Информационная безопасность
Глобальной мировой тенденцией является усиление роли регулирования в области обеспечения информационной безопасности. С технологической точки зрения, все больше внимания уделяется непрерывности бизнеса и повышению его эффективности.
В России, и во всем мире появляется все больше и больше стандартов и требований, исполнение которых является строго обязательным для определенного типа компаний. При этом компании попадают под тот или иной набор требований по нескольким критериям. Сюда можно отнести и принадлежность компании — частная или государственная, и классы обрабатываемой ей информации — конфиденциальная, государственная тайна, персональные данные и т.п. Также можно упомянуть сферу деятельности, от которой зависит набор предъявляемых требований — например, для финансовых или страховых организаций. И, наконец, значимость предприятия для жизнедеятельности страны в целом.
Говоря о регулировании, можно вспомнить западные стандарты, такие как HIPAA, SoX и т.п. Говоря о российском государстве, необходимо также упомянуть закон о банковской тайне, постановление о лицензировании отдельных видов деятельности, о персональных данных, а также только что принятый закон «Об информации, информационных технологиях и защите информации». Т.е. первая и основная тенденция формулируется очень просто — необходимость соответствия требованиям законодательства и отраслевым стандартам. Эта тенденция влечет за собой и вторую — переход информационной безопасности в разряд стратегических приоритетов каждого предприятия.
Продолжая логическую цепочку, можно заметить, что угрозы в современном мире значительно эволюционировали. Можно отметить, что на второе место уверенно вырвалось шпионское программное обеспечение. Связано это, в первую очередь, с тем, что информационные технологии являются неотъемлемой частью жизнедеятельности любого предприятия. Поэтому контроль над компьютерами дает злоумышленнику широчайшие возможности, начиная от кражи паролей и другой информации, рассылки спама, организации атак типа «отказ в обслуживании» и заканчивая возможностью полного блокирования информационных систем предприятия. Поэтому, несмотря на то, что текущий ущерб от шпионского программного обеспечения несравнимо меньше ущерба от классических вирусов и червей, именно оно вызывает наибольшее количество опасений.
Итак, количество (да и качество) угроз растет, количество необходимых к соблюдению требований тоже. Все это приводит к тому, что принцип «все, что не запрещено, то разрешено» уходит в небытие. Нынче главенствует идея о том, что «все, что не разрешено, то запрещено». Этот тезис нашел свое воплощение сразу в нескольких тенденциях. Одна из них — рост спроса на решения по управлению доступом пользователей к контенту. Компании внедряют как средства блокирования доступа сотрудников к тем ресурсам, которые не нужны им для выполнения работы, так и средства мониторинга непосредственно за самими сотрудниками.
Интересным «побочным» эффектом этой тенденции является повышение производительности труда за счет повышения стабильности работы приложений и невозможности отвлечения пользователей на дополнительные источники информации, не имеющие отношение к их работе.
Начальный уровень использования средств защиты — это хаотическое применение технологий, не связанных в единую концепцию. Затем идет реактивный подход, хорошо иллюстрируемой русской пословицей «пока гром не грянет, мужик не перекрестится». Информация безопасность применяется только в ответ на какие-то угрозы — эпидемии, атаки, утечки информации и т.п. Очевидно, что эффективность такого подхода минимальна, т.к. угроза успевает нанести ущерб предприятию. Второй уровень называется проактивным — он заключается в предвосхищении некоторых угроз. Для этого используются несигнатурные методы обнаружения атак, контроль поведения и аномалий и т.п. Абсолютное большинство российских компаний находится либо на нулевом, либо на первом-втором уровнях модели зрелости ИБ.
Третий уровень модели зрелости представляет безопасность как сервис, с обеспечением гарантированного уровня качества, доступности и других показателей. И, наконец, последний четвертый уровень — это безопасность как один из бизнес-процессов. Переход к такому пониманию безопасности позволяет увязывать бизнес-стратегию потребителя с его стратегией безопасности, измерять эффективность информационной безопасности в понятных руководству метриках, способствовать росту бизнеса и даже получать дополнительные доходы от использования защитных технологий.
В смысле практики использования тех или иных методов и средств нарушения информационной безопасности в последнее время наметилось преобладание использования «человеческого фактора» — наиболее часто применяются «шпионские» и «троянские» программы, «фишинг» и «спам». В организационном плане компьютерные преступления, перемещаются в область организованной преступности и получают все более четкую ориентацию на получение доходов в результате их совершения. Поэтому растет число инцидентов, связанных с нелегальным получением доступа к конфиденциальной информации, вымогательством под угрозой организации атаки на компьютерную систему, подкупом сотрудников атакуемой организации, «заказными» атаками на «отказ в обслуживании» коммерческих интернет-порталов.
