「明るい」頭があり、その中から、組織形成の初期段階で管理業務に非常に対処できる人を選ぶことができます。また、キャリアの初期段階では、多くの先輩が「人生に苦しめられず」、家族の負担も受けず、何か新しいことに挑戦しています。また、システム管理者が作業する必要のあるソフトウェアは非常に迅速に変更されるため、システム管理者の作業に新しい何かを求めることは重要な品質です。
雇用契約(または契約などの他の文書)では、システム管理者側の情報に関連して違法行為に対する責任を規定することが不可欠です。もちろん、ロシア連邦の刑法には、この主題に関連する記事があります(「コンピューター情報の分野の犯罪」と呼ばれる刑法の第28章に記載されており、「コンピューター情報への不正アクセス」という3つの記事が含まれています。 (第272条)、「コンピュータのための悪意のあるプログラムの作成、使用および配布」(第273条)および「コンピュータ、コンピュータシステムまたはそれらのネットワークの運用に関する規則の違反」(第274条)、しかし契約における言及責任の余計なものではありません。人が何かに直接責任があることを知っているなら(そしてできれば財政的に)、彼は何か間違ったことをする前に10回考えます。
当然、上記の要件があるため、システム管理者の報酬は適切である必要があります。少なくとも掃除婦のようではありません。優れた会計士のようにシステム管理者に支払う準備をしてください。
さらに、雇用契約では、システム管理者が組織での作業期間中に組織のニーズに合わせて開発したすべてのソフトウェア製品とそのソースコードが組織の所有物であることを規定することが非常に望ましいです。管理者が終了する場合に備えて、このアイテムが必要です。新しい人が古いシステム管理者の業務を理解するのははるかに簡単になります。そしてこれにより、情報技術に関連する障害なしに会社が機能できるようになります。
覚えて!優れたシステム管理者は、会社の管理において、右手ではないにしても、左手です。これは、さまざまな重大な状況、さらには通常の状況でも大いに役立ちます。彼の意見を聞いてください!管理者が愚かで怠惰で、開発に努めていない場合は、問題が発生する可能性があります。
2番。システム管理者と一緒に、ある種の内部技術規制を開発する必要があります。これは厳密に従わなければなりません。規制には、少なくとも次のセクションを含める必要があります。
- 重要で重要な情報をバックアップする方法
- 緊急時にバックアップを確認して情報を復元する手順
- ユーザー権利ポリシー
なぜあなたはそれが必要なのですか?ポイントを考えてみましょう:
重要な情報をバックアップする手順では、組織の正常な機能に必要な情報を含むデータベースをいつ、どのように、どこでバックアップするかを規制する必要があります。たとえば、毎週金曜日の17-00に、会計士の仕事が終わった後、耐火金庫(一般に「フラッシュドライブ」と呼ばれます)からモバイルハードドライブまたは大容量フラッシュディスクを取り出します。システム管理者は、特定の「注文」プログラムの助けを借りて、サーバーまたはワークステーションからこのディスクにデータベースをバックアップします。現在、多くのバックアッププログラムがあり、システム管理者がコピーを作成するプログラムを決定する可能性があります。
バックアップが作成されるドライブはプライベートにする必要があります。つまり、自分だけが、できれば耐火金庫に保管するか、そうでなければすべての従業員の手の届かないところに保管する必要があります。覚えて!緊急の場合、これはあなたが多くのトラブルを避けるのを助けることができる唯一のものです。このディスクは、データのバックアップまたは復元中のみ、システム管理者の手に渡る必要があります。 「システム管理者にアクセスを許可できないのはなぜですか」という質問があるかもしれません。なぜなら、他の誰かの魂は暗く、システム管理者がどんなに優れていても、彼は一夜にして、何らかの理由で全世界または特にあなたに腹を立て、メインデータベースとそのバックアップコピーの両方を台無しにする可能性があるからです。結局、あなたは何も残されないでしょう!
