Самоучитель системного администратора. 5-е издание

ГЛ А В А
9 
Безопасность 
В наши дни в обеспечение безопасности информации вкладываются серьезные 
суммы, а на крупных предприятиях создаются целые отделы информационной 
безопасности. В некоторых случаях, к сожалению, реальная ценность информации 
не соизмеряется с мерами по ее защите. В результате затраты на защиту информа-
ции превышают ее реальную стоимость. Бывает и так, что перед администраторами 
сети ставится невыполнимая задача достижения абсолютной надежности, которая 
даже в наше время выглядит как нечто из разряда научной фантастики. 
Разумнее всего перед началом внедрения мер по защите информации определить 
список возможных угроз, а также степень и актуальность каждой угрозы. На неко-
торых предприятиях даже создается специальный документ — «модель угроз»,
в котором описываются все возможные угрозы: от несанкционированного доступа 
из Интернета и вирусов до физической кражи ПК и/или их компонентов. Перечис-
лены в нем и мероприятия по устранению этих угроз, которые либо уже выполне-
ны, либо должны быть выполнены. 
Если вам нужен именно такой документ, то вы можете взять за основу базовую 
«Модель угроз безопасности персональных данных при их обработке в информа-
ционных системах персональных данных», утвержденную ФСТЭК России 15 фев-
раля 2008 года (ее без проблем можно найти в Интернете). Вы будете удивлены 
тем, сколько существует угроз, о которых вы даже и не подозреваете. Но это не са-
мая «страшная» модель угроз — есть еще секретная ИТР-2020, которой нет в от-
крытом доступе. Впрочем, обычным предприятиям вполне достаточно и упомяну-
той базовой модели. В нашей же книге, чтобы не переписывать сюда эту модель 
(вы и так ее сможете скачать и прочитать), мы будем руководствоваться только 
собственным опытом. Вы, однако, можете совместить прочитанное здесь с базовой 
моделью угроз и создать оптимальный для вашего предприятия план действий по 
защите информации. 
Безопасность и комфорт 
К сожалению, эти два понятия мало сочетаются на практике. Вы только представь-
те себе спортивный автомобиль с каркасом безопасности и встроенной системой 

428 
Глава 9 
пожаротушения. Такой автомобиль гарантирует бо´льшую безопасность водителю и 
пассажирам в случае переворота и пожара, чем большинство привычных нам авто-
мобилей. Но почему-то автопроизводители не спешат оснащать этими опциями 
прочие свои «продукты». Почему? Потому что их наличие в салоне не добавит ни 
комфорта, ни какого-либо шика. Вот и сдвигается «ползунок» в сторону комфорта, 
а не безопасности. На спортивных же машинах, где повышен риск перевернуться, 
каркас устанавливается. С ним неудобно, он не «смотрится», но он нужен. 
Аналогичная ситуация наблюдается и в информационных системах. Можно защи-
тить систему по максимуму, но работать в ней будет неудобно. И вы, как систем-
ный администратор, должны это понимать и донести это до руководства. Чем без- 
опаснее система, тем сложнее с ней работать, — ведь она накладывает больше ог-
раничений на текущую работу. Поскольку далеко не все сотрудники предприятия 
являются специалистами по информационной безопасности или имеют отношение 
к конфиденциальным данным, у вас окажется много недовольных. Хотя бы по той 
причине, что не все умеют работать со средствами защиты и не все понимают их 
важность и необходимость. Когда защищаемая информация того стоит, приемлемы 
любые меры, — хоть рентген на входе. Если же на предприятии нет секретной ин-
формации, то зачем усложнять жизнь всем, в том числе и себе? 
Задайте себе вопросы: что произойдет в случае утечки информации? Какие возник-
нут от этого последствия для предприятия? Если никаких, или ущерб окажется ми-
нимальным, то, может, и не стоит пытаться «городить огород» безопасности? Ведь 
утечки может и не произойти. Если на предприятии нет ценной или интересной
кому бы то ни было информации, то никто не станет взламывать ее информацион-
ную систему, никто не будет подкупать сотрудников, чтобы они «вынесли» обраба-
тываемую ими информацию и пр. Вполне возможно, что для такого предприятия
оптимальным набором обеспечения безопасности станут лишь средства антивирус-
ной защиты, межсетевого экранирования и резервного копирования. 
Попытаемся разложить по полочкам 
Чтобы не перестараться с защитой информации и не сделать информационную сис-
тему некомфортной для пользователей, вам нужно ответить себе на вопросы: что, 
где и от чего. Почти как в «Что? Где? Когда?» 
Вам следует знать, 
что
мы будем защищать. Есть ли вообще на предприятии 
информация, которая того стоит. Или же мы просто выстроим защиту даже не 
самой информации, а работоспособности информационных систем, чтобы 
утром, придя в офис, пользователи не обнаружили свое рабочее место в нерабо-
тоспособном состоянии, — где тогда они будут играть в «Тетрис» или раскла-
дывать пасьянс? 
Итак, администратор должен иметь четкое представление о том, 
что защищать
. 
Всю информацию можно разделить на 
публичную
— ее защищать ни к чему, она 
должна быть доступна всем, и 
конфиденциальную
: персональные данные клиен-
тов и сотрудников, коммерческая тайна и т. п. А некоторые предприятия могут 

