Компьютерная системы защиты информации

"Финансовая газета. Региональный  выпуск", 2011, N 10

КОМПЛЕКСНАЯ СИСТЕМА  ЗАЩИТЫ ИНФОРМАЦИИ

Актуальность проблемы, связанной  с обеспечением безопасности информации, возрастает с каждым годом. Наиболее часто потерпевшими от реализации различных  угроз безопасности являются финансовые и торговые организации, медицинские и образовательные учреждения. Если посмотреть на ситуацию десятилетней давности, то основной угрозой для организаций были компьютерные вирусы, авторы которых не преследовали каких-то конкретных целей, связанных с обогащением. Современные хакерские атаки стали более изощренными, организованными, профессиональными, разнообразными и, главное, имеющими конкретную цель, например направленными на хищение данных банковских счетов в конкретных банковских системах. Совершенствование сферы информационных услуг, особенно в сфере дистанционного банковского обслуживания, способствует развитию интеллекта киберпреступников.

Статистика подтверждает необходимость  комплексной системы защиты информации (КСЗИ). В России, как и за рубежом, она обусловлена двумя во многом пересекающимися группами факторов: требованиями бизнеса и законодательства.

К требованиям бизнеса относятся:

минимизация рисков, связанных с  утечками информации;

безопасность ключевых бизнес-процессов;

выполнение требований информационной безопасности в рамках договоров  с контрагентами.

Должный уровень информационной безопасности организации обеспечивает дополнительную привлекательность в лице партнеров, заказчиков или инвесторов.

В части российского законодательства основным стимулом для развития информационной безопасности является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (в ред. от 23.12.2010), требования которого распространяются практически на все российские организации. Для выполнения требований законодательства необходимо руководствоваться нормативно-методологической базой ФСТЭК России (в части, касающейся некриптографических методов защиты информации) и ФСБ России (в части, касающейся криптографических методов защиты информации), а также стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", который пока носит рекомендательный характер для финансовых организаций.

Распространение на российские организации  требований международных стандартов информационной безопасности, как правило, имеет добровольный характер. Однако некоторые виды деятельности требуют  обязательного выполнения международных стандартов, например стандарт PCI DSS является обязательным для выполнения банковскими организациями с собственным процессингом платежных карт.

Для построения комплексной системы  защиты информации необходимо понимание  руководством актуальности проблемы. Создание системы обычно закладывается и формулируется в документе "Политика информационной безопасности", доступность которого для каждого сотрудника - одно из многочисленных необходимых условий эффективного результата. Для разработки политики информационной безопасности следует провести подготовительную работу - выявить потребности бизнеса в области информационной безопасности (это первый этап построения системы). На этапе обследования к активному участию привлекаются руководители бизнес-подразделений, являющихся ключевыми с точки зрения критичности бизнеса. Результатом обследования становятся зафиксированные и формализованные потребности всех заинтересованных сторон в обеспечении информационной защиты.

Аудит и консалтинг в области информационной безопасности

организации

Преимущество привлечения стороннего консалтинга заключается в том, что заказчик получает оценку независимых  экспертов в области обеспечения  информационной безопасности. Например, в процессе работы команды консультантов может быть выявлена ситуация, связанная с отсутствием должного уровня документирования процессов информационного обеспечения бизнеса. Без него бизнес может стать заложником служб IT-обеспечения. Это может произойти в случае сбоя в ключевой информационной системе, отсутствия плана аварийного восстановления и необходимых инструкций администраторов информационных систем. Самая банальная ситуация - увольнение IT-специалиста без передачи дел замещающему его специалисту в достаточном объеме.

Подразделения, желающие скрыть недостатки своей работы, могут использовать нерешенность организационных вопросов в качестве причины для отказа в предоставлении информации, поэтому для беспрепятственной работы внешних специалистов решать эти вопросы необходимо заблаговременно - подписание договоров о неразглашении, назначение рабочих групп из состава как организации-заказчика, так и исполнителя с четким разграничением обязанностей и полномочий, заблаговременное информирование привлекаемых подразделений.

