Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
mobilná verzia
Windows User Group - Slovak Republic
prihlásenie

meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí

október 2014 október 2014 december 2014
po ut st št pi so ne
29 30 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 1 2
dnes 31.10.2014 dnes 31.10.2014

kto je online?

počet anonymných užívateľov: 1
počet prihlásených užívateľov: 1
teraz je online:
Google [Bot]

Top 10 najčítanejšie

1.Windows 7 download
2.Vytvorenie USB boot jed...
3.Oprava MBR sektoru bez ...
4.HTPC alebo ako si posta...
5.Windows 7 RC v slovenč...
6.Inštalujte Windows z U...
7.Platené vs Zadarmo
8.Panika menom Conficker
9.Windows 7 RC download -...
10.Konzole pro zotavení v...

Windows User Group - Slovak Republic

Program bezpečnosti vo firme
Windows User Group - Slovak Republic
Bezpečnosť > bezpečnosť

Program bezpečnosti vo firme

Windows User Group - Slovak Republic

Každá firma by mala mať nejaký program bezpečnosti IS (informačného systému). Samozrejme pokiaľ nejaký IS má.


V každom informačnom systéme (IS) je nutné nasadiť nejaké bezpečnostné riešenie. Samotná bezpečnosť IS je dynamický proces, ktorý sa vyvýja a mení s rastom či zmenou firemného prostredia a aj napriek snahe vždy bude obsahovať niekoľko slabých miest. Je nutné pokryť bezpečnostnú politiku komplexne  v oblasti  systémovej aj manažérskej.

Preto sa  vypracúva plán na zabezpečenie v dvoch vlnách podľa oblasti pôsobenia.

 

V bezpečnosti IS poznáme  dve oblasti či typy pôsobenia:

1.)    Reaktívny typ - kde dochádza k reakcií na incident a dá sa povedať, že i keď je to historický model, stále je potrebný. Ide o reakciu na dej či udalosť, ktorá poškodila už daný IS a následné napravenie chýb alebo odstránenie problému

2.)    Proaktívny typ - v ktorom dochádza k vyhodnocovaniu rizík, vykonávaniu predbežných opatrení a k zavádzaniu kontrol. Vytváraniu stratégií a plánov na disaster recovery (obnovu po incidente).

 

Pre komplexný bezpečnostný program je nutné mať nasledovné:

 

·         Plán firemného IS - dokonalé poznanie vlastného systému a jeho homogénnosť je dosť dôležité pre odhad rizík a slabých miest.

·         Analýza a vyhodnotenie rizík - audit IS je nutný aspoň 2x do roka.

·         Identifikácia rizikových dát a častí systému - ide o oblasti ktoré by mohli spôsobovať problémy alebo mohli byť zdrojom incidentov

·         Presná definícia kľúčových dát a častí IS - je nutné vedieť bez čoho sa neobíde chod firmy, a tiež čo by mohlo najviac poškodiť firmu keby došlo k incidentu.

·         Definovať zásady bezpečnosti vo firme

·         Vzdelávať zamestnancov

·         Plán rozvoja IS

 

Pokiaľ máte už taký program, treba dbať na jeho aktualizáciu a aplikáciu zmien v ňom aj na základe zistených skutočností počas auditu. Taktiež je nutné stanoviť striktné pravidlá pre prácu mimo objektu firmy či vziať v úvahu zmeny legislatívy, komunikáciu so zmluvnými partnermi, model pracovných postupov zamestnancov (workflow). A to značí, že je nutné zmapovať komplexné toky dát a miesta ich vzniku. Je nutné mať pod dohľadom pripojenia k iným sietiam (LAN či WAN) a tiež je nutné spravovať identity užívateľov a zálohované dáta.

 

Akonáhle pochopíte a zmapujete procesný model vašej firmy a aplikujete vyššie uvedené informácie, mali by ste byť schopný odhadnúť stav a nutné zmeny v IS. Samozrejme treba brať do úvahy iné oddelenia a tiež  záujem manažmentu (a taktiež jeho informovanosť).  Pokiaľ je k dispozícií je dobré si pozrieť históriu minulých incidentov a reakcií na ne.

 

Pokiaľ sa vám to zdá zbytočné, uvediem dva príklady bežného narábania s IS a jeho optimálne riešenie.

