Kretov Nikolai Nikolaevich: 소규모 조직의 정보 보안

최소한 가끔 뉴스 보도를 듣는다면 은행, 정부 기관 및 기타 여러 조직에서 중요 기밀 정보가 도난당하거나 파괴되는 것에 대해 들어본 적이 있을 것입니다. 아마도 컴퓨터에 전화 번호부가 있을 수도 있습니다. 지인에 따르면 이 전화 번호부는 도시 자동 전화 교환기에서 일하는 친한 친구 Petya가 이 전화 번호부를 복사한 컴퓨터에서 제공한 초콜릿 바입니다. 이들은 모두 조직의 정보 보안 보장과 관련된 "버그"입니다. 불행히도 이것은 조직에서도 가능합니다.

안 믿어? 여기 예시들이 있습니다 :

조직 직원 중에는 프린터를 수리하고, 컴퓨터를 청소하고, 업무에 필수적인 다양한 프로그램을 설치하고, 때로는 1C 회계 또는 벽난로까지 설치하는 친절한 사람 Kolya가 있습니다. 그러나 종종 그는 적은 급여에 대해 불평하고, 그의 의견으로는 급여가 자신의 일에 대한 지불을 중단하면 떠납니다. 그리고 며칠 후 1C의 데이터베이스는 상상할 수 없는 우연의 일치로 인해 복원할 수 없는 망각으로 "떠납니다". 설상가상으로 이 콜야가 정당한 복수심으로 그 근거를 세무서에 보내거나 인터넷 어딘가에 올려놓으면 많은 경제학과 학생들이 다양한 작성을 연습할 수 있는 좋은 기회가 될 것이다. 회사의 예를 사용하여 대차 대조표의 종류.

좋은 사람 Kolya는 급여에 대해 불평조차하지 않고 St. Francis처럼 시도하지만 어느 좋은 날, 운이 좋은 신사 몇 명이 문을 열고 과로로 얻은 조직의 모든 재산을 빼앗아갑니다. 컴퓨터로) 세무서에 대한 보고서를 종이 조각으로 만들 수 없다는 것을 깨닫고 회계사는 Validol 톤을 삼켰습니다. 그리고 조직에 화재가 발생하면 (신은 금지!) 서류조차 남지 않을 것입니다. 분명히 위에 기록된 모든 내용을 읽은 후 다음과 같이 생각했을 것입니다. “글쎄요! 이것은 불행한 것과 그것을 다루는 방법의 시리즈입니다! 또는 예! 예! 우리는 상황이 어떻게 돌아가는지 확실히 고려할 것입니다. 그러나 일주일 안에." 그리고 하루 후, 정보의 죽음으로 이어지는 일이 발생하고 머리카락을 찢을 준비가되었지만 그들이 말하는 것처럼 "너무 늦었습니다, 친구!"

어두운 사진, 맞죠? 개인적인 경험이나 친구의 경험을 통해 이 모든 것에 익숙하고 적절한 결론을 도출했다면 운이 좋은 것입니다! 정보 손실 위험을 최소화했다고 합니다. 아직 그런 문제(파파)를 겪지 않은 신사 숙녀 여러분과 함께 제 경험을 나누고 싶습니다.

따라서 우리를 위협하는 위험에 대처하는 실용적인 방법을 고려할 때입니다. 첫 번째. 정상적이고 정상적인 시스템 관리자가 필요합니다. 편의상 앞으로 그를 시스템 관리자라고 부를 것입니다. 시스템 관리자 역할에 지원하는 사람에 대해 이전 직무에서 문의하는 것이 매우 바람직합니다. 그는 "이마에 7개의 스팬"이라고 말하듯이 모든 거래를 잘하는 사람일 수 있지만 불량하고 "왼쪽" 시간제 작업을 선호합니다. 예를 들어 조직에 대한 데이터를 경쟁자에게 전달하는 것과 같습니다. 조직에 직접적인 피해를 줍니다. 제 경험상(당신에게는 역설적으로 보일지 모르지만 사실입니다) 저는 공과대학 학부생 중에서 시스템 관리자를 찾는 것을 추천할 수 있습니다. 일반적으로 3-4 개의 "밝은"머리가 있으며 그 중 조직 형성 초기 단계에서 관리 작업에 대처할 수있는 사람을 선택할 수 있습니다. 또한 많은 선배들은 경력 초기에 '고생을 하지 않고', 가족에게 부담을 주지 않고, 새로운 것에 도전한다. 그리고 시스템 관리자의 작업에서 새로운 것에 대한 열망은 그가 작업해야 하는 소프트웨어가 매우 빠르게 변경되기 때문에 중요한 품질입니다.

고용 계약서(또는 다른 문서, 예를 들어 계약서)에서 시스템 관리자 측에서 귀하의 정보와 관련된 불법 행위에 대한 책임을 규정하는 것이 필수적입니다. 물론 러시아 연방 형법에는이 주제에 대한 관련 기사가 있습니다 (형법 28 장에서 "컴퓨터 정보 분야의 범죄"라고하며 "컴퓨터 정보에 대한 불법 액세스" (제272조), "컴퓨터용 악성 프로그램의 생성, 사용 및 유포"(제273조) 및 "컴퓨터, 컴퓨터 시스템 또는 그 네트워크의 운영에 관한 규칙 위반"(제274조), 그러나 계약서에 언급 책임은 불필요하지 않습니다. 어떤 사람이 자신이 어떤 일에(그리고 가급적이면 재정적으로) 직접적인 책임이 있다는 사실을 알고 있다면 잘못된 일을 하기 전에 열 번 생각할 것입니다.

당연히 위의 요건을 갖추어 시스템 관리자의 보수가 적절해야 합니다. 적어도 청소부처럼은 아닙니다. 좋은 회계사처럼 시스템 관리자에게 지불할 준비를 하십시오.

또한 고용 계약에 시스템 관리자가 근무 기간 동안 조직의 요구를 위해 개발한 모든 소프트웨어 제품 및 해당 소스 코드가 조직의 자산임을 명시하는 것이 매우 바람직합니다. 관리자가 종료하기로 결정한 경우 이 항목이 필요합니다. 새로운 사람이 이전 시스템 관리자의 업무를 이해하는 것이 훨씬 쉬울 것입니다. 그리고 이를 통해 회사는 정보 기술과 관련된 오류 없이 작업할 수 있습니다.

기억하다! 좋은 시스템 관리자는 회사 관리에서 오른손은 아닐지라도 왼손입니다. 다양한 중요 상황, 심지어 일상적인 상황에서도 많은 도움이 될 수 있습니다. 그의 의견을 들어라! 관리자가 어리 석고 게으르며 개발을 위해 노력하지 않으면 문제가 예상됩니다!

두번째. 시스템 관리자와 함께 엄격하게 준수해야 하는 일종의 내부 기술 규정을 개발해야 합니다. 규정에는 최소한 다음 섹션이 포함되어야 합니다.

• 중요하고 중요한 정보를 백업하는 방법
• 백업 확인 및 비상시 정보 복원 절차
• 사용자 권한 정책

왜 필요합니까? 요점을 고려해 보겠습니다.

중요한 정보를 백업하는 절차는 조직의 정상적인 기능에 필요한 정보가 포함된 데이터베이스를 백업할 시기, 방법 및 위치를 규정해야 합니다. 예를 들어 매주 금요일 17-00시에 회계사 업무가 끝나면 내화 금고(일반적으로 "플래시 드라이브"라고 함)에서 모바일 하드 드라이브 또는 대용량 플래시 디스크를 꺼냅니다. 시스템 관리자는 특정 "주문" 프로그램의 도움을 받아 서버 또는 워크스테이션에서 이 디스크로 데이터베이스를 백업합니다. 현재 많은 백업 프로그램이 있으며 시스템 관리자는 어떤 프로그램을 복사할지 결정할 수 있습니다.