Для подтверждения соответствия требованиям международных стандартов информационной безопасности организация должна пройти сертификационный аудит. При проведении сертификационных аудитов к консалтинговым компаниям должно предъявляться требование о наличии необходимого статуса, позволяющего выполнять такие работы. Например, для проведения сертификационного аудита на соответствие международному стандарту защиты процессинга платежных карт PCI DSS консалтинговая компания должна иметь статус QSA (Qualified Security Assessor), а для проведения сертификационного аудита на соответствие международному стандарту системы менеджмента/управления информационной безопасности ISO 27001 - статус партнерства BSI (British Standards Institution).

Сертификационный аудит, как правило, длится несколько дней, его результатом являются получение или продление соответствующего сертификата либо набор замечаний и рекомендаций по их устранению.

Подготовка к сертификационному  аудиту - более длительный и сложный  процесс, который может длиться  месяцы или годы и требует взаимодействия бизнес-подразделений, служб IT-обеспечения, информационной безопасности и консалтинговой организации.

Предоставление услуг по защите информации, в соответствии с российскими  стандартами и законами, подпадает  под действие Федерального закона от 08.08.2001 N 128-ФЗ "О лицензировании отдельных видов деятельности" (в ред. от 29.12.2010), согласно которому организации, оказывающие услуги по защите информации, должны обладать соответствующими лицензиями и аттестатами, основными из которых являются (приведен далеко не полный перечень всех существующих лицензий):

лицензия ФСТЭК России на разрешение деятельности по технической защите конфиденциальной информации;

аттестат аккредитации органа по аттестации объектов информатизации ФСТЭК России;

лицензия ФСБ России на осуществление  технического обслуживания шифровальных (криптографических) средств;

лицензия ФСБ России на распространение  шифровальных (криптографических) средств.

Аттестация проводится для подтверждения  выполнения требований ФСТЭК России или ФСБ России, аттестующим органом  здесь может быть организация, имеющая  соответствующую аккредитацию органа по аттестации (документ, подтверждающий этот статус, тоже называется аттестатом). Аттестат соответствия также выписывается для автоматизированной системы.

Сертификация по требованиям стандарта - процедура, подразумевающая получение  организацией какого-либо международного статуса, например сертификата соответствия PCI DSS compliance или сертификата на соответствие системы менеджмента информационной безопасности требованиям международного стандарта ISO/IEC 27001:2005.

Во избежание путаницы необходимо обратить внимание на то, что требования сертификации в контексте российского законодательства распространяются на средства защиты информации. Так, сертификаты ФСТЭК России или ФСБ России распространяются на конкретное средство защиты, например антивирус или межсетевой экран, а сертификат ISO/IEC 27001:2005 - на организацию.

Сертифицированные специалисты

Ответ на вопрос о необходимости  наличия в штате организации  собственных специалистов по информационной безопасности однозначен - да, нужны. Внешний  консалтинг и аутсорсинг не смогут решить все вопросы информационной безопасности. При помощи консалтинга можно выявить и формализовать потребности бизнеса, грамотно обосновать необходимость затрат, написать проекты организационно-распорядительной документации, запустить комплекс технических средств, организовать его техническое сопровождение. Но многие функции отдавать внешним специалистам по разным причинам неправильно, например такие, как информирование высшего менеджмента, защита бюджетов, проведение расследований инцидентов информационной безопасности, организация работы по обучению и информированию персонала, контроль за соблюдением норм информационной безопасности в его организационной части, аудит действий администраторов автоматизированных систем.

Более того, любая заинтересованная в обеспечении информационной безопасности организация должна иметь в штате подразделение информационной безопасности, которое должно подчиняться высшему руководству и быть независимым от других подразделений. Наличие в штате организации специалистов, имеющих соответствующее образование, предусмотрено и законодательством. Например, наличие собственных систем дистанционного банковского обслуживания с применением технологий электронной цифровой подписи, т.е. средств криптографической защиты информации, автоматически подпадает под Закон о лицензировании отдельных видов деятельности, в частности требуется лицензия ФСБ России на обслуживание шифровальных (криптографических средств), а данная лицензия, как и все остальные лицензии ФСТЭК России и ФСБ России, связанные с деятельностью по защите информации, предполагает штатных специалистов по информационной безопасности.

