Информационная безопасность, защита сетевого трафика, доверительный доступ в Интернет — чтобы разобраться со всеми терминами и определениями в сфере защиты информации, потребуется не один день. Кроме того, список технологий, продуктов и компаний-производителей постоянно растет (а параллельно растет и совершенствуется внутренняя инфраструктура организаций). При этом реализация стратегии безопасности должна охватывать проблему всесторонне: начиная с учета бурно развивающихся Интернет-технологий и заканчивая анализом реальных потребностей предприятий. Закупить оборудование для построения системы безопасности относительно просто. Но сделать эту систему эффективной очень трудно без полноценного аудита информационных систем, позволяющего определить, что и как защищать. Проведение такого аудита — гораздо более сложная задача.
В настоящий момент проблемы управления защищенной средой встают перед руководителями ИТ-структур очень остро, особенно если ранее на предприятии или в организации не осуществлялось планирование, проектирование и целенаправленное развитие комплекса безопасности. Практически у всех предприятий и организаций в составе информационных структур имеются те или иные компоненты системы безопасности: межсетевые экраны, антивирусное ПО, виртуальные частные сети и т. д. Но раздробленная, "лоскутная" система безопасности способна обеспечивать защиту только отдельно взятых структурных единиц, причем совершенно не гарантируя совместную работу с другими подразделениями. А если еще учесть необходимость взаимодействия с филиалами, региональными представительствами, поставщиками и т. п.?
Эффективное управление системой безопасности определяет не только общее состояние информационной среды, но и ее надежность и практичность. Оптимальное решение для безопасности информации должно как можно меньше ограничивать функциональность всей системы и в то же время обеспечивать максимальную, комплексную защиту.
Создание единой и надежной системы информационной безопасности не исчерпывается решением проблем совместимости, масштабируемости и настройки оборудования. Существует множество организационных вопросов, которым необходимо уделять особое внимание. Всем знакомы проблемы нехватки средств, недостаточной квалификации персонала, непонимания со стороны руководства, а от решения этих проблем зависит будущее всего ИТ-комплекса и его безопасности.
В настоящее время корпоративные сети предоставляют своим пользователям многочисленные услуги: передача голосовых и видеоданных, всевозможные IP-сервисы, разграничение уровней доступа и т. п. Каждая новая услуга или технология увеличивает возможности экономического роста, но при этом соответственно возрастает и риск несанкционированного использования информации.
Бытует мнение, что главная причина нарушений в сфере защиты информации — это хакеры, проникающие во внутренние корпоративные сети из Интернета. Но, по официальной статистике, объем финансовых потерь от преступлений, совершенных злоумышленниками через общедоступные публичные сети, не превышает 4% от общего объема потерь, вызванных нарушениями в сфере ИТ. При создании системы безопасности основное внимание необходимо уделять нештатным ситуациям, которые могут произойти по вине внутренних пользователей. Зачастую подобные сбои становятся следствием неумышленных ошибок персонала в результате небрежности, халатности или некомпетентности, хотя многие нарушения совершаются сотрудниками, которыми движут корыстные побуждения, обида или недовольство и которые сознательно стремятся нанести вред.
Таким образом, для уменьшения рисков, связанных с несанкционированным изменением, раскрытием и утерей информации, необходимо четко определить все возможные угрозы и вероятности их возникновения, а также выделить объекты защиты и описать последствия атак (нарушений). В итоге можно создать таблицу, отражающую систему приоритетов при защите информации. Это уменьшит опасность проглядеть что-либо в создаваемой системе и позволит выработать эффективный механизм, регулирующий работу сотрудников и обеспечивающий безопасность информации как с технической, так и с организационной стороны.
Аудит — процесс комплексный
Говоря об информационной безопасности, под аудитом очень часто понимают использование сканеров безопасности, средств обнаружения атак и т. п. Мне бы хотелось шире взглянуть на проблемы аудита в корпоративных сетях, а также рассмотреть составляющие этого процесса, его характерные черты и особенности.
Аудит, в отличие от разработки новой системы, предполагает наличие уже работающей системы безопасности, которую требуется улучшить в соответствии с текущими нуждами организации. Результат аудита — адаптация, приближение системы к нуждам пользователей и организации в целом. Следует учесть, что при разработке новых ИС зачастую предлагается комплексное решение от одного производителя, позволяющее решить текущие проблемы защиты информации, хотя в будущем это затрудняет внедрение перспективных продуктов, обеспечивающих безопасность, от других компаний. В то же время аудит позволяет интегрировать существующий комплекс программно-аппаратных средств в новое комплексное решение. Таким образом, при создании совершенно новых информационных структур целесообразно разрабатывать проекты безопасности «с нуля», но в реальной жизни мы гораздо чаще сталкиваемся с необходимостью совершенствования уже существующей системы безопасности, т. е. нуждаемся в проведении аудита.
Процесс аудита состоит из двух основных стадий: на первой осуществляется планирование и оценка соответствия системы предъявляемым требованиям и стандартам, во второй — формулируются рекомендации и предложения, в том числе по поводу мер для повышения безопасности информации в рамках конкретной ИС. Рассматривая более подробно стадии аудита, можно выделить следующие этапы.
- Планирование. На этом этапе устанавливаются цели, проводится анализ задач, определяются критерии оценки результатов проверки, а также происходит первоначальный сбор данных.
- Анализ. Он включает проверку, отбор, сортировку и анализ данных, полученных на первом этапе, для последующего представления результатов в формализованном виде. Проводится также определение и ранжирование (классификация) проблем, выявленных в ходе исследования.
- Разработка. Этап включает использование ряда методик, позволяющих определить пути решения выявленных проблем, оптимизировать данные решения и выдать практические рекомендации по совершенствованию системы информационной безопасности.
- Контроль. На данном этапе осуществляется оперативное управление изменениями, с внесением необходимых корректировок. Кроме того, определяются задачи и сроки проведения следующего аудита с целью поддержания требуемого уровня безопасности.
Следует заметить, что точность результатов аудита и эффективность предлагаемых мероприятий напрямую зависят от полноты и периодичности проводимого анализа. Очень важно, чтобы аудит носил комплексный характер: информационная безопасность должна быть обеспечена не только на техническом уровне, но и на административном. Соответственно, анализ текущего состояния и последующая выработка рекомендаций должны учитывать следующие аспекты:
- особенности организационной структуры и деятельности организации;
- особенности действующей политики безопасности;
- соответствие системы стандартам, законам и другим нормативным актам;
- требования, предъявляемые к системе безопасности;
- возможные нештатные ситуации;
- возможные риски.
Периодичность аудита
Для проведения аудита следует привлекать высококвалифицированных специалистов, разбирающихся как в вопросах применения информационных технологий и обеспечения безопасности, так и в проблемах управления производственными процессами, человеческими ресурсами и т. п. В зависимости от интенсивности развития организации и ее информационной системы частота проведения аудита может меняться, доходя до нескольких раз в год. Периодичность при этом обусловливается многими факторами, но все они в конечном счете сводятся к степени критичности хранимой информации и рискам, связанным с несанкционированным доступом к ней. Естественно, что важную роль в принятии решений о проведении аудита играет вопрос финансирования. Затраты на аудит системы безопасности не могут превосходить стоимость охраняемых информационных ресурсов.
Оптимальная схема проведения аудита должна предусматривать цикличность и обеспечивать необходимый уровень безопасности информации. Эффект от различных мероприятий, входящих в проверку ИС, может достигать максимума через разные промежутки времени, в зависимости от инертности совершенствуемого объекта. Соответственно чем выше мобильность и простота управления объектом при динамичном изменении информационной структуры, тем чаще требуется возобновлять данные аудита.
Итак, процесс комплексного исследования информационной системы должен стать неотъемлемой частью последовательной политики в области информационной безопасности на предприятиях и в организациях. Компании, являющиеся лидерами в разных отраслях на мировом рынке, уже осознали необходимость проведения аудита. По прогнозам аналитиков, в следующем году интерес зарубежных компаний к данной услуге возрастет более чем в 3 раза по сравнению с 1998 годом. Это говорит о том, что мировой рынок консалтинговых услуг в сфере защиты информации будет интенсивно развиваться. В России спрос на услуги аудита пока невелик, но и здесь крупные предприятия и учреждения уже достигли того уровня, когда управление информационной средой становится одной из стратегически важных задач. Это значит, что вопросы аудита систем информационной безопасности также не останутся без внимания, а это, в свою очередь, вскоре обеспечит российским системным интеграторам поле деятельности.