Технологическое противодействие внутренним угрозам
Разговоры о проблемах информационной безопасности их актуальности и серьезности звучат сегодня со всех сторон. К новостям о многомиллионных убытках, наносимым вирусами и хакерскими атаки, пользователи привыкли уже давно, тогда как масштаб потерь от внутренних угроз осознали еще далеко не все. Тем не менее, цифра 80%, а именно такая часть потерь, по мнению большинства экспертов, приходится на внутренние угрозы заставляет компании по-другому относиться к данной проблеме.
Условно, все меры и приемы, применяемые для обеспечения безопасности можно поделить на 3 блока: контроль, разграничение, запрет.
|
Мера борьбы |
Плюсы |
Минусы |
|
Контроль |
Все
действия пользователей фиксируются
в журналах |
Большой
объем журналов. |
|
Запрет |
Нет необходимости контролировать действия пользователей |
Негибкое
решение. |
|
Разграничение |
Гибкость |
Трудоемкость
настройки. |
Контроль в чистом виде, к сожалению, тем менее применим, чем больше информационная система. Кроме того, сразу же встает вопрос о целесообразности сбора этих данных, т.к. своевременно обработать их практически невозможно, или это требует создания отдельного отдела, занимающегося именно этой работой. Нельзя забывать и о том, что большинство данных актуально совсем непродолжительное время.
Запрет — очень негибкий инструмент. Запрет на использование отчуждаемых носителей информации может породить новые проблемы, связанные с тем, что половина подразделений использовала их для общения с внешним миром: электронная почта налагает ограничения на размер пересылаемых файлов, налоговые органы принимают отчеты бухгалтерии только на дискетах и т.д. Кроме того, нельзя забывать о таком вопросе, как элементарная комфортность работы. Сотрудники, чувствующие за собой постоянный контроль, испытывающие жесткие ограничения при работе с компьютером, интернетом, почтой или, к примеру, с телефонными переговорами, становятся нервными, раздражительными, копят внутри себя недовольство. Естественно, рано или поздно, это приведет к потере ценного сотрудника, который уйдет работать в другую компанию, или же к желанию сотрудника попробовать обойти эти ограничения и запреты.
Из всего вышесказанного можно сделать вывод, что контролировать и ограничивать, ставя все мыслимые и не мыслимые запреты, не имеет смысла. Лучше определить круг людей, которые по роду своей работы имеют доступ к конфиденциальной информации, и далее грамотно настроить систему разграничения прав доступа, несмотря на то, что обслуживание такой системы будет требовать кропотливой настройки и аккуратного сопровождения.
Технические меры противодействия
Далее необходимо разобраться, какие именно меры необходимо предпринимать, чтобы если не исключить, то минимизировать вероятность утечки или порчи данных. Ниже приведен основной ряд показателей, которые стоит контролировать или которыми стоит управлять в информационной системе. Для наибольшей наглядности они упорядочены по степени важности. Естественно в каждой организации значимость того или иного показателя различна, поэтому данное ранжирование более чем условное, хотя и применимо к среднестатистической компании.
-
Во-первых, должен производиться контроль за процессами и программами, запущенными на компьютере. Эта задача разбивается на выявление вирусов и злонамеренного ПО, с одной стороны, и на обеспечение возможности запуска на компьютерах только доверенного ПО, с другой. Как показывает практика, такое мощное средство как замкнутая программная среда не очень любимо администраторами. В данном случае их больше устраивает именно оповещения о запуске программ, не входящих в список разрешенных.
-
Во-вторых, необходима идентификация и аутентификация пользователей работающих локально и удаленно. В данном случае оптимальным решением является двухфакторная аутентификация, которую можно обеспечить при помощи USB-ключей, проксимити-карт или «таблеток».
-
В-третьих, необходимо осуществлять управление доступом к файловым ресурсам.
-
В-четвертых, контроль целостности файлов, элементов системного реестра, отдельных секторов дисков в сочетании с антивирусными средствами позволяет быть действительно уверенным в том, что хранящиеся на жестком диске данные (в особенности программы) не могут быть модифицированы или подменены.
В последнее время возникла острая необходимость контроля сменных носителей, а также соответствующих портов (COM, LPT, IrDA). Здесь есть свои сложности, несмотря на большое количество систем, позволяющих сделать подобное разграничение, часть проблем до сих пор не решена. Первая проблема — идентификация устройств. Хорошо, если производитель позаботился о том, чтобы устройство выдавало свой тип и серийный номер. В противном случае, нет другого выхода кроме как запрещать/разрешать целые классы устройств. Кроме того, такие сложные устройства как коммуникаторы и мобильные телефоны часто вообще могут работать по особым протоколам, непонятным и неидентифицируемым системами защиты.
-
Относительно новым направлением внутренней безопасности является контроль за обращением информации. Решений данного класса пока не так много, однако уже есть возможность производить мониторинг электронной почты, сетевого и http трафика, интернет-пейджеров и пр. на предмет утечки информации.
-
Необходимо также осуществлять контроль за самими файлами, то есть за их перемещением, копированием, проводить теневое копирование создаваемых, перемещаемых, копируемых файлов и пр. Все эти задачи также должны, по большей части, решаться на уровне разграничения доступа и запретов. Данных операций в информационной системе слишком много, и обычных атрибутов (чтение, запись) часто не хватает. Именно поэтому во многих средствах защиты объектам присваиваются дополнительные атрибуты, такие как гриф информации и уровень допуска пользователей. После этого доступ к файлу пользователь получит только в том случае, если его уровень допуска не ниже чем гриф конфиденциальности файла.
-
Еще одной важной мерой является контроль загрузки с внешних носителей, который можно осуществлять при помощи платы аппаратной поддержки или при помощи преобразования диска. Данный вид контроля чрезвычайно важен, поскольку в последнее время появилось огромное число средств, позволяющих получить на атакуемом компьютере права локального администратора. Контроль при помощи плат аппаратной поддержки не требует ничего, кроме установки платы, но основан на предположении, что корпус компьютера не будет вскрываться. Преобразования диска могут защитить и от несанкционированной загрузки и от некоторых других угроз, но у пользователей возникают опасения, что данные не удастся восстановить в случае аппаратного сбоя.
Классификация существующих систем защиты
Классификацию популярных на сегодняшний день решений можно провести по двум критериям: функциональность и область применения.
По функциональности решения условно делятся на специализированные, помогающие в решении какой-то одной конкретной задачи из перечисленного выше списка и комплексные решения, реализующие весь или почти весь список задач.
Классификация по типу защищаемых ресурсов подразумевает наличие трех классов решений. К первому классу относятся решения для защиты рабочих станций, ко второму - решения, осуществляющие контроль/разграничение доступа к внутренним ресурсам информационных систем, и к третьему - системы, контролирующие взаимодействие с внешним миром.
Все решения, представленные на российском рынке делятся по этим классификациям на три большие группы:
Три группы решений по борьбе с внутренними угрозами
В первую группу — входят решения осуществляющие контроль и разграничение доступа к ресурсам. Среди них можно назвать такие, как Secret Net, Dallas Lock, Аккорд, Блокпост, Страж NT, Спектр 2000, NetMonitor. Перечисленные решения, осуществляют комплексный подход к обеспечению информационной безопасности. Некоторые из них требуют специального внедрения, другие более просты в установке, в любом случае для работы с ними необходим грамотный технический персонал. Одной из основных функциональных возможностей, которую им необходимо иметь, является возможность грамотно и всесторонне разграничить доступ к конфиденциальным данным.
Вторая группа продуктов — системы, которые помогают в решении какой-то одной задачи, например, запрет или разграничение прав доступа к внешним портам, контроль печати на принтер и т.д. Тут можно вспомнить о таких системах как: DeviceLock, Zlock, Sanctuary Device Control, Print Monitor и другие. Данные решения довольно интересны и актуальны, но, к сожалению, помогают прикрыть только одну из «дыр» в системе информационной безопасности, будь то работа с принтером или внешними устройствами. К сожалению, утечка информации может происходить по различным каналам. В связи с этим, меры по запрету доступа к внешним портам, или контролю печати документов, или другие локальные меры, не могут привести к ее полному устранению. К примеру, блокировка внешних портов оставляет злоумышленнику возможность использования электронной почты или печатающих устройств. То же самое можно сказать об использовании протоколов передачи данных.
Третью группу составляют решения, позволяющие осуществлять контроль взаимодействия с внешним миром. Соответствующие продукты есть у таких компаний как Инфосистемы Джет, Clearswift, SurfControl, Infowatch и др. Данные системы, предназначены для контроля и разграничения, прав доступа к web-ресурсам, электронной почте, интернет-пейджерам и др. Решения, входящие в эту группу, являются неотъемлемой частью комплексного подхода к обеспечению информационной безопасности. Без использования подобного рода систем нельзя говорить о надежной защите от инсайдеров. Ведь защита рабочей станции не гарантирует, полную безопасность. Как уже говорилось ранее, каналов утечки информации достаточно много, и контроль над взаимодействием с внешним миром играет важную последнюю роль в обеспечении защиты от инсайдеров.
