Кретов Николай Николаевич: Информационная безопасность малой организации

Если вы, хотя бы иногда, слушаете выпуски новостей, то наверняка слышали о кражах или уничтожении важной и конфиденциальной информации в банках, правительственных органах и многих других организациях. Возможно, даже у вас на компьютере есть телефонный справочник, который по знакомству, за шоколадку, дал хороший знакомый Петя, работающий на городской АТС, с компьютеров которой этот самый справочник и был скопирован. Это всё «проколы» связанные с обеспечением информационной безопасности в организациях. К сожалению, такое возможно даже в вашей организации.

Не верите? Приведу примеры:

В штате вашей организации есть добрый парень Коля, который чинит принтеры, чистит компьютеры, ставит разные программы жизненно необходимые в работе, даже иногда может настроить «1С Бухгалтерию» или «Камин». Но часто он жалуется на маленькую зарплату, и когда, по его мнению, зарплата перестаёт окупать его труды, он уходит. А через несколько дней в небытиё «уходят» и ваши базы данных из 1С, которые по какому-то невообразимому стечению обстоятельств восстановить не представляется возможным. Ещё ужаснее, если этот Коля, в порыве как ему кажется, праведной мести отправит базы в налоговую, или выложит куда-нибудь в Интернет, и многие студенты- экономисты получат отличную возможность потренироваться в составлении разного рода балансов на примере вашей фирмы.

Бывает так, что добрый парень Коля даже не жалуется на зарплату, и старается аки святой Франциск, но в один прекрасный день, несколько джентльменов удачи, вскрыв дверь, уносят всё нажитое непосильным трудом имущество вашей организации (вместе с компьютерами) и ваши бухгалтера глотают тоннами Валидол, понимая, что из бумажек отчёт для налоговой не слепить. А в случае, если в вашей организации случился пожар (Не дай Бог!), то не останется даже бумажек. Наверняка, Вы, прочитав всё то, что написано выше, подумали: «Ну! Это из серии, что такое не везёт и как с этим бороться!» или «Да! Да! Обязательно обдумаем, как у нас обстоит с этим дело, но через неделю». А через день случается что-то, что приводит к гибели вашей информации и вы готовы рвать на себе волосы, а как говорится: «Поздно, батенька!»

Мрачные картины, не так ли? Если вам это всё знакомо из личного опыта или опыта знакомых, и вы сделали соответствующие выводы – вам повезло! Вы, как говорят, минимизировали свои риски в связи с потерей информации. С теми господами и дамами, которые с такими неприятностями ещё не сталкивались (тьфу-тьфу), я хочу поделиться своим опытом.

Итак, пора рассмотреть практические методы борьбы с грозящими нам опасностями. Первое. Вам нужен нормальный, вменяемый, системный администратор. Для простоты, в дальнейшем, будем называть его сисадмином. Очень желательно навести справки с предыдущих мест работы о человеке, претендующем на роль вашего системного администратора. Он может быть, как говорят «семи пядей во лбу», умельцем на все руки, но быть жуликоватым и иметь склонности к «левой» подработке, например, передавая какие-либо данные о вашей организации вашим конкурентам, что несёт прямой ущерб вашей организации. Из своего опыта, (возможно, это покажется вам парадоксальным, но это факт) могу порекомендовать подыскивать системного администратора среди студентов-старшекурсников технических вузов. Как правило, там есть 3-4 «светлых» головы, из числа которых можно выбрать человека, вполне способного справится на начальном этапе становления организации с задачами администрирования. К тому же многие студенты-старшекурсники, на начальном этапе своей карьеры «не замучены жизнью» не обременены семьями и стремятся к чему-то новому. А стремление к новому в работе системного администратора качество немаловажное, так как программное обеспечение, с которым ему приходится работать, меняется очень быстро.

