Информационная безопасность: проблемы подготовки специалистов
В прошлом месяце в рамках конференции «Информационная безопасность России в условиях глобального информационного общества» в Государственной Думе прошли слушания, участники которых практически были едины в одном: проблеме информационной безопасности в России уделяется недостаточно внимания. В связи с этим интересен взгляд на проблему защиты информации инструктора учебной программы совместного проекта американской компании MIS Training Institute и Учебного центра «Микроинформ», ведущего специалиста в области организации менеджмента информационной безопасности Чарлза Паска (Charles Pask).
егодня информация — это важнейшая часть активов любой компании. Эффективный контроль над этими активами, их защита от несанкционированного доступа, хищения и любого иного не предусмотренного регламентом использования приобретает для компаний, да и для всего мирового сообщества одно из первостепенных значений.
Современный бизнес активно поддерживает развитие технологий «открытых сетей», обеспечивающих оперативный доступ к информации и различным сервисам в любое время и в любом месте. Для реализации этих подходов широко используются различные современные Интернет-технологии, WAP-технологии, IVR (Interactive Voice Response), VPN (Virtual Private Networks) и др. Однако большинство пользователей этих услуг не слишком хорошо представляет себе, насколько при этом обеспечена защита информации, циркулирующей по каналам связи и хранящейся в базах данных. Существует некоторое противоречие между необходимостью обеспечения свободного и оперативного доступа к требуемой информации и ее защитой от несанкционированного доступа.
Российский мир бизнеса не является исключением. Он быстро развивается, каждый день появляется много новых компаний. Важное место в становлении и успехе бизнеса компаний занимает использование современных средств информационных технологий. Одна из проблем при этом состоит в том, что большинство информационных систем изначально разрабатывались только для использования внутри компании. Они не были рассчитаны на то, чтобы стать открытыми для внешнего мира. Уже одно это является источником серьезных проблем.
Широкое использование ИТ-технологий порождает множество вопросов, связанных с обеспечением информационной безопасности. При этом одной из серьезных проблем является осознание высшим руководством компаний наличия опасностей, возникающих вследствие применения указанных технологий, а также того факта, что руководитель несет персональную ответственность за обеспечение безопасности.
В последние годы при решении проблем информационной безопасности основное внимание уделялось использованию различных технологических решений на программном и аппаратном уровнях. В то же время результаты анализа ситуации многими экспертами по информационной безопасности убедительно показывают, что технологические решения позволяют обеспечить защиту лишь от некоторых опасностей. Многое здесь зависит от человеческого фактора, от участия конкретных сотрудников компаний в процессах обмена информацией, от использования ресурсов информационных систем. Даже из поверхностного анализа общепринятых мировых стандартов по информационной безопасности видно, что около 75% средств и методов защиты информации ориентированы на участие в этом персонала компаний.
Очень немногие организации проводят обучение своих сотрудников с целью повышения их знаний в области информационной безопасности. В большинстве организаций подобные мероприятия просто не предусмотрены бюджетом. В то же время зачастую основную опасность для организации представляют случайные или преднамеренные действия персонала. В данном случае понятие «персонал» включает всех штатных сотрудников и совместителей, субподрядчиков и третьих лиц, выполняющих обработку данных или работающих с информацией от имени организации.
Кен Шоретт (Ken M. Shaurette), старший советник по информационной безопасности компаний American Security Partners и MERIST, утверждает: «Невозможно решить проблемы безопасности с помощью одних только технологий. Все аспекты успешной и эффективной системы безопасности зависят от людей и процессов... До тех пор пока вопросы информационной безопасности не станут частью культуры, естественным условием ведения бизнеса и выполнения служебных обязанностей, наша критически важная ИТ-инфраструктура останется в значительной степени уязвимой».
Кен Катлер (Ken Cutler), управляющий директор Института информационной безопасности (Information Security Institute), утверждает: «Панацеи от всех проблем информационной безопасности не существует». В то же время в большинстве компаний все еще полагают, что может быть простое и быстрое решение этих проблем. Но это не так.
Относительно недавний опрос профессионалов индустрии информационной безопасности позволил сформулировать следующие основные проблемы:
- Недостаточная компетентность персонала, ответственного за вопросы информационной безопасности в компании; абсолютно неудовлетворительное отношение к обучению сотрудников компании.
