Распечатать

Экспресс-Электроника № 11, 2005

Искусство войны, или как построить эффективную СУИБ

1 декабря 2005

Экспресс-Электроника № 11, 2005

Искусство войны, или как построить эффективную СУИБ

«Тот, кто знает врага и знает  себя, не окажется в опасности и в ста сражениях.
Тот, кто не знает врага, но знает себя, имеет равные шансы победить или проиграть.
Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении.»

Сунь Цзы,  «Искусство войны»

Мы, конечно, не случайно выбрали столь яркую аналогию вопросам построения систем защиты – японский трактат «Искусство войны», надо сказать, во многом позволяет составить грамотное представление о современной Системе Управления Информационной Безопасностью (СУИБ). Проблема заключается в том, что, с одной стороны, информационная безопасность относится к числу самых передовых направлений  развития ИТ, а с другой - остаётся самым ресурсоёмким процессом для формулирования политики и вообще для понимания и решения самой проблемы. Ведь чем больше организация, тем сложнее провести комплексный аудит уязвимостей, определить, чем грозит использование того или иного сервиса и, не отказываясь от преимуществ новых технологий просто надежно защитить корпоративную сеть.

Вообще же информационная безопасность – это не просто антивирус, установленный в сети или система удаления шпионских программ. В рамках корпорации информационную безопасность следует понимать как комплекс организационных, программных, технических и физических мер, обеспечивающих достижение целостности, конфиденциальности, доступности и аутентичности. Давайте разберемся, что это значит. Под целостностью подразумевается обеспечение актуальности и непротиворечивости  информации, её защищенности от разрушения и несанкционированного изменения, или, говоря, другими словами, если один из сотрудников сохранил информацию, то он найдет ее там же и в том же виде, если никто другой не имеет права доступа к этим файлам. Конфиденциальность – это защищённость информации от несанкционированного доступа и ознакомления, и система, гарантирующая конфиденциальность должна учитывать тонкие политики безопасности, отражающие не только права на изменение, но также пресекающие возможность копирования и просмотра. Доступность, в свою очередь, характеризует работоспособность системы, то есть возможность получить доступ к хранимой и обрабатываемой в системе информации, в любой момент, когда это требуется. Но и, наконец, последнее свойство, необходимое для систем защиты информации - аутентичность  – это обеспечение подлинности субъектов и объектов доступа к информации, или говоря другими словами, подлинность предоставляемых данных системой, исключение возможности фальсификации, как пользователя, так и самих данных.  

Однако при построении системы защиты компании должны учитывать специфику бизнеса,  а не ориентироваться на достижение всех свойств информационных ресурсов. Например, для банковского сектора ключевой задачей в области информационной безопасности станет обеспечение целостности финансовой информации; для операторов связи – доступности информационных ресурсов, начиная с адекватной пропускной способности каналов, и заканчивая доступностью коммерческих сервисов, для государственных компаний, в свою очередь, конфиденциальность информации. Конечно, это не значит, что банки не заинтересованы в доступности информации или госсектор не имеет необходимости иметь целостные данные, отнюдь. Просто внедрять систему безопасности надо, начиная с критически важных ее аспектов, и тогда, при правильном подходе к построению архитектуры, в конечном счете вы действительно получите надежную СУИБ.

Впрочем, для грамотного построения СУИБ в действительности уже сформированы готовые и отработанные стандарты, например, британский BS 7799, который большинством специалистов признан стандартом «де факто» и часто определяет спецификацию будущей СУИБ. При этом, по сути своей, BS 7799 не является техническим стандартом; он позволяет скорее разработать грамотную методологию внедрения, в рамках которой можно относительно легко классифицировать типы данных, стратегические направления для защиты, конкретизировать ответственность сотрудников, и использовать оценки риска в контексте информационной безопасности предприятия.  Так, методология BS 7799, помогает компаниям определить политику безопасности, которая становится основой для контроля и оценки системы защиты на регулярной основе, а также провести инвентаризацию и классификацию ресурсов и определить аспекты функционирования ИБ, связанные не с компьютерами, а с персоналом.

