16+
ComputerPrice
НА ГЛАВНУЮ СТАТЬИ НОВОСТИ О НАС




Яндекс цитирования


Версия для печати

Модуль поиска не установлен.

IT-технологии и безопасность бизнеса

24.06.2005

Сергей Курбатов

Вопросы информационной безопасности актуальны сегодня не только для большого бизнеса, но и для домашних пользователей.

Спам, компьютерные вирусы, нарушение приватности электронных коммуникаций, преступления в области денежных транзакций через Интернет - каждый из нас может столкнуться с этими побочными явлениями интенсивного развития глобальных коммуникаций.

Введение

В настоящее время наиболее значимыми тенденциями, оказывающими существенное влияние на состояние и перспективы развития отрасли информационных технологий, по мнению многих экспертов, считаются следующие:

Во-первых, неуклонный рост внимания к проблемам безопасности, в том числе информационной. Это естественная реакция на печальные события последних лет (волна террористических актов, охвативших весь мир, с возможностью повторения подобных в будущем). Заказчики тратят все больше денег на технические средства, однако, как констатируют аналитики, они по-прежнему слишком мало занимаются организационными решениями и подготовкой своего персонала. А жизнь показывает, что тезис "люди решают все" не утратил своей актуальности.

Во-вторых, слияние и взаимное проникновение трех прежде независимых отраслей и рынков: массовой компьютерной техники, цифровых коммуникаций и бытовой электроники. Начавшись на уровне продуктов и стандартов, они развиваются, предоставляя пользователям новые возможности, порождая новые классы цифровых устройств, которые порой трудно однозначно отнести к какому-либо одному из этих рынков, и постепенно трансформируют каналы сбыта.

В-третьих, быстрое развитие и распространение мобильных вычислений, повлекшее за собой не только изменение структуры компьютерного рынка, но и изменения в образе жизни миллионов людей.

В рамках данной статьи рассмотрим вопросы информационной безопасности бизнеса.

Беспечность - это плохо

Информационная безопасность (ИБ) - одна из самых "горячих" тем минувшего года. Несомненно, она сохранит свою актуальность и в ближайшие несколько лет.

Интерес к ИБ проявляют все игроки рынка, не остаются в стороне исследовательские и аналитические компании. Выпускаемые ими отчеты нередко имеют большую практическую ценность, поскольку охватывают различные аспекты сферы ИБ, что позволяет заинтересованным специалистам не только лучше сориентироваться в текущей ситуации, но и увидеть главные тенденции.

К их числу можно отнести и исследование Global Information Security Survey 2004, проведенное компанией Ernst & Young. Её специалисты, изучающие вопросы ИБ вот уже более 10 лет, пришли к удивительному выводу: за многие годы отношение людей к ИБ практически не изменилось. Большое число предприятий и организаций, как и прежде, полагается не столько на современные решения, сколько на удачу - несмотря на то, что степень опасности многократно возросла.

Эксперты Ernst & Young указывают на следующие важные проблемы, связанные с обеспечением ИБ:

- корпоративная культура и приоритеты руководства;
- "искушение судьбы";
- пренебрежение человеческим фактором;
- недооценка внутренних угроз.

Рассмотрим указанные проблемы по порядку.

Корпоративная культура и приоритеты руководства

Есть все основания полагать, что атаки (особенно внутренние) на информационные ресурсы предприятий будут множиться, если руководители высшего звена не возведут ИБ в ранг корпоративной культуры и не назовут защиту данных приоритетной задачей для менеджеров различных уровней. Такой подход важнее любой другой инициативы в области ИБ, поскольку он будет определять отношение к ИБ всех служб и подразделений. Стоит этим пренебречь, и вы открываете дверь любым бедам. Реальность такова: почти 70% респондентов сообщили, что их совет директоров не получает ежеквартальный отчет о состоянии ИБ в организации; менее 20% опрошенных заявили, что ИБ считается приоритетным вопросом для руководства компании.