- Недопонимание руководителями компаний прямой зависимости успеха бизнеса от информационной безопасности. Они осознают необходимость физической безопасности, но не предвидят последствий низкого уровня обеспечения информационной безопасности.
- Отсутствие постоянного внимания к вопросам информационной безопасности: при возникновении проблем вносятся некоторые коррективы, но процесс устранения источника проблемы не доводится до конца, что не исключает ее повторения в будущем.
- Ставка делается главным образом на межсетевые экраны.
- Отсутствие представления о том, сколько стоят информация и репутация.
- Распространено мнение, что проблемы исчезнут, если их игнорировать.
Опрос участников различных форумов и конференций по информационной безопасности в 2001 году показал, что наиболее насущными вопросами для обсуждения являлись следующие:
- Недостаточность оценок рисков.
- Недостаточная информированность в области безопасности.
- Недостаточность формализованной классификации информации.
- Недостаточное обеспечение непрерывности функционирования бизнеса в критических ситуациях.
Сегодня первостепенная роль в системе обеспечения информационной безопасности должна отводиться вопросам обучения персонала. Аллан Смит (Allan R. Smith), президент компании RISK Management утверждает: «Механический межсетевой экран сам по себе — не решение проблемы. Я постоянно говорю: информационная безопасность — это позиция. Если организация не привержена идее просвещения своих сотрудников, как кадровых, так и временных, то, к сожалению, она может оказаться на месте преступления в качестве жертвы. Информационная безопасность начинается с обучения и существует только благодаря твердо занятой позиции».
В настоящее время возможность пройти подготовку по самым современным курсам проблематики информационной безопасности появилась и в России. Американская компания MIS Training Institute — ведущий учебный центр по подготовке специалистов в области информационной безопасности и российская компания «Микроинформ» объединили свои усилия для того, чтобы предложить российскому ИТ-рынку сертифицированные программы подготовки и руководителей, и технических специалистов в области информационной безопасности. Тематика обучения для руководителей включает вопросы стратегии и политики информационной безопасности, законодательные аспекты проблемы, вопросы информированности персонала в области информационной безопасности, а также сетевую безопасность. Для технических специалистов читаются более подробные практические курсы, цель которых заключается в повышении их квалификации в области защиты сетей, безопасности использования возможностей Интернета, WAP-технологий и т.д.
Предлагаемые курсы объединены в две сертификационные программы. Первая программа — «Управление информационной безопасностью организации» — предназначена для руководителей служб информационной безопасности компаний, консультантов и аналитиков в области защиты информации. Вторая — «Защита периметра сети» — ориентирована на технических специалистов по проектированию систем информационной защиты, администраторов сетей, решающих проблемы обеспечения безопасности периметра сети. Обе программы состоят из четырех курсов продолжительностью 2-3 дня каждый. По завершении каждого курса слушатели получают соответствующее свидетельство MIS Training Institute. Прослушав все четыре курса, они получают квалификационный сертификат MIS Training Institute, подтверждающий уровень знаний специалиста по выбранной программе.
Представители более 25 российских организаций приняли участие в первых курсах предложенных программ подготовки специалистов. Слушателями стали сотрудники организации банковского сектора — «Сбербанк», «Альфа-Банк», «ДельтаБанк», промышленности — «Газпром», «Связьтранснефть», «GM-АвтоВАЗ», «Норильский Никель», а также зарубежных компаний — KPMG, Ernst and Young, Xerox, Philip Morris. Такое представительство демонстрирует серьезность подхода этих крупных компаний к проблемам обеспечения информационной безопасности.
Некоторые наиболее часто задаваемые на курсах вопросы звучали примерно следующим образом: какие у нас должны быть политики безопасности, как следует разработать и представить менеджменту компании стратегию безопасности, как показать создание добавленной стоимости, как проще добиться желаемого результата, как правильно обосновать выделение необходимых средств для решения проблем информационной безопасности?
Профессионал в области информационной безопасности должен знать ответы на эти и многие другие вопросы. Очень хорошая отправная точка — стандарты ISO 17799 и BS7799. Они обеспечивают разумный базовый подход к информационной безопасности и должны служить основой для дальнейшего развития. Я часто повторяю, что «плагиат — это первый шаг к оригинальной мысли», и использование этих стандартов — экономически очень эффективный способ начать формирование вашей программы информационной безопасности. Кроме того, многие российские организации начинают разрабатывать собственные политики и стандарты, отвечающие конкретным условиям функционирования их организации. Слушатели семинаров MIS Training Institute, кроме усвоения программ курсов, имеют возможность встретиться с близкими по духу профессионалами, наладить и развить отношения с коллегами. Это, в свою очередь, облегчает обмен идеями и документацией, которые не считаются коммерческой тайной и не являются секретными для конкурентов.
