Информационная безопасность: подходы и реализация
Статья посвящена современному состоянию обеспечения информационной безопасности бизнеса и подходам к ее развитию.
Рассматривая современную ситуацию в области обеспечения информационной безопасности бизнеса, следует отметить практически зачаточное состояние данного направления в промышленном и торговом секторах экономики.
Лучше всего данное направление развито в банковском секторе экономики вследствие гораздо большей динамики развития данного сектора за последние годы, хотя и здесь положение не всегда можно назвать удовлетворительным. В финансовом секторе экономики всегда существовало единодушие по поводу направления развития — «на Запад», в отличие от промышленного сектора, где, как и в обществе, мнения разделились. Таким образом, банки без особых дискуссий следовали общемировым тенденциям в развитии своей информационной деятельности, более того — в секторе розничных операций с банковскими платежными карточками банки практически повсеместно внедрили программные продукты западной разработки, что заставило наследовать и соответствующие регламенты функционирования.
В промышленном и торговом секторах этого не произошло, хотя идеальные сценарии развития серьезного бизнеса редки и во всем мире. Так, в последнее время мы все чаще слышим о рейдерских «недружественных» поглощениях. Однако можно предположить, что доступной для публичного обсуждения оказывается только малая часть всех случаев вторжения в чужой бизнес, а любое вторжение всегда начинается с обеспечения доступа к чужой информации.
Тем не менее вопросы информационной безопасности — это не только гарантия конфиденциальности информации, но и контролируемое обеспечение ее доступности и целостности.
Украина, к примеру, согласно опубликованным недавно оценкам, теряет 1-3 млрд долл. прямых иностранных инвестиций вследствие отсутствия на национальной территории корпоративной культуры. Организация информационной безопасности на основе международных рекомендаций и сложившейся положительной практики дает возможность управления не только теми ресурсами, которые надо хранить, но и тем, что может и должно способствовать формированию позитивного имиджа компании у акционеров и в обществе. Показательным является тот факт, что крупнейшие банки без особых проблем оказались приобретенными иностранными инвесторами и стали единственным островком на Украине, который может разговаривать с международным бизнесом на одном языке. Наличие в банках осмысленной деятельности по обеспечению информационной безопасности является одним из существенных факторов серьезной кооперации с мировым бизнесом.
Конечно, во многих странах СНГ еще очень далеко до появления реально публичных компаний и формирования настоящего фондового рынка. Тем не менее средний бизнес уже имеет все условия для рыночного функционирования и конкуренции. Именно конкуренция привела к тому, что после периода «производить и продавать» мы постепенно переходим к общемировой тенденции бизнеса — «воспринимать и реагировать». Бизнес стал прежде всего информационным, и сегодня ни масштабы, ни мощность предприятия не обеспечивают ему никаких гарантий, если оно не способно оперативно реагировать на рыночную конъюнктуру, а значит, не может добывать критическую информацию из всех доступных источников, в том числе у самих конкурентов.
Что можно понять при проведении аудита информационного обеспечения деятельности даже тех предприятий, которые являются лидерами какого-либо сектора экономики?
Во-первых, только на единичных предприятиях хоть в каком-то виде существует регламент обеспечения информационной безопасности. При этом, согласно общепринятой практике, в кадровых договорах предусмотрен раздел по конфиденциальности информации. Однако, с одной стороны, прямо трактуя типичные положения данного раздела, любой сотрудник может быть обвинен в их нарушении, так как туда, по сути, «свалено» все. С другой стороны, данные разделы не имеют под собой регламентной базы, основой которой является классификация информации, циркулирующей в организации, с учетом оценки ее информационной критичности для бизнеса.
В настоящее время информацию в основном классифицируют, исходя из ее конфиденциальности, практически полностью игнорируя ее доступность и целостность, что, в принципе, объяснимо. Однако стоит понимать, что одной конфиденциальности не просто мало, а критически мало.
Совершенно очевидно, что статус конфиденциальности информации является времязависимым, так же как и все окружающее. Любая информация, даже составляющая государственную тайну, со временем теряет свою актуальность и переходит в разряд потенциально общедоступной. Бизнес-информация предприятия тоже со временем должна менять категорию конфиденциальности. Однако существует ли у вас на предприятии понятие жизненного цикла информации? Ведь информация устаревает, а следовательно, ваши конфиденциальные отчеты, созданные вчера, и аналогичные отчеты за позапрошлогодний год — это совсем разная информация. Зачем же тратить впустую деньги, обеспечивая им одинаковую защиту? Можно возразить: есть информация, остающаяся конфиденциальной и даже строго конфиденциальной много лет. Да, конечно есть! Но так ли ее много? Все это неуклонно приводит нас к понятию регламента управления информационной безопасностью.
Сегодня можно с уверенностью утверждать, что промышленных предприятий, на которых утвержден и применяется регламент управления доступностью информации, очень мало.
Непонятно почему, но эту работу, как правило, стараются свалить на все тот же многострадальный ИТ-департамент. Однако правильно ли это? Ведь в таком случае, во-первых, безопасность обеспечивают совсем не те люди, которым по статусу положено этим заниматься, а во-вторых, вопросы безопасности решаются по остаточному принципу.
Основные угрозы информационной безопасности в основном связаны с деятельностью собственного персонала, хотя современное предприятие уже имеет широкие телекоммуникационные внешние связи, которые могут быть подвержены несанкционированному мониторингу и атакам. Как показал опрос, проведенный компанией InfoWatch, более 56% атак осуществляется изнутри компании. Таким образом, основного внимания требует собственный персонал, его удовлетворенность и лояльность, квалификационный уровень, мотивация и т.п. В отношении вопросов информационной безопасности сегодня можно уверенно констатировать, что на подавляющем большинстве предприятий сотрудник в лучшем случае знает, что о предприятии говорить нельзя ничего и никому и что пароли необходимо периодически менять. В продвинутых компаниях сотрудник получает предупреждение, что пароль следует сменить в течение ближайших n дней. Однако и там вопросы парольной защиты, как правило, не на должной высоте. Служащие подразделений информационной безопасности и ИT-специалисты подтвердят вам, что зачастую сотрудники записывают пароль на стикере, прикрепленном к монитору, на обратной стороне клавиатуры или в каком-либо ином месте.
Вместе с тем система обеспечения информационной безопасности не может сводиться только к компьютерам и телекоммуникационным сетям. Однако вследствие резкого роста объема информации, циркулирующей в цифровом виде приоритет программно-технических и организационных мероприятий по управлению доступом к информации, конечно, постоянно возрастает.
Итак, допустим, предприятие имеет:
- классификатор информации с указанием степени ее конфиденциальности, целостности и доступности и порядка изменения степеней этих параметров во времени;
- регламент управления информацией и обеспечения ее защиты;
- подразделение, которому поручено управление соответствующими мероприятиями.
Понятно, что защита информации стоит денег — дело это всегда было недешевым, и бюджет таких мероприятий должен быть экономически и финансово обоснован. Предприятие должно рассчитать ту сумму средств, которая может быть рационально потрачена на управление информацией предприятия — ведь стало же в «новые времена» стабильным существование статей, касающихся рекламных и представительских расходов.
Опуская обсуждение мероприятий по защите документов и переговоров, остановимся на особенностях функционирования современных компьютерных информационных комплексов с точки зрения безопасности.
Можно выделить следующие уровни защиты информации:
- уровень операционной системы;
- сетевой и телекоммуникационный уровни;
- уровень баз данных;
- уровень логики приложения;
- уровень интерфейса.
Согласованное управление защитой информации на всех уровнях — это задача, которая может быть отнесена к категории «некорректно поставленных», поскольку она не имеет оптимального решения.
