Компьютерная системы защиты информации

Безусловно, одними лозунгами и  пропагандистскими лекциями достичь  необходимого уровня защищенности ресурсов невозможно. Также нельзя полностью  полагаться только на эффективность  технических средств. В качестве характерного примера можно привести антивирусную защиту. Несмотря на прилагаемые усилия в изучении современных, в том числе эвристических, методов борьбы с вредоносными программами, пока рано говорить о создании действительно эффективных упреждающих антивирусных программ. По-прежнему многое зависит от своевременности обновлений, выбора правильного соотношения между вероятностями ложной тревоги и пропуска вредоносного кода.

Желаемого эффекта можно добиться только за счет оптимального сочетания  технических и организационных  мер. В данном контексте к техническим мерам отнесем программные и аппаратные средства, а к организационным - комплекс нормативных и организационно-распорядительных документов, регламентирующих действия всех участников создания, обработки, хранения и уничтожения информации.

 

О технических средствах

 

В настоящее время рынок предлагает большое число различных решений  в области антивирусной защиты, контроля доступа и пр. По мере развития информационной системы, существенного увеличения числа пользователей и объемов  обрабатываемой информации усложняются и проблемы построения согласованной системы информационной безопасности. Приходится менять привычные представления об объектах защиты. Например, зачастую бывает непросто определить сам периметр защищаемого объекта. Учитывая наличие многочисленных связей между вашей информационной системой и внешними информационными системами, возникает вопрос о разделении зон ответственности.

В связи с изложенным одной из доминирующих тенденций в настоящее  время становится построение комплексных  интегрированных систем информационной безопасности, включающих в себя согласованные между собой все необходимые технические устройства. Это так называемые коробочные решения, когда пользователь покупает отдельный (например, антивирусный) комплекс и самостоятельно устанавливает его, все больше становятся уделом индивидуальных или весьма малых информационных систем. Создание упомянутых комплексных систем подразумевает всестороннее обследование всей существующей информационной структуры, внесение в нее изменений, необходимых для эффективного функционирования средств защиты, последующее встраивание дополнительных устройств и программных комплексов.

При этом, во-первых, необходимо обеспечить самое тесное взаимодействие между  разработчиками, информатизаторами  и специалистами подразделения информационной безопасности, с тем чтобы разработанная и построенная система в полной мере отвечала потребностям данной конкретной организации и строго решала именно поставленные задачи.

Во-вторых, необходимо оценивать экономическую  целесообразность предлагаемой разработчиками системы, и не только с точки зрения финансовых последствий ложной тревоги и оставления незамеченным значимого с точки зрения безопасности события. Любой новый элемент, будучи внесенным в информационную структуру, всегда усложняет ее, увеличивает вероятность сбоев, нагрузку на коммуникационные устройства и пр., следовательно, требует установки более совершенного и производительного, то есть дорогостоящего оборудования.

Более того, возникает необходимость  содержания отдельной группы работников, решающих только проблемы информационной безопасности.

Не случайно в статьях и выступлениях, посвященных рассматриваемой проблеме, много внимания уделяется взаимодействию подразделений информатизации и  информационной безопасности. Прежде всего обе эти службы неразрывно связаны единой сферой деятельности. Вместе с этим их бюджеты существенно разнятся. В качестве образца, к которому желательно стремиться, нередко приводят цифру, достигнутую в крупных компаниях США, - 5% от IT-бюджета там выделяется на решение проблем информационной безопасности. Естественно, заметно отличаются и численности этих подразделений.

При этом, как было отмечено выше, роль сотрудников, обеспечивающих информационную безопасность в формировании конечного  продукта, достаточно велика. Более того, с ростом угроз и изощренности злоумышленников, усложнением информационной структуры организации весьма существенно возрастает и их ответственность, быстро увеличивается количество решаемых задач.