В трудовом договоре (или ином документе, например, контракте) обязательно надо оговорить ответственность за противоправные действия по отношению к вашей информации со стороны вашего системного администратора. Конечно, в УК РФ есть соответствующие статьи на этот счёт (приведены в 28 главе УК, которая называется "Преступления в сфере компьютерной информации" и содержит три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), "Создание, использование и распространение вредоносных программ для ЭВМ" (ст. 273) и "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети" (ст. 274).), но упоминание в контракте об ответственности было бы не лишним. Ибо если человек знает что он прямо за что-то отвечает (а лучше финансово), то он десять раз подумает прежде, чем сделать что-то не так.

Естественно, при указанных выше требованиях, оплата труда системного администратора должна быть адекватной. По крайней мере, не как у уборщицы. Будьте готовы платить вашему системному администратору, как хорошему бухгалтеру.

Кроме того, очень желательно в трудовом договоре оговорить, что все программные продукты и исходные тексты к ним, разработанные вашим системным администратором для нужд организации в период работы в ней являются собственностью организации. Этот пункт нужен вам на тот случай, если ваш администратор решит уволиться. Новому человеку будет гораздо проще разобраться в делах старого системного администратора. А это в свою очередь позволит вашей фирме работать без сбоев связанных с информационными технологиями.

Помните! Хороший системный администратор – это ваша если не правая, то левая рука в управлении фирмой. Он может в очень многом помочь в разных критических, да и обычных ситуациях. Прислушивайтесь к его мнению! Если же администратор туп, ленив и не стремится к развитию – то жди беды!

Второе. Вам необходимо, совместно с вашим системный администратором, разработать некий внутренний технологический регламент, которому следовать неукоснительно. Регламент, как минимум, должен включать следующие разделы:

  • Порядок резервного копирования важной и критически важной информации
  • Порядок сверки резервных копий и восстановления информации в случае чрезвычайных происшествий
  • Политика прав пользователей

Зачем вам это нужно? Рассмотрим по пунктам:

Порядок резервного копирования важной информации должен регламентировать когда, как и куда делать резервные копии ваших баз данных, которые содержат информацию необходимую для нормального функционирования организации. Например, каждую пятницу в 17-00, после окончания работы бухгалтеров, вы достаёте из вашего несгораемого сейфа мобильный жёсткий диск или Flash Disk большой ёмкости (в народе именуемый также «флешкой»), и ваш сисадмин делает с помощью определённых в вашем «порядке» программ, резервную копию баз данных с ваших серверов или рабочих станций на этот диск. Программ для резервного копирования сейчас существует великое множество, и ваш системный администратор вполне может определиться, какой программой делать копии.

Диск, на который делаются резервные копии, должен быть отчуждаемым, то есть должен храниться только у вас, желательно в несгораемом сейфе или каким-либо образом находится вне досягаемости всех ваших сотрудников. Помните! На случай ЧП это единственное, что может вам помочь избежать многих неприятностей. Этот диск должен быть в руках системного администратора только на время резервного копирования или восстановления данных. У вас может возникнуть вопрос: «А почему нельзя давать доступ к нему системному администратору?» Потому что, чужая душа – потёмки, и как бы не был хорош ваш сисадмин, он в одночасье, будучи по какой-то причине зол на весь мир или конкретно на вас, может испортить как основную базу данных, так и её резервную копию. В итоге вы останетесь ни с чем!

Итак, копии делаются. Что дальше? Далее надо предусмотреть в вашем нормативном документе порядок восстановления и сверки резервной копий. Зачем? А кто даст гарантию, что ваш системный администратор не просто пил кофе, а добросовестно сделал то, что положено? Для выяснения этого, нужно провести пробное восстановление данных с вашего диска (естественно на другом компьютере) и, например, если это бухгалтерская информация, попросить бухгалтера сверить остатки на то число, по состоянию на которое делалась резервная копия. Если остатки сошлись – сисадмин бдит. В противном случае, сисадмин должен быть наказан за нерадивость. Помните! Отсутствие сверок (например, раз в месяц) может привести к тому, что сисадмин будет сообщать вам о том, что всё в порядке, но в критический момент ничего не сможет сделать.