П.Ерошкин

Начальник управления

информационной безопасности

компании "Техносерв"

Подписано в печать

09.03.2011

Ерошкин П. Комплексная система  защиты информации // Финансовая газета. Региональный выпуск. 2011. N 10. С. 15.

"Управление в кредитной организации", 2009, N 3

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - ФАКТОР ОБЕСПЕЧЕНИЯ

КОНКУРЕНТНЫХ ПРЕИМУЩЕСТВ

Кризисные процессы, происходящие в  экономике России, сделали более  контрастными давно существовавшие проблемы, позволили по-новому оценить  приоритеты и пути решения этих проблем. Всего год назад многие организации  бизнес-сообщества стремились к повышению капитализации и доходности. В современных условиях многие из них борются за само право на дальнейшее существование. Значительно в большей степени, чем прежде, они чувствительны к финансовым потерям.

Об усилении конкуренции и ее особенностях в настоящее время

В вопросе о продолжительности  стагнации российской экономики  мнения экспертов расходятся, но в  том, что она имеет место, согласны все. Например, глава Сберегательного  банка Российской Федерации, экс-министр  экономического развития и торговли Герман Греф считает, что Россия должна готовиться как минимум к трехлетней стагнации экономики.

Прямым следствием стагнации рынка  является усиление конкуренции, которое  становится одним из наиболее значимых факторов, влияющих на все сферы экономической жизни.

При этом необходимо учитывать, что  в настоящее время конкуренция  развивается в условиях объективно существующего высокого технологического уровня большинства производственных процессов и интеллектуального  уровня значительной части занятых в них специалистов. Нельзя не отметить, что в начале XXI в. в нашей стране произошли положительные сдвиги в высшей школе и особенно в системе корпоративного послевузовского обучения.

Внедрение современных информационных технологий

Сегодня от компании требуется больше мобильности в принятии решений, больше скорости, больше гибкости. Выполнение этих условий, эффективный менеджмент в целом невозможны без внедрения современных средств вычислительной техники.

Развитие бизнеса, удержание и  расширение доли на рынке, в том числе в кредитной сфере, все в большей степени связываются с использованием новых информационных технологий. Все больший объем информации создается, обращается, обрабатывается и накапливается исключительно в электронном виде. Это относится практически ко всей платежной информации и отчетности банков.

Так, в ближайшее время начнется внедрение системы передачи в  банки решений налоговых органов  о приостановлении операций по счетам налогоплательщиков в электронном  виде. Это обусловлено тем, что использовать, обрабатывать и сохранять информацию в электронном виде не только удобнее, надежнее, но и выгоднее. Хотя иногда и приходится слышать, что "без компьютеров было лучше", но это воспринимается уже только как шутка.

"Электронное правительство" - не дань моде, а насущная необходимость, условие успешного развития всех сторон социально-экономической жизни в нашей стране. Остаться в стороне от происходящих в сфере мировой информатизации процессов нам уже просто не удастся. Но с другой стороны, перевод информационных потоков в электронный вид требует и новых подходов к защите информации.

Несанкционированное копирование  и хищение значительных объемов  представляющих интерес данных в  электронном виде в отсутствие специальных  защитных систем осуществить тоже намного проще. Таким образом, эффективность внедряемых вычислительных информационных систем, целесообразность затрат на их создание во многом зависят от уровня безопасности, который они обеспечивают.

Роль подразделений информационной безопасности

Рассматривая рыночную стоимость  предприятий, современные маркетологи  пришли к выводу о том, что важнейшими ее составляющими являются: бренд, человеческий капитал и применяемые технологии.

В этом контексте, оценивая роль и  место подразделений информационной безопасности в организационной структуре, можно отметить, что данные подразделения своим трудом придают особое свойство предлагаемому организацией на рынке продукту - безопасность. Они непосредственно участвуют в формировании бренда, способствуют повышению квалификации персонала. Для того чтобы убедиться в этом применительно к кредитным организациям, достаточно, например, поинтересоваться у потенциального клиента, какому банку он доверит свои денежные средства - тому, где реально обеспечена информационная безопасность, или тому, где ее нет?

