Информационная безопасность для предприятий безусловно важна, и с этим вряд ли кто-нибудь будет спорить. Любое предприятие ставит перед собой какие-то свои цели. В последнее время акцент смещается в сторону доступности сервисов, и поэтому приходится решать сразу три задачи безопасности - обеспечивать доступность, целостность и конфиденциальность.
Михаил Романов
Начальник отдела информационной безопасности
и планирования непрерывности бизнеса
компании «ТехноСервA/C»
Корни
непрерывности
Два-три десятка лет назад безопасностью в основном занимались "люди в погонах",
которые обращали основное внимание на конфиденциальность. Сейчас мировое сообщество
стремится к прозрачности. И в России секретность как самоцель либо уходит, либо
смещается в технологическую плоскость.
Но, конечно, конфиденциальность важна. Например, в отношении персональной информации, или информации о клиентах. В этой сфере горизонт работ все еще весьма широк, хотя для сокращения утечек прилагаются значительные усилия. Есть на кого равняться: за рубежом организация может сколь угодно долго рассказывать о своих достоинствах и преимуществах, но как только она разгласит данные о своих клиентах - об их банковских счетах, номерах карточек и так далее, - на ее бизнесе можно ставить крест.
На первый план выходят вопросы доступности. Сейчас одна из самых основных проблем - обеспечение круглосуточной работоспособности предприятия или, иначе, непрерывности бизнеса. Если компания предоставляет какой-то сервис или услугу в режиме 24?7х365, то она, прежде всего, обращает внимание на надежность работы и доступность своих сервисов. А, обеспечивая высокий уровень доступности, необходимо заботиться и о вопросах безопасности, например, возможны атаки со стороны конкурентов.
Доступность всегда была связана с надежностью. Уже давно не секрет, что многие компоненты ИТ-инфраструктуры резервируются. В последнее время ИТ-системы работают в режиме "горячей", то есть, автоматической замены компонентов, вышедших из строя. Благодаря этому достигается отказоустойчивость не только оборудования, но и информационной системы в целом. Это касается и систем информационной безопасности.
И именно поэтому сегодня очень актуален вопрос развертывания резервных центров обработки данных. Пока в этом аспекте российские предприятия не проявляют должной активности, хотя определенный прогресс, конечно, есть. Возможно, к этому их подтолкнул кризис, вызванный отказом электрической сети в Москве в прошлом году - все увидели, насколько затратными могут быть реальные последствия таких блэкаутов. Следующий этап - обеспечить безопасную работу всех этих центров и тем самым добиться непрерывности бизнеса.
Другая причина совершенствования ИТ-систем в общем и систем информационной защиты в частности - перспектива вступления России в ВТО.
Главная проблема безопасности
Существенную роль в утечках информации играет человеческий фактор. Разглашение данных в результате действий инсайдеров - это, наверное, вторая по значимости угроза, волнующая абсолютно всех.
Системы, которые позволяют обнаруживать действия инсайдеров, и создаются и
внедряются. Хотя, реальные преимущества от них оценить сложно: если сотрудник
четко выполняет свою работу, никто не будет пристально наблюдать за ним. Никто
даже не заподозрит его в инсайде. Одно дело, когда люди пользуются персональными
электронными средствами - их можно обнаружить, засечь, и совсем другое, когда
человек во время обеденного перерыва вышел на улицу, с кем-то пошептался и выдал
важную информацию. Это совершенно разные уровни - слежение за безопасностью
в ИТ-системах и слежение за физическими действиями сотрудников...
Очень часто приглашают психологов, которые подбирают определенных людей для
работы с ценными данными; из технических средств существуют детекторы лжи. А
вот будущее систем сбора и анализа инцидентов о потенциально неблагонадежных
сотрудниках представляется очень туманным.
Права доступа против инсайдеров
С точки зрения информационной безопасности источники утечек могут быть заблокированы при помощи разграничения прав доступа. Разделив права доступа к определенной информации, можно точно определить, через кого информация может уйти. С каждым сотрудником, естественно, подписывается соответствующее соглашение, в котором сказано, что он имеет право разглашать, а что нет. Этот договор в определенной степени является сдерживающим психологическим фактором. Конечно, используются и технические средства, позволяющие обнаружить аномальную активность внутри сети, фиксировать телефонные переговоры и т.д. Это традиционные, проверенные решения.
Сегодня востребованы системы, обеспечивающие контекстный анализ данных. Хотя такие технологии пока еще далеко не совершенны, они позволяют ловить за руку инсайдеров - именно таким образом были пойманы злоумышленники в ряде банковских организаций. Но подобные средства эффективны, если сотрудник не знает, как их обойти, в то время как каждый день придумываются все новые и новые способы их обмана - это естественный процесс.
Второе рождение переживают системы управления правами доступа и аутентификации. Идет консолидация, централизация бизнеса, как следствие - локальные информационные системы интегрируются между собой. В каждой системе, как правило, свои пароли и средства управления доступом - все это хозяйство довольно сложно администрировать. Средства управления пользователями и их правами не только упрощают доступ к информационным системам, но и помогают противодействовать инсайдерам. Например, если в системе кто-то работает под именем сотрудника, ушедшего в отпуск, то подобные средства автоматически обнаруживают и блокируют несанкционированный доступ под его правами.