Также хорошей практикой является, после успешной сверки, записать копию восстанавливаемой базы данных на CD/DVD диски. Эти диски, так же как и мобильный диск необходимо хранить в вашем сейфе. По мере накопления CD/DVD с информацией их можно уничтожать, но исходя из личного опыта, уничтожать можно диски годичной и более давности, если они не содержат информацию, которая может потребоваться в будущем. Уничтожение информации тоже должно быть отражено в вашем «Регламенте» и должно строго соблюдаться. То есть не просто взять диск или дискету и выкинуть в ведро, подарив тем самым конкуренту данные о своей организации, а сжечь их или разрезать на несколько частей. Имеет смысл запретить вообще всем сотрудникам просто выбрасывать в урну диски, дискеты, и даже бумаги с какой-либо информацией предварительно не разрезав их на части или не пропустив через шредер. Ведь если какой-то злоумышленник найдёт дискету или иной носитель с информацией, принадлежащей вашей организации, в мусорном контейнере к нему нельзя будет применить даже статью ст. 272 УК (Неправомерный доступ к информации), ибо он просто нашёл, а вы просто выкинули. А конкуренты не дремлют!

С резервным копированием разобрались. Всё? Нет! Есть ещё одна угроза. На сей раз, она исходит от пользователей работающих за компьютерами. Если дать возможность пользователям бесконтрольно лазить по сети, а тем паче ещё и в Интернет, то базы данных с резервных копий придётся, как говорят сисадмины, «поднимать» регулярно. Почему? Потому что пользователи могут свободно стереть файлы, принадлежащие другим пользователям, могут занести в вашу сеть вирус из Интернета, могут, наконец, посмотреть, когда там расчётчик зарплату посчитал, и сколько кому заплатили с последующим обсуждением зарплат в курилке. В моей практике был случай когда один бухгалтер А сделал проводки за бухгалтера Б, и бухгалтера Б которого в тот день не было, уволили по статье, потому что операции со счетами производились от имени бухгалтера Б. Неприятно, правда? Именно поэтому необходимо определить каждому пользователю уникальное имя и и пользователь должен выбрать себе пароль на доступ, который он (и только он) должен регулярно менять (достаточно раз в месяц) и не писать на листочек, засунутый под клавиатуру. Пароль должен быть «стойким». То есть пароль типа 211281 даже неопытный хакер подберёт за пару минут. А вот пароль «zgxv$123» подобрать не сможет даже опытный хакер.

Вы можете возразить, но как запомнить этот бессмысленный набор букв и цифр? Рекомендую следующую методику. Берёте любой стишок, который вы помните с детства, например «От улыбки станет всем светлей». Набираем первые буквы слов стишка в английской раскладке клавиатуры. Получим строку вида «jecdc». Дополним пароль до 7 символов, например цифрами 12. Если добавить ещё значок $ или #, то мы получим пароль вида «jecdc12#», который будет не «по зубам» даже опытному хакеру.

Кроме того, ваш системный администратор должен разграничить пользователей с помощью прав доступа (он знает, как это делать), дать доступ только к необходимым для работы каталогам (папкам) на вашем сервере, закрыть Интернет кому не положено (ибо Интернет сейчас - рассадник вирусов), дать доступ в Интернет кому положено. Всё это должно быть прописано в вашей «политике прав пользователей». Помните! Очень важно чтобы ваши пользователи компьютеров входили в операционную систему компьютера (тот же Windows) и различные программы (если в них есть соответствующая функция) под своими «именами» и со своими «паролями». Не допускайте возможности использования «чужих» паролей или имён пользователей сотрудниками. Реагируйте на сообщения системного администратора об использовании не своих имен пользователей сотрудниками путём внушения последним. Только при строгом соблюдении политики использования паролей и имен пользователей возможно быстро установить кто, как и когда испортил те или иные файлы, документы, базы данных. Эти меры упрощают восстановление испорченных данных, и снижают время простоя при сбоях в информационном обеспечении организации. Если же все сотрудники входят в разные программы под именем «Administrator» с паролем «1», то виновных в сбоях и ошибках будет не найти!