Итак, создавая в организации информационные системы, в которых обрабатывается и хранится информация, мы входим, не всегда при этом шагая "в ногу" и не всегда достаточно хорошо подготовленными, но все-таки входим в виртуальную реальность современного бизнеса. Делаем это не для забавы, а с целью решения конкретных жизненно важных задач. Успех во многом зависит от степени готовности к тем реалиям, которые ожидают нас в новом пространстве.

Источники угроз информационным ресурсам

Прежде всего необходимо ясно осознать, что в информационном пространстве уже сформировались основные группы участников, сложились свои специфические  законы и обычаи. Кроме этого, желательно по возможности четко определить, что же организация должна оберегать, применяя современные информационные технологии в бизнес-процессах.

Говоря о защищаемых ресурсах, прежде всего следует отметить персонал - и наиболее ценный, и уязвимый ресурс одновременно. В кредитных организациях к этому необходимо добавить работоспособность системы, денежные средства, платежную информацию, корпоративные базы данных.

Угрозы в отношении этих ресурсов, информационной безопасности и источники, откуда они исходят, детально описаны  в фундаментальных работах. Им посвящены  целые разделы соответствующих периодических электронных изданий. Такую информацию размещают на своих сайтах и разработчики защитного программного обеспечения. Публикуются сравнительные гистограммы, характеризующие частоту проявления различных угроз и наносимый в случае их реализации ущерб.

В данной статье не ставится цель детально анализировать угрозы и источники  этих угроз. Вместе с этим представляется целесообразным рассмотреть некоторые  особенности основных источников угроз  информационным ресурсам. Среди мотивов, побуждающих специалистов идти на преступления, совершенные с помощью компьютера, в порядке приоритетности можно выделить следующие:

- экономические выгоды (как в  плане получения денег, так  и в плане нанесения ущерба  конкурентам);

- PR-мотивы (создание выгодного имиджа себе и (или) очернение конкурента);

- месть (например, уволившему работодателю);

- самовыражение (попытки доказать  свое превосходство);

- стремление к познанию (попытки  экспериментально установить последствия  разрушительных действий);

- вандализм;

- развлечение.

Внешние угрозы

Хотя, по мнению экспертов, ущерб от внешних злоумышленников намного  ниже, чем от инсайдеров, начнем все-таки с них.

По оценкам ведущих иностранных  и российских аналитиков (в частности, аналитиков известной корпорации International Data Corporation - IDC), в 2007 - 2008 гг. произошли качественные изменения в составе внешних злоумышленников. В эти годы заметно уменьшилось число разрозненных вандалов-романтиков, основной целью которых было доказать свое индивидуальное техническое и интеллектуальное превосходство. На их место пришли хорошо организованные, самообучающиеся группы мотивированных специалистов, преследующих экономические или политические цели.

Различия в природе типов  внешних злоумышленников определяют и специфику их действий. Так, раньше хакер, преодолев защитные средства, нуждался в признании своих "заслуг" - он намеренно оставлял специфический след, хвастался. Теперь его задача - незаметно проникнуть в охраняемый ресурс, реализовать свои намерения и также незаметно его покинуть.

Одним из подтверждений этого вывода является относительное сокращение разносимых электронной почтой эпидемий неизбирательных вирусных инфекций. В этих условиях фиксация и документирование самого факта взлома требуют специальных  средств и значительно больших, чем ранее, усилий.

Другой распространенной формой враждебного  воздействия извне на информационные ресурсы стали массированные  атаки с использованием многочисленных специально созданных виртуальных  площадок на сайтах ничего не подозревающих респектабельных владельцев (так называемые ботнеты).

Примерно один из десяти веб-сайтов, проиндексированных крупнейшей поисковой  системой Google, содержит вредоносный  троянский код, способный заразить компьютер посетителя. К такому выводу пришел в 2007 г. исследователь Google Нильс Провос на основе анализа 4,5 млн веб-страниц.

Объединяясь, киберпреступники фактически сформировали доходный бизнес производства и продажи вредоносных программ, средств взлома защитных систем. Сами вредоносные программы совершили в эти годы переход от любительских к сложным профессиональным решениям.