"Искушение судьбы"

С развитием бизнеса число партнеров у компаний увеличивается, взаимодействие между фирмами становится все более тесным. Как следствие, растет их взаимозависимость с точки зрения ИБ - поведение одного игрока может иметь самые серьезные последствия для других. Но, похоже, многие руководители не понимают этого. Топ-менеджеры скорее доверчивы, нежели предусмотрительны. Они считают, увы, нередко ошибочно, что их организация вполне защищена, тогда как в действительности немалые инвестиции в технологии ИБ сводятся на нет многочисленными организационными изъянами.

Например, 80% компаний не оценивали, соответствуют ли их подрядчики требованиям, принятым у организации-заказчика, 70% компаний не проводили оценку соответствия IТ-подрядчиков политикам ИБ головной организации.

Понятно, что реальная эффективность системы ИБ определяется самым слабым звеном. Если один из партнеров использует устаревшую систему управления идентификацией, другой никогда не тестировал план аварийного восстановления, третий не проводит регулярную оценку соответствия своих IТ-подрядчиков политикам ИБ, то наш собственный уровень защищенности никак не может быть выше нижней точки, достигнутой этими организациями.

Источники угроз информационной безопасности бизнеса можно условно разделить на внешние и внутренние. Ориентировочное соотношение степени опасности этих источников, рассчитанное на основе данных публикаций по этой тематике в прессе и в Интернете за последние два года, составляет 15 к 85. Рассмотрим внешние источники угроз ИБ подробнее.

К внешним источникам можно отнести:

- деятельность конкурентов, использующих методы недобросовестной конкуренции: промышленный и экономический шпионаж, шантаж, дезинформацию, "черный" PR;
- действия хакеров и крекеров, стремящихся взломать систему защиты автоматизированных информационных систем (АИС) организации с целью дезорганизации ее функционирования;
- агентурную деятельность различных спецслужб и систем электронного шпионажа, специализирующихся на промышленном и экономическом шпионаже. В качестве примера можно привести американскую систему Echelon: европейская экономика понесла существенные потери в результате утечки конфиденциальной информации о ряде крупных контрактов по техническим каналам, контролируемым системой Echelon. В результате эти контракты были "перехвачены" американскими подрядчиками у европейских;
- недостаточный ассортимент сертифицированных средств защиты информации;
- отсутствие инфраструктуры контроля достоверности открытых ключей электронно-цифровой подписи (ЭЦП);
- ограниченность и противоречивость нормативно-правовой базы развития систем криптографической защиты информации, электронного документооборота, электронных платежей, электронной коммерции;
- деятельность недобросовестных партнеров, стремящихся ради собственной выгоды нанести ущерб организации.

Пренебрежение человеческим фактором

Никакая сумма технологий не способна исключить человеческий фактор. Высшее руководство заявляет, что ИБ важна, но разрыв между количеством ресурсов, выделяемых для повышения степени защищенности предприятия, и уровнем понимания проблем "техники безопасности" и обученности персонала практически не сокращается.

Как утверждают эксперты Ernst & Young, необходимо приложить еще очень много усилий для того, чтобы превратить людей в самый непробиваемый уровень защиты организации. Исследование показало, что, во-первых, руководство компаний не спешит присваивать человеческому ресурсу самый высокий приоритет, но с готовностью идет на покупку технологий, и, во-вторых, менее половины опрошенных фирм проводит обучение служащих по вопросам, связанным с обеспечением ИБ.

Недооценка внутренних угроз

В то время как многие предприятия, похоже, ожидают угроз извне (таких как вирусы), более вероятными и самыми опасными являются угрозы, исходящие изнутри. То обстоятельство, что внутренние посягательства на ИБ предприятий редко находят отражение в СМИ, еще не означает, что данной проблемы не существует. Как раз наоборот: в случае обнаружения внутренних угроз компании предпочитают об этом не говорить, либо, что еще хуже, действия злоумышленников остаются нераскрытыми. Специалисты Ernst & Young установили, что "преступное или халатное поведение служащих в отношении ИБ" названо - с большим отставанием - второй главной проблемой после "злостного вируса, троянского коня или сетевых червей".

Отметим, что в ходе исследования были опрошены руководители более 1230 организаций из 51 страны мира. Респонденты - главные управляющие, финансовые директора, IT-директора, главные управляющие производственной деятельностью, директора по безопасности и ИБ. В числе опрошенных были как некоммерческие организации, так и коммерческие фирмы с оборотом от десятков миллионов до более чем 10 млрд. долл. и численностью персонала от нескольких сотен до более чем 100 тыс. чел. Они представляли банковский и финансовый секторы, промышленность, транспорт, розничную торговлю, здравоохранение и государственные организации. Результаты опроса приведены в таблице 1.

Как видно из таблицы, лишь около 30% (осреднённые данные за 2003-2004 гг.) опрошенных назвали повышение уровня подготовки и осведомленности служащих в области ИБ основной задачей в 2004 г.

Рассмотрим внутренние источники угроз ИБ подробнее.

К внутренним источникам можно отнести:

- использование организацией технологий обработки информации, которые не обеспечивают требуемую защиту информации;
- недостаточная надежность программно-аппаратных средств обработки данных;
- недостаточная надежность систем защиты информации и, в частности, средств криптографической защиты информации;
- недобросовестность и низкая квалификация персонала;
- периодические обновления и модификация информационных систем;
- использование несертифицированных аппаратных и программных средств, в частности, присутствие недокументированных возможностей и закладок;
- недостаточная безопасность (техническая, пожарная и т. д.) зданий и помещений, в которых расположена АИС;
- недостаточная надежность систем энергоснабжения и жизнедеятельности.

Значительный интерес представляют расходы на обеспечение информационной безопасности. Сколько и на что тратить? На этот вопрос попытаемся ответить ниже.

Сколько и на что тратить?

Несколько лет назад лишь немногие организации сообщали аналитикам о том, что делают крупные инвестиции в ИБ. Большинство расходов носило "тактический" характер или было ответом на конкретную угрозу. Но в последнее время регулятивные требования правительства подталкивают компании вкладывать деньги в защиту своих систем.

Исследование Ernst & Young подтверждает, что организации выделяют больше сил и ресурсов на удовлетворение этих требований. Ожидается, что эта тенденция сохранится и в будущем.

Руководители фирм постоянно спрашивают, не тратят ли они слишком мало или слишком много. Но, даже ответив на этот вопрос, невозможно понять истинное положение дел. Не менее важно знать, какие продукты и решения закупаются. Эксперты считают, что компаниям следует приложить больше сил и найти дополнительные ресурсы для того, чтобы сформировать корпоративную культуру ИБ, в которой тон будет задаваться сверху. Другой важной сферой приложения сил должно стать совершенствование системы мониторинга корпоративной структуры.

Некоторые компании, похоже, слишком зациклены на внешних угрозах. Вирусы, к примеру, представляют собой реальную опасность, но, как показывают результаты исследования, в техническом плане фирмы хорошо подготовлены к защите от вредоносных программ. Однако даже самая лучшая технология ничего не стоит, если кто-то из сотрудников решит проигнорировать правила.

Год назад эксперты Ernst & Young сделали вывод, что слишком много денег тратится на технологии и слишком мало - на организационные вопросы и подготовку персонала. Сегодня это верно как никогда.

Попытаемся, определив объекты и меры защиты ИБ бизнеса, сформулировать задачи руководителя фирмы по созданию системы информационной безопасности.

Чтобы представить весь круг и всю сложность задач по обеспечению информационной безопасности в современных условиях, приведем перечень объектов, нуждающихся в защите, и мер, которые могут быть приняты.

Объекты и меры обеспечения информационной безопасности

Объектами обеспечения информационной безопасности являются:

- здания, помещения и территории, на которых расположены средства АИС и где могут вестись переговоры и обмен конфиденциальной информацией;
- технические средства АИС - компьютерное оборудование, оборудование локальных сетей, кабельная система, телекоммуникационное оборудование;
- программные средства АИС;
- информация, хранимая и обрабатываемая в АИС и передаваемая по каналам связи;
- автономные носители информации (CD-диски, дискеты, и т.д.);
- сотрудники организации, работающие с АИС и являющиеся носителями конфиденциальной информации и информации о защите АИС.

