Учитесь защищать свою информацию

Автор статьи: Виталий Мельник, Microsoft Certified Professional (MCP), Microsoft Certified Desktop Support Technician(MCDST)

Тезис «Кто владеет информацией – тот владеет миром» был актуален во все времена.

Естественное для человека желание жить лучше в современной непростой экономической ситуации заставляет все активнее работать локтями, расталкивая толпы желающих того же.

Один из действенных приемов при этом – завладеть информацией ближайшего конкурента, чтобы в борьбе за лучшее место под солнцем вовремя лишить его возможности когда либо занять это самое место.

Всякий серьезный бизнес (а Ваш бизнес именно таковым и является) сейчас немыслим без компьютера или некоторого их количества, объединенных в локальные или распределенные сети. Учитывая это и обладая некоторыми знаниями, отличными от нулевых, Ваши конкуренты имеют потенциальную возможность завладеть информацией о Вашем бизнесе и использовать ее против Вас.

Что надо сделать, чтобы потенциальная возможность так никогда и не стала реальным событием?

Прежде всего, надо ответить самому себе на вопрос – хочу ли я, чтобы моя информация работала на меня, а не на моих конкурентов? Если ответ «Да», тогда статью можно читать дальше.

Не претендуя на терминологическую корректность, будем считать, что защите подлежит информация, подпадающая под определения «Коммерческая тайна», «Банковская тайна», «Персональные данные». Точные определения данных категорий приведены в соответствующих нормативных документах.

Точно так же, как любой стратег, выстраивая оборону, знает состав своих войск, Вы должны знать структуру и состав своей сети, ее архитектуру, технические характеристики каналов связи, особенности подключения к локальным (глобальным) сетям, характер обрабатываемой информации и количество персонала имеющего доступ к этой обработке. Это, конечно, далеко не полный перечень сведений, которые вы должны знать, однако, выстроив все это в систему, уже можно приступать к построению системы защиты.

Оборона на поле боя - это сложный комплекс системы траншей и инженерных защитных сооружений, минных полей и огневых направлений. Защита информации тоже должна быть комплексной, чтобы закрыть все возможные направления атаки на нее. Это правовые и нормативные документы, физические устройства и программные средства, средства наблюдения и ограничения доступа, организационные и технические мероприятия.

Точно так же, как к обороне лучше готовиться в мирное время, к защите информации идеально готовиться еще до физической реализации компьютерной сети. Если процесс создания сети будет идти параллельно с созданием системы защиты, можно уберечь себя от многих финансовых издержек в будущем. И еще, очень важно, чтобы защита была непрерывной – не зависела от перерывов в работе, вывода (ввода) очередного оборудования (ПО) из (в) эксплуатации (-ию), ремонтов помещений или оборудования, настроения персонала или времени года и тому подобное.

Не исключена возможность построения суперзащищенной сети для сокрытия от конкурентов, например, информации об изобретении велосипеда. Однако запустить в производство изобретенный велосипед скорее всего будет невозможно – все деньги уйдут на сокрытие информации о нем. Поэтому важным будет решить заранее вопрос о разумной достаточности затрат на защиту той информации, которую Вы собираетесь защищать.

Все течет, все меняется. Об этом надо помнить и при реализации системы защиты информации. Монолитная непробиваемая (почти) защита сегодня - завтра может оказаться громоздкой и не пригодной для модернизации. Поэтому желательно заранее подумать о гибкости и управляемости защиты в перспективе. А так как известно, что самыми надежными являются устройства, не требующие для своего обслуживания специальных знаний и навыков, отдавайте предпочтение простым способам применения средств защиты информации.

Теперь, подобрав грамотную команду системотехников и профессионалов своего дела (для этого трезво оцените, какие деньги Вы будете платить им за работу) и зная основные принципы защиты информации, перечисленные выше, можно создавать свою комплексную систему защиты информации (КСЗИ). Однако, как и военные, которые строят оборонительные позиции на опасных участках, так и Вы должны определить наиболее уязвимые для атак на Вашу информацию участки, т.е. провести анализ угроз и составить модель угроз.

Исходными данными для этого будут: