Для офисных структур > Схема внедрения комплекса Информационной Безопасности. Часть 1. Условия

Схема внедрения комплекса Информационной Безопасности. Часть 1. Условия

26 Март 2010 Написать комментарий К комментариям

Входные данные: Некая сферическая в вакууме Компания aka ТОВ «Контора», которая занимается каким-либо сферическим в вакууме занятием:) При этом компания имеет филиальную структуру с центральным координирующим узлом aka ОФИС.

Схема IT-инфраструктуры и внутренней сети, вероятнее всего, выглядит следующим образом:

В ОФИСЕ находятся:

  • Несколько центральных серверов с бухгалтерскими программами, сервера баз данных,  файл-сервера, и пр.
    • Поскольку Контора у нас серьезная, в качестве сервера каталогов она использует серверные решения от Microsoft, положим — Active Directory, возможности которой используются от силы на 10%.
  • Почтовый сервер Конторы, аka «Приемник спама»:), он же, возможно, VPN-сервер.
  • Маршрутизатор для разделения доступа в Интернет.

В филиальных подразделениях в силу весьма развитой фантазии, имеем идентичную структуру, которая отличается от центральной только использованием менее мощных серверов и простой настройкой маршрутизаторов.Прекрасно если схема Виртуальной Частой Сети (VPN) безопасна, работает по PPPoE\PPTP, с авторизацией удаленных сотрудников, и.т.д. Однако поскольку мы хотим показать как оно есть на самом деле — предположим что этот VPN организован банальным созданием виртуального сетевого адаптера и простейшей маршрутизацией без какой-либо защиты.

Для усиления сферичности предположим, что в Конторе про сквозную авторизацию силами AD никто не слышал, и посему каждый программный комплекс, используемый сотрудниками работает на своей встроенной авторизации. Что есть весьма печально, однако таковы реалии.

Для  абсолютизации сферичности также сделаем предположение, что про шифрование траффика, SSL-сертификаты, подписывание сообщений ЭЦП и прочие, крайне осложняющие жизнь взломщикам / инсайдерам вещи — никто в нашей уже таки идеально сферической в вакууме Конторе и слыхом не слышал.

В принципе, в пост-СНГ, где корпоративная культура все еще существует только по принципу «я начальник — ты дурак», большинство компаний как раз и имеют столь печальную ситуацию в IT-сфере. Конечно, за последние лет 10 ситуация изменяется к лучшему, однако до идеальности нам еще очень и очень далеко. Автор лично имел счастье неоднократно лицезреть подобные чудо-структуры. Собственно на основании личного опыта и написана эта статья.

А теперь перенаправим шутки в /dev/null и зададимся вопросом, а какие цели мы перед собой поставим? Постараемся описать процесс упразднения должности системного администратора в филиальных магазинах и переброс управления и контроля на центр. Параллельно с внедрением системы безопасности, защищающей как от внешних угроз, так и проявлений инсайдерства. Таким образом мы уменьшим затраты на персонал, обезопасим Контору от утечек и потери информации, облегчим работу сотрудников в целом, и вообще все станет, как говорится по фен-шую.

Основная идея внедрения системы ИБ:

Создание и внедрение схемы безопасности такого уровня, чтоб прибыль, полученная злоумышленником в результате взлома или получения конфиденциальных данных была значительно меньше чем его затраты на взлом.
Вообще-то это основной принцип создания систем безопасности, поскольку идеальных невзламываемых схем не существует. Как говорится, на каждую хитрую сакуру найдется свой самурай с мечом искривленным…
Не стоит при решении таких проблем исходить из мнения типа «пока не сломали, значит и потом не сломают» — если это случится, потери могут быть значительнее нежели затраты на внедрение.

Читайте дальше о внедрении схемы ИБ:

Categories: Для офисных структур, Просто в блог Tags: , , , ,

Confirm that you are not a bot - select a man with raised hand: