2004 г.
Политический момент
Лидия Сирота, СЕТИ и Телекоммуникации
Понимание реальных возможностей информационных угроз должно проявляться во внедрении специализированных норм в повседневную деятельность.
Сегодня обмен информацией становится едва ли не самой активной деятельностью в мире. По мнению экспертов, через каких-нибудь десять лет на обработку информации будет уходить до половины суммарного расходуемого в мире рабочего времени. Например, интернет уже является привычной информационной инфраструктурой для финансовых транзакций или удаленного управления. Широкое использование возможностей всемирной сети делает особо ощутимой проблему информационной безопасности. Возможно, это обстоятельство породило распространенное мнение о том, что нарушение безопасности в основном связано с работой в интернете, а основной угрозой являются атаки хакеров.
Технологии - это не все
Итак, проблема информационной безопасности у многих отождествляется с телекоммуникационными системами, а ее решение сводится к внедрению соответствующих технических средств. В этом контексте показательным является пример Великобритании, поскольку британский национальный стандарт BS 7799 по организации информационной безопасности был взят за основу при разработке международного стандарта ISO/IEC 17799. Возможно, причиной столь серьезного отношения к данной проблеме стало то, что Великобритания по численности компьютерных атак, предпринятых против организаций из конкретной страны, занимает третье место в мире (лидируют в рейтинге предпочтений злоумышленников, конечно же, США).
Министерство торговли и промышленности Великобритании совместно с Pricewaterhouse-Coopers периодически готовит и публикует обзоры, касающиеся состояния информационной безопасности в стране. По данным недавнего обзора International Security Breaches Survey 2004, за последние два года более 74%британских организаций пострадали от нарушения безопасности. В обзоре 2002 года их число составляло немногим более 60%, а рост объясняется увеличением числа угроз.
Вместе с тем только 30%от общей численности рассмотренных британских организаций имеют надлежащим образом разработанную и действенную политику информационной безопасности. В обзоре 2002 года таких организаций насчитывалось около 27%.
У 56%организаций отсутствуют задокументированные процедуры защиты данных. По сравнению с ситуацией двухгодичной давности этот показатель вырос всего на 4%. И это все несмотря на то, что потери, которые наносит наиболее ощутимый инцидент, связанный с нарушением безопасности, в среднем по стране составляют не менее 7 тыс. фунтов стерлингов ($12, 6 тыс. )на организацию, включая компании с численностью до 49 человек. На преодоление последствий расходуется от двух до четырех человеко-дней. Данные анализа для крупных предприятий (свыше 250 сотрудников) свидетельствуют о том, что в случае наиболее ощутимого инцидента усредненный показатель минимального уровня потерь доходит уже до 65 тыс. фунтов. Средние трудозатраты на преодоление последствий инцидентов в таких компаниях составляют от десяти до двадцати человеко-дней. Но и у 35%крупных компаний в Великобритании нет действенной политики безопасности, а у 20%как следует не задокументированы процедуры по защите данных.
Такая ситуация является характерной для любой страны. Предприятия всего мира тратятогромные средства на внедрение самых современных технологий защиты информации, но приэтом остается без внимания необходимость информирования служащих о культуре безопасности внутри предприятия. Ведь даже самые передовые технические средства не смогут обеспечить полноценную защиту, если не определены правила и процедуры по обеспечению безопасности, а сами пользователи или не знают, или попросту не соблюдают корпоративных норм и обязанностей, относящихся к сфере безопасности.
Единственная возможность надолго обезопасить свое предприятие – внедрить систему управления информационной безопасностью.
Эта система представляет собой постоянно совершенствующийся набор правил и процедур, направленных на поддержание безопасности организации. Система управления информационной безопасностью предусматривает тренинги персонала, процесс выбора и внедрения специальных комплексов контроля, периодические проверки их эффективности, а также модернизацию этих комплексов.
Отправной момент
Универсального шаблона для системы управления информационной безопасностью не существует, ведь у банка и у коммерческого предприятия, например, требования к такой системе будут различными.
Для того чтобы система была эффективной, руководство организации обязано проводить политику информационной безопасности и разъяснять сотрудникам, что обеспечение безопасности является обязанностью всего коллектива. Разработка и внедрение мероприятий без определения единой политики информационной безопасности приведет к тому, что все попытки улучшений в данной сфере будут носить фрагментарный характер.
От того, насколько продумана и правильно разработана политика информационной безопасности, насколько четко определены полномочия и ответственность разных категорий сотрудников, зависит эффективность функционирования всей системы, включая технические средства защиты. Кроме того, политика является базисом для разработки мероприятий по обеспечению безопасности и проведения аудита безопасности.
Таким образом, политика безопасности должна основываться на решении трех ключевых задач: обеспечении доступности, достоверности и конфиденциальности информации.
Сферы ответственности
Разработка и реализация политики безопасности происходит в несколько этапов. Сущность первого этапа заключается в определении сфер ответственности. Так, разработкой политики должно заниматься руководство организации, а непосредственное обеспечение информационной безопасности должны осуществлять конкретные лица. Это могут быть как сотрудники организации, так и сторонние консультанты профессионалы. В их функции может входить определение процедур контроля и поддержания безопасности, оценка эффективности внедренных средств безопасности, расследование инцидентов и др.
Интересно, что практика аутсорсинга процедур по обеспечению информационной безопасности предприятия не является чем-то из ряда вон выходящим. По данным обзора Information Security Breaches Survey 2004, к подобной практике прибегают свыше 40%британских организаций.
Не следует забывать, что в ряде случаев, например, при использовании услуг вэб-хостинга или коллокации, проблемы безопасности тесно связаны с деятельностью поставщиков подобных сервисов. Также благодаря аутсорсингу практически для любого предприятия становятся доступными услуги специалистов самой высокой квалификации, содержать которых в штате компании является экономически нецелесообразным или попросту невозможным.
Сторонние специалисты могут привлекаться и при составлении методологии и политики, нов этом случае существенно возрастают риски (что, впрочем, характерно для аутсорсинга в сфере безопасности). Ведь в данном случае и профессионализм разработчика политики безопасности, и его репутация должны быть неопровержимыми.
Инвентаризация информации
Целью следующего этапа является определение проблемных участков в информационном пространстве организации.
Для начала важно определить ценность информации, которой владеет компания. Все информационное "имущество" разделяется на категории – бумажные или электронные документы, , оборудование, услуги (телефония, интернет, хостинг и т. п. ), фирменный стиль компании. Оцениваются и такие моменты, как репутация компании и особенности работы сотрудников.
На основе полученных оценок определяются информационные составляющие, которые нуждаются в защите: компьютеры, периферия, средства хранения данных, системные программы, программы для компьютерных приложений, документация, оборудование систем связи, системы электропитания, водоснабжения, отопления и вентиляции.
Кроме того, рассматриваются особенности защиты определенных носителей информации, включая бумажные документы, дисковое пространство ПК, ноутбуки и КПК, магнитные носители (дискеты или ленты), сетевые подключения. Также учитываются такие каналы распространения информации, как телефонные разговоры, факсимильные сообщения, электронная почта и т. п.
Все эти действия выполняются по подразделениям, причем оценивается уровень значимости для каждого из перечисленных пунктов применительно к функционированию компании в целом.
К примеру, ценность информации, которая содержится в ноутбуке менеджера по продажам, определяется не только стоимостью замены ноутбука, но и затратами на восстановление потерянных данных и возмещения ущерба, нанесенного тем, кто в корыстных целях использует информацию из утерянного или похищенного ноутбука.
Оценка ценности, как, впрочем, и других критериев, производится на основе цифровой, преимущественно пятибалльной, шкалы. За счет этого упрощается сопоставление значений, особенно на последнем этапе, когда определяются мероприятия по обеспечению безопасности.
Определение угроз
Следующий шаг – перечисление угроз, которым может подвергаться информационная среда (См. рисунок 1). Источники угроз могут быть внешними и внутренними.
К внешним источникам относятся стихийные бедствия (извержение вулкана, наводнение, землетрясение)или же целенаправленные и, как правило, вредоносные действия посторонних людей.
Не следует исключать из черного списка третью сторону, то есть лиц, которые относятся к внешней среде, но имеют доступ к ресурсам внутри организации. Это партнеры (торговые агенты, партнеры по контракту), представители служб доставки, служб поддержки (ремонтные бригады, уборщики, охрана), поставщики услуг (телекоммуникационные услуги, системные интеграторы).
Особую категорию источников угроз составляют конкуренты. Известно, что в условиях особо жесткой конкуренции наблюдение за развитием бизнеса у соперника, сбор различной информации о нем является обычным делом. однако, как показывает статистика, куда более серьезным с точки зрения последствий является наличие нарушений и нарушителей внутри самой организации. Внутренние источники, угрожающие информационной безопасности, в 70% случаев являются причиной возникновения инцидентов (выход из строя оборудования при несоблюдении требований к эксплуатации, неверные управленческие решения из за ввода информации в базу данных, несоблюдение требований пожарной или электробезопасности). А следствием этих инцидентов становится серьезный материальный ущерб.
Поиск слабых мест
Важный этап процесса разработки политики информационной безопасности – определение степени уязвимости информации. Что нужно сделать, чтобы максимально обезопасить носителей информации?
Уязвимость определяется ситуацией, при которой угроза может нанести вред. Например, вирусные атаки, относящиеся к числу наиболее популярных причин нарушения компьютерной безопасности.
Как показывает практика, игнорирование необходимости обновления антивирусных программ или их несвоевременное обновление представляет собой серьезную угрозу, а ведь ежедневное обновление таких программ не требует ни больших усилий, ни привлечения специалиста высокой квалификации.
Заключительный этап
По результатам анализа ценности информационного имущества ИТ специалисты определяют масштабы мероприятий по обеспечению информационной безопасности (См. рисунок 2). Как правило, оказывается, что организации требуется больший уровень защищенности по сравнению с тем, какой уже есть.
Ключевым моментом в проекте внедрения мероприятий по обеспечению информационной безопасности является принятие соответствующих документов.
Прежде всего, это документирование политики информационной безопасности. Одноименный документ является основным и отражает полномочия в сфере обеспечения безопасности, а также особенности проведения мероприятий и выделения бюджета на эти цели. С таким документом должен быть ознакомлен весь персонал.
Традиционно документ состоит из нескольких разделов: "Цель", "Определения", "Действия" и "Полномочия". Раздел "Цель" акцентирует важность нормальной циркуляции информационных потоков для функционирования организации и, соответственно, необходимость их надлежащей защиты.
Раздел "Определения" объясняет задания системы управления безопасностью. В разделе "Действия" обычно определяются масштабы реализуемых мероприятий, а также принципы оценки и управления риском, план действий в случае возникновения нарушения безопасности и особенности документирования инцидентов. Сюда же входит описание информационного обеспечения безопасности, включая требования по проведению специализированных тренингов для всех категорий персонала.
"Полномочия"
Кроме основного, может готовиться и ряд дополнительных документов, как, например, политика пользования основными ИТ услугами, политика доступа к административным данным, политика пользования интернетом, политика удаленного доступа к ресурсам компании, политика защиты прав собственности, политика ввода в эксплуатацию оборудования и программного обеспечения.
Это могут быть и весьма специфические документы, такие как политика подключения к телекоммуникационным магистралям и использования межсетевых экранов, политика использования криптографии, политика использования беспроводных средств связи и др.
Политика и практика
Политика определяет отношение организации к вопросам безопасности, вовлечение всехее служащих в создание благоприятной среды для безопасной работы. Однако наличие документов и внедрение необходимых технических средств еще не являются залогом защищенности компании.
Поэтому организация всегда должна быть готова быстро и адекватно среагировать на инцидент и вернуть информационную систему в нормальное состояние за допустимый период времени. Для этого создаются и постоянно совершенствуются соответствующие планы действий.
Вместе с тем политика безопасности не должна быть чем то незыблемым, а должна меняться в соответствии с внешними изменениями. Согласно рекомендациям аналитиков, политику следует менять не реже, чем каждые четыре года. За это время она успевает полностью устареть. На практике же многие организации, внедрившие особо жесткий контроль безопасности, каждые 6 –12 месяцев пересматривают теоретические и практические аспекты политики.
Факторы риска
В компании должно быть сформировано четкое представление о необходимости действенных мер по обеспечению информационной безопасности, на основе чего надлежащим образом утверждается и документируется политика. Эффективная реализация этой политики требует проведения периодического обучения и распространения образовательной информации, роль которых сложно переоценить. Необходимо всегда помнить, что люди – это одно из самых слабых звеньев в системе, что подтверждают результаты международного опроса по информационной безопасности, проводившегося компанией Ernst&Young в 2003 году.
Так, в перечне основных угроз информационной безопасности, не связанных с техникой, второе место занимают нарушения со стороны сотрудников, а уровень воздействия таких нарушений на функционирование системы безопасности по пятибалльной шкале получил оценку 2,8 как у респондентов из дальнего зарубежья, так и у опрашиваемых из стран постсоветского пространства.
В качестве причин, которые привели к нарушению безопасности и значительным (более двух часов) простоям информационных систем, допускаемые сотрудниками ошибки упоминаются для СНГ в 9%случаев, а для дальнего зарубежья – в 4%, а операционные ошибки персонала (как, например, некорректное использование программного обеспечения) – в 14% и 15% соответственно.
Риски безопасности со стороны работающего персонала заметно увеличились из-за частого обновления сотрудников и совмещения функций и ролей работающих специалистов. С целью повышения квалификации персонала периодически проводятся тренинги и учебные семинары. Согласно тому же опросу, менее 40%респондентов из СНГ сообщили о регулярном проведении тренингов. Еще меньше (20%)постоянно проводят семинары и инструктажи по информационной безопасности.
В целях безопасности информации очень важно поддерживать доброе соседство с другими организациями, которые выступают партнерами и контрагентами. Как уже отмечалось, организация не может функционировать изолированно от других. Так или иначе, к определенным информационным ресурсам осуществляется доступ извне. А это – риск для безопасности организации, , минимизировать который можно благодаря контрактам о взаимном неразглашении конфиденциальной информации (кстати, подобные соглашения заключаются и при приеме на работу).
Специалисты Ernst&Young указывают на то, что во многих компаниях непропорционально высокий объем вложений осуществляется в технические средства, в то время как особого внимания заслуживают сами процессы обеспечения безопасности и человеческий фактор, который, как уже подчеркивалось, является одной из наиболее важных составляющих в этих процессах. Для уменьшения риска в результате ошибки сотрудника, недостаточной информированности персонала по вопросам безопасности или в случае преднамеренной атаки, в организации должны учитываться некоторые моменты. Это в первую очередь наличие официальных процедур проведения таких операций, как установка новых программных приложений и планирование системной нагрузки. В результате сводится к минимуму влияние операционных ошибок и перегрузки систем.
В свою очередь, проведение регулярных семинаров по вопросам безопасности и наличие программы обучения снижают риск того, что сотрудники сыгнорируют преимущества технических средств (например, из-за небрежного обращения с паролями или открытия зараженного файла). А жесткие процедуры и правила по использованию паролей и получению прав доступа уменьшают угрозу внутренней атаки (например, со стороны недовольного сотрудника) или со стороны деловых партнеров, имеющих санкционированный доступ.
И еще одна проблема заслуживает пристального внимания. На протяжении десяти лет наблюдается тенденция расхождения, причем увеличивающегося расхождения, объемов финансирования безопасности и сферы IT в целом. В той же Великобритании, по данным Конфедерации британской промышленности (CBI), только 27% организаций инвестируют в безопасность предприятия более 1%своего IT бюджета, а 30% проводят оценку возврата инвестиций (ROI)для данной сферы.
В целом, стратегия информационной безопасности и практика ее финансирования должны быть продиктованы требованиями бизнеса, ведь зачастую принимаемые меры являются откликом на случившийся инцидент. Причем для решения проблемы выбираются временные и фрагментарные решения. Специалисты Ernst&Young подчеркивают необходимость осуществления взвешенного, продуманного и комплексного подхода к обеспечению информационной безопасности в масштабах всей организации, что в конечном итоге гарантирует сохранность немалых средств.
Уровни контроля
Для внедрения максимально эффективных и оптимальных по затратам средств управления безопасностью, направленных на минимизацию рисков, необходимо учитывать действие внешних факторов, таких как географическое расположение организации, социально экономический климат региона, политическая ситуация, уровень развития той сферы деятельности, в которой функционирует организация, конкурентная среда.
Их влияние должно отображаться на работе системы управления безопасностью на предприятии при организации контроля безопасности, необходимого для любой категории информации.
Контроль безопасности внедряется на нескольких уровнях. Прежде всего, это безопасность компьютерных систем, включая оборудование, периферийные устройства, программное обеспечение. Сюда же входит и защита данных.
Безопасность рабочего пространства должна быть гарантирована в офисе, помещении, которое занимает персонал и в котором установлено оборудование, при контроле окружающей среды, на оборудовании сети электропередачи. Безопасность действий сотрудников предполагает наличие руководств для ИТ-специалистов, менеджеров, пользователей. Безопасность средств коммуникаций определяет особенности работы персонала с оборудованием связи и каналами передачи информации.
Для каждого уровня определяются цели внедрения средств защиты, принцип или способ контроля. К примеру, безопасность персонала имеет две цели – уменьшить риск ошибки человека, кражи и неправильного использования оборудования, а также гарантировать, что пользователи осознают угрозы и проблемы информационной безопасности, а также что они в достаточной степени вооружены знаниями для поддержания безопасности. Средствами защиты в данном случае можно назвать введение контроля безопасности оборудования или ПК в обязанности специалиста, ознакомление и подписание документов о неразглашении конфиденциальной информации, строгое определение условий приема на работу.
🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях
Виртуальные VPS серверы в РФ и ЕС