したがって、コピーが作成されます。次は何ですか?次に、バックアップを復元および検証するための手順を規制文書に提供する必要があります。何のために?そして、システム管理者がコーヒーを飲むだけでなく、彼がやるべきことを誠実に行ったことを誰が保証するのでしょうか。これを見つけるには、ディスクから(もちろん、別のコンピューターで)試用データの回復を行う必要があります。たとえば、これが会計情報である場合は、バックアップの数の残高を確認するように会計士に依頼します。作られた。残骸が収束した場合-システム管理者は警告を発しています。それ以外の場合、システム管理者は過失により罰せられる必要があります。覚えて!調整の欠如(たとえば、月に1回)は、システム管理者がすべてが正常であることを通知するという事実につながる可能性がありますが、重要な瞬間に彼は何もできなくなります。
検証が成功した後、復元中のデータベースのコピーをCD/DVDディスクに書き込むこともお勧めします。これらのディスクは、モバイルディスクと同様に、金庫に保管する必要があります。情報CD/DVDが蓄積されると、それらは破棄される可能性がありますが、個人的な経験に基づいて、将来必要になる可能性のある情報が含まれていない場合、1年以上前のディスクは破棄される可能性があります。情報の破壊はあなたの「規則」にも反映されるべきであり、厳守されなければなりません。つまり、ディスクまたはフロッピーディスクを取り出してバケットに入れるだけでなく、組織に関する競合他社のデータを提供するだけでなく、それを書き込んだり、いくつかの部分に分割したりします。すべての従業員が、最初に細かく切ったりシュレッダーに通したりせずに、ディスク、フロッピーディスク、さらには情報が入った紙をビンに投げ込むことを禁止するのは理にかなっています。結局のところ、攻撃者があなたの組織に属する情報を含むフロッピーディスクやその他の媒体を見つけた場合、Artの記事でさえもです。刑法(情報への違法なアクセス)の272、彼はちょうどそれを見つけたので、あなたはそれを捨てただけです。そして、競合他社は眠りません!
バックアップで理解しました。すべての?いいえ!別の脅威があります。今回は、コンピューターユーザーからのものです。システム管理者が言うように、ユーザーがネットワーク、さらにはインターネットを制御不能にサーフィンする機会が与えられた場合、バックアップからのデータベースを定期的に「リフト」する必要があります。なんで?ユーザーは他のユーザーのファイルを自由に消去できるため、インターネットからネットワークにウイルスを持ち込むことができ、計算機がそこで給与を計算した時期と、誰に支払った金額を最終的に確認し、給与について話し合うことができます。喫煙室。私の実務では、会計士Aが会計士Bにエントリーし、その日そこにいなかった会計士Bが、会計士Bに代わって会計取引が行われたために解雇された場合がありました。 ?そのため、ユーザーごとに一意の名前を定義する必要があり、ユーザーはアクセスするためのパスワードを選択する必要があります。このパスワードは、定期的に(1か月に1回)変更する必要があり、紙に書いてはいけません。キーボードの下。パスワードは「強力」である必要があります。つまり、経験の浅いハッカーでさえ、数分で211281のようなパスワードを取得します。しかし、経験豊富なハッカーでさえ、パスワード「zgxv$123」を取得することはできません。
あなたは反対するかもしれませんが、文字と数字のこの無意味なごちゃ混ぜをどのように覚えていますか?次の方法をお勧めします。子供の頃から覚えている韻を考えてみましょう。たとえば、「笑顔からすると、誰にとっても明るくなります」。英語のキーボードレイアウトで、韻の単語の最初の文字を入力します。 「jecdc」のような文字列を取得します。たとえば、数字の12などの7文字にパスワードを追加しましょう。さらに$または#記号を追加すると、「jecdc12#」のようなパスワードが得られます。これは、経験豊富なハッカーにとっても難しいでしょう。