Все меры защиты можно разделить на четыре категории (в скобках указана относительная значимость этих мер для обеспечения информационной безопасности бизнеса, рассчитанная по данным публикаций в прессе и Интернете за последние два года):

- меры защиты от НСД территорий и помещений, где расположена АИС (20%);
- меры защиты от технических средств шпионажа (12%);
- меры защиты АИС и хранилищ с носителями информации (28%);
- меры по работе с персоналом (40%).

Меры защиты территории и помещений включают следующие технические системы:

- системы пожарной безопасности;
- системы охранной сигнализации и видеонаблюдения;
- системы управления допуском, включая биометрические системы опознавания личности, и другие системы, позволяющие автоматизировать процесс допуска людей и транспорта в защищаемые здания и помещения;
- системы входного контроля (металлодетекторы, интроскопы, средства обнаружения радиоактивных веществ и т.п.);
- инженерные средства защиты - специальные замки и двери, решетки на окнах, защитные оконные пленки, пулестойкие оконные бронемодули.

Меры защиты от технических средств шпионажа включают:

- поиск и уничтожение технических средств шпионажа;
- шифрование телефонных переговоров, факсимильных сообщений, всей информации, передаваемой по каналам телефонной и иной связи;
- подавление технических средств шпионажа постановкой помех;
- экранирование помещений и источников электромагнитных излучений; заземление, звукоизоляция.

Меры защиты АИС включают:

- выработку политики безопасности (правил разграничения доступа к информации) в АИС;
- организационные меры по внедрению политики безопасности, включая подготовку и издание приказов и распоряжений по обеспечению информационной безопасности, меры по мониторингу и контролю их исполнения;
- защиту оборудования (компьютеров) от нарушения их целостности;
- антивирусную защиту программного обеспечения;
- аутентификацию пользователей при допуске к работе на компьютере;
- проверку целостности аппаратных средств и программного обеспечения, установленного на компьютерах АИС;
- создание систем разграничения доступа к ресурсам информационно-вычислительной системы и к базам данных;
- аутентификацию пользователей при доступе к ресурсам локальной сети и базам данных;
- протоколирование действий пользователей при работе на компьютере в сетях;
- аудит протоколов действий пользователей;
- создание систем криптографической защиты информации в локальной сети;
- установку межсетевых экранов между локальной сетью и каналами телекоммуникационного доступа; использование прокси-серверов;
- установку систем обнаружения атак;
- применение программного обеспечения сканеров контроля защищенности АИС от сетевых атак;
- применение систем криптографической аутентификации и защиты информации в телекоммуникационных сетях;
- создание систем резервного копирования и хранения информации, по возможности, территориально-распределенных;
- использование систем резервирования электропитания;
- создание систем защиты структурированной кабельной сети АИС, в том числе от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИиН);
- создание систем учета и контроля информации, хранимой на автономных носителях информации, и учета этих носителей;
- проведение расследований попыток нарушения информационной безопасности АИС, в том числе с привлечением профессиональных служб компьютерных криминалистов;
- периодический контроль программного обеспечения, установленного на компьютерах пользователей, на предмет его легальности.

Большинство из указанных мер, как правило, реализуются путем установки в АИС специальных программно-аппаратных средств. Вся совокупность программных и технических средств защиты информации в АИС объединяется в подсистему информационной безопасности АИС.

Меры по работе с персоналом включают:

- определение и закрепление дисциплинарной и иной ответственности каждого сотрудника за соблюдение условий конфиденциальности и других условий обеспечения безопасности информации в организации; информирование его об уголовной, административной и дисциплинарной ответственности, возникающей при злоупотреблениях во время работы с АИС и конфиденциальной информацией;
- контроль знаний и умений персонала, в том числе по действиям в чрезвычайных условиях компьютерных атак и по восстановлению информационных баз и работоспособности АИС после потери информации или нарушений регламентов работы АИС;
- контроль усвоения персоналом политики безопасности организации, знание им приказов, распоряжений и инструкций по обеспечению информационной безопасности;
- контроль и повышение квалификации персонала в области защиты информации, в том числе в области распознания приемов социальной инженерии, которые к ним могут быть применены;
- предупреждение эксцессов выражения нелояльности к организации, к ее руководству или к другим сотрудникам путем воздействия на ее информационную систему;
- контроль лояльности и исключение возможности вербовки персонала;
- разъяснение недопустимости использования нелегального, "пиратского" ПО.

