Вибір засобів забезпечення безпеки даних і інформаційного захисту

Універсальних рецептів тут немає. Все залежить від тих цілей, які ставить перед собою керівник організації або ІТ-відділу. Можна привести тільки деякі загальні рекомендації. По-перше, витрати на забезпечення інформаційної безпеки не повинні перевищувати вартість об'єкту, що захищається, або величину збитку, який може виникнути унаслідок атаки на об'єкт, що захищається. Основна проблема - правильно оцінити можливу вартість такого збитку.

Залежно від масштабу компанії можна виділити три основні класи мереж:

IECO (International Enterprise Central Office) - центральна мережа міжнародної розподіленої компанії, яка може налічувати сотні і тисячі вузлів;

ROBO (Regional Office / Branch Office) - мережа регіонального філіалу, що налічує декілька десятків або сотень вузлів;

SOHO (Small Office / Home Office), - мережі невеликих філіалів або домашні (мобільні) комп'ютери, що підключаються до центральної мережі.

Можна також виділити три основні сценарії забезпечення інформаційної безпеки для цих класів мереж, що розрізняються різними вимогами по забезпеченню захисту інформації.

При першому сценарії мінімальний рівень захищеності забезпечується за рахунок можливостей, вбудованих в мережеве устаткування, яке встановлене на периметрі мережі (наприклад, в маршрутизаторах). Залежно від масштабів мережі, що захищається, ці можливості (захист від підміни адрес, мінімальна фільтрація трафіку, доступ до устаткування по паролю і т. д.) реалізуються в магістральних маршрутизаторах - наприклад, Cisco 7500 або Nortel BCN, маршрутизаторах регіональних підрозділів - наприклад, Cisco 2500 або Nortel ASN, і маршрутизаторах видаленого доступу - наприклад, Cisco 1600 або 3Com OfficeConnect. Великих додаткових фінансових витрат цей сценарій не вимагає.

Другий сценарій, що забезпечує середній рівень захищеності, реалізується вже за допомогою додатково придбаних засобів захисту, до яких можуть бути віднесені нескладні міжмережеві екрани, системи виявлення атак і т.п. В центральній мережі може бути встановлений міжмережевий екран (наприклад, CheckPoint Firewall-1), на маршрутизаторах можуть бути настроєні прості захисні функції, що забезпечують першу лінію оборони (списки контролю доступу і виявлення деяких атак), весь вхідний трафік перевіряється на наявність вірусів і т.д. Регіональні офіси можуть захищатися простішими моделями міжмережевих екранів. За відсутності в регіонах кваліфікованих фахівців рекомендується встановлювати програмно-апаратні комплекси, керовані централізований і що не вимагають складної процедури введення в експлуатацію (наприклад, CheckPoint VPN-1 Appliance на базі Nokia IP330).

Третій сценарій, що дозволяє досягти максимального рівня захищеності, призначений для серверів e-Commerce, Internet-банків і т.д. В цьому сценарії застосовуються високоефективні і багатофункціональні міжмережеві екрани, сервери аутентифікації, системи виявлення атак і системи аналізу захищеності. Для захисту центрального офісу можуть бути застосовані кластерні комплекси міжмережевих екранів, що забезпечують відмовостійкість і високу доступність мережевих ресурсів (наприклад, CheckPoint VPN-1 Appliance на базі Nokia IP650 або CheckPoint VPN-1 з High Availability Module). Також в кластер можуть бути встановлені системи виявлення атак (наприклад, RealSecure Appliance).

Для виявлення вразливих місць, які можуть бути використані для реалізації атак, можуть бути застосовані системи аналізу захищеності (наприклад, сімейство SAFE-suite компанії Internet Security Systems). Аутентифікація зовнішніх і внутрішніх користувачів здійснюється за допомогою серверів аутентифікації (наприклад, CiscoSecure ACS). Ну і, нарешті, доступ домашніх (мобільних) користувачів до ресурсів центральної і регіональних мереж забезпечується по захищеному VPN-з'єднанню. Віртуальні приватні мережі (Virtual Private Network - VPN) також використовуються для забезпечення захищеної взаємодії центральної і регіональних офісів. Функції VPN можуть бути реалізовані як за допомогою міжмережевих екранів (наприклад, CheckPoint VPN-1), так і за допомогою спеціальних засобів побудови VPN.

Здавалося б, після того, як засоби захисту придбані, всі проблеми знімаються. Проте це не так: придбання засобів захисту - це тільки верхівка айсберга. Мало придбати захисну систему, найголовніше - правильно її упровадити, набудувати і експлуатувати. Тому фінансові витрати тільки на придбанні СЗІ не кінчаються.

Необхідно наперед закласти до бюджету такі позиції, як оновлення програмного забезпечення, підтримку з боку виробника або постачальника і навчання персоналу правилам експлуатації придбаних засобів. Без відповідного оновлення система захисту з часом перестане бути актуальною і не зможе відстежувати нові і витончені способи несанкціонованого доступу в мережу компанії.

Авторизоване навчання і підтримка допоможуть швидко ввести систему захисту в експлуатацію і набудувати її на технологію обробки інформації, прийняту в організації. Зразкова вартість оновлення складає близько 15-20% вартості програмного забезпечення. Вартість річної підтримки з боку виробника, яка, як правило, вже включає оновлення ПЗ, складає близько 20-30% вартості системи захисту. Таким чином, щороку потрібно витрачати не менше 20-30% вартості ПЗ на продовження технічної підтримки засобів захисту інформації.

Стандартний набір засобів комплексного захисту інформації у складі сучасної ІС звичайно містить наступні компоненти:

засоби забезпечення надійного зберігання інформації з використанням технології захисту на файловому рівні (File Encryption System - FES);

засоби авторизації і розмежування доступу до інформаційних ресурсів, а також захист від несанкціонованого доступу до інформації з використанням систем біометричної авторизації і технології токенів (смарт-карти, touch-memory, ключі для USB-портів і т.п.);

засоби захисту від зовнішніх погроз при підключенні до загальнодоступних мереж зв'язку (Internet), а також засобу управління доступом з Internet з використанням технології міжмережевих екранів (Firewall) і змістовної фільтрації (Content Inspection);

засоби захисту від вірусів з використанням спеціалізованих комплексів антивірусної профілактики;

засоби забезпечення конфіденційності, цілісності, доступності і достовірності інформації, що передається по відкритих каналах зв'язку з використанням технології захищених віртуальних приватних мереж (VPN);

засоби забезпечення активного дослідження захищеності інформаційних ресурсів з використанням технології виявлення атак (Intrusion Detection);

засоби забезпечення централізованого управління системою інформаційної безпеки відповідно до узгодженої і затвердженої "Політики безпеки компанії".

Залежно від масштабу діяльності компанії методи і засоби забезпечення ІБ можуть розрізнятися, але будь-який кваліфікований CIO або фахівець IT-служби скаже, що будь-яка проблема у області ІБ не розв'язується односторонньо - завжди потрібен комплексний, інтегральний підхід.

Придбання і підтримка засобів захисту - це не даремна витрата фінансових коштів. Це інвестиції, які при правильному вкладенні окупляться з лишком і дозволять вивести бізнес на бажаний рівень!

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Організація забезпечення безпеки даних і інформаційного захисту	\|	Підсумки теми

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.005 сек.