Не только в нынешних кризисных условиях, но и в периоды относительного благополучия стратегия расширения подразделений информационной безопасности вслед за возникновением новых проблем в данной сфере является тупиковой. Экстенсивный подход не оправдан ни с экономической, ни с организационной точки зрения. Тем более что существует существенная нехватка специалистов в области информационной безопасности. Так, согласно результатам совместного исследования компании Perimetrix и сообщества ABISS 86,1% опрошенных банков имели открытые вакансии технических специалистов по информационной безопасности, а 75,7% - менеджеров по информационной безопасности. В общей сложности российскому банковскому сектору требуются около 4 тыс. технических специалистов и 2 тыс. управленцев в сфере информационной безопасности. Причина "кадрового голода" - низкие зарплаты, а не слабая работа вузов <1>.

--------------------------------

<1> www.abiss.ru.

 

Единственный приемлемый путь выхода из этой ситуации - автоматизация реализуемых  подразделениями информационной безопасности процессов, построение автоматизированной системы управления информационной безопасностью.

Взаимное положение подразделений  информатизации и информационной безопасности в общей организационной структуре, их отношение к существующей информационной структуре определяют возникновение  объективных противоречий между  ними.

Первые заинтересованы в том, чтобы обслуживаемая ими структура работала бесперебойно, чтобы в ней не было ничего лишнего (не обеспечивающего непосредственно функционирование системы).

Вторые в большей степени  заинтересованы в том, чтобы каждый элемент структуры был максимально  защищен и обеспечен дополнительными средствами контроля. Они постоянно вмешиваются в работу системы и т.д.

Результаты недавнего исследования корпорации IDC показывают, что компаниям  с трудом удается найти сбалансированный подход в одновременном обеспечении  информационной безопасности и внедрении новых технологических решений. Исследование, проведенное по заказу специалистов RSA (подразделение корпорации EMC, специализирующееся на решениях в области информбезопасности), показало, что в 80% случаев информационные угрозы препятствуют внедрению инноваций в бизнес. IDC также удалось выяснить, что 80% руководителей компаний считают свои отделы IT-безопасности ответственными за недостаточное инновационное развитие бизнеса. При этом лишь 44% глав отделов информационной безопасности полагают, что влияние их работы на инновационную сферу бизнеса должным образом оценивается.

Эти результаты указывают на несоответствие между ожиданиями высшего руководящего состава и приоритетами специалистов информбезопасности. Только 21% респондентов уверены в том, что их организации успешно проводят проактивную политику IT-безопасности, не препятствующую и даже способствующую внедрению инноваций. Вице-президент IDC Крис Кристиансен полагает, что в сегодняшних условиях (при отсутствии здоровой инновационной среды) бизнес не может расти. По его словам, несмотря на некоторый прогресс в исследованной области, безопасность и инновации до сих пор противопоставляются, хотя оба направления, по сути, являются взаимодополняющими <1>.

--------------------------------

<1> Information Security. 03.10.2008 (www.itsec.ru).

 

Об организационных мерах

 

Оставим в стороне крайне интересную, актуальную и требующую отдельного рассмотрения тему неизбежных и объективно обусловленных межгрупповых конфликтов в организации в связи с внедрением инноваций. Отметим лишь, что разрешению и предотвращению их перерастания в межличностные, переводу участников из отношений противоборства в отношения сотрудничества во многом может способствовать обоснованная и сбалансированная система организационных мер обеспечения информационной безопасности, разработанная в организации с учетом ее специфики. Она адресуется наиболее важной части организации - персоналу.

Эта система мер должна быть сформулирована в минимальном количестве документов, однозначно регламентирующих взаимодействие всех участников технологических процессов с использованием информационной структуры.

Анализ реализуемых в различных  организациях технологических процессов, современная тенденция перехода от функциональной организационной структуры к матричной показывают, что практически все ключевые процессы, происходящие в организации, проходят через подразделение информационной безопасности, его сотрудники в той или иной степени участвуют в каждом значимом проекте. В связи с этим становится очевидным, что система организационных мер в области информационной безопасности окажет непосредственное влияние на всю систему взаимоотношений в коллективе и на функционирование организации в целом. Регламенты неизбежно будут затрагивать интересы участников, ограничивать их возможности при реализации конкретных функций, усложнять работу и, следовательно, жизнь.