Эра аутсорсинга
В связи с крепнущей тенденцией к ИТ-аутсорсингу, появляются и внешние системы реагирования на инциденты безопасности. Как они используются? Допустим, предприятие приобрело множество различных средств защиты. Каждая система формирует огромное количество статистической информации. Администраторы же, как правило, не успевают справляться с таким объемом данных - иногда они смотрят что-то, а иногда и нет. А когда происходит какое-то "вредоносное" событие, работа информационной системы фактически парализована. И только тогда все понимают: что-то произошло, надо реагировать. А время уже потеряно.
Именно для этого и предназначены аутсорсеры, оперативно реагирующие на инциденты в штатном режиме, имеющие специалистов, технические средства. Услуги, связанные с внешним обеспечением информационной безопасности, только-только начинают появляться на рынке и, по всей видимости, со временем станут стандартом - у организаций появляются и деньги, и понимание необходимости поддержки непрерывности бизнеса
При этом должна учитываться воля руководства. Руководитель не будет углубляться в дебри безопасности - он говорит просто: "Я не хочу, чтобы ко мне приходил администратор и полдня ковырялся в компьютере, поскольку из-за этого у меня нет доступа к биржевой системе", или: "Я хочу, чтобы почта ко мне всегда приходила вовремя, и не было никаких лишних сообщений". Держать высококлассного специалиста для рутинных операций все равно не получится. А вот аутсорсинг именно в этой части очень и очень оправдан.
Чем больше безопасности, тем лучше?
Компаний с неограниченными ресурсами и ИТ-бюджетами не бывает, а комплексная
безопасность требует значительных инвестиций. Практикуется такой подход: директор
ставит задачу и хочет всё получить бесплатно. В результате, с информационной
безопасностью получается примерно так: человек построил дом, затратив какое-то
время на фундамент, стены, а потом пришел мастер и сказал, что вот эта стена
сейчас упадет, с размаху ударил по ней, и она обвалилась. А хозяин дома даже
не додумался бы ударить. На Западе от этого давно отошли, поскольку поняли,
что чудес в области технологий безопасности не бывает. Безопасность - это нечто
неосязаемое, как воздух: когда становится трудно дышать, понимаешь, что его
не хватает. То есть любая система работает хорошо, если она загружена на 30%:
всё идёт себе неторопливо, все замечательно себя чувствуют. Но когда она загружена
по максимуму, когда всё напряжено и вдруг что-то случается, то оказывается,
что на какие-то вещи надо было затратить в несколько раз больше.
Многие задачи, скажем, предотвращение вторжений, могут решаться различными способами.
Например, с помощью аудита. Он может служить критерием оценки качества системы.
Причем весьма эффективным. Профессиональный аудит сразу покажет отсутствие политики
и стратегии, в которых определены цели безопасности. А при неясных целях будут
и неясные системы защиты. Как только сформируются требования и определятся приоритеты,
начнёт выстраиваться какая-то система защиты; плохая она или хорошая - это уже
покажет следующий аудит. Его роль будет сводиться еще и к тому, чтобы определить,
соответствует ли система безопасности предприятия требованиям российских и международных
стандартов.
Ситуация со стандартами
Наши российские стандарты необходимы при работе на государственном рынке, например
для формирования и размещения госзаказа. Западные стандарты тут могут лишь дополнять
их. Однако российская законодательная база пока отстает. Тот же ГОСТ 15408,
действующий с 2004 года, - это ISO 15408, который принят на Западе. Сейчас мы
пошли по пути совмещения российских и иностранных стандартов, а после вступления
в ВТО коммерческие организации будут соответствовать западным требованиям. При
этом государственный сектор в сфере информационной безопасности останется обособленным,
и никаких подвижек здесь не будет.
Стандартов много: американские, европейские, российские. И каждая организация
для себя выбирает что-то свое. Если она работает на американском и европейском
рынках, то просто обязана придерживаться всех стандартов. Если выходит на IPO
- обязана придерживаться международного стандарта ISO 17799.
Тем не менее, строить и реализовывать политику безопасности, руководствуясь только стандартами, надо с большой осторожностью. Есть практики, и есть методики. Так, банки опираются на специализированный стандарт СТО БР, предложенный Центральным банком РФ и очень сильно напоминающий ISO 17799: в нем говорится, что должно быть сделано, но не говорится, как. Вопрос "как" должен сообразовываться с практиками и методиками конкретного предприятия.
В основе политики безопасности должна лежать определенная методология, к примеру, CobiT (Control Objectives for Information and Related Technology), которая наполняется специфичной для предприятия конкретикой. Многие организации, например SAC, отдают свои методики в открытый доступ, и среди них можно выбрать что-то наиболее подходящее для определенной организации.
Вместо послесловия
В нынешнем году изменился закон о конфиденциальности информации. И он еще повлияет на общую ситуацию с информационной безопасностью, хотя на самом деле нужно еще работать и работать в этом направлении. Ведь базы данных по-прежнему продаются на черных рынках, и законов, которые все это запрещали бы, пока нет.
Начались подвижки в области защиты персональных данных. Если человек состоит на обслуживании в медицинском центре, совершенно понятно, что он не особенно хочет, чтобы эта информация становилась общедоступной. Это его право, в конце концов, его личная жизнь…
Государство понимает, что персональные данные граждан необходимо защищать,
и уже есть законодательные инициативы. Так что, работы у всех прибавится: и
у силовых ведомств, и частных служб безопасности, и у соответствующих ИТ-подразделений.
И, тем не менее, технических средств, обеспечивающих стопроцентную защиту, мы
пока не видели. Да ее и не существует, пожалуй. Ведь всегда есть человеческий
фактор...