 

Bežný živnostník či jednoosobová firma:

Realita:

IS spočíva v jednom PC (laptop alebo stolné PC) s pripojením na internet.  Z 90%  tam bude operačný systém (OS) Windows XP spolu s Microsoft Office a ekonomický program na vedenie účtovníctva. Na danom PC podľa všetkého chodia na internet všetci príslušníci domácnosti a fungujú pod jedným účtom s právami administrátora. Dotyčný si občas spravý zálohu údajov na inú partíciu disku či na zapisovateľné médium (CD alebo DVD).

V prípade bezpečnostného  incidentu (zavírenie, pád systému, konflikt v OS)  často dôjde k reinštalácií OS a novému nainštalovaniu a v prípade že nedošlo k poškodeniu, alebo že záloha existuje, k importu dát do ekonomického programu.

 

Optimálne riešenie:

IS mať zložený z domáceho  a firemného PC poprípade mať externý USB disk či NAS pole na odkladanie údajov.

Na firemnom PC, ktoré by kľudne mohlo byť niekoľko rokov staré (napr. 500 - 1000MHz procesor s 1-2GB Ram,  20GB +40GB pevnými diskami) na ktorom bude bežať OS Windows,  Office, ekonomický program a internetové pripojenie (email).   Samozrejmosťou by mal byť antivírový program.

Pracovný účet v OS by nemal mať práva administrátora a daný počítač by mal byť zálohovaný a to minimálne dáta s ekonomického programu, emailové správy a poprípade nastavenia systému na iný pevný disk.

 

Ako vidieť zvýšil by sa počet PC v domácnosti na dva. Na toto však stačí použiť starší počítač a ako vidieť na modeli stačí aj pc s 500MHz procesorom na dané úlohy, ktoré by mal firemný počítač pre malú firmu zvládať.

 

Firma s 20 zamestnancami a niekoľkými externými spolupracovníkmi.

Realita:

IS je zložený s rôznych pc na rôznych OS (často kombinácia Windows XP, Vista a Windows 7) vačšinou OEM,  MS Office rôznych verzií a programov ktoré sú nutné k chodu firmy. Všetky PC sú v skupine WORKGROUP a maximálne majú nastavené zdieľanie priečinkov. Zamestnanci často (skoro vždy J ) používajú účet s administrátorskými právami. Často nebývajú dané PC kontrolované nikým a ako boli zapojené a nastavené dú. Pracovná plocha je plná odkazov a súborov, ktoré sú v priečinku Plocha.  Externisti, poprípade zamestnanci ktorí majú home office sa pripájajú do firmy na svoje PC (v horšom prípade na nejaký „všeobecný server").

 

Optimálne riešenie:

Zjednotenie OS a programového vybavenia. Vytvorenie „domény" na linuxovom systéme (vzhľadom k relatívne vysokej cene serverových OS na platforme Windows) a vytvorenie file serveru so zálohovaním dát.

VPN klienti by sa pripájali iba k dátam a mohli by používať webmail.  Všetky dôležité súčasti by sa zálohovali na file serveri a na plochu dávať iba odkazy na dané súbory. Zároveň môže firma na danom servery prevádzkovať vlastné www stránky.

Je síce pravdou že je nutné postaviť server ale v podstate to zvládne bežný počítač.

 

Ako vidieť v ukážkových modeloch investícia do  IS na zníženie rizík je vcelku minimálna (rastie s množstvom užívateľov, PC a serverov).

 

Tu uvedené modely sú stavané na menšie firmy z dôvody primárneho zanedbávania danej problematiky a zúženia celej IT bezpečnosti na antivírové riešenie.

 

Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Redhawk | nedeľa 16. januára 2011 17:40 | Prečítané: 3784 x | neohodnotené |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

 
Windows User Group - Slovak Republic
Šido Miroslav

Šido Miroslav
Windows User Group - Slovak Republicredhawk@mail.cz
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
moje rubriky:
Windows User Group - Slovak Republic
vyhľadávanie v blogu autora

vyhľadávanie


Gopas semináre


partnerské weby

Počítačová škola GOPAS

microsoft virtual academy

techNet okienko


sponzori

Microsoft

OverLOOK Design

Adox

facebook


Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 WUG SK
podmienky používania prehlásenie o súkromí

Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak RepublicPageRank ikona zdarma Valid HTML 4.01 Transitional