Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Способы защиты информации (А. Овчинникова, "Финансовая газета. Региональный выпуск", N 37, сентябрь 2006 г.)
-
Способы защиты информации (А. Овчинникова, "Финансовая газета. Региональный выпуск", N 37, сентябрь 2006 г.)
-
С чего должна начинаться защита информация
-
Стандартный подход к защите информации
-
Консалтинг
Способы защиты информации
Сегодня термин "информационная безопасность" не только встречается на страницах узкоспециализированных СМИ или обсуждается на посвященных данной проблеме конференциях, но и его можно увидеть в бизнес-журналах. К сожалению, все чаще об информационной безопасности стали говорить в связи с происходящими инцидентами и понесенным от них ущербом.
Проблемы защиты информации, защиты от вирусов, хакерских атак, утечек информации стали неотъемлемой частью современной жизни. Каждый день появляется информация о новых инцидентах, об огромных материальных ущербах, которые понесла очередная "компания-жертва".
Такая единица, как специалист по информационной безопасности, давно уже перестала встречаться только в крупных отечественных или западных компаниях. Руководители все чаще стали организовывать в своих компаниях отделы, призванные заботиться об их информационной безопасности. По приведенным данным различных информационных агентств, в 2005 г. проблемой информационной безопасности были озабочены более 45% компаний во всем мире.
Характер угроз корпоративным информационным системам тоже меняется. Если не так давно защищаться приходилось от всемогущих хакеров, то в последнее время вину за происходящее стали возлагать на так называемых инсайдеров, т.е. на непосредственных сотрудников компаний. При этом зачастую нас убеждают, что их основная задача украсть или вынести за пределы компании какие-то важные сведения.
Справедливости ради хотелось бы заметить, что отчасти это действительно так. Но часто утечки информации происходят совсем не по злому умыслу, а просто по ошибке, по незнанию или по неумению обращаться с компьютером. Понимая данную проблему, не так давно одна из инициативных групп при Госдуме Российской Федерации выступила с предложением создать закон об обязательной сертификации поступающих на работу людей на знание компьютера, не без оснований полагая, что эта мера позволит сократить количество утечек информации из российских компаний и нанесенный урон.
С чего должна начинаться защита информация
В статьях, посвященных проблемам информационной безопасности, как правило, рассказывается о существующих угрозах, возможных ущербах, способах им противостоять и практически не подымается вопрос, касающийся обследования компании с точки зрения действительно ее уязвимых мест. Однако, прежде чем что-то защищать, необходимо ответить на вопрос: нужны и обоснованны ли те или иные меры. К сожалению, этот аспект незаслуженно опускается не только авторами статей, но и специалистами, призванными заботиться об информационной безопасности компании. На практике же, например, зачастую встречаются ситуации, когда даже месячный простой из-за восстановления офиса после пожара обойдется компании дешевле, чем создание катастрофоустойчивого офиса, в который бы она могла переехать на следующий день после несчастья.
Достоверные сведения о безопасности информационных систем, а также оптимизацию затрат на построение систем защиты обеспечивает оценка состояния защищенности компании. Существуют методики, с помощью которых на основании международных стандартов безопасности можно выявить существующие риски и провести их качественный и количественный анализ. Такой анализ позволяет:
определить действительно критичные места, но не с точки зрения информационной системы, а с точки зрения бизнес-процессов компании;
избежать дополнительных расходов, связанных с принятием излишних мер безопасности (такие расходы возможны при субъективной оценке рисков);
оценивать в дальнейшем эффективность и обоснованность любых предлагаемых систем защиты.
Стандартный подход к защите информации
Сегодня мы часто сталкиваемся с ситуацией, когда, нанимая высококвалифицированных специалистов в области безопасности, руководители компаний начинают доверять их мнению, полностью полагаясь на предложенные ими решения. Однако, к сожалению, нередко эти специалисты стараются использовать уже известные им средства, организовывая информационную структуру компании по уже привычному для них шаблону. Приходя на новое место работы, они, как правило, не утруждают себя мыслями о том, что именно необходимо защищать в компании, а предпочитают применять те меры, которые сейчас наиболее распространены, не задумываясь при этом, а нужны ли они вообще и отвечают ли потребностям конкретной компании.
Рассуждения специалистов, ответственных за обеспечение информационной безопасности в компании, более чем просты - зачем тратить время на исследование и выявление реальных угроз, если можно пойти по уже отработанной схеме, используя стандартный набор средств защиты. Возможно, многие не согласятся с нами, посчитав, что мало защиты не бывает, и лучше уж больше, чем меньше. Но в данном случае окажутся совершенно не правы. Мало того что это может оказаться неоправданной затратой денежных средств, которые могли бы быть распределены на другие нужды, но и в большинстве случаев при таком подходе многие потенциальные каналы, по которым может произойти утечка информации, окажутся незакрытыми, про них просто забыли или не знали.
Рассмотрим ряд примеров, которые наглядно демонстрируют все вышесказанное.