Управление информационной безопасностью бизнеса

Очевидно, что принятие абсолютно всех возможных средств и методов защиты на все случаи жизни абсурдно и нереально. От чрезмерных мер безопасности организационная система может стать неработоспособной и разорительной для собственников. Разрешение этой коллизии состоит в необходимости создания механизма, который бы позволил, отслеживая реальные риски и угрозы, принимать рациональные, наиболее эффективные и посильные для организации меры защиты.

Этим механизмом может стать создание системы управления информационной безопасностью, аналогичной системам управления финансами, качеством, проектами, функционирующим в любой организации. Такое решение будет представлять собой тот самый системный комплексный подход к обеспечению информационной безопасности бизнеса, который взаимоувязан с функционированием указанных выше систем управления и гарантирует собственника от неприятных "сюрпризов", связанных с нарушением защиты информации.

В рамках системы управления информационной безопасностью бизнеса должны решаться следующие задачи:

- контроль и управление функционированием подсистемы информационной безопасности;
- непрерывный мониторинг защищенности АИС и регистрация попыток вторжения;
- разбор и расследование фактов нарушения информационной безопасности;
- изучение известных моделей хакерских атак и взлома компьютерных систем, анализ возможностей их реализации в отношении АИС организации, принятие мер по устранению возможностей реализации такого рода атак и методов взлома;
- организация антивирусной защиты компьютеров организации;
- обеспечение соблюдения политики безопасности в организации;
- мониторинг возможных угроз нарушения информационной безопасности;
- управление рисками нарушения информационной безопасности;
- подготовка планов и предложений по совершенствованию подсистемы информационной безопасности и политики безопасности;
- разработка новых решений по защите информации;
- внедрение новых средств защиты информации;
- контроль появления и проведение своевременной установки "заплат" к программному обеспечению;
- управление персоналом в аспектах, связанных с обеспечением информационной безопасности организации;
- в перспективе - управление страховыми гарантиями безопасности используемых компьютерных и телекоммуникационных технологий.

Таким образом, при обеспечении информационной безопасности в сфере IT-технологий, используемых в бизнесе, в последнее время проявилась тенденция комплексирования организационных мероприятий и технических мер информационной безопасности, которые следует проводить по тем или иным объектам защиты.

Комплексирование предусматривает умелое сочетание и совместное проведение мероприятий и мер по выявлению технических средств шпионажа, защите от них, защите от НСД территорий и помещений, где расположены АИС, защите АИС и хранилищ с носителями информации, а также работу с персоналом. При этом сочетание этих мероприятий и мер должно быть сбалансированным по отношению к угрозе и имеющимся ресурсам защиты, с сосредоточением усилий на важнейших из них.

Тогда совокупность целенаправленных соответствующих организационно-штатных мероприятий и технических мер в различном их сочетании, по сути дела, и позволяет руководителю фирмы создать действенную систему комплексной защиты, обеспечить защиту от существующих и вновь возникающих угроз информационной безопасности бизнеса, обеспечить эффективное управление своим бизнесом.

Заключение

В рамках статьи рассмотрены проблемы, связанные с информационной безопасностью бизнеса, определены задачи, стоящие перед руководителем фирмы при создании системы управления информационной безопасностью. Из множества направлений деятельности руководителя в области обеспечения ИБ наиболее значимыми являются:

- внедрение политик ИБ;
- согласование стратегии безопасности с целями и задачами бизнеса;
- усиление мер по обеспечению бесперебойности бизнеса.

Использованные источники:

Материалы сайтов:

http://emag.iis.ru;
http://www.pcmag.spb.ru



статьи
статьи
 / 
новости
новости
 / 
контакты
контакты