Вместо того, чтобы стремиться к недостижимой абсолютной защите, организации могут преследовать концепцию глубокоэшелонированной защиты (Defense in depth), предполагающую построение нескольких рубежей защиты, направленных на уменьшение рисков и повысить безопасность. Комбинирование различных методов и технологий позволяет получить более надежную систему защиты корпоративной сети.
Наряду с техническими методами защиты информации в корпоративных сетях, о которых мы расскажем подробнее далее, применяются организационные меры, важность которых трудно преувеличить.
Организационные меры предполагают, прежде всего, работу с персоналом организации. Все сотрудники должны следовать внедренной политике безопасности, которая и процедуры по защите информации. Лицо, создающее эту политику, должно обладать знаниями в области бизнес-целей компании и применяемых нормативных требований. Эта политика должна включать требования к паролям, доступу к информации, обработке данных и другим аспектам безопасности.
Сотрудники должны иметь четкое представление, с какими угрозами безопасности может столкнуться компания и лично сотрудники, о методах фишинга, какие методы применяются в организации для защиты информации и как они выполняют свои функции. Следует помнить, что обучение пользователей корпоративной сети — важный шаг к предотвращению утечки данных. Нередко именно внутренний нарушитель умышленно или нет является реальной угрозой безопасности и способом для мошенников проникновения в сеть. В организации должна быть предусмотрена ответственность, которую несут руководители организационных подразделений за нарушения со стороны своих подчиненных.
Стоит отметить, что сотрудники должны иметь тот уровень доступа, который позволяет им выполнять предполагаемые должностью функции и никак не выше. Такой принцип предоставления прав называется принципом наименьших привилегий (Principle of least privilege, POLP). Политика безопасности должна регламентировать процедуру увольнения сотрудников с целью предотвращения их последующего доступа к корпоративной информации и системе.
Организационные меры определяют требования к предоставлению физического доступа к информации и компонентам сети: сетевое оборудование должно быть изолировано от посторонних, устройства сотрудников должны блокироваться при простое, в компании должно быть введено правило чистого рабочего стола. Доступ к сети сторонних устройств (в том числе мобильных и личных) так же должен быть регламентирован, поскольку они могут стать источником вирусов и вредоносных программ и парализовать работу всей корпоративной сети. Ноутбуки, выносимые за пределы организации, могут стать причиной утечки информации в случае кражи или утери. В связи с этим на таких мобильных устройствах рекомендуется использовать шифрование дисков или файлов. Еще один канал утечки корпоративной информации — локальное хранение сотрудниками или копирование критической информации. В идеале пользователи никогда не должны хранить конфиденциальные данные на переносных системах любого типа.
При проектировании сети эксперты по безопасности рекомендуют разделить ее на зоны — логические или функциональные блоки, что затрудняет для злоумышленников проникновение сразу во всю систему.
Еще одним важным организационно-техническим методом защиты корпоративной информации является резервное копирование. В случае успешной атаки программ-вымогателей или сбоя в работе сервера или СХД этот метод порой является способом восстановления потерянной или поврежденной информации. Важно, чтобы резервные копии создавались регулярно и были также защищены, например, шифрованием. Планов по резервному копированию разработано множество, любая компания может подобрать оптимальный для себя алгоритм в соответствии с имеющимися в её распоряжении ресурсами. Резервные копии должны периодически тестироваться, чтобы подтвердить их работоспособность.
Не стоит забывать о регулярном обновлении программного обеспечения и операционных систем. Данная мера помогает устранить уязвимости, которые могут быть использованы злоумышленниками для несанкционированного доступа или атаки на систему.
Наконец, большую популярность при защиты корпоративных сетей набирают тесты на проникновение (Vulnerability Assessment and Penetration Testing, VAPT) — комплексный подход к тестированию безопасности данных и системы в целом, направленный на выявление и устранение уязвимостей. VAPT предполагает как использование автоматизированных инструментов анализа безопасности (сканеров безопасности), так и экспертный подход с привлечением специалиста или группы специалистов по безопасности.
Рассмотренные нами организационные меры должны идти в связке со техническими средствами защиты корпоративной сети, которые формируют единую систему защиты информации, блокирующие угрозы непосредственно в компьютерных сетях и их узлах.
Наконец, большую популярность при защиты корпоративных сетей набирают тесты на проникновение (Vulnerability Assessment and Penetration Testing, VAPT) — комплексный подход к тестированию безопасности данных и системы в целом, направленный на выявление и устранение уязвимостей.