Степень влияния практического  решения вопросов информационной безопасности на функционирование всей организации определяет необходимость непосредственного участия именно первого лица организации на всех важных этапах разработки указанных документов - от определения целей до их утверждения и контроля за исполнением.

Процесс разработки комплекта регламентирующей документации должен строиться на основе корпоративной стратегии и корпоративной культуры, учитывать не только исторически сложившиеся реалии, но и новейшие достижения науки, опыт и разработки других организаций. Определение приоритетов, создание научно обоснованных, прозрачных единых требований к персоналу и техническим средствам, правил обращения с информационными активами, вычислительными и телекоммуникационными системами, унификация используемых технических средств и методик невозможны без стандартизации.

 

Стандарт информационной безопасности Банка России

 

Стандарт Банка России "Обеспечение информационной безопасности банковской системы Российской Федерации. Общие положения" обобщил российский и зарубежный опыт. 1 мая 2009 г. вступает в силу уже третья его редакция.

Большая положительная роль, которую  играет Стандарт, необходимость его внедрения в практической работе признаны большинством российских банков. Не случайно возникла и активно функционирует Ассоциация организаций - пользователей банковских стандартов информационной безопасности (ABISS). Новая редакция Стандарта размещена на сайте этой ассоциации <1>, активно изучается работниками соответствующих подразделений российских банков. (Анализ изменений, внесенных в новую редакцию, и причин, вызвавших это, выходит за рамки данной статьи.)

--------------------------------

<1> www.abiss.ru.

 

Вместе с тем, говоря о проблемах  информационной безопасности, значении их устранения для повышения конкурентоспособности  и роли соответствующих подразделений, нельзя не остановиться на двух принципиально  важных моментах.

Во-первых, обострение угроз информационной безопасности требует принятия адекватных мер на организационном уровне. Так, в третьей редакции Стандарта (п. 7.2.8) указывается, что обязанности персонала по выполнению требований по обеспечению информационной безопасности должны включаться в трудовые контракты (соглашения, договоры) и (или) должностные инструкции. Невыполнение этих требований должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.

Во-вторых, однажды построенная  система обеспечения информационной безопасности имеет тенденцию к  ослаблению своей эффективности. Во избежание ее деградации необходимо на постоянной основе осуществлять менеджмент событий и инцидентов безопасности. При этом планирование, реализация, мониторинг и совершенствование системы обеспечения информационной безопасности должны осуществляться циклически и непрерывно в соответствии с известной моделью Деминга (п. п. 5.23 - 5.27) <2>.

--------------------------------

<2> Стандарт Банка России СТО БР ИББС-1.0-2008.

 

Правила могут быть для кого-то неудобными, но они обязательно должны быть обоснованными, понятными, прозрачными  и однозначными.

Например, очевидна опасность неконтролируемого  переноса различных файлов, игр, видео- и аудиопродукции из внешних источников во внутрикорпоративную сеть.

Как в условиях отсутствия возможности  контролировать каждый компьютер в  реальном времени добиться исключения подобных фактов?

Как добиться понимания пользователями того, что наличие антивирусной программы  является необходимым, но недостаточным условием обеспечения приемлемого уровня защищенности от вредоносного кода?

Многие организации совершенно справедливо решают эту проблему путем реализации принципа защиты собственности: компьютер, предоставленный работнику, является собственностью организации и в нем не должно быть ничего, что не относится к исполнению функций, прописанных в должностных инструкциях данного работника.

 

О регламентирующей документации

 

Важной характеристикой организационно-распорядительной документации является то, что она не должна содержать одни лишь запреты. В связи с рассмотренной выше проблемой может возникнуть диктуемая решением служебных задач потребность в получении из внешних источников, в том числе из сети Интернет, и установке программ, обновлений и пр.