Третье. Никогда не храните электронно-цифровые подписи (ЭЦП), пароли от систем Банк-Клиент, пластиковых карт, программ для передачи данных в УФНС и другие организации на жёстких дисках своих компьютеров. Вы же не хотите в один прекрасный момент увидеть на своих счетах нули? Думаю, нет. Поэтому всю критически важную информацию необходимо хранить на отчуждаемом носителе в своём личном сейфе. (Например, на личной флешке) К этому носителю НИКТО кроме вас не должен иметь доступ. Помимо того, что есть риск использования вашей ЭЦП или вашего пароля для перевода денег в системах Банк-Клиент сотрудниками вашей организации (по злому умыслу или по ошибке), существует вероятность хищения этих данных вирусами или иными программами, попавшими на ваш компьютер через Интернет. В последнем случае вы можете узнать о том, что деньги списаны со счетов ещё вчера, и даже попытки выяснить, кто это сделал, будут безуспешными. Трагедия будет состоять ещё и в том, что тот же Банк исполнит указание на перевод денег, так как будет введён корректный пароль или корректная ЭЦП, и доказать, что подпись или пароль вводили не вы будет невозможно. Такие же требования должны предъявляться и к ЭЦП бухгалтеров работающих с Банком, УФНС и прочими агентами. Бухгалтера должны иметь личные носители с информацией такого рода.

В случае подозрений, даже малейших, что кто-то мог узнать даже часть пароля или хоть на секунду мог воспользоваться (даже просто подержать) носитель с ЭЦП – немедленно блокируйте и в последующем меняйте пароли или ЭЦП.

Четвёртое. Используйте лицензионное программное обеспечение (ПО). Экономия на ПО может привести, как к рискам быть подвергнутым уголовному преследованию, так и к тому, что нелицензионное ПО может быть источником порчи ваших данных или передачи ваших данных злоумышленникам в Интернет (хакеры делают ПО «бесплатным» не только из любви к искусству). В случае с ПО, ваш сисадмин подскажет, что нужно для обеспечения работоспособности вашей организации. Как минимум, помимо программ для выполнения основной работы сотрудников, на всех без исключения рабочих станциях и серверах должна быть установлена лицензионная операционная система с самым последним комплектом обновлений и лицензионный антивирус с самыми свежими антивирусными базами. Однако старайтесь избегать новомодных «финтифлюшек», ибо не обкатанные программы, как правило, работают неустойчиво и могут повредить ваши данные.

Это только некоторые, но важные рекомендации, основанные на опыте работы автора как системным администратором так и начальником системного администратора в различных организациях. Прислушайтесь, и даже если что-то произойдёт с вашими данными, происшествие не будет носить характер катастрофы.

P.S. К моменту написания статьи автору, по просьбе знакомого, пришлось разбираться с последствиями пожара в одной организации, перед самым Новым Годом. Там строго соблюдали перечисленные выше требования, делали резервное копирование, но… раз в полгода. Нет, раньше они делали всё как положено, раз в неделю, но так как ничего страшного не происходило, то в организации махнули рукой и расслабились. Произошёл пожар, сгорела вся отчётность на бумаге, в том числе по выдаче зарплаты и учёту ТМЦ. А в начале года, как, наверное, известно многим бухгалтерам, требуется сдача отчётности в УФНС…

К сожалению, жёсткий диск сервера восстановить не удалось. А резервная копия, которую удалось восстановить, датировалась третьим июля 2009 года.

Кретов Н.Н. 2014г.