Для пятницы припасена, как обычно, серьезная тема, а не всякие хи-хи ха-ха. Поговорим мы о защите информационных ресурсов организации.
Достаточно сложно обобщить в одном посте весь спектр требований, которые предъявляют законодательные акты, а также дополнить их теми решениями, которые родила практика обеспечения информационной безопасности в различных организациях. Поэтому постараемся выделить самое основное.
Практически для всех видов информационных ресурсов основными средствами их защиты являются следующие:
- Шифрование данных
- Шифрование каналов связи
- Разграничение прав доступа
В то время как криптографические средства защиты необходимо применять аккуратно (см. 128-ФЗ «О лицензировании отдельных видов деятельности»), разграничение доступа – это тот реальный способ защитить себя от лишних неприятностей, который может в неограниченных количествах использовать любая организация. Конечно, в случае, если корпоративными данными заинтересуются слишком уж всерьёз, система разграничения прав доступа вряд ли сможет стать серьёзным препятствием для «любопытствующих», однако от излишне любознательных сотрудников и юных дарований-«хакеров» это весьма действенная защита.
В последнее время появляется тенденция к усилению защиты, основанной на разграничении прав, инструментами мониторинга действий пользователя. Чаще всего таким средством выступает DLP-система с пассивным контролем (не блокирующая передаваемую информацию), хотя, например, в банковской сфере могут применяться и более сложные решения.
А как вы считаете, можно ли назвать ограничение доступа самым универсальным методом из имеющихся в арсенале безопасника?