Во всех организациях, представители которых посещали семинары MIS Training Institute, идет процесс модернизации или создания новых политик информационной безопасности. Параллельно все эти организации изучают элементы, необходимые для реализации эффективных стратегий информационной безопасности, программы повышения информированности, методы оценки риска, архитектуры безопасности, стандарты и образование в области безопасности. Все они сегодня осознают необходимость информировать персонал о его обязанностях. Они сталкиваются с теми же сложными задачами, что и их коллеги в других странах. Ответственность за информационную безопасность лежит на всем коллективе предприятия, а не только на руководителе подразделения информационной безопасности и его подчиненных.
Еще одна сложная задача, стоящая перед российскими организациями, — обеспечение соблюдения законодательства. Российское правительство, с одной стороны, стремится способствовать развитию бизнеса, а с другой — пытается создать структуру контроля над бизнесом. В этом Россия не отличается от любой другой европейской страны. Необходимо осуществлять эффективные контроль и руководство, чтобы и экономика страны процветала, и население России не страдало от компаний, которые нерачительно относятся к своим активам. Главная проблема состоит в том, чтобы определить, какие существуют нормативные акты, относящиеся к этой области, и где их можно получить.
Николай Самодаев из компании KPMG (Москва) говорит: «В центре внимания действующего российского законодательства по информационной безопасности находится в первую очередь деятельность государственных учреждений или предприятий, при этом законодательство имеет целью обеспечить национальную безопасность и защиту государственной тайны. Оно также определяет порядок государственного лицензирования или сертификации широкого круга продуктов и услуг, подпадающих под действие указанных выше нормативных актов. Тем не менее, если посмотреть шире, становится понятно, что некоторые коммерческие организации, которые работают с государственными структурами и, как следствие, собирают или обрабатывают любого рода информацию, могут также рассматриваться как государственные организации с точки зрения нормативных актов по информационной безопасности. Это относится в первую очередь к финансовым учреждениям, таким как банки, страховые компании, пенсионные фонды и т.д.
Все информационные технологии, используемые для криптографии (шифрования или дешифрования) должны сертифицироваться государственными органами. Любая деятельность, связанная с информацией, считающейся государственной тайной или являющейся частью национальной безопасности, также должна лицензироваться.
Следует отметить, что в действующих нормативных актах в основном рассматриваются технические моменты информационной безопасности, а основные аспекты бизнеса едва затрагиваются.
Нынешнее состояние информационной безопасности в российской организации, на мой взгляд, может быть описано следующим образом:
- менеджмент компании обычно недостаточно понимает и, следовательно, вряд ли будет разрабатывать свои собственные правила информационной безопасности: политики, стратегии, процедуры и т.д.;
- ответственность за постановку и решение проблем информационной безопасности лежит в основном на персонале ИТ, а руководители компаний в большинстве случаев не считают это своей обязанностью;
- персонал ИТ при решении задач информационной безопасности руководствуется только своим пониманием проблемы и своим уровнем подготовки;
- во многих случаях существует разрыв в контроле за информационными ресурсами со стороны служб ИТ и информационной безопасности.
Нельзя, однако, не заметить, что за последние два года отношение руководителей компаний к проблеме информационной безопасности существенно изменилось. Многие компании сейчас работают над этой проблемой или хотели бы знать об информационной безопасности больше».
Важно, чтобы российское правительство осознало необходимость в ясном и доступном законодательстве по вопросам информационной безопасности. А пока сегодня поиск соответствующей законодательной информации часто напоминает поиск иголки в стоге сена.
В то же время незнание закона, как известно, не освобождает от ответственности, и активно способствовать решению данной проблемы могло бы создание Web-сайта, содержащего всю необходимую информацию по проблематике информационной безопасности и ссылки на законодательство по той или иной проблеме. На таких Web-сайтах наиболее передовые компании могли бы помещать свои предложения по совершенствованию действующих нормативных актов, тем самым содействуя законодательным органам в повышении эффективности их деятельности.
КомпьютерПресс 3'2002