Мы, конечно, не случайно выбрали столь яркую аналогию вопросам
построения систем защиты - японский трактат "Искусство войны", надо
сказать, во многом позволяет составить грамотное представление о
современной системе управления информационной безопасностью (СУИБ). С
одной стороны, информационная безопасность относится к числу самых
передовых направлений развития IТ, а с другой - остается самым
ресурсоемким процессом для формулирования политики и, вообще, для
понимания и решения самой проблемы. Ведь чем больше организация, тем
сложнее провести комплексный аудит уязвимостей, определить, чем грозит
использование того или иного сервиса или, быть может, даже самой
операционной системы и, не отказываясь от преимуществ новых технологий,
просто надежно защитить корпоративную сеть.
Информационная безопасность - это не просто антивирус,
установленный в сети, или система удаления шпионских программ. В рамках
корпорации информационную безопасность следует понимать как комплекс
организационных, программных, технических и физических мер,
обеспечивающих достижение целостности, конфиденциальности, доступности
и аутентичности информационных ресурсов. Давайте разберемся, что это
значит. Под целостностью подразумевается обеспечение актуальности и
непротиворечивости информации, ее защищенности от разрушения и
несанкционированного изменения. Говоря другими словами, если один из
сотрудников сохранил информацию, то он найдет ее там же и в том же
виде, если никто другой не имеет права доступа к этим файлам.
Конфиденциальность - это защищенность информации от
несанкционированного доступа и ознакомления. Система, гарантирующая
конфиденциальность, должна учитывать тонкие политики безопасности,
отражающие не только права на изменение, но также пресекающие
возможность копирования и просмотра. Доступность, в свою очередь,
характеризует работоспособность системы, то есть возможность получить
доступ к хранимой и обрабатываемой в системе информации в любой момент,
когда это требуется. И наконец, последнее свойство, необходимое для
систем защиты информации - аутентичность. Это установление подлинности
субъектов и объектов, иначе говоря, гарантия подлинности
предоставляемых системой данных, исключение возможности фальсификации. Однако даже соблюдая все изложенные выше правила, при
построении системы защиты компании должны учитывать специфику бизнеса,
а не ориентироваться на достижение всех свойств информационных
ресурсов. Например, для банковского сектора ключевой задачей в области
информационной безопасности станет обеспечение целостности финансовой
информации; для операторов связи - доступности информационных ресурсов,
начиная с адекватной пропускной способности каналов и заканчивая
доступностью коммерческих сервисов; для государственных компаний, в
свою очередь, важна конфиденциальность информации. Конечно, это не
значит, что банки не заинтересованы в доступности информации или в
госсекторе нет необходимости иметь целостные данные, отнюдь. Просто
начинать внедрение системы безопасности надо с критически важных ее
аспектов, и тогда (при правильном подходе к построению архитектуры) в
конечном счете вы действительно получите надежную СУИБ. Впрочем, для грамотного построения СУИБ уже сформированы
готовые и отработанные стандарты, например британский BS 7799, который
большинством специалистов признан стандартом де факто и часто
определяет спецификацию будущей СУИБ. При этом, по сути, BS 7799 не
является техническим стандартом; скорее, он позволяет разработать
грамотную методологию внедрения, в рамках которой можно относительно
легко классифицировать типы данных, стратегические направления для
защиты, конкретизировать ответственность сотрудников и использовать
оценки риска в контексте информационной безопасности предприятия. Так,
методология BS 7799 помогает компаниям определить политику
безопасности, которая становится основой для регулярного контроля и
оценки системы защиты, а также провести инвентаризацию и классификацию
ресурсов и определить аспекты функционирования ИБ, связанные не с
оборудованием, а с персоналом. Познать врага
Сегодня топ-менеджмент крупных компаний повсеместно отмечает важность
создания СУИБ и инвестирует средства в технологии для минимизации
рисков, связанных с потерей или кражей бизнес-информации. В большинстве
компаний, особенно если их доход превышает $1 млрд, предусмотрена
должность директора по информационной безопасности. Как правило,
претерпев череду увольнений, штрафов и образовательных мероприятий,
сотрудники организации осознают важность ответственного отношения к
информационной безопасности. Но до сих пор многие инженеры пренебрегают
правилами, необходимыми для соблюдения информационной безопасности, и
нередко это происходит из-за халатного отношения к СУИБ коллектива в
целом, включая начальствующие чины. Ведь если в компании нет
унифицированного алгоритма установки ПО, доступа к файлам и
регламентации использования защитных программ, говорить о безопасности
информации не приходится. Впрочем, и технологически регламентированные
программы не всегда могут выявить необходимость защищать информацию и
от собственных сотрудников компании, тем более от тех, кто имеет право
доступа к ней.
Познать себя
Ключевым элементом современной СУИБ, реализуемой серьезными
интеграторами, является система управления рисками. Она подразумевает
аудит информационной системы и определение наименее защищенных
ресурсов, потенциальных рисков и способов защиты. Эффективность
определения рисков зависит от степени информированности интегратора, то
есть готовности клиента найти "спрятанный в шкафу скелет" и попытаться
перебрать его "по косточкам". Специалисты многих компаний-интеграторов
рекомендуют высшему руководству заказчиков не уклоняться от
ответственности за контроль процесса анализа рисков и всегда обращать
внимание и выделять ресурсы на оценку технологий, процедур и уязвимых
мест в информационных системах. Пожалуй, не стоит слепо верить в
жизнеспособность своей инфраструктуры и уповать на "авось", а больше
доверять системному подходу к решению задачи, процедурам и
апробированным методологиям, затраты на которые давно просчитаны не
только интеграторами, но и аналитиками.