Помимо этого существуют отдельные решения для защиты ЛВС, в основе которых лежит технология «контроля доступа к сети» (Network Access Control). Она представлена в России несколькими решениями таких компаний как Cisco, Trend Micro, Check Point и др. Их главная задача — предоставление доступа к сети только при полном соответствии подключаемого оборудования требованиям политики безопасности.
Никуда без управления
Прежде чем сделать окончательные выводы, необходимо остановиться на еще одном вопросе: как грамотно предоставить и разграничить права доступа к информации. Как бы хорошо не сочетались и не перекрывали все возможные пути для злоумышленника средства защиты, управлять ими все равно будут люди. Без четкого понимания, как необходимо настроить эти системы, и для кого какой доступ является необходимым и достаточным, они будут представлять собой малоэффективную груду железа.
Если у кого-то будет цель вынести из организации определенную, доступную ему информацию, он сделает это, несмотря ни на какие барьеры. Подразделения по информационной безопасности должны стремиться к тому, чтобы действительно критическая информация была доступна минимально возможному узкому кругу лиц, т.е. чтобы ее не возможно было бы даже найти в информационной системе непосвященному человеку. Помочь в решении этой задачи могут системы класса Identity & Access Control Management.
Услуги, предоставляемые в области информационной безопасности
Классификация услуг
Прежде чем начать подробный разговор о наиболее популярных на сегодняшний день услугах по информационной безопасности полезно для наглядности расположить их по уровню сложности исполнения и комплексности. В понятие «уровень сложности» входит совокупная оценка трудозатрат на выполнение работ и требуемая квалификация исполняющего её специалиста.
Уровень сложности и комплексности услуг ИБ*
* – На данном графике услуга по аудиту рассматривается как проверка текущего состояния информационной безопасности на соответствие определенным заданным требованиям. Но если говорить об аудите как и о комплексе мер по устранению выявленных несоответствий, то он автоматически может быть приравнен к такой услуге как создание системы защиты информации.
Сопровождение внедренных систем является одной из наиболее актуальных для компаний услуг. При этом наиболее важными качествами при оказании таких услуг являются: своевременность решения проблем, качество поддержки, а также предоставление оптимального набора сервисов и услуг в зависимости от уровня сопровождения.
Повышение осведомленности стало особенно актуальным в последнее время. Сейчас многие говорят об инсайдерах и тех рисках, которым они подвергают компанию, в которой работают. Более 70 % инцидентов, связанных с нарушением информационной безопасности в организациях связано с человеческим фактором. Какие-то из этих инцидентов осуществляются целенаправленно злоумышленниками, а остальные исключительно по причине незнания или халатности сотрудников. В этой связи, именно для второго типа инсайдеров компании заказывают проведение мероприятий по повышению осведомленности пользователей в вопросах информационной безопасности. Данные мероприятия предназначены в первую очередь для: развития и поддержания у пользователей информационных систем понимания того, какие проблемы безопасности могут возникнуть при использовании информационных технологий, и знаний, как действовать в той или иной ситуации; осознания пользователями их обязанностей и ответственности по обеспечению защиты информации в информационной среде компании; повышения уровня знаний пользователей по основным правилам обеспечения информационной безопасности. Все эти мероприятия направлены на снижение риска возможных потерь.
Комплексные услуги
Аудит на соответствие стандартам в последнее время является очень популярной темой для обсуждения. На инициацию проведения аудита компанию может подвигнуть ряд причин. Во-первых, наличие сертификата о соответствии тому или иному стандарту зачастую является требованием партнёров, клиентов, законодательства или отраслевого стандарта. Во-вторых, бывают ситуации, когда в результате слияния или поглощения компаний необходимо оценить уровень безопасности информационной системы присоединяемого сегмента. И, в-третьих, например, внутренний аудит системы ИБ обычно проводится с целью выяснения руководством степени соблюдения внутренних нормативных требований по безопасности каким-либо филиалом или подразделением компании.
Существует популярный сегодня британский стандарт по информационной безопасности как BS 7799, о котором много говорят, но мало кто его реально применяет на практике. Всем известно, что он состоит из двух частей, каждые из которых были в своё время переданы в международную организацию по стандартам (ISO) и утверждены в качестве международных стандартов ISO 17799 и ISO 27001 соответственно. При этом до сих пор существует непонимание относительно сертификации на соответствие этим двум стандартам. Сертификация по ISO 17799 — не проводится. Этот документ представляет из себя лишь сборник, так называемых, «best practices» — лучших примеров мирового опыта в области информационной безопасности.