백업이 수행되는 드라이브는 개인용이어야 합니다. 즉, 가급적이면 내화 금고에 보관하거나 모든 직원의 손이 닿지 않는 곳에 귀하만 보관해야 합니다. 기억하다! 응급 상황의 경우 이것만이 많은 문제를 피하는 데 도움이 될 수 있습니다. 이 디스크는 데이터를 백업하거나 복원하는 동안 시스템 관리자에게만 맡겨야 합니다. "시스템 관리자에게 액세스 권한을 부여할 수 없는 이유는 무엇입니까?"라는 질문이 있을 수 있습니다. 왜냐하면 다른 사람의 영혼은 어둡고, 당신의 시스템 관리자가 아무리 훌륭하다 할지라도, 그는 밤새 어떤 이유에서든 전 세계 또는 특히 당신에게 화를 내면 메인 데이터베이스와 백업 복사본을 모두 망칠 수 있기 때문입니다. 결국, 당신은 아무것도 남지 않을 것입니다!

그래서 사본이 만들어집니다. 무엇 향후 계획? 다음으로 규제 문서에 백업 복원 및 확인 절차를 제공해야 합니다. 무엇 때문에? 그리고 누가 당신의 시스템 관리자가 커피만 마시는 것이 아니라 그가 해야 할 일을 성실하게 수행했다고 보장할 수 있습니까? 이를 알아내려면 디스크(물론 다른 컴퓨터에서)에서 시험 데이터 복구를 수행해야 하며, 예를 들어 이것이 회계 정보인 경우 회계사에게 백업이 발생한 번호의 잔액을 확인하도록 요청하십시오. 했다. 잔여물이 수렴되면 시스템 관리자가 경고를 받습니다. 그렇지 않으면 시스템 관리자는 과실로 처벌을 받아야 합니다. 기억하다! 조정이 없으면(예: 한 달에 한 번) 시스템 관리자가 모든 것이 정상적이지만 중요한 순간에 아무 것도 할 수 없다는 사실을 알릴 수 있습니다.

성공적으로 확인된 후 복원 중인 데이터베이스의 복사본을 CD/DVD 디스크에 굽는 것도 좋은 방법입니다. 이러한 디스크는 모바일 디스크와 마찬가지로 금고에 보관해야 합니다. 정보 CD/DVD는 누적되면 파기될 수 있지만 개인적인 경험에 따르면 1년 이상 된 디스크에 향후 필요할 수 있는 정보가 포함되어 있지 않으면 파기될 수 있습니다. 정보의 파기는 귀하의 "규정"에도 반영되어야 하며 엄격하게 준수되어야 합니다. 즉, 디스크나 플로피 디스크를 가져 와서 양동이에 던져서 조직에 대한 경쟁자 데이터를 제공하는 것이 아니라 굽거나 여러 부분으로 잘라냅니다. 모든 직원이 디스크, 플로피 디스크 및 정보가 포함된 종이를 먼저 조각으로 자르거나 분쇄기에 통과시키지 않고 휴지통에 던지는 것을 금지하는 것이 합리적입니다. 결국, 일부 공격자가 귀하의 조직에 속한 정보가 포함된 플로피 디스크 또는 기타 매체, 심지어 Art의 기사를 찾은 경우. 형법 272조(정보에 대한 불법적 접근), 그가 방금 발견했고 당신은 그것을 버렸기 때문입니다. 그리고 경쟁자는 잠을 자지 않습니다!

백업으로 이해했습니다. 모든 것? 아니다! 또 다른 위협이 있습니다. 이번에는 컴퓨터 사용자로부터 왔습니다. 사용자에게 제어할 수 없는 방식으로 네트워크를 검색할 수 있는 기회가 주어지며, 인터넷은 더욱 그렇습니다. 시스템 관리자가 말하는 것처럼 백업에서 데이터베이스를 정기적으로 "제거"해야 합니다. 왜요? 사용자는 다른 사용자의 파일을 자유롭게 지울 수 있기 때문에 인터넷에서 바이러스를 네트워크로 가져올 수 있으며 계산기가 그곳에서 급여를 계산한 시간과 지불한 금액을 마침내 볼 수 있으며 급여에 대한 토론이 이어집니다. 흡연실. 제 실무에서는 A회계사 1명이 B회계사를 대신하여 계좌거래를 했기 때문에 그날 현장에 없었던 B회계사를 해고한 경우가 있었습니다. ? 그렇기 때문에 각 사용자에 대해 고유한 이름을 정의해야 하고 사용자는 액세스를 위해 비밀번호를 선택해야 합니다. 이 비밀번호는 그(그만)가 정기적으로 변경해야 하며(한 달에 한 번이면 충분합니다) 접힌 종이에 쓰지 않아야 합니다. 키보드 아래. 비밀번호는 "강력"해야 합니다. 즉, 경험이 없는 해커라도 몇 분 안에 211281과 같은 암호를 선택합니다. 그러나 숙련 된 해커조차도 "zgxv $ 123"이라는 암호를 선택할 수 없습니다.

이의를 제기할 수 있지만 문자와 숫자의 의미 없는 뒤죽박죽을 기억하는 방법은 무엇입니까? 다음 방법을 추천합니다. 예를 들어 "미소에서 모든 사람이 더 밝아질 것입니다."와 같이 어린 시절 기억나는 운율을 취하십시오. 영어 자판 배열에서 운율 단어의 첫 글자를 입력합니다. "jecdc"와 같은 문자열을 얻습니다. 예를 들어 숫자 12와 같이 7자에 암호를 추가해 보겠습니다. 다른 $ 또는 # 기호를 추가하면 "jecdc12#"와 같은 암호가 생성되며 이는 숙련된 해커에게도 너무 어렵습니다.

또한 시스템 관리자는 액세스 권한을 사용하여 사용자를 구분하고(그는 이 작업을 수행하는 방법을 알고 있음), 서버에서 작업하는 데 필요한 디렉터리(폴더)에만 액세스 권한을 부여해야 하며, 그렇지 않은 사람에게는 인터넷을 닫아야 합니다(왜냐하면 인터넷은 이제 바이러스의 온상임), 필요한 사람에게 인터넷에 대한 액세스를 제공합니다. 이 모든 내용은 "사용자 권한 정책"에 명시되어야 합니다. 기억하다! 컴퓨터 사용자가 컴퓨터의 운영 체제(동일한 Windows)와 다양한 프로그램(해당 기능이 있는 경우)을 "이름"과 "비밀번호"로 입력하는 것은 매우 중요합니다. 직원이 "외부" 비밀번호나 사용자 이름을 사용하는 것을 허용하지 마십시오. 직원이 사용자 이름이 아닌 사용자 이름을 사용하는 것에 대한 시스템 관리자의 메시지에 응답하십시오. 비밀번호와 사용자 이름 사용 정책을 엄격하게 준수해야만 특정 파일, 문서, 데이터베이스가 누가, 어떻게, 언제 손상되었는지 신속하게 파악할 수 있습니다. 이러한 조치는 손상된 데이터의 복구를 단순화하고 조직의 정보 제공에 실패하는 경우 가동 중지 시간을 줄입니다. 모든 직원이 암호 "1"로 "관리자"라는 이름으로 다른 프로그램을 입력하면 실패 및 오류의 가해자를 찾을 수 없습니다!

제삼. 전자 디지털 서명(EDS), 은행 고객 시스템의 암호, 플라스틱 카드, 연방세 서비스 및 기타 조직으로 데이터를 전송하기 위한 프로그램을 컴퓨터의 하드 드라이브에 저장하지 마십시오. 좋은 순간에 계정에 0이 표시되고 싶지 않습니까? 나는 아니라고 생각한다. 따라서 모든 중요한 정보는 개인 금고의 이동식 매체에 저장해야 합니다. (예: 개인용 플래시 드라이브에서) 이 미디어에 액세스할 수 있는 사용자를 제외하고는 아무도 없습니다. 조직의 직원(악의적 의도 또는 실수로)이 은행-클라이언트 시스템에서 돈을 이체하기 위해 EDS 또는 암호를 사용할 위험 외에도 바이러스나 다른 프로그램에 의해 이러한 데이터가 도난당할 가능성이 있습니다. 인터넷을 통해 컴퓨터에서. 후자의 경우 어제 계좌에서 돈이 인출되었음을 알 수 있으며 누가 인출했는지 알아내려 해도 실패할 수 있습니다. 비극은 또한 올바른 비밀번호 또는 올바른 EDS가 입력되고 서명이나 비밀번호를 입력한 사람이 본인이 아니라는 것을 증명하는 것이 불가능하기 때문에 동일한 은행이 송금 명령을 실행한다는 것입니다. 은행, 연방 세무 서비스 및 기타 대리인과 협력하는 회계사의 EDS에도 동일한 요구 사항이 적용되어야 합니다. 회계사는 이런 종류의 정보가 담긴 개인 매체를 가지고 있어야 합니다.

누군가가 암호의 일부라도 알아낼 수 있거나 최소한 1초 동안 EDS가 포함된 미디어를 사용할 수 있다는(심지어 그냥 보유) 의심이 가는 경우에는 즉시 차단하고 이후에 암호나 EDS를 변경하십시오.

네번째. 라이선스가 부여된 소프트웨어(소프트웨어)를 사용합니다. 소프트웨어 비용을 절약하면 기소될 위험과 라이센스가 없는 소프트웨어가 데이터 손상의 원인이 되거나 인터넷의 공격자에게 데이터가 전송될 수 있다는 사실로 이어질 수 있습니다(해커는 사랑을 위해서 뿐만 아니라 소프트웨어를 "무료"로 만듭니다). 예술의). 소프트웨어의 경우 시스템 관리자가 조직의 성과를 보장하는 데 필요한 사항을 알려줄 것입니다. 최소한 직원의 주요 작업을 수행하기 위한 프로그램 외에도 모든 워크스테이션과 서버에는 예외 없이 최신 업데이트 세트가 포함된 라이선스가 있는 운영 체제와 최신 바이러스 백신 데이터베이스가 설치된 라이선스가 있는 바이러스 백신이 있어야 합니다. 그러나 테스트되지 않은 프로그램은 일반적으로 불안정하고 데이터를 손상시킬 수 있으므로 새로운 "장신구"를 피하십시오.

이는 시스템 관리자이자 다양한 조직의 시스템 관리자 책임자로서 저자의 경험을 기반으로 한 몇 가지이지만 중요한 권장 사항입니다. 들어보세요. 데이터에 문제가 발생하더라도 그 사건은 재앙이 아닙니다.

추신 기사가 작성될 무렵, 저자는 친구의 요청으로 새해 직전에 한 조직의 화재로 인한 결과를 처리해야 했습니다. 그들은 위에 나열된 요구 사항을 엄격하게 준수하고 백업을 만들었지만 ... 6 개월에 한 번. 아니요, 예상대로 하기 전에 일주일에 한 번, 그러나 끔찍한 일이 없었기 때문에 조직은 손을 흔들며 긴장을 풀었습니다. 화재가 발생하여 급여 발행 및 재고 회계를 포함하여 서류상의 모든 보고가 소실되었습니다. 그리고 연초에 많은 회계사가 알고 있듯이 연방 세무 서비스에보고해야합니다 ...

안타깝게도 서버의 하드 디스크를 복원할 수 없습니다. 그리고 복원된 백업 날짜는 2009년 7월 3일입니다.