Безопасность 
429 
также работать и с 
секретной
информацией — например, со сведениями, со-
ставляющими государственную тайну. Надо понимать, кому и к какой информа-
ции может быть предоставлен доступ, — не всем сотрудникам требуется доступ 
к секретной и конфиденциальной информации, не у всех есть соответствующие 
допуски и т. д. 
Нужно также определиться, 
где защищать
информацию. Одно дело, если вся 
информация находится на локальных серверах, другое дело — если в «облаке». 
Вы должны понимать, как обрабатывается и где хранится информация, как дан-
ные из одной программы передаются в другую, как ограничивается доступ в Ин-
тернет и т. п. Чем точнее вы с этим разберетесь, тем легче организовать защиту. 
Надо определиться и с тем, 
от чего защищать
. Существует множество угроз,
о чем уже говорилось в начале этой главы. Составьте список предполагаемых 
угроз, актуальных для вашего предприятия, — в зависимости от них и следует 
реализовать методы защиты информации. Например, если вы считаете, что ак-
туальна угроза утечки данных через электромагнитное излучение, то вам нужно 
получить схемы электропитания с указанием расположения кабелей (насколько 
близко они проложены от информационных линий), схемы заземления, пожар-
ной и охранной сигнализаций и т. д. 
Как будем защищать? 
При разработке мер безопасности нужно учитывать стоимость не только пускона-
ладочных работ, но и обслуживания установленного оборудования. Бывает так, что 
стоимость пусконаладки совсем небольшая, а вот обслуживание может вылиться
в приличную сумму. Так, охранную сигнализацию «по акции» вам устанавливают 
за 1 рубль, а обслуживание ее будет стоить 5 тыс. рублей в месяц. При этом у кон-
курентов стоимость пусконаладочных работ составляет 20 тыс. рублей, зато в ме-
сяц надо будет платить только 3500. Теперь подсчитайте, какой вариант вам ока-
жется выгоднее. Стоимость первого года по «акционному» варианту составит 60,
а по второму — 62 тыс. рублей. Зато второй год при выборе второго варианта ока-
жется намного выгоднее. 
Если вы ознакомились с базовой моделью угроз, упомянутой в начале этой главы, 
то у вас уже может быть составлен внушительный список угроз для вашей компа-
нии. Однако на реализацию мероприятий по устранению 
всех
возможных угроз не 
хватит никакого бюджета. Вы потратите все средства компании и превратите офис 
в огромный сейф, в котором сотрудникам будет некомфортно работать. 
На практике существует правило 30/70: реализовав лишь 30% мероприятий, вы за-
кроете 70% угроз, — вам надо лишь верно расставить приоритеты и выбрать «пра-
вильные» угрозы. Остальные 30% угроз будет предотвратить очень сложно и/или 
очень дорого. 
При выборе решений информационной безопасности нужно точно расставить при-
оритеты: защищаетесь ли вы для «бумажки», или вам действительно нужна без- 

430 
Глава 9 
опасность. Некоторые предприятия обращаются к специалистам по информацион-
ной безопасности только с одной целью — для получения аттестата соответствия 
требованиям информационной безопасности. Естественно, при этом приобретаются 
самые дешевые средства защиты информации — лишь бы они имели сертификат.
В результате: и деньги потрачены, и речи ни о какой безопасности идти не может. 
Три «кита» безопасности 
Работы по обеспечению безопасности информационной системы можно условно 

Download 19,93 Mb.

Do'stlaringiz bilan baham: