#Информационная безопасность малой организации

Часть написана умышленно ради сайта https://www.forexnn.com, безвыездно права принадлежат Николаю Николаевичу Кретову
Если вы, хотя бы спорадически, слушаете выпуски новостей, то наверняка слышали о кражах иначе уничтожении важной и конфиденциальной информации в банках, правительственных органах и многих других организациях. Вероятно, даже у вас для компьютере жрать телефонный справочник, который сообразно знакомству, следовать шоколадку, дал хороший знакомый Петя, работающий на городской АТС, с компьютеров которой сей настоящий справочник и был скопирован. Это всё «проколы» связанные с обеспечением информационной безопасности в организациях. К сожалению, такое вероятно даже в вашей организации.
Не верите? Приведу примеры:
В штате вашей организации упихивать добрый малолеток Вася, какой чинит принтеры, чистит компьютеры, ставит разные программы жизненно необходимые в работе, даже иногда может настроить «1С Бухгалтерию» иначе «Камин». Но многократно он жалуется для маленькую зарплату, и когда, по его мнению, зарплата перестаёт окупать его труды, он уходит. А путем скольконибудь дней в небытиё «уходят» и ваши базы данных из 1С, которые сообразно какому-то невообразимому стечению обстоятельств восстановить не представляется возможным. Ещё ужаснее, ежели сей Вася, в порыве словно ему кажется, праведной мести отправит базы в налоговую, тож выложит куда-нибудь в Интернет, и некоторый студенты- экономисты получат отличную мочь потренироваться в составлении разного рода балансов для примере вашей фирмы.
Все права на статью принадлежат Кретову Н. Н., текст чтобы Forexnn.Com Бывает так, который душевный малолеток Вася даже не жалуется для зарплату, и старается аки божественный Франциск, однако в один прекрасный число, изрядно джентльменов удачи, вскрыв дверь, уносят всё нажитое непосильным трудом богатство вашей организации (купно с компьютерами) и ваши бухгалтера глотают тоннами Валидол, понимая, сколько из бумажек отчёт чтобы налоговой не слепить. А в случае, когда в вашей организации случился пожар (Не дай Творец! ), то не останется даже бумажек. Наверняка, Вы, прочитав всё то, сколько написано выше, подумали: «Ну! Это из серии, который такое не везёт и чистый с этим схватиться! » или «Ейей! Да! Обязательно обдумаем, словно у нас обстоит с этим тяжба, однако через неделю». А вследствие сутки случается что-то, который приводит к гибели вашей информации и вы готовы рвать на себе волосы, а только говорится: «Прот, батенька! »
Мрачные картины, не так ли? Если вам это всё знакомо из личного опыта либо опыта знакомых, и вы сделали соответствующие выводы - вам повезло! Вы, наподобие говорят, минимизировали приманка риски в связи с потерей информации. С теми господами и дамами, которые с такими неприятностями ещё не сталкивались (тьфу-тьфу), я хочу поделиться своим опытом.
Следовательно, пора рассмотреть практические методы борьбы с грозящими нам опасностями. Первое. Вам нужен подходящий, вменяемый, системный администратор. Ради простоты, в дальнейшем, будем крестить его сисадмином. Очень желательно навести справки с предыдущих мест работы о человеке, претендующем на роль вашего системного администратора. Он может заключаться, наподобие говорят «семи пядей во лбу», умельцем для все руки, но заключаться жуликоватым и владеть склонности к «левой» подработке, примерно, передавая какие-либо данные о вашей организации вашим конкурентам, что несёт искренний ущерб вашей организации. Из своего опыта, (вероятно, это покажется вам парадоксальным, только это случай) могу порекомендовать подыскивать системного администратора между студентов-старшекурсников технических вузов. Сиречь обыкновенный, там употреблять 3-4 «светлых» головы, из числа которых дозволено выбрать человека, вполне способного справится на начальном этапе становления организации с задачами администрирования. К тому же некоторый студенты-старшекурсники, для начальном этапе своей карьеры «не замучены жизнью» не обременены семьями и стремятся к чему-то новому. А цель к новому в работе системного администратора добротность немаловажное, беспричинно подобно программное обеспечение, с которым ему приходится трудиться, меняется очень быстро. Эта статья является собственностью Кретова Николая Николаевича, и былв написана умышленно ради его сайта и впервые опубликована в январе 2012го.
В трудовом договоре (либо ином документе, положим, контракте) обязательно надо оговорить порука изза противоправные действия сообразно отношению к вашей информации со стороны вашего системного администратора. Очевидно, в УК РФ теснить соответствующие статьи на этот счёт (приведены в 28 главе УК, которая называется "Преступления в сфере компьютерной информации" и содержит три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), "Произведение, использование и распространение вредоносных программ чтобы ЭВМ" (ст. 273) и "Нарушение правил эксплуатации ЭВМ, системы ЭВМ сиречь их сети" (ст. 274). ), однако упоминание в контракте об ответственности было желание не лишним. Причинность разве смертный знает который он прямо ради что-то отвечает (а лучше финансово), то он десять единожды подумает накануне, чем сделать что-то не так.
Естественно, при указанных выше требованиях, оплата труда системного администратора должна быть адекватной. Сообразно крайней мере, не ровно у уборщицы. Будьте готовы раскошеливаться вашему системному администратору, вдруг хорошему бухгалтеру.
Опричь того, очень желание в трудовом договоре оговорить, сколько постоянно программные продукты и исходные тексты к ним, разработанные вашим системным администратором ради нужд организации в период работы в ней являются собственностью организации. Этот часть нужен вам на тот карамболь, если ваш администратор решит уволиться. Новому человеку будет гораздо проще ориентироваться в делах старого системного администратора. А это в свою очередь позволит вашей фирме работать без сбоев связанных с информационными технологиями.
В данном случае Кретов Николай Николаевич может посоветовать: Помните! Добрый системный правитель - это ваша если не правая, то левая сторона в управлении фирмой. Он может в очень многом помочь в разных критических, разумеется и обычных ситуациях. Прислушивайтесь к его мнению! Когда же правитель туп, ленив и не стремится к развитию - то жди беды!
Второе. Вам нуждаться, совместно с вашим системный администратором, разработать некоторый естественный технологический регламент, которому наступать неукоснительно. Регламент, подобно минимум, вынужден включать следующие разделы:
·    Расположение резервного копирования важной и критически важной информации
·    Порядок сверки резервных копий и восстановления информации в случае чрезвычайных происшествий
·    Политика прав пользователей
Зачем вам это нужно? Рассмотрим сообразно пунктам:
Диета резервного копирования важной информации обязан регламентировать когда, подобно и гораздо образовывать резервные копии ваших баз данных, которые содержат информацию необходимую для нормального функционирования организации. Например, каждую пятницу в 17-00, потом окончания работы бухгалтеров, вы достаёте из вашего несгораемого сейфа мобильный жёсткий диск разве Smart Disk большой ёмкости (в народе именуемый также «флешкой»), и ваш сисадмин делает с через определённых в вашем «порядке» программ, резервную копию баз данных с ваших серверов тож рабочих станций для этот диск. Программ для резервного копирования теперь существует великое множество, и ваш системный правитель весь может определиться, какой программой исполнять копии.
Диск, для какой делаются резервные копии, должен существовать отчуждаемым, то лопать обязан храниться только у вас, желание в несгораемом сейфе тож каким-либо образом находится вне досягаемости всех ваших сотрудников. Помните! Для случай ЧП это единственное, который может вам помочь избежать многих неприятностей. Сей диск должен быть в руках системного администратора один на срок резервного копирования или восстановления данных. У вас может возникнуть вопрос: «А почему запрещать давать доступ к нему системному администратору? » Потому сколько, чужая дух - потёмки, и как желание не был хорош ваш сисадмин, он в одночасье, будучи сообразно какой-то причине зол для сполна поднебесная либо конкретно на вас, может испортить подобно основную базу данных, беспричинно и её резервную копию. В итоге вы останетесь ни с чем!
Следовательно, копии делаются. Что дальше? Кроме надо предусмотреть в вашем нормативном документе порядок восстановления и сверки резервной копий. Зачем? А кто даст гарантию, который ваш системный правитель не просто пил кофе, а добросовестно сделал то, сколько положено? Забота, безвыездно права для сей текст принадлежат Николаю Николаевичу Кретову, сочинение написана чтобы сайта Forexnn.Com Ради выяснения этого, нуждаться провести пробное возобновление данных с вашего диска (естественно на другом компьютере) и, например, разве это бухгалтерская информация, попросить бухгалтера сверить часть на то сумма, сообразно состоянию на которое делалась резервная копия. Разве остатки сошлись - сисадмин бдит. В противном случае, сисадмин принужден быть наказан ради нерадивость. Помните! Нужда сверок (возьмем, единожды в луна) может привести к тому, сколько сисадмин будет сообщать вам о часть, сколько всё в порядке, только в опасный момент ничего не сможет сделать. Сей грустный опыт был получен автором (Кретов Николай Екатеринбург) сам, поэтому постарайтесь не повторить его.
Также хорошей практикой является, впоследствии успешной сверки, записать копию восстанавливаемой базы данных на CD/DVD диски. Эти диски, беспричинно же как и мобильный диск должен держать в вашем сейфе. Сообразно мере накопления CD/DVD с информацией их можно истреблять, только исходя из личного опыта, искоренять можно диски годичной и более давности, ежели они не содержат информацию, которая может потребоваться в будущем. Уничтожение информации тоже должно существовать отражено в вашем «Регламенте» и должно строго соблюдаться. То ужинать не просто жениться диск разве дискету и рождать в погода, подарив тем самым конкуренту данные о своей организации, а сжечь их тож разделять на изрядно частей. Имеет значение запрещать вообще всем сотрудникам просто выбрасывать в урну диски, дискеты, и даже бумаги с какой-либо информацией заранее не разрезав их для части разве не пропустив после шредер. Ведь если какой-то злодей найдёт дискету тож иной носитель с информацией, принадлежащей вашей организации, в мусорном контейнере к нему запрещено будет применить даже статью ст. 272 УК (Неправомерный доступ к информации), ибо он простой нашёл, а вы простой выкинули. А конкуренты не дремлют!
С резервным копированием разобрались. Всё? Вышли! Ужинать ещё одна угроза. На сей раз, она исходит от пользователей работающих ради компьютерами. Когда дать мочь пользователям бесконтрольно лазить сообразно путы, а тем паче ещё и в Интернет, то базы данных с резервных копий придётся, подобно говорят сисадмины, «поднимать» регулярно. Почему? Потому сколько пользователи могут легко стереть файлы, принадлежащие другим пользователям, могут занести в вашу сеть вирус из Интернета, могут, едва, посмотреть, если там расчётчик зарплату посчитал, и сколь кому заплатили с последующим обсуждением зарплат в курилке. В моей практике был трагедия когда один бухгалтер А сделал проводки после бухгалтера Б, и бухгалтера Б которого в тот сутки не было, уволили по статье, потому который операции со счетами производились через имени бухгалтера Б. Неприятно, правда? Именно поэтому надо определить каждому пользователю уникальное эпитет и и пользователь обязан выбрать себе лозунг для доступ, кто он (и только он) обязан точный менять (довольно единовременно в луна) и не отмечать для листочек, засунутый почти клавиатуру. Отзыв должен существовать «стойким». То есть знак типа 211281 даже неопытный хакер подберёт изза пару минут. А вот отзыв «5_%zg-xRdvB$373» шибко подобрать не сможет даже знающий хакер экипированный набором специализированных программ.
Вы можете возразить, однако чистый запомнить сей бестолковый коллекция букв и цифр? Рекомендую следующую методику. Берёте всякий стишок, какой вы помните с детства, например «Через улыбки довольно всем светлей». Набираем первые буквы слов стишка в английской раскладке клавиатуры. Получим строку вида «jecdc». Дополним пароль до 7 символов, например цифрами 12. Коли добавить ещё значок $ или #, то мы получим пароль вида «jecdc12#», кто будет не «по зубам» среднестатическому взломщику. Самостоятельно сочинитель (Николай Николаевич Кретов) использует различные пароли чтобы каждой возможной учетной записи с минимальной длинной через 12ти символов.
Опричь того, ваш системный администратор повинен разграничить пользователей с через прав доступа (он знает, как это кропать), дать доступ исключительно к необходимым для работы каталогам (папкам) на вашем сервере, закрыть Интернет кому не положено (причинность Интернет теперь - рассадник вирусов), дать доступ в Интернет кому положено. Всё это надо быть прописано в вашей «политике прав пользователей». Эта статья является интеллектуальной собственностью Кретова Николая Николаевича. Помните! Очень важно для ваши пользователи компьютеров входили в операционную систему компьютера (тот же Windows) и различные программы (коли в них перехватить соответствующая функция) около своими «именами» и со своими «паролями». Не допускайте возможности использования «чужих» паролей alias имён пользователей сотрудниками. Реагируйте на сообщения системного администратора относительный использовании не своих имен пользователей сотрудниками путём внушения последним. Только присутствие строгом соблюдении политики использования паролей и имен пользователей вероятно живо установить который, будто и когда испортил те сиречь иные файлы, документы, базы данных. Эти меры упрощают исправление испорченных данных, и снижают период простоя при сбоях в информационном обеспечении организации. Если же постоянно сотрудники входят в разные программы почти именем «Administrator» с паролем «1», то виновных в сбоях и ошибках будет не найти!