Надлежащая работа с кадрами также является одним из важнейших
факторов успеха проекта создания СУИБ. Четкое определение должностных
обязанностей сотрудников, описание их ответственности и роли при
использовании корпоративной информации при соответствующем обучении
позволяет в достаточной мере сделать пользователей союзниками внедрения
эффективной системы информационной безопасности, а не противниками. Конечно, необходимо сориентироваться в отношении ключевых
бизнес-целей и задач компании, потому что внедрение системы
информационной безопасности не должно быть стихийным, иначе этот проект
станет безумно дорогим и катастрофически бесполезным. Именно защита
бизнес-приложений должна быть фокусом для СУИБ, и перед внедрением
нужно четко разделить используемые в компании приложения, оценить их
уязвимости и начать с защиты критически важных сервисов.
Время принимать решениеВ повседневной жизни мы все
инстинктивно стремимся к безопасности, и если речь идет о здоровой, не
психопатической личности, мы не закрываем глаза на потенциальные
угрозы, а стараемся предупредить неприятные ситуации. Ведь мы
предпочитаем строить свою безопасность на основе прогнозов, или, если
хотите, опыта, накопленного нашими предками. Вполне понятно, что просто
держать оборону по всем фронтам не всегда достаточно, потому что мы
можем изначально не замечать каких-либо источников угроз, и тогда
"неприкрытый тыл" сводит все наши усилия на нет. Пытаясь избежать
подобных промахов, мы обращаемся за услугами к экспертам, которые имеют
большой опыт и могут обеспечить безопасность нашего здоровья, жилья,
автотранспорта, используя стандартные схемы. Этот подход следует
считать адекватным и при создании СУИБ, только вместо врача, адвоката и
мастера компании следует найти специалиста по информационной
безопасности. Следует отметить, что эта роль сегодня может отводиться
только квалифицированному мультивендорному системному интегратору, не
заинтересованному в навязывании определенной технологии, но обладающему
качественной экспертной оценкой в области создания СУИБ. Другими
словами, необходимо искать интегратора, который в состоянии предложить
клиенту практически реализуемые правила управления информационной
безопасностью на основе известных стандартов и определенных норм
безопасности. Принято считать, что правильный подход к СУИБ определяется
целостностью взгляда на предприятие, работающего в динамически
изменяющихся условиях рынка. Развитая и последовательно реализуемая
политика организации защиты уже давно стала необходимым условием для
сохранения результатов деятельности компании, как с точки зрения
сохранения важной информации для дальнейшей работы, так и с позиций
хранения коммерческой тайны. При этом неизбежное сегодня упрощение
доступа к корпоративной информации, необходимое для эффективного
взаимодействия с партнерами и клиентами, увеличивает опасность
возникновения угроз и открывает большее количество уязвимых мест, чем
когда бы то ни было. Таким образом, без правильно организованной и
эффективно работающей СУИБ деловая активность открытой компании,
работающей с электронным документооборотом, может привести к финансовым
потерям и ущербу репутации компании. Зачастую, оставшись без контроля со стороны руководства в
области ИБ, авторизованные пользователи, принимающие решения,
предпочтут более быстрый путь реализации поставленных задач, и
информационная безопасность компании может пострадать из за такой
"экономии времени". Внедренные однажды системы ИБ, не соответствующие
стандартам и не обеспечивающие адекватную защиту, заставляют
собственников предприятия впредь отказаться от "бесполезных" инвестиций
в технологии и, что совсем нежелательно, в обучение собственных
сотрудников, которые могут причинить организации больший ущерб, чем
вирусы и хакерские атаки. В реальном мире возрастание рисков и угроз, напротив,
обязывает компании ужесточить контроль над собственными сотрудниками и
партнерами по бизнесу, но бояться этого не стоит: авторизованные
пользователи системы, представляющие собой самый большой фактор риска,
при наличии высокой степени информированности и информационной
поддержки становятся основным активом в системе защиты и в будущем
задают культуру обращения с информацией, что мы можем наблюдать в
успешных западных компаниях..
Однако самая важная роль в организации информационной
безопасности отводится руководству компании и собственникам бизнеса. От
подхода высшего менеджмента к организации комплексной системы защиты и
правильности выбора стратегии зависит, будет ли предприятие защищено
или же сотрудники организации и авторизованные пользователи, работающие
с корпоративной информацией, смогут распространять ее, возможно, сами
того не ведая. Заключение
Итак, сегодня существует множество систем защиты информации - это и
терминальные решения доступа, и сложные политики безопасности, и
специальное ПО, в конечном счете, металлоискатели, не позволяющие
проносить через проходную носители информации. Но нельзя сказать, что
какое-то средство лучше другого или может быть признано универсальным.
В каждом отдельном случае нужно подходить к построению СУИБ разумно,
привлекая специалистов, и не совершать критических ошибок, которые
делают систему незащищенной, при этом мешая пользователям работать.
Нужно лишь понять, в чем состоит информационная безопасность для вашей
компании, и что вы готовы сделать для ее поддержания.
Благодарим компанию "Энвижн Груп" за помощь в подготовке статьи.
Другие материалы по теме
|