Рассматривая данные уровни независимо, необходимо отметить, что уровень защиты данных, предоставляемый операционной системой, как правило, эксплуатируется при наличии установок по умолчанию — действительно, зачем лезть туда, где ничего не понимаешь? Правильно ли это? Конечно же нет! Более того, большинство атак стали успешными именно в силу использования установок по умолчанию.
На сетевом и телекоммуникационном уровнях преимуществом является то, что здесь достигнута действительно высокая степень унификации и стандартизации. Хотя в особых случаях на этом уровне тоже целесообразно воспользоваться имеющейся вариативностью.
Уровень базы данных все больше «погружается» в приложения и все меньше остается фактором эксплуатирующей организации. Если в начале — середине 90-х годов в СНГ не было предприятия, сотрудники ИТ-службы которого не разрабатывали бы свой R/3 или хотя бы свою «1С», то сегодня таковые уже практически отсутствуют и с уровнем базы данных в основном имеют дело разработчики. Но при этом основной уровень информационных аспектов безопасности при взаимодействии с пользователем переносится на бизнес-логику программных приложений.
Что касается уровня информационной защиты программных приложений — это сегодня наименее стандартизованная часть рассматриваемой области, которая будет оставаться таковой и впредь. В начале 90-х годов один из авторов спросил как-то работника безопасности одного из швейцарских банков, можно ли ознакомиться со стандартами информационной безопасности программных приложений? Ответ оказался на первый взгляд неожиданным, но, тем не менее, очевидным: таких стандартов просто не может быть: если есть стандарт на «замок», то одновременно есть и на «ключ», то есть на «отмычку»! Действительно, стандартизация уровня информационной безопасности приложений — это уже просто неправильно поставленная задача, но тогда и деятельность на этом уровне тем более должна быть максимально осмысленной.
К сожалению, возможности, предоставляемые программными приложениями на данном уровне, часто не могут удовлетворить потребности предприятия. Это связано, например, с наличием возможности настройки сложных правил обеспечения доступа к информации: например, с требованием одновременно учитывать селективность: по контрагентам, по деятельности, по лимитному размеру сумм, по регионам и т.п. А приходилось ли вам сталкиваться, например, с возможностями временного управления доступностью исторических бизнес-данных предприятия? Другой вопрос, насколько востребованы и реально управляются имеющиеся возможности приложений.
С организацией деятельности по информационной безопасности дело обстоит в какой-то степени подобно той деятельности предприятий, которая в свое время осуществлялась при разработке программных приложений — возможности были более чем скромные, а «притязания» явно превышали «ожидания», говоря языком психологии.
Основная проблема сегодня состоит в том, что бизнес не понимает всей серьезности проблемы и пытается решить ее малой кровью за счет того, что передоверяет решение задачи отделам ИТ. Но правильно ли это? На наш взгляд — нет. Ведь, во-первых, отделы ИТ решают эти проблемы при наличии свободного времени и свободных средств, во-вторых, исключительно техническими средствами, а самое главное — никем не проверяется постановка задач по информационной безопасности и корректность их решения.
В идеале на предприятии должны существовать три самостоятельных подразделения: отдел (департамент) ИТ, отдел информационной безопасности и секторы аудита ИТ и аудита ИБ в отделе аудита компании, которые должны быть заняты проверкой соответствующих подразделений. Однако для этого необходимо решить целый ряд вопросов, что сегодня сделать достаточно сложно. Главный вопрос — это кадры. Ведь не секрет, что специалистов по информационной безопасности сейчас практически нет, и, в принципе, им неоткуда взяться.
Если рассмотреть положение в современном украинском образовании, то становится понятно, что, несмотря на огромное количество выпускников вузов, специалистов среди них с каждым днем все меньше и меньше. Причины тому очевидны, и обсуждение их выходит за рамки данной статьи. Хотелось бы лишь подчеркнуть следующее: если в ближайшее время положение на рынке информационной безопасности предприятий кардинально не изменится в лучшую сторону, то вопросы обеспечения информационной безопасности бизнеса могут постепенно перейти в категорию, относящуюся уже к области национальной безопасности.