В сети Интернет есть сайты, которые  предлагают помощь в создании новых  вирусов, при этом гарантируют их высокие "боевые", то есть разрушительные, качества. Одна из тенденций последнего времени - активизация разработок с целью разрушения средств защиты, устройств информационной безопасности.

Внутренние угрозы

Крайне опасны внутренние источники  угроз. Возвращаясь к ранее высказанной  мысли о превалирующей ценности персонала, следует подчеркнуть необходимость уделять серьезное внимание, во-первых, повышению уровня "грамотности" в области информационной безопасности и, во-вторых, лояльности по отношению к организации ее работников.

Первое поможет избежать весьма частных непреднамеренных и немотивированных действий, несущих серьезную угрозу работоспособности системы, целостности информационных ресурсов.

Второе будет способствовать удержанию  работников в организации, предотвратит "расползание" чувствительной информации, удержит работников от вредоносных действий в информационной системе. Именно легальный пользователь-инсайдер точно знает, где находится наиболее ценная информация и для кого она может представить интерес на рынке.

Проведенный в 2006 г. в рамках совместного  исследования Института компьютерной безопасности и ФБР США опрос среди крупных компаний показал, что атака изнутри крупной компании приносит убытки в среднем на 2,7 млн долл., а средняя атака извне - на 57 тыс. долл. Но особенно актуальной данная проблема стала в 2008 г. в период обострения мирового экономического кризиса.

Рассматривая вопросы борьбы с  нежелательными действиями легальных  пользователей, весьма важно предварительно провести анализ и описать наиболее важные участки с точки зрения возможности нанесения урона, точки входа, конкретные должности и пр. Конечно, они могут отличаться в различных структурах, однако имеются и общие моменты. Например, один из них заключается в том, что ключевыми объектами системы информационной безопасности являются системный администратор, работники подразделений информатизации и информационной безопасности в целом.

Как утверждают исследователи компании Cyber-Ark <1>, специализирующиеся на информационной безопасности и защите от утечек данных, 56% респондентов из числа офисных служащих признали, что боятся потерять работу в период кризиса. Но если вдруг до них дойдут слухи, что они все-таки попали под сокращение, 46% опрошенных намерены уйти не с пустыми руками. Они будут узнавать, что есть полезного в корпоративной сети, и, если сами ничего там не обнаружат, готовы предложить взятку знакомому специалисту подразделения информатизации, чтобы тот нашел для них что-нибудь ценное. Более половины респондентов уже приготовились к увольнению - скопировали ценную корпоративную информацию - базы данных, планы развития и т.д. - и будут использовать ее как козырь при поисках новой работы.

--------------------------------

<1> Электронная газета "Информационная  безопасность". 03.12.2008.

При угрозе сокращения опрошенные служащие, по их словам, готовы пренебречь этическими нормами - 71% точно будут использовать на новом месте работы конфиденциальные данные прежнего работодателя. Самое ценное, по их мнению, - это клиентские базы, контактная информация, планы и предложения, информация о продуктах, пароли и коды доступа.

Флэш-носители признаны исследователями  в качестве самого дешевого, незаметного  и поэтому наиболее часто используемого  инструмента для кражи больших  объемов данных. В качестве других "орудий преступления" применяют  фотокамеры, электронную почту, CD, персональные веб-хранилища, смартфоны, DVD, Skype, iPod и, как это ни странно звучит в цифровую эпоху, собственную память. Так, 7% британцев признались, что просто запоминают важную информацию.

Интересные данные о  ситуации в России приведены в ежегодном исследовании российского разработчика решений по обеспечению сохранности конфиденциальных данных компании Perimetrix "Инсайдерские угрозы в России": процесс внедрения специализированных систем защиты буксует и в сочетании с безнаказанностью инсайдеров стимулирует использование ими технических средств для хищения данных.

В подавляющем большинстве  случаев внутренние нарушители не несут  сколько-нибудь существенной ответственности. Наиболее распространенное наказание  для халатных сотрудников - формальные выговоры (45%), а для злонамеренных инсайдеров - увольнение (51%) без симметричного судебного преследования или материальных взысканий.

Не меньшую озабоченность вызывает и степень латентности внутренних нарушений: 42% респондентов затруднились определить количество утечек конфиденциальных данных. Это можно объяснить как нежеланием "выносить сор из избы", так и недостаточной информированностью специалистов о положении дел в корпоративных сетях. В тройку "призеров" по степени опасности среди каналов утечки респонденты вынесли мобильные носители (70%), электронную почту (52%) и Интернет (33%). Больше всего инсайдеров привлекают персональные данные (68%), финансовые отчеты и детали конкретных сделок (40%) <1>.

--------------------------------

<1> Электронная газета "Информационная  безопасность". 12.02.2009.

Число компьютерных преступлений растет быстрыми темпами, увеличиваются масштабы компьютерных злоупотреблений. Новое  исследование компании ScanSafe, занимающейся предоставлением онлайн-услуг в области безопасности, выявило 300%-ный рост объемов вредоносных программ в течение 2008 г. Характерно, что пики выбросов этих программ в мировую сеть пришлись на октябрь и ноябрь.

По оценкам специалистов США, ущерб от компьютерных преступлений увеличивается на 35% в год и составляет в настоящее время около 3,5 млрд долл. Сумма ущерба от среднего компьютерного преступления составляет 560 тыс. долл., а при традиционном ограблении банка - всего лишь 19 тыс. долл.

Проведенное в США исследование Identity Theft Resource Center (ITRC) выявило увеличение в 2008 г. числа инцидентов, в результате которых были утрачены данные. На электронные  взломы приходится 82,3%, на физические взломы и кражу бумаг - всего 17%. Только по официальным (далеко не полным) данным в 2008 г. 656 инцидентов были связаны с кражей информации. Это на 47% больше, чем в 2007 г. Основная часть утерянных данных не была защищена. Только в 2,4% из всех инцидентов данные были защищены криптографическими или иными серьезными способами, защищены паролем они были лишь в 8,5% случаев <1>.

--------------------------------

<1> ITRC 2009 Breach List.

Комбинированные источники угроз

Завершая тему источников угроз, необходимо отметить, что наибольшую опасность несут в себе организованные группы злоумышленников, которые включают внешних и внутренних нарушителей, действующих согласованно.

Международные усилия по борьбе с  киберпреступностью

Серьезность возникающих угроз, значительные материальные потери обусловили принятие на уровне государств самых разнообразных мер, направленных на борьбу с киберпреступлениями, стимулирование работ по обеспечению информационной безопасности. В большинстве стран приняты соответствующие законодательные акты, созданы специальные подразделения в правоохранительных органах.

Активно расширяется межгосударственное сотрудничество в данной области. Так, в середине марта текущего года исполняющий  обязанности заместителя директора  департамента ФБР США по борьбе с киберпреступностью Кристофер Пэйнтер заявил о расширении объединенной сети, предназначенной для быстрого реагирования на компьютерные преступления.

По его словам, в состав круглосуточной сети постоянной готовности входят уже 56 стран, что означает постоянное присутствие на связи их дежурного официального лица, готового помочь в предоставлении или сохранении необходимой информации.

Круглосуточная сеть киберполиции разных стран предназначена для  улучшения координации общих  действий, поскольку для интернет-преступлений зачастую используются сети скомпрометированных компьютеров, расположенных по всему миру.

Активно продвигаются законы, обязывающие  провайдеров услуг уведомлять о  любых цифровых утечках. Как заявил супервайзер Европейского департамента защиты данных Питер Гастингс, к 2011 г. такие законы могут быть ратифицированы во всех европейских государствах <2>.

--------------------------------

<2> www.vnunet.com.

Заметный вклад в необходимое  распространение знаний в области  информационной безопасности вносят различные профессиональные и отраслевые ассоциации, а также организации, непосредственно специализирующиеся на разработке методик, программных продуктов и аппаратных средств борьбы с киберпреступностью.

Обеспечение информационной безопасности

на уровне организаций

Повышение общего уровня компьютерной культуры всех пользователей, осознание  ими остроты существующих проблем  в области информационной безопасности являются важными условиями успешности усилий в борьбе со злоумышленниками.