Рубрикатор |
Статьи | ИКС № 9 2010 |
Дмитрий Борисович ЗАХАРЕНКО | 14 сентября 2010 |
На корпоративных рубежах обороны
В общем виде задачи обеспечения информационной безопасности в корпоративных сетях можно условно разделить на экономические, связанные в первую очередь с затратами на ИБ, организационные (отслеживание изменений в законодательстве и соблюдение регламентов) и технические. Какова сегодня ситуация на этом рынке?
Кризис ослабил «подпитку» безопасности
В 2008–2009 гг. российский рынок средств информационной безопасности, как и большая часть мировой экономики, переживал кризис. Значительно уменьшились расходы на ИБ, часть проектов была заморожена либо отменена вовсе, основной задачей компаний было перераспределение ограниченных бюджетов на поддержание работоспособности целевых информационных систем. В результате существующие системы обеспечения ИБ хотя и продолжают функционировать, но либо не получают должного сервисного обслуживания, либо остались совсем без поддержки. Сокращение финансирования во многих организациях привело и к сокращению обслуживающих бизнес структур, в том числе и ИТ. Было уменьшено количество плановых мероприятий по развитию и модернизации систем ИБ, скорректирован численный и функциональный штатный состав. Оборудование физически и морально устаревает, «проходят мимо» новые версии программного обеспечения, появляются новые уязвимости.
Актуализировать уровень работающих систем зачастую непростая задача, так как при возобновлении сервисного обслуживания многие производители начисляют штрафные санкции за тот период, пока система не обслуживалась. Аппаратные средства защиты, обновление которых было запланировано, но своевременно не проведено, теперь уже сняты с производства или компоненты для них стали недоступны.
Создаем проблемы – ищем решения
Необходимость привести информационные системы персональных данных в соответствие с требованиями Федерального закона № 152 «О персональных данных» стала в период кризиса дополнительной нагрузкой для предприятий всех вертикальных рынков, вне зависимости от их масштаба (см. подробнее «ИКС» № 7-8‘2010, с. 58 и № 9, с. 53 . – Прим. ред.).
Ориентируясь на регламентирующие документы, одни компании начали самостоятельно пересматривать свою стратегию построения ИБ, другие попытались консолидировать усилия в рамках разработки отраслевой стратегии исполнения требований ФЗ-152. Но ситуация осложняется тем, что регламентирующие документы не дают ответов на все вопросы, а также сами постоянно изменяются. Использование сертифицированных средств ИБ затрудняется небольшим их выбором, а зарубежные аналоги часто не имеют необходимых сертификатов. Если же система ИБ в компании уже построена, но какие-то из ее компонентов не имеют необходимых сертификатов, то переделывать ее целиком – задача практически непосильная. В этом случае основная надежда либо на производителей, которые с выходом закона «О персональных данных» озаботились вопросом сертификации своей продукции, либо на поправки к закону, которые могут дать большую свободу выбора. Возможным выходом также может стать снижение класса персональных данных.
Важным шагом в выявлении проблемных точек в системе информационной безопасности является аудит на соответствие определенным стандартам (ISO 27001, Стандарт Банка России СТО БР, ГОСТ Р, PCI DSS и т.д.). Это может быть внутренний аудит, проводящийся силами штатного персонала, или аудит, выполняемый независимыми специалистами. Основная его задача – объективный анализ всего комплекса мер (организационных, программно-технических, технологических), принятых в компании для обеспечения информационной безопасности, и оценка их адекватности поставленным целям и задачам бизнеса. Основной итог аудита ИБ – оценка и уменьшение операционных рисков. С одной стороны, аудит информационной безопасности дает ответ на вопросы, каково реальное положение дел в организации, что угрожает ее нормальной деятельности, насколько эффективны применяемые меры защиты. С другой – позволяет сделать верное технико-экономическое обоснование для внедрения необходимых мер защиты, спрогнозировать бюджет ИT- и ИБ-подразделений, который потребуется для поддержания необходимого уровня безопасности.
Аудит информационных систем персональных данных обычно является первым шагом в планировании мероприятий по защите персональных данных. В рамках аудита определяется класс и уточняется перечень подлежащих защите персональных данных, производится анализ текущего состояния ИСПДн, составляется список необходимых организационно-распорядительных документов и т.д. Таким образом, проведение аудита позволяет максимально сократить затраты на последующих этапах создания ИСПДн.
С 1 января 2010 г. российская таможня изменила порядок ввоза шифровальных (криптографических) средств, и теперь для ввоза устройств, содержащих алгоритмы шифрования, требуется получать специальную нотификацию в Центре по лицензированию, сертификации и защите государственной тайны ФСБ России. Необходимость следовать особым таможенным правилам при ввозе оборудования, содержащего алгоритмы шифрования, существовала и раньше, но исполнялись эти требования очень выборочно. Сегодня же для оборудования, содержащего «слабое» шифрование, нотификации постепенно выдаются, а вот с «сильным» (строгим) шифрованием ситуация сложнее. ФСБ ратует за использование на территории России отечественной криптографии (ГОСТ), поэтому получение нотификаций для строгого шифрования сильно затруднено. Причем, если раньше это затрагивало в основном госучреждения, то теперь касается всех компаний. Будем надеяться, что в ближайшее время ситуация изменится, и шифровальное оборудование вновь будет доступно для ввоза в Россию. Иначе придется глобально пересматривать подход к организации VPN-каналов в пользу отечественных решений.
