Поделиться
Защита сети: как вести оборонительный бой
Чтобы защита была максимально эффективной, каждый элемент должен находиться в строго отведенном ему месте и выполнять именно те функции, для которых он предназначен. В этом смысле базовую платформу безопасности можно сравнить с эшелонированной обороной: у нее есть свои средства "ближнего боя", свои "разведчики", свои "патрули" и свои "диверсанты".Артем Кириллов: Любая эффективная защита начинается со стратегии
Своим экспертным мнением с CNews поделился начальник отдела технической поддержки продаж, системный инженер ИБ компании Step Logic Артем Кириллов.
Мне очень нравятся параллели, которые представлены в данной статье. В действительности ИТ-безопасность – это реальный бой с определенной стратегией и тактикой, исходными позициями, развитием ситуации и корректировочными действиями.
Ошибочно доминирующее публичное представление штатных ИТ-специалистов о том, что комплекс аппаратно-программных средств может снизить риски в области защиты информации, а специфические атаки и угрозы вряд ли вообще появятся в их конкретной сети, приводит к неоправданному росту затрат и реальному уменьшению защищенности важных ресурсов и данных.
Я специально сослался на штатных ИТ-инженеров, отвечающих за ИТ-инфраструктуру в конкретном предприятии. Именно их сугубо личная позиция и невозможность руководства оценить их квалификацию и профессионализм иногда приводят к реальным удручающим последствиям.
Любая эффективная защита начинается со стратегии. Правильно описанная процедура управления, перемещения и доступа к данным создает фундамент информационной безопасности предприятия. Согласно такой стратегии, могут быть эффективно подобраны программно-аппаратные и административные меры контроля ее реализации и исполнения.
Таким образом, "железки" правильно называются средствами защиты, но не самой защитой. Они всего лишь обеспечивают контроль и исполнение определенных функций. Информационная безопасность – это комплексное решение, начинающееся, как ни странно, с кропотливой бумажной работы. (Как генералы над картами позиционных районов или фронтов.)
При разработке систем защиты информации необходимо правильно позиционировать различные типы средств ИБ и конструировать точные решения, соответствующие конкретным задачам бизнеса.
Эффективность такого подхода могу описать на коротком примере. В результате обследования сети одного крупного промышленного предприятия выяснилось, что для 90% сотрудников, использующих КСПД для рабочих нужд, доступ в интернет вообще не нужен. Таким образом, требуемая производительность межсетевого экрана между интернетом и внутренней сетью составляет лишь 10% от расчетных параметров, исходящих из общего числа подключенных к сети рабочих станций. При этом тем сотрудникам, которым интернет был необходим для исполнения служебных обязанностей, требовались лишь доступ к почте и блоку узкоспециализированных финансовых интернет ресурсов. Фактически это означало, что стратегия защиты и контроля периметра сети в части пользовательского доступа могла быть реализована на менее производительном межсетевом экране. При этом краткая должностная инструкция описывающая порядок предоставления и контроля доступа в интернет включила в себя регламенты формирования групп пользователей в корпоративном домене, коррелированные с настройками межсетевого экрана и использованием средств контроля содержимого трафика на основе технологии Content Filtering.
Безусловно, это весьма упрощенный сценарий, но внедрение такой стратегии привело к следующему результату. Так, на 40% снизилась нагрузка на узловые коммутаторы и сетевую среду передачи данных, на 25% увеличилась доступность основных бизнес-приложений. В свою очередь, расходы на ежемесячный интернет-трафик уменьшились на 60%, а эффективность работы персонала выросла на 30%. Кроме того, на 70% снизилась заражаемость офисных рабочих станций вирусным содержимым, распространяемым через развлекательные сайты и социальные сети.
При этом компания-заказчик для сохранения комфорта рабочего персонала организовала изолированный сегмент доступа в интернет для личных нужд на базе трех мини интернет-кафе в сумме из 20 рабочих мест, которые работают по определенному расписанию в соответствии с графиком рабочих смен.
Вот вам и Информационная безопасность!
Короткая ссылка