Третье. Николи не храните электронно-цифровые подписи (ЭЦП), пароли от систем Банк-Клиент, пластиковых карт, программ чтобы передачи данных в УФНС и другие организации на жёстких дисках своих компьютеров. Вы же не хотите в один отличный момент увидеть для своих счетах нули? Думаю, нет. Поэтому всю критически важную информацию надо приберегать на отчуждаемом носителе в своём личном сейфе. (Скажем, на личной флешке) К этому носителю НИКТО помимо вас не принужден обладать доступ. Кроме того, что лакомиться опасность использования вашей ЭЦП иначе вашего пароля чтобы перевода денег в системах Банк-Клиент сотрудниками вашей организации (сообразно злому умыслу alias сообразно ошибке), существует вероятность хищения этих данных вирусами иначе иными программами, попавшими на ваш компьютер через Интернет. В последнем случае вы можете испытывать о часть, что бумажка списаны со счетов ещё вчера, и даже попытки выяснить, кто это сделал, будут безуспешными. Трагедия довольно быть ещё и в том, который тот же Банк исполнит указание для перевод денег, беспричинно сиречь будет введён корректный лозунг тож корректная ЭЦП, и доказать, сколько подпись тож отзыв вводили не вы будет невозможно. Такие же требования должны предъявляться и к ЭЦП бухгалтеров работающих с Банком, УФНС и прочими агентами. Бухгалтера должны обладать личные носители с информацией такого рода.
В случае подозрений, даже малейших, сколько кто-то мог узнать даже клочок пароля разве хоть на секунду мог воспользоваться (даже просто подержать) носитель с ЭЦП - немедля блокируйте и в последующем меняйте пароли либо ЭЦП.
Четвёртое. Используйте лицензионное программное защита (СООБРАЗНО). Это необыкновенно важная рекомендация от Кретова Николая Николаевича, что использует только лицензионный софт и призывает всех поступать также. Бережливость для ПО может привести, подобно к рискам обретаться подвергнутым уголовному преследованию, беспричинно и к тому, сколько нелицензионное СООБРАЗНО может быть источником порчи ваших данных иначе передачи ваших данных злоумышленникам в Интернет (хакеры делают ПО «бесплатным» не один из любви к искусству). В случае с СООБРАЗНО, ваш сисадмин подскажет, который надо чтобы обеспечения работоспособности вашей организации. Только минимум, помимо программ для выполнения главный работы сотрудников, для всех без исключения рабочих станциях и серверах должна лежать установлена лицензионная операционная способ с самым последним комплектом обновлений и лицензионный антивирус с самыми свежими антивирусными базами. Впрочем старайтесь изворачиваться новомодных «финтифлюшек», причинность не обкатанные программы, как узаконение, работают неустойчиво и могут повредить ваши данные.
Это лишь некоторые, но важные рекомендации, основанные для опыте работы автора (Кретов Н. Н. ) сиречь системным администратором так и начальником системного администратора в различных организациях. Прислушайтесь, и даже ежели что-то произойдёт с вашими данными, случай не будет надевать характер катастрофы.
P. S. К моменту написания статьи Кретову Николаю, по просьбе знакомого, пришлось разбираться с последствиями пожара в одной организации, перед самым Новым Годом. Там строго соблюдали перечисленные выше требования, делали резервное копирование, однако… единожды в полгода. Нет, раньше они делали всё наподобие положено, единожды в неделю, однако беспричинно сиречь ничего страшного не происходило, то в организации махнули рукой и расслабились. Произошёл пожар, сгорела вся отчётность для бумаге, в книга числе сообразно выдаче зарплаты и учёту ТМЦ. А в начале возраст, вроде, наверное, известно многим бухгалтерам, требуется сдача отчётности в УФНС…
К сожалению, жёсткий диск сервера восстановить не удалось. А резервная повторение, которую удалось восстановить, датировалась третьим июля 2009 года.
Кретов Н. Н. Екатеринбург https://www.forexnn.com 2012 Сентябрь. Эту и некоторый другие статьи автора Вы можете найти для его официальном сайте https://www.forexnn.com