Познать врага

Сегодня ТОР-менеджмент крупных компаний повсеместно отмечает важность создания СУИБ и инвестирует средства в технологии для минимизации рисков, связанных с потерей или кражей бизнес-информации. В большинстве компаний, особенно если их доход превышает $1 млрд., существует должность директора по информационной безопасности, благодаря которому сотрудники организации осознают важность ответственного отношения к информационной безопасности, претерпев череду увольнений, штрафов и образовательных мероприятий. Однако сегодня до сих пор многие инженеры пренебрегают правилами, необходимыми для соблюдения информационной безопасности, и нередко это происходит из-за халатного отношения к СУИБ коллектива в целом, включая начальствующие чины. Ведь если в компании нет унифицированного алгоритма установки ПО, доступа к файлам и регламентации использования защитных программ, говорить о безопасности информации не приходится. Впрочем, и технологически регламентированные программы не всегда осознают необходимость защищать информацию и от собственных сотрудников, тем более, от тех, кто имеет право доступа к ней.

Познать себя

Ключевым элементом современной СУИБ, реализуемой серьезными интеграторами, является система управления рисками. Она подразумевает аудит информационной системы и определение наименее защищённых ресурсов, потенциальных рисков и способов защиты, благодаря накопленному опыту. При этом эффективность определения рисков зависит от степени информированности интегратора, то есть готовности клиента найти «спрятанный в шкафу скелет» и попытаться перебрать его «по косточкам». Специалисты многих компаний-интеграторов рекомендуют высшему руководству заказчиков никогда не уклоняться от ответственности за контроль процесса анализа рисков и всегда обращать внимание и выделять ресурсы на оценку технологий, процедур и уязвимых мест в информационных системах.  Пожалуй, компаниям не стоит слепо верить в жизнеспособность своей инфраструктуры и уповать на »авось», а больше доверять системному подходу к решению задачи, процедурам и апробированным методологиям, понимая, что эти затраты оправдают себя.

Надлежащая работа с кадрами также является одним из важнейших факторов успеха проекта создания СУИБ. Чёткое определение должностных обязанностей сотрудников, описание их ответственности и роли при использовании корпоративной информации, при соответствующем обучении позволяет в достаточной мере сделать пользователей союзниками внедрения эффективной системы информационной безопасности, а не противниками.

Кроме этого, конечно, нужно сориентироваться в отношении бизнес-целей и задач компании, выделив их как ключевые, потому что внедрение системы информационной безопасности не должно быть стихийным, иначе этот проект станет безумно дорогим и катастрофически бесполезным. Именно защита бизнес-приложений должна быть фокусом для СУИБ, и перед внедрением нужно четко разделить использующиеся в компании приложения, оценить их уязвимости, и начать с защиты критически важных сервисов.

Время принимать решение

В повседневной жизни мы все инстинктивно стремимся к безопасности, мы не закрываем глаза на потенциальные угрозы, а стараемся предупредить неприятные ситуации. Ведь в любой сфере жизни мы предпочитаем строить свою безопасность на основе прогнозов, или, если хотите, опыта, накопленного нашими предками. Вполне понятно, что просто держать оборону по всем фронтам не всегда достаточно, потому что мы можем изначально не замечать каких-либо источников угроз, и тогда «неприкрытый тыл» сводит все наши усилия на нет. Что же, пытаясь избежать подобных промахов, мы обращаемся за экспертными услугами к тем специалистам, которые имеют большой опыт в своей сфере и могут обеспечить безопасность нашего здоровья, жилья, автотранспорта, используя стандартные схемы.  Этот подход следует считать адекватным и при создании СУИБ, только вместо врача, адвоката и мастера, компании следует найти специалиста по информационной безопасности. Следует отметить, что эта роль сегодня может отводиться только квалифицированному мультивендорному системному интегратору, не заинтересованному в навязывании определённой технологии, но обладающему конкретной экспертизой в области создания СУИБ. Или другими словами, необходимо искать интегратора, который будет в состоянии предлагать клиенту практически реализуемые правила управления информационной безопасностью на основе известных стандартов и определённых норм безопасности.