さらに、システム管理者は、アクセス権を使用してユーザーを区別し(これを行う方法を知っています)、サーバーでの作業に必要なディレクトリ(フォルダー)へのアクセスのみを許可し、インターネットを閉鎖する必要があります。インターネットは今やウイルスの温床となっています)、それが必要なインターネットへのアクセスを提供します。これはすべて、「ユーザー権利ポリシー」で詳しく説明する必要があります。覚えて!コンピュータユーザーは、コンピュータのオペレーティングシステム(同じWindows)とさまざまなプログラム(対応する機能がある場合)を「名前」と「パスワード」で入力することが非常に重要です。従業員による「外部」パスワードまたはユーザー名の使用を許可しないでください。従業員による自分以外のユーザー名の使用に関するシステム管理者からのメッセージに、それらを浸透させることによって応答します。パスワードとユーザー名を使用するというポリシーを厳密に順守することによってのみ、特定のファイル、ドキュメント、データベースを誰が、どのように、いつ破損したかをすばやく確認できます。これらの対策により、破損したデータの回復が簡素化され、組織の情報提供に障害が発生した場合のダウンタイムが短縮されます。すべての従業員が「Administrator」という名前でパスワード「1」を使用して異なるプログラムに入ると、失敗やエラーの実行者は見つかりません。
第3。電子デジタル署名(EDS)、Bank-Clientシステムからのパスワード、プラスチックカード、連邦税務サービスやその他の組織にデータを転送するためのプログラムをコンピューターのハードドライブに保存しないでください。ある瞬間にアカウントにゼロが表示されたくないですか?違うと思う。したがって、すべての重要な情報は、個人用金庫のリムーバブルメディアに保存する必要があります。 (たとえば、個人用フラッシュドライブの場合)このメディアにアクセスできる必要がある場合を除いて、NOBODY。組織の従業員が(悪意を持って、または誤って)銀行クライアントシステムでEDSまたはパスワードを使用して送金するリスクに加えて、これらのデータがウイルスやその他のプログラムによって盗まれる可能性があります。インターネットを介してコンピュータ上で。後者の場合、昨日口座からお金が引き落とされたことがわかり、誰がそれを行ったかを調べようとしても失敗する可能性があります。正しいパスワードまたは正しいEDSが入力されるため、同じ銀行が送金の注文を実行するという悲劇もあり、署名またはパスワードを入力したのがあなたではないことを証明することは不可能です。同じ要件が、銀行、連邦税務署、およびその他の代理人と協力している会計士のEDSにも適用されます。会計士は、この種の情報を含む個人的なメディアを持っている必要があります。
少しでも疑わしい場合は、誰かがパスワードの一部を見つけたり、少なくとも1秒間は、EDSを使用してメディアを使用したり(保持したりすることもできます)、すぐにブロックしてから、パスワードまたはEDSを変更できます。
第4。ライセンスソフトウェア(ソフトウェア)を使用してください。ソフトウェアを節約すると、起訴されるリスクと、ライセンスのないソフトウェアがデータへの損害やインターネット上の攻撃者へのデータの転送の原因となる可能性があるという事実の両方につながる可能性があります(ハッカーは愛のためだけでなくソフトウェアを「無料」にします芸術の)。ソフトウェアの場合、システム管理者が組織のパフォーマンスを確保するために何が必要かを教えてくれます。少なくとも、従業員の主な作業を実行するためのプログラムに加えて、すべてのワークステーションとサーバーには、例外なく、最新のアップデートセットを備えたライセンスオペレーティングシステムと、最新のウイルス対策データベースがインストールされたライセンスアンチウイルスが必要です。ただし、テストされていないプログラムは、原則として不安定であり、データに損傷を与える可能性があるため、新しい「小物」は避けてください。
これらはほんの数例ですが、さまざまな組織のシステム管理者およびシステム管理者の責任者としての作成者の経験に基づく重要な推奨事項です。聞いてください。データに何かが起こったとしても、その事件は災害ではありません。
P.S.記事が書かれるまでに、著者は友人の要請で、新年の直前に、ある組織での火災の結果に対処しなければなりませんでした。彼らは上記の要件を厳守し、バックアップを作成しましたが、...6か月に1回です。いいえ、期待どおりにすべてを行う前に、週に1回ですが、ひどいことが起こらなかったため、組織は手を振ってリラックスしました。火災が発生し、給与の発行や在庫会計など、紙のすべての報告が焼失しました。そして、今年の初めには、多くの会計士がおそらく知っているように、連邦税務署への報告が必要です...
残念ながら、サーバーのハードディスクを復元できませんでした。また、復元されたバックアップの日付は2009年7月3日です。