Представим себе ситуацию, когда два офиса компании соединены между собой каналом связи, использующим на физическом уровне оптоволокно. В данном случае речь идет о собственном кабеле, выходящем из одного офиса и входящем в другой, идущем практически по полностью контролируемой территории, за исключением пролета над улицей, разделяющей огромную территорию завода на две половины. Специалист, отвечающий за информационную безопасность, не задумываясь об особенностях существующего соединения, принимает решение о шифровании трафика, передаваемого по оптико-волоконному каналу. Высокая квалификация сотрудника не позволила руководству усомниться в правильности его решения, в результате оно выделяет деньги на систему, обеспечивающую шифрование трафика, передаваемого по каналу.
Так в чем же была ошибка специалиста по безопасности? Начнем с того, что он совершенно необоснованно принял решение шифровать трафик между двумя офисами, как мы уже говорили, кабель проложен строго от офиса к офису и не имеет каких-то ответвлений. Если бы специалист сначала просчитал потенциальные затраты злоумышленников на перехват информации, передаваемой по такому типу соединений, то он понял бы, что данный вид угрозы практически сведен к нулю. Следовательно, затраты на организацию данного вида защиты были необоснованными. Следует также обратить внимание на то, что не были рассмотрены другие виды потенциальных угроз, в результате не была обеспечена защита от них, что и привело в дальнейшем к утечке информации.
Из данного примера видно, что грамотно проведенное первоначальное обследование информационной системы компании с последующим применением необходимых средств защиты информации в данной ситуации позволило бы не только избежать ненужных затрат, но обеспечило бы более надежную защиту информации.
Приведем еще один пример. Компания, решив, что пришло время позаботиться об информационной безопасности, организовала собственный отдел и выделила средства. Специалисты, отвечающие за информационную безопасность, начали сразу же контролировать информацию, посылаемую по электронной почте, ставить спам-фильтры и пр., т.е. опять же они предпочли защищать информацию от тех угроз, которые очевидны и понятны. Кроме того, они допустили еще одну ошибку: не учли, что в филиалах нет сотрудников, которые смогут поддерживать и администрировать систему информационной безопасности. В результате пришлось пересматривать спецификацию, докупать компоненты для централизованного управления.
Еще одним примером нанесенного ущерба в результате отсутствия первоначального обследования является решение администраторов контролировать подключаемые USB-устройства на предмет утечки информации в каждом филиале компании. Было закуплено программное обеспечение. Через два месяца после его внедрения администраторы поняли, что получают такой объем информации, который не способны даже контролировать, а методы работы разных подразделений с USB-устройствами весьма различны (или они просто не нужны, или без них нельзя обойтись). Все это произошло из-за того, что изначально не было проведено обследование информационной системы компании и ее бизнес-процессов.
Подобные примеры, к сожалению, встречаются довольно часто.
Однако следует понимать, что порой не только леность специалистов по информационной безопасности или их безразличие становится причиной таких опрометчивых решений. Зачастую количество сотрудников в отделах информационной безопасности настолько мало, что они не успевают справиться со всеми задачами, возложенными на них. Здесь совершенно не важно, насколько эти сотрудники высококвалифицированные. Бросить "текучку" они не могут, а выкроить время для обследования информационной системы сложно. При этом многие их них не обращаются за помощью в консалтинговые компании, поскольку считают, что руководство может спросить у них: а зачем вы нам тогда нужны? Возможно, проблемой тут является боязнь объяснить, что при недостаточной численности подразделений по безопасности их силы как раз должны расходоваться на грамотную постановку задач сторонним консалтинговым компаниям и контроль за их выполнением.
Консалтинг
Сегодня существует возможность пригласить для первичной оценки и аудита информационной системы консалтинговую компанию, специализирующуюся на подобного рода задачах. Правильно построенный процесс оценки текущего состояния информационной системы с точки зрения информационной безопасности должен включать следующие этапы:
изучение технологических потоков;
категорирование ресурсов информационной системы;
экспертиза состояния безопасности эксплуатируемых бизнес-подсистем;
оценка существующих рисков информационной безопасности.
Только после этого можно получить упорядоченную и структурированную информацию о защищаемой системе.
В заключение хотелось бы еще раз отметить, что любая система по защите информации должна базироваться на рекомендациях, выработанных на основании первоначального обследования информационной системы компании и ее бизнес-процессов. Это позволит не только снизить затраты на последующую грамотную организацию системы информационной безопасности, но и сократить сроки. Делать это своими силами или прибегать к услугам специализированных организаций - каждая компания должна решать сама. В данной статье мы лишь попытались рассказать о реальных проблемах, которые могут возникнуть при отсутствия первоначального аудита информационной системы компании.
А. Овчинникова,
ведущий специалист компании "Информзащита"
"Финансовая газета. Региональный выпуск", N 37, сентябрь 2006 г.
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Газета "Финансовая газета. Региональный выпуск"
Учредитель: Редакция Международного финансового еженедельника "Финансовая газета"
Газета зарегистрирована в Роскомпечати 3 октября 1994 г.
Регистрационное свидетельство N 012947
Адрес редакции: г. Москва, ул. Ткацкая, д. 5, стр. 3
Телефон +7 (499) 166 03 71