В свою очередь ISO 27001 требует прохождения сертификации на соответствие прописанным в нём требованиям. В данном стандарте как раз определены именно требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования документированной системы управления информационной безопасностью в контексте общего делового риска организации. В нем определены требования для реализации мер по обеспечению безопасности, приспособленные к потребностям отдельных организаций или их подразделений. Также нужно знать, что сертифицировать на соответствие данному стандарту можно и отдельно взятый бизнес-процесс, при условии, что он является жизненно-важным для компании.
В основном данный вид услуг интересен крупным компаниям, для которых важна долговременная стратегия развития системы управления информационной безопасностью, прозрачность, а также повышение степени лояльности и доверия со стороны западных клиентов, партнёров и инвесторов. Процесс подготовки компании к прохождению аудита и сертификации на соответствие ISO 27001 является довольно долгим и сложным и в зависимости от исходного состояния системы информационной безопасности компании может занять от 4 месяцев до года.
Одним из отечественных стандартов, к которому сейчас проявляется интерес со стороны банковских структур является стандарт, разработанный Банком России и который носит название: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Плюсы данного стандарта состоят в том, что он инициирован ЦБ РФ, учитывает специфику банковской системы РФ, постоянно дополняется методиками и примерами. Но есть и минусы, а именно: излишняя сложность методик оценки и внедрения и наличие всего несколько аккредитованных аудиторских компаний, имеющих право на проведение данного вида аудита. Но, не смотря ни на что, банки продолжают интересоваться этим стандартом и изъявляют желание его внедрить.
Анализ рисков сегодня является одной из наиболее актуальных услуг. Это связано с тем, что информационные технологии значительно расширили возможности бизнеса. Но новые возможности всегда сопряжены с новыми рисками, подобно тому, как в финансовой сфере более высокая доходность означает более высокую степень риска. Чем сложнее информационная система, тем выше риск осуществления по отношению к ней различных угроз: например, проникновения в систему извне или несанкционированного доступа изнутри компании с целью финансового мошенничества или хищения коммерческой информации. Когда возможный ущерб от потенциальных угроз достаточно велик, необходимо внедрять адекватные и экономически оправданные меры защиты. Результаты проведенного анализа послужат руководством к формированию экономически обоснованной стратегии обеспечения информационной безопасности, которая будет учитывать не только технологические риски, но и риски организационного характера, связанные с основными бизнес-процессами компании. Также заказчик получает конкретные рекомендации по усовершенствованию существующей системы информационной безопасности, учитывающие как текущее состояние предприятия, так и возможности его дальнейшего развития.
Создание системы защиты информации в корпоративной информационной системе заказчика относится к наиболее сложным комплексным услугам. Основными целями создания подобной системы в компании являются:
-
создание единой политики информационной безопасности;
-
обеспечение защиты внутренних критичных информационных ресурсов при обеспечении доступа к ним внутренних и внешних пользователей;
-
обеспечение качественно нового уровня информационного взаимодействия между удаленными подразделениями (если таковые имеются) и головным офисом компании;
-
повышение надежности и защиты информационных и телекоммуникационных решений в связи с повышением требований к доступности и достоверности информации;
-
реализация комплексного подхода к обеспечению информационной безопасности при взаимодействии внутри корпоративной сети и при доступе к внешним информационным ресурсам.
В данную услугу может ходить различное количество подуслуг, которое должно быть необходимым и достаточным для каждого конкретного проекта и согласовывается весь этот перечень индивидуально с каждым заказчиком.
Подводя итоги можно сказать, что факт осознания многими компаниями того, что систему информационной безопасности следует интегрировать в общую информационную систему организации, является неоспоримым. Реализация же подобной интеграции невозможна без специализированных услуг по ИБ. Следует ещё добавить, что активный рост интереса к реализации подобных проектов со стороны предприятий и учреждений нашей страны, который прослеживается уже сегодня, связан с развитием и укрупнением бизнесов самих компаний, т.к. укрупняются и усложняются их информационные системы, и, соответственно, доля затрат на услуги в общем бюджете на информационную безопасность возрастает.
Свяжитесь с нами, если на Вашем предприятии есть потребность в наших услугах в области информационной безопасности: разработке концепции, политики ИБ; реализации; аудите существующих инструментов обеспечения ИБ.
Что может быть честнее и благороднее, как научить других тому, что сам наилучшим образом знаешь?
Квинтилиан