Что ни день – новые риски
В системе защиты корпоративной сети со временем возникают новые проблемы, хотя и старые не теряют своей актуальности. Например, на клиентских машинах, помимо антивируса, зачастую необходимо развернуть целый эшелон систем защиты – персональный межсетевой экран, модуль VPN, системы шифрования данных, контроля портов, мониторинга запускаемых приложений. Количество возможных угроз и систем, способных им противодействовать, все время растет, и это многообразие серьезно затрудняет внедрение новых систем. Использование продуктов разных производителей влечет за собой усложнение системы управления и процесса интеграции этих продуктов. Выходом из подобной ситуации может стать обращение к производителю, который предоставляет полный спектр решений в области ИБ. Это позволит сократить расходы на переподготовку ИТ-кадров и ускорит накопление опыта эксплуатации.
Часто проблемы с безопасностью в корпоративных сетях вызваны некорректной настройкой систем защиты. Даже если систему проектировали и настраивали квалифицированные инженеры компании-интегратора, то в ходе ее эксплуатации администратором, не имеющим достаточных знаний и опыта, эффективность защиты может значительно снизиться. Подобные проблемы могут возникать и при переходе от одной версии системы к другой, особенно после длительного временного перерыва и существенного изменения системы. Все это говорит о том, что обучение администраторов – не менее важная статья расходов, чем сервисное обслуживание. Все внедряемые в компании ИБ-решения должны обслуживаться квалифицированным инженерным персоналом.
Наряду с вероятностью снижения уровня знаний специалистов в области информационной безопасности нельзя сбрасывать со счетов и риски неквалифицированного использования ресурсов сотрудниками компаний. Как известно, большое количество атак осуществляется изнутри сети. Чтобы спать спокойно, недостаточно установить межсетевой экран на периметре сети и антивирус. Для защиты информации внутри сети применяется целый комплекс инструментов:
• встроенные средства защиты в серверах приложений и базах данных;
• функционал обеспечения безопасности операционных систем;
• инфраструктура специальных сенсоров, выполняющих функцию обнаружения и предотвращения атак (IDS/IPS).
Средства автоматизации сбора, обработки и анализа информации в случае возникновения какой-либо вредоносной активности пресекают ее дальнейшее распространение и оповещают администраторов.
Одна из наиболее значимых внутренних угроз информационной безопасности – утечка данных непосредственно с компьютеров пользователей. Особенно актуальной она стала с повсеместным распространением мобильных накопителей высокой емкости с возможностью подключения через USB-порты (flash-диски, мобильные HDD-диски, телефоны и коммуникаторы). Если не установить контроль за портами рабочих станций, может произойти утечка конфиденциальной информации либо же распространение вирусов и сетевых червей, которые пользователь, может быть, сам того не зная, принес из дома. Для решения проблемы несанкционированного подключения устройств существует специализированное ПО, которое ограничивает и контролирует доступ к внешним портам компьютера. Администратор безопасности может централизованно задавать политику контроля портов рабочих станций, разрешить использование только авторизованных устройств, протоколировать обращения пользователей к устройствам. Некоторые производители подобных систем позволяют шифровать данные на сменных носителях, а доступ к зашифрованной информации ограничивать группой пользователей.
Утечка конфиденциальной информации может происходить не только через USB-порты, но и через внешние каналы связи. Распространение широкополосного доступа в Интернет сделало эту проблему еще острее, так как появилась техническая возможность передачи большого объема информации (например, слепка базы данных) за сравнительное небольшое время. Утечка информации может быть результатом и умышленных, и непреднамеренных действий, например отсылки электронной почты по неверному адресу. Контроль над информацией, передаваемой во внешнюю сеть, выполняется системами защиты от утечки информации (DLP-системами). Такие системы производят контекстный анализ передаваемых данных и в случае обнаружения конфиденциальной информации блокируют передачу. DLP-системы уже достаточно давно известны на рынке ИБ, и сейчас почти все ведущие производители имеют в своем портфеле решений продукты с подобным функционалом.
Как найти иголку в стоге сена?
Комплексная система обеспечения ИБ предоставляет огромное количество информации о различных событиях, что чрезвычайно затрудняет, а то и вовсе делает невозможным своевременное выявление значимых событий безопасности и оперативное на них реагирование. Существует специализированный класс систем сбора и анализа событий (Security Event Management, SEM), собирающих и анализирующих события из журналов аудита, от телекоммуникационного оборудования, сетевых устройств, систем безопасности (межсетевых экранов, систем обнаружения и предотвращения вторжений), а также от пользовательских и серверных приложений. Основная задача SEM-решения – анализ событий ИБ и оперативная отправка уведомлений о нарушениях администратору.
Некоторые SEM-системы ориентированы в первую очередь на сбор и анализ событий от продуктов какого-либо конкретного производителя (например, Cisco MARS, Check Point Eventia), но могут использоваться и для сбора информации из разнородных источников. Таким образом, при выборе подобной системы надо ориентироваться на то, оборудование какого производителя по обеспечению ИБ установлено в компании, или же обратить внимание на универсальные системы.
Внедрение системы сбора и анализа событий безопасности дает компании целый ряд преимуществ:
• централизованное управление событиями безопасности путем объединения существующих межсетевых экранов, IDS/IPS-сенсоров и других источников данных в единую систему управления;
• высокую скорость обнаружения, расследования и реагирования на инциденты безопасности;
• возможность управлять инцидентами ИБ;
повышение эффективности управления рисками ИБ;
• повышение уровня соответствия политикам и нормативным требованиям.
Если руководство компании не будет уделять вопросам безопасности серьезное внимание, от проблем в этой области не избавиться. Пора перестать экономить на безопасности, ведь потеря конфиденциальных данных может отразиться на репутации компании и привести к финансовым убыткам.
Госорганизациям и организациям, являющимся операторами персональных данных высокого класса, в первую очередь необходимо сосредоточиться на приведении систем ИБ в соответствие с требованиями законодательства. Сегодня и в ближайшей перспективе соответствие законодательству – ключевая тема для систем обеспечения информационной безопасности.