RODO техническая безопасность IT систем

1. С 25 мая 2018 года действует Положение о защите личных данных (RODO). Новый закон совершенно по-другому,...
2. UTM - интеллектуальный брандмауэр
3. Шифрование данных
4. Копия данных
5. Аварийный источник питания
6. Обновление ИТ-систем
7. Антивирусное программное обеспечение
8. Безопасность сети WIFI
9. Тренинг по информационной безопасности

С 25 мая 2018 года действует Положение о защите личных данных (RODO). Новый закон совершенно по-другому, чем прежде, определяет принципы обработки и защиты персональных данных с учетом ИТ-безопасности. Мы не найдем, как в предыдущем Законе о защите личных данных, инструкции о количестве символов в пароле к нашему компьютеру или о том, как часто мы должны делать резервную копию, должен ли ноутбук быть зашифрован. Что касается GDPR, предприниматель должен продемонстрировать, что он наилучшим образом защитил свою ИТ-среду, используя имеющиеся знания и ресурсы.

Следует помнить, что RODO применяется практически к каждому предпринимателю, начиная с единоличного владения и заканчивая промышленным магнатом, в котором работают тысячи сотрудников. В эпоху современного уровня компьютеризации каждый использует компьютер, сервер, ИТ-сеть или Интернет, где он обрабатывает личные данные. Как защитить ваши персональные данные, если в положениях GDPR не указаны технические решения?

Как человек, занимающийся вопросами информационной безопасности и защиты персональных данных в СПАРК-ИТ, я постараюсь привести несколько простых примеров технической безопасности ИТ-среды.

UTM - интеллектуальный брандмауэр

UTM - это мощный интеллектуальный межсетевой экран, который защищает внутреннюю сеть компании, компьютеры, серверы, принтеры от вредоносных программ или вирусов. Правильно настроенный, он остановит спам и обеспечит фильтрацию контента, заблокирует нежелательные категории сайтов. Запуск частной сети VPN позволит обеспечить безопасную удаленную работу за пределами офиса компании через интернет-соединения, не беспокоясь о том, что данные попадут в чужие руки. UTM защитит нашу сеть в случае атаки интернет-хакера. Прорыв через регулярно обновляемую систему безопасности в устройстве даст любителям данные о многих неприятностях, которые отпугнут многих из них. В большинстве случаев установка корпоративной системы безопасности в сети, то есть UTM, не является громоздкой и не требует дорогой модернизации ИТ-инфраструктуры, а преимущества не вызывают сомнений.

Шифрование данных

Шифрование данных - это одна из основных мер безопасности информационных систем, серверов, компьютеров, ноутбуков, телефонов или планшетов. Все электронные носители данных, такие как pendrives, карты памяти, на которых хранятся данные, в частности персональные данные, должны быть абсолютно зашифрованы. Предоставляя ИТ-поддержку компаниям на ежедневной основе, каждый ноутбук (или другое мобильное устройство), поставляемый или приобретаемый клиентом, принудительно шифруется. Подавляющее большинство составляют устройства с системой Microsoft Windows, которая из нескольких версий позволяет включать шифрование в системе в качестве дополнительной функции BitLocker без необходимости приобретения дополнительного программного обеспечения. Посвящение нескольких моментов способно защитить наши данные в случае потери устройства / носителя данных, которое может случиться с каждым. Последствия потери и, как следствие, использования наших данных, будь то у наших клиентов или коллег, могут иметь серьезные последствия.

Копия данных

Каждый день мы привыкли включать наш компьютер, система запускается, мы готовим кофе и начинаем работать. А что делать, если компьютер не включается, когда наша ИТ-система показывает «красную карточку» или просит нас заплатить несколько тысяч. евро, потому что наши данные были зашифрованы компьютерным вирусом. Осуществляя ИТ-обслуживание компаний, мы сталкиваемся с такими ситуациями на регулярной основе. У нас есть копия данных, которые были сделаны ночью - скажут большинство наших клиентов. К сожалению, многие ситуации таковы, когда у предпринимателя, обращающегося к SPARK-IT, нет копии. Потеря данных всегда равна финансовой потере, потере изображения, оплачивается с большим стрессом и временем, которое необходимо потратить на поиск любых копий или восстановление данных. Есть много способов избежать проблем потери данных, и они не должны быть сложными или чрезвычайно дорогими системами. Основными правилами являются регулярность копирования данных, хранение одной копии вне ИТ-системы. Но это еще не все. Также очень важно регулярно проверять правильность сделанной копии, воспроизводя и проверяя ее. В точку. Самый простой и очень эффективный способ создания копий - это использование двух внешних USB-дисков, на которые копия делается ежедневно. Правильно установленное и настроенное (даже бесплатное) программное обеспечение автоматически сделает копии сразу после подключения диска к серверу / компьютеру. Такая копия, сделанная и зашифрованная, позволит достичь базового уровня безопасности и, при необходимости, восстановить утерянные данные за довольно короткое время. Очень хорошим решением является использование дополнительного уровня резервного копирования безопасности, например NAS или другого устройства хранения данных. Еще одной дополнительной формой защиты данных может стать копирование в «облако». Благодаря этому решению мы получаем независимость и отделение данных от одной ИТ-среды и другой уровень безопасности наших данных. Существует много других способов защиты данных и повышения уровня доступности нашей ИТ-инфраструктуры, таких как репликация данных, когда все данные сохраняются на двух системах одновременно, и один из них не может парализовать всю систему, но эта статья в основном указывает на суть случая и основные решения.

Аварийный источник питания

Ток, несомненно, является наиболее важным фактором, определяющим работу любой системы, включая ИТ. Никого не нужно убеждать в преимуществах аварийного источника питания. Что может произойти, если у нас нет ИТ-системы резервного копирования, которая бы защищала нашу инфраструктуру от энергопотребления? Электрическое перенапряжение, сбой в электрической установке может привести к выходу из строя серверов, активных компьютерных сетевых устройств, компьютеров, принтеров и т. Д. В целом, потеря оборудования, данных, отсутствие доступности систем. Решение совета - мы покупаем UPS. Как и в ИТ-индустрии, не все очевидно. Давайте подумаем, давайте спросим профессионалов. Выбор источника бесперебойного питания зависит от вашей ИТ-инфраструктуры и функции, которую должно выполнять устройство. Это может быть центральная система аварийного электроснабжения, которая будет обеспечивать питание части отдельной электрической установки и подключенных к ней устройств, или это может быть ИБП, который в случае сбоя питания будет снабжать энергией оборудование ИКТ. На первом шаге должны быть сделаны соответствующие расчеты, которые покажут соответствующую мощность для новой «батареи». ИБП должен иметь возможность обмениваться данными с ИТ-системой, чтобы в случае сбоя питания в нужное время принять решение о безопасном отключении ИТ-системы до полной разрядки батарей. Рекомендуется установить параметр BIOS сервера для автоматического запуска системы при восстановлении питания.

Обновление ИТ-систем

У каждого продукта есть недостаток - мне очень жаль. Будет ли это автомобиль - мы регулярно слышим о сервисных акциях, наверное, каждой автомобильной группы без исключения или телевизора, это не имеет значения. ИТ-системы более уязвимы, независимо от производителя, Microsoft, Linux, Google, Apple или других. Группа псевдоспециалистов постоянно ищет ошибки производителей программного обеспечения, чтобы использовать их чаще всего против пользователя. Есть способ продолжать - регулярные обновления операционных систем и программного обеспечения. Производители стоят на своих головах, чтобы предоставить «заплатки» в кратчайшие сроки, поэтому давайте использовать его, но с головой. Осуществляя ИТ-поддержку для компаний, мы испытали и протестировали методы и решения, чтобы гарантировать, что обновления выполняются контролируемым и безопасным образом для систем наших клиентов. Два золотых правила - это резервное копирование и тестирование. Перед загрузкой обновления в производственную операционную систему, например, на сервер, мы проверяем правильность резервного копирования обновляемой системы, а затем устанавливаем обновление в тестовой среде, тщательно проверяя влияние изменений на стабильное функционирование среды. Благодаря этим простым процедурам мы добиваемся успеха обновления. Отсутствие обновлений - это серьезный риск, при котором вероятность утечки личных данных из информационных систем весьма реальна. Хакеры ищут и ждут возможности. Мы мешаем им жить.

Антивирусное программное обеспечение

Антивирус = необходимость !!! Каждый из нас в детстве принял обязательный пакет прививок, поэтому мы не болеем. Я предполагаю, что никто из нас не хотел бы довести нашу ИТ-систему до болезни. Это также следует рассматривать как живой организм. Мы не выбираем первую вакцину, просто думаем об антивирусной системе. Мы выбираем проверенное решение, поддерживаемое производителем, с возможностью настройки, регулярно обновляемое. Если в нашей ИТ-инфраструктуре есть сервер, давайте позаботимся о данных, хранящихся в главном, центральном местоположении. Именно здесь находятся наиболее важные ИТ-системы, обрабатывающие персональные данные. В то же время помните, что вся наша антивирусная защита так же сильна, как и самое слабое звено в ней. Я имею в виду рабочие станции, а также мобильные устройства, телефоны, планшеты. Последние принимают участие в обработке персональных данных, а также в доступе к нашей локальной сети на тех же условиях, что и другие устройства. Я не буду слишком много думать об опасностях компьютерных вирусных инфекций, потому что все знают, но я упомяну слово «вымогатель». Это, наверное, один из худших микробов за последнее время. Вариации этих вирусов способны шифровать все данные на всех устройствах, компьютерах, серверах в фоновом режиме без ведома пользователей, и только после шифрования всех устройств блокировать доступ к данным. Затем они часто требуют выкуп в размере нескольких тысяч евро после оплаты, который предоставит нам ключи для расшифровки заблокированных данных. К сожалению, вы никогда не можете быть уверены, что, заплатив значительную сумму, вы все равно увидите данные, доступ к которым был навсегда заблокирован.

Безопасность сети WIFI

Почему? Почему WIFI рассматривается как то, что вы не видите? Это тот же сегмент сети, к которому получен доступ после подключения сетевого кабеля к ноутбуку. Реализуя ИТ-поддержку со стороны СПАРК-ИТ для многих компаний, я сталкиваюсь с аудитами безопасности, когда я провожу аудиты безопасности, которые плохо защищены, и ИТ-специалисты с гордостью представляют очень дорогие сетевые устройства, защищающие их ИТ-инфраструктуру. Хотелось бы, чтобы меня хорошо понимали, я не против WIFI - я им пользуюсь сам. Но с самого начала. WIFI в компании, почему бы и нет? Предоставьте себе устройства, которые гарантируют достаточно высокий уровень безопасности. Я знаю устройства, которые распространяют сигнал WiFi, которые стоят десятки злотых, я, честно говоря, не рекомендую. Я вообще не пишу об угрозах, потому что каждый может представить себе злоумышленника в сети, который использует наши данные так, как он хочет, потому что WIFI не был защищен. Так как WIFI делает это правильно? Во-первых, хорошее устройство. В начале мы настраиваем доступ к самому устройству. Давайте воспользуемся возможностью, чтобы добраться до устройства удаленно из-за пределов внутренней сети компании. Мы всегда настраиваем две сети, одну для сотрудников, а другую для гостей. Гость после подключения к сети имеет доступ только к интернету !!! Нет доступа к данным компании, в частности к персональным данным. Пароль, очевидно, что мы будем устанавливать надежный пароль для сети компании, но мы также должны сделать гостевую сеть, и что более важно регулярно менять его. Хотя мы можем смириться с определенным, но приемлемым минимальным уровнем безопасности для WIFI, сеть WIFI компании должна быть оснащена множеством, в основном с акцентом на гораздо более высокий уровень безопасности. Начиная с сокрытия видимости (SSID) сети, ограничивая доступ только разрешенными MAC-адресами устройств. Аутентификация WPA2, аутентификация WPA2 должна сопровождаться шифрованием AES, ничего ниже. Это так просто. Любая последующая безопасность нашего доступа к WIFI будет в значительной степени зависеть от совершенствования приобретенного нами оборудования или имеющегося у нас программного обеспечения. В этом аспекте мы также не забываем об обновлениях.

Тренинг по информационной безопасности

Обучение информационной безопасности, базовые знания, осведомленность, понимание - это основы, которые обеспечивают стабильную ИТ-среду. Вы можете забыть об изощренном мною вышеописанном материале, который по-прежнему является лишь небольшой частью сферы ИТ-безопасности в вашей компании, о том, как ваши сотрудники не будут иметь базовых знаний о том, что они могут просить и чего они не могут коснуться с помощью компьютера в наши дни , Может быть, вы знаете, но это не значит, что все это знают. На самом деле, не требуется много, чтобы распространять знания специалистов SPARK-IT в доступной форме для обычных людей, которые не являются специалистами в области ИТ. Чтобы показать сотрудникам группы самые важные аспекты, связанные с информационной безопасностью, требуется всего 2 часа. Я могу отправить заинтересованным сторонам программу обучения Safe Employee.

Звоните: +48 81 820 04 10

это бесплатно

Мне хорошо известно, что статья затрагивает только ИТ-безопасность в компании в отношении ВВП и обработки персональных данных. У каждого нет выбора, но он не должен был его иметь. Я буду рад помочь вам индивидуально, помочь и проконсультировать всех, кто интересуется вопросами, поднятыми в статье.

Похожие

Комментарии