Принято считать, что правильный подход к СУИБ определяется целостностью взгляда на предприятие, ведущего работу в динамически изменяющихся условиях рынка. Развитая и последовательно реализуемая политика организации защиты уже давно стала необходимым условием для сохранения результатов деятельности компании, как с точки зрения сохранения важной информации для дальнейшей работы, так и с позиций хранения коммерческой тайны. При этом неизбежное сегодня упрощение доступа к корпоративной информации, необходимое для эффективного взаимодействия с партнёрами и клиентами, увеличивает опасность возникновения угроз и открывает большее количество уязвимых мест, чем когда бы то ни было. Таким образом, без правильно организованной и эффективно работающей СУИБ для открытой компании, работающей с электронным документооборотом, деловая активность может привести к финансовым потерям и ущербу репутации компании.

Зачастую, оставшись без контроля со стороны руководства в области ИБ, авторизованные пользователи, принимающие решения, предпочтут более быстрый путь реализации поставленных задач, и информационная безопасность компании может пострадать из за «экономии времени». Что же, однажды внедренные системы ИБ, не соответствующие стандартам и не обеспечивающие адекватную защиту, заставляют собственников предприятия впредь отказаться от «бесполезных» инвестиций в технологии, и, что совсем нежелательно, в обучение для собственных сотрудников, которые могут причинить организации больший ущерб, чем вирусы и хакерские атаки.

В реальном мире, возрастание рисков и угроз напротив обязывает компании ужесточить контроль над собственными сотрудниками и партнёрами по бизнесу, но бояться этого не стоит: авторизованные пользователи системы, представляющие собой самый большой фактор риска, при наличии высокой степени информированности и информационной поддержки становятся основным активом в системе защиты, и в будущем задают культуру обращения с информацией, что мы видим сегодня в успешных западных компаниях..

Однако, самая важная роль в организации информационной безопасности отводится руководству компании и собственникам бизнеса. От подхода высшего менеджмента к  организации комплексной системы защиты и правильности выбора стратегии зависит, будет ли предприятие защищено или же сотрудники организации и авторизованные пользователи, работающие с корпоративной информацией смогут как распространять ее, возможно, сами того не ведая.

Заключение

Что же, сегодня существует множество систем защиты информации – это и терминальные решения доступа, и сложные политики безопасности, и специальное ПО, в конечном счете, металлоискатели, не дающие проносить через проходную носители информации. Но нельзя сказать, что какое-то средство лучше другого или может быть признано универсальным. В каждом отдельном случае нужно подходить к построению СУИБ разумно, привлекая специалистов, и не совершать критических ошибок, которые делают систему незащищенной, при этом, мешая пользователям работать. А для этого нужно лишь понять, в чем состоит информационная безопасность для вашей компании, и что вы готовы сделать для ее поддержания.

МНЕНИЕ:

Дмитрий Огородников, директор департамента информационной безопасности компании «Энвижн Груп»

Имеющаяся у нас информация показывает, что  отечественный рынок информационной безопасности находится на подъеме, хотя мы и не имеем точных цифр по объему рынка в силу его специфики. Более того, все данные говорят о безусловном прорыве. Например в текущем году темпы роста рынка информационной безопасности на 7-10\% превышают показатели роста всего ИТ-рынка, как, впрочем, и среднемировые показатели.

При этом интерес к системам безопасности, безусловно, активно растёт и даже становится более предметно-ориентированным. Это объясняется развитием информационных технологий и повышением критичности для бизнеса информационных ресурсов, которые в последнее время, стали важными активами многих компаний. Меняется психология людей и компаний, приходит понимание того, что информация требует повышенного внимания к организации эффективной защиты. Кроме того, появившиеся на рынке комплексные решения, которые позволяют решить большинство вопросов ИБ, облегчают общение с заказчиками, особенно с компаниями среднего бизнеса.

Вообще говоря, системы защиты должны, в первую очередь, учитывать особенности используемых информационных технологий, законодательных требований и требований бизнеса – только в этом случае можно гарантировать, что средства и методы защиты информации будут минимизировать актуальные риски и противодействовать  угрозам информационной безопасности. Кроме того, при разработке системы необходимо учитывать необходимость защиты как от внешних, так и от внутренних угроз, возникающих как в результате действий сотрудников, так и неумышленных нарушений. Существует ущербная практика при построении СУИБ принимать во внимание только один вид угроз, и фокусировать внимание только на нем. Вторая распространенная ошибка связана с тем, что высшее руководство организации, практически, не вовлечено в процесс построения СУИБ.

Юлия Хитькова, руководитель отдела Solution Marketing компании "Энвижн Груп"