ПОИСК
ВЫБЕРИТЕ НОМЕР
         
Показать все
статьи из этой
рубрики
Показать все
статьи этого
автора
Показать все
статьи по этой теме
НАШИ ИЗДАНИЯ
Connect! Мир Связи
Каталог-справочник
НАШИ ПРОЕКТЫ
Наши авторы о важном
СОТРУДНИЧЕСТВО
Выставки и конференции
Connect Conferences
РЕКЛАМА



Яндекс Цитирования





Rambler's Top100 Rambler's Top100


Тема номера
Работа с персоналом по вопросам ИБ   Михаил Левашов
Практические рекомендации для начальных этапов

Известно, что информационная безопасность (ИБ) "стоит" на четырех "китах"1 - техника (включая научные вопросы криптографии), право, организация и люди (включая персонал). В настоящей статье рассмотрена одна из важнейших составляющих ИБ - персонал. Интерес к этому вопросу закономерен - без персонала не может быть эффективного обеспечения ИБ какого бы то ни было предприятия.

Состояние вопросов ИБ, связанных с персоналом, до внедрения стандартных процессов обеспечения ИБ
Михаил ЛевашовПридя в компанию, где отсутствуют (в качестве самостоятельных) процессы обеспечения ИБ, а также подразделение ИБ (или специально выделенные работники), отвечающее за эти процессы, можно наблюдать примерно следующую картину.
Основные элементы обеспечения информационной безопасности реализуют обычно работники службы автоматизации. Возможности доступа и использования сотрудниками информационных технологий и ресурсов предприятия характеризуются такими чертами, как:
- аутентификация персонала в информационных системах осуществляется с помощью пользовательских паролей;
- открытие нового (дополнительного) доступа пользователей к информационным ресурсам происходит по указаниям руководителей разного уровня, не согласованных со службами безопасности;
- минимизируется количество ролей в ИТ-службах в целях упрощения работы администраторов;
- ресурсы сети Интернет используются практически бесконтрольно и в значительной степени вне связи с выполнением служебных обязанностей;
- на рабочих станциях работников, имеющих неограниченный доступ в Интернет, присутствует шпионское ПО, которое отправляет конфиденциальные данные пользователей за пределы организации;
- практически бесконтрольно используются почтовые сервисы сети Интернет и корпоративной электронной почты;
- завышены возможности пользователей реализовывать на своих рабочих станциях (а иногда и на сетевых ресурсах) различные несанкционированные сценарии (запуск приложений, изменение настроек, использование портов для подключения внешних запоминающих устройств, использование беспроводных технологий и т. д.).
Работники могут, зачастую неосознанно, отдавать внешним структурам и лицам информацию, не подлежащую распространению. Политика "чистого стола", как правило, не выполняется - на столах персонала в открытом доступе может находиться конфиденциальная информация в бумажном и электронном виде. В помещения, где работают ИТ-специалисты, может практически бесконтрольно заходить вспомогательный персонал (а иногда и посторонние лица), не имеющий отношения к автоматизированным системам - уборщицы, специалисты по системам жизнедеятельности (отопления, кондиционирования, электропитания и т. д.).
Сотрудники имеют весьма туманное представление о методах социальной инженерии, с помощью которых злоумышленники узнают у них конфиденциальную информацию, ослабляющую или полностью ликвидирующую ИБ.
Методика использования парольной защиты часто основывается на генерации пользовательских паролей работниками ИТ с применением датчиков случайных чисел. Затем эти пароли сообщаются пользователям для работы. Подобная практика приводит к тому, что пароли никогда не меняются, и пользователи записывают их где-нибудь в доступном месте, так как запомнить их практически невозможно.

Продолжение читайте в печатной версии журнала




Заказать полную PDF-версию свежего номера Connect!



Показать все статьи по теме Информационная безопасность

Поставьте свою оценку:
   1   2   3   4   5   

< Предыдущая статья

  
Следующая статья >

НАШИ ПРОЕКТЫ
ПРОСМОТР ПО ТЕМАМ
IP-телефония
Беспроводная связь
Бизнес-аналитика
Биллинг и OSS/BSS решения
Видеоконференцсвязь
Измерительная техника
Инфокоммунникации регионов
Информационная безопасность
ИТ-услуги
КИС (Корпоративные информационные системы)
Контакт-центры
КСПД (Корпоративные сети передачи данных)
Мобильная связь
Облачные технологии
Профессиональная радиосвязь
Серверные решения
Системы бесперебойного питания
Системы хранения данных
Ситуационные центры
Спутниковая связь
УПАТС
Фиксированная связь
Цифровое телевидение
TOP 20 СТАТЕЙ
Роль государства в обеспечении информационной безопасности
Консолидация телекоммуникационных ресурсов отраслей топливно-энергетического комплекса
Реквием по SoftSwitch
Трехсайтовая архитектура – реальная защита от катастроф
В Тулу за кальяноваром, или Что такое адаптивный call-центр
Ненадежность IP-телефонии: мифы и реальность
Четвертым будешь?
Путеводитель по рынку OSS-решений
В жизни все бывает, поэтому сделайте резервную копию…
Оптимизация энергопотребления в современном ЦОД
VSATизация России – промежуточные итоги
Современные программные телефоны
Аккумуляторные батареи для современных ИБП
Особенности информатизации телекоммуникационных компаний в России
Отечественные производители телекоммуникационного оборудования
Проблемы нормативно-правового, организационно-технического и программного обеспечения защиты информационных систем
Смена поколений в стандартизации СКС
Проблемы и перспективы формирования мобильной медиасреды в России
Принципы организации сетевой инфраструктуры ООО «ЛУКОЙЛ-ИНФОРМ»
Модульные отказоустойчивые системы бесперебойного питания: за и против
Все ТОПовые статьи >>