Сделать стартовойпоискНаписатьКарта сайта
Откройте для себя новое
в безопасности

Как важно быть системным

По данным исследования, проведенного компанией “Эрнст энд Янг”, две трети российских фирм столкнулись в 2001 г. с нарушениями в сфере компьютерной безопасности. В чем же проблема? Ведь, по свидетельству участников исследования, в 96 процентах фирм применяются антивирусные средства, три четверти опрошенных используют межсетевое экранирование, от 30 до 38 процентов — технологии виртуальных частных сетей (VPN), обнаружения атак (IDS) и шифрования.

Видимо, истоки угроз необходимо искать на более глубоком уровне. Типичный подход к защите информации иллюстрирует кадр из фильма “Гардемарины, вперед”: по бескрайнему русскому полю проложена дорога, на которой стоит одинокий пограничный пост. Те, кто спешат или соблюдают законы, через этот пост проходят, а остальные… Как говорится в известном рекламном ролике, вы и сами догадываетесь.

В попытках овладеть конфиденциальной информацией о вашем предприятии злоумышленники и конкуренты будут, скорее всего, пробовать множество обходных маневров. Вряд ли в этой ситуации можно успокоиться, защитившись только от лобовых атак и устранив одну-две потенциальных уязвимости. Не попав в “дверь” или “окно”, непрошеные гости станут искать другие пути несанкционированного доступа, и эффективен здесь лишь системный подход, решение проблем информационной безопасности в комплексе.

Остановиться, оглянуться

Как часто строится система защиты информации? Кроме “метода заплаток”, для многих пользователей характерен “синдром амебы” — реагирование по отдельности на каждый новый раздражитель. Информационную систему поразил вирус? Срочно закупаем антивирусный пакет! Обнаружены утечки конфиденциальной информации из корпоративной сети? В пожарном порядке оснащаемся VPN-продуктами! И так до бесконечности — вернее, до тех пор, пока не иссякнут деньги или терпение руководства.

Помимо финансовых затрат, описанный метод чреват еще и разведением “зоопарка” из множества разрозненных, частично дублирующих друг друга или конфликтующих решений. Альтернативой может служить проведение обследования по вопросам информационной безопасности. Почему необходимо обследование?

Во-первых, нужно оценить имеющийся уровень информационной безопасности и собрать сведения для обоснованного выбора средств защиты.

Во-вторых, необходимо вписать мероприятия по безопасности в общую логику развития информационной системы предприятия, а для этого выявить роль и специфику компонентов системы и проанализировать сложные отношения между ними.

В-третьих, нельзя забывать, что, помимо электронной, конфиденциальная информация существует и в других формах: традиционной бумажной, в виде технологических решений, ноу-хау и т.д. С позиций информационной безопасности следует проанализировать систему бизнес-процессов предприятия и то, как эти процессы отражаются в потоках информации и массивах документов. Иначе опасность из компьютерной сферы перекочует в другие области, и главную угрозу будет представлять не опытный хакер, а… юная секретарша, заглянувшая к своей подруге в соседнюю фирму и за обсуждением журнала мод оставившая без присмотра кипу важных распоряжений, которые несла на подпись директору.

В-четвертых, универсальных средств защиты “от всего” не существует, и уже на самом раннем этапе построения системы безопасности важно определить ее контуры по принципу разумной достаточности и необходимости.

Результатом обследования служит пакет нормативных документов с перечнем информации и тех ее видов, что подлежат защите, схемы потоков информации на уровне организационной структуры компании и на уровне информационной системы, перечень и описание угроз и уязвимостей, рекомендации по административным и процедурным мерам защиты информации, предложения по развитию информационной системы с точки зрения ее безопасного функционирования.

Защита информации: “петербургский стиль”

Результаты обследования составляют фундамент создаваемой системы защиты, а ее каркас образует корпоративная концепция информационной безопасности. Зачем нужен этот документ?

Прежде всего, концепция описывает порядок и принципы, по которым будет создаваться система защиты информации (СЗИ). Это — своеобразный генеральный план, где очерчены магистральные пути развития системы защиты и ее перспективы. Продолжая ряд архитектурных аналогий, сравним хаотичный рост старой Москвы и размеренное формирование северной столицы. Конечно, в кривоколенных переулках и многочисленных тупиках есть своя прелесть, но представьте себе, как подобный замысловатый ландшафт скажется на функционировании и производительности информационной системы. Так что будем наслаждаться неожиданными поворотами в пеших прогулках по Москве, а систему защиты информации станем развивать в соответствии с единой концепцией.

Подчеркнем, что концепция информационной безопасности отражает общую корпоративную политику защиты информации и в этом смысле выходит далеко за рамки узковедомственной инструкции. Концепция утверждается администрацией и служит руководящим документом, обязательным к исполнению, в том числе лицами, принимающими решения о финансировании мероприятий по защите информации.

Не секрет, что рядовые пользователи и руководители функциональных подразделений (маркетинговых, финансовых служб и т.д.) зачастую воспринимают мероприятия по защите информации как досадную помеху, лишь осложняющую “нормальную работу”. Главная причина подобных настроений — в основном психологическая: люди не понимают, что и зачем они делают, а потому и недовольны. Следовательно, концепция информационной безопасности должна стать результатом коллективной деятельности всех заинтересованных сторон: это позволит не только снять негативные настроения, но и учесть дельные предложения всех, кто отвечает за конкретные участки и способен облечь общие принципы в практическую форму.

От замыслов — к результатам

Итак, говоря словами одного из советских лидеров, “цели ясны, задачи определены — за работу, товарищи”. Мы подходим к самому ответственному этапу — формированию СЗИ. Перечислим основные функции, которые должна реализовываться:

идентификация и аутентификация легальных пользователей информационной системы;

защита корпоративной сети от несанкционированного доступа извне (из общедоступных сетей, Интернета и т.д.);

обеспечение легальным пользователям доступности сетевых серверов и служб;

криптографическая защита информации (шифрование, электронная цифровая подпись);

защищенный доступ пользователей корпоративной сети в Интернет;

защита рабочих станций и серверов от несанкционированного доступа;

разграничение пользователей по праву доступа к конфиденциальной информации (финансовой, бухгалтерской и т.п.);

защита информационных потоков между рабочими станциями, серверами;

обнаружение атак (Intrusion Detection);

защита общесистемного и прикладного программного обеспечения, файловых и почтовых серверов;

антивирусная защита;

резервное копирование данных.

Не менее важно и другое направление работы — сопровождение и обслуживание системы защиты. Необходимо периодическое обновление специального программного обеспечения и антивирусных баз, плановая смена паролей, обучение пользователей работе со средствами защиты, контроль за соблюдением регламентов безопасности и т.д. Решать эту задачу можно двумя путями — создавать на предприятии собственный отдел информационной безопасности (что может быть оправдано для крупных фирм) или привлекать к данным работам системного интегратора, с помощью которого проводится обследование, разрабатывается концепция информационной безопасности и формируется СЗИ.

В любом случае и на всех этапах деятельности по обеспечению информационной безопасности важно руководствоваться системным подходом, управлять защитой информации, а не плыть по течению, впопыхах решая второстепенные задачи.

  Автор: Игорь Лукашов

кандидат педагогических наук