Безопасность корпоративного информационного пространства

 

 

Алексей Чередниченко
ведущий консультант Symantec в России и СНГ
Itsec.Ru

 

Информационная безопасность в корпоративном секторе всегда была и остается непростой задачей. В условиях затяжного экономического кризиса руководители компаний, принимающие решения по финансированию проектов по ИБ, должны иметь веские основания и четко понимать, на что будут израсходованы деньги и какой это даст эффект. В этом случае методики анализа рисков и выявления реальных угроз становятся важным и эффективным практическим инструментом для руководителей, ответственных за состояние информационной безопасности в компаниях.

Практический подход

Многие сотрудники компаний считают такой подход слишком сложным и заумным, ратуя за применение так называемого "практического" подхода. Речь идет о том, что существует немалое количество организаций аналогичного профиля деятельности, которые уже выявили риски и построили модель наиболее вероятных угроз, подобрали и внедрили с помощью системных интеграторов наиболее соответствующие им решения, занимаясь теперь их совершенствованием и поддержкой. Идея подхода проста: используя данный опыт, делается попытка обосновать свой бюджет. В большинстве случаев - это ошибочный путь. Дело в том, что каждая организация имеет уникальные, присущие только ей особенности ведения бизнеса. Именно на таких особенностях строятся конкурентные преимущества компаний. Поэтому данное обоснование бюджета и "копирование" чужих готовых решений может создать условия, при которых станет возможным срабатывание на практике угроз, которые не были учтены при внедрении того или иного решения по защите информации. Таким образом, если мы хотим надежно защитить свое информационное пространство и еще преследуем цель оптимизировать затраты, то нам необходимо знать, чем мы владеем, поэтому обязательно должна быть сделана инвентаризация.

Оценка информации

Далее необходимо оценить и классифицировать информационные активы предприятия, оценить риски, а также выявить вероятные угрозы по отношению к этим активам. Только после этого можно правильно выбрать средства противодействия этим угрозам и сформировать наиболее рациональный бюджет, защита которого будет, как показывает практика, более простой задачей. Высшее руководство, как правило, более высоко оценивает собственную работу сотрудников и умение оперировать фактическими данными, нежели ссылки на сторонний опыт. Кроме того, сам выбор средств обеспечения безопасности информации постоянно усложняется из-за постоянных изменений как информационной среды, так и ее угроз.

Информация больше не остается в границах хорошо защищенной сети. Она доступна через Интернет или переносится на мобильных устройствах и копируется на портативные носители. Некогда четкие границы корпоративной сети почти полностью размыты.

Коммерциализация злонамеренной активности ведет к возникновению все новых и новых видов угроз нарушений в сфере ИБ.

Таким образом, как частные, так и государственные организации стоят перед выбором: с одной стороны, экономическая ситуация налагает ограничения на их бюджеты, с другой -они не могут допустить риска нарушения безопасности своих данных под страхом публичного позора, потерь бизнеса и крупных штрафов со стороны регулирующих органов.

Где же выход?

Нужно найти способ добиваться большего меньшими средствами и эффективнее управлять безопасностью и ИТ, то есть использовать рациональные средства автоматизации и системы, которые со временем можно было бы легко трансформировать или наращивать по своему усмотрению.

Однако такой эффективности трудно добиться с набором разрозненных решений. Даже если по отдельности они работают хорошо, гладкого взаимодействия между ними добиться трудно, ими гораздо сложнее управлять, да и обслуживающему персоналу придется тратить на них больше времени.

Поэтому важно везде, где возможно, интегрировать функции безопасности "под одной крышей" так, чтобы они могли эффективнее взаимодействовать и управляться с единой консоли.

Платформа защиты конечных информационных ресурсов

В 2007 г. аналитическая фирма Gartner отметила появление нового класса программного обеспечения, который она назвала "платформой защиты конечных информационных ресурсов" (Endpoint Protection Platform - EPP).

Важно отметить, что, соединяя в себе множество функций, ЕРР может обеспечить более высокую производительность, при этом она потребляет меньше ресурсов, проще в управлении и, конечно же, облегчает сопровождение лицензий. Более того, ее можно расширять, добавляя такие технологии управления доступом к сети (NAC) и защиты данных, как предотвращение утечки данных (DLP) и шифрование. Некоторые комплексы ЕРР решают также задачи управления жизненным циклом конфигурации ПК, например: управление конфигурацией системы безопасности, выявление ресурсов, установка исправлений и управление программным обеспечением.

Gartner указывает на явные преимущества такого подхода: "Объединяя несколько взаимосвязанных технологий в единую инфраструктуру управления, ЕРР обещают повысить безопасность, уменьшив сложность, стоимость и трудоемкость администрирования". Иными словами, ЕРР предоставляют компаниям возможность решить стоящую перед ними дилемму, обеспечивая лучшую защиту при меньших затратах.

Корпоративная безопасность - слабое звено

Комментарии экспертов

Максим Репин
специалист ОАО "Концерн ВЕГА"

Анастасия Сакулина
специалист ОАО "Концерн ВЕГА'

Существует множество угроз и рисков корпоративной безопасности. Большинство компаний научились справляться с ними. Но существует риск, вероятность появления которого очень сложно просчитать, это человеческий фактор. Умело используя навыки социальной инженерии и хорошую техническую подготовку, злоумышленник может обойти даже самую стойкую систему защиты. Нет смысла говорить о паролях, записанных на бумажке и спрятанных под клавиатуру, или об авторизации, отключенной на этапе входа в систему. Более серьезную опасность представляют собой сотрудники, неоднократно проходившие инструктаж по безопасности и абсолютно уверенные в своих силах, администраторы, имеющие непосредственный доступ ко всем данным, и сотрудники служб безопасности, играющие роль регулятора. Также поражает доверие людей к людям, выдающим себя за "сотрудников технической поддержки", причем как при личном контакте, так и по телефону.

Рассмотрим примеры

Пример 1. Специалист отдела поддержки входит в любой кабинет, рассказывает пользователю о глобальной кампании борьбы с вирусами и спрашивает пароль от его учетной записи, после чего спокойно скачивает нужную информацию без особых подозрений. И это притом, что многие видят его в первый раз.

Пример 2. "Специалист технической поддержки" звонит по телефону. Ему известно имя абонента, название подразделения и, вполне вероятно, кодовые слова, которые могут быть введены для проверки личности звонящего. Соответственно возникает атмосфера полного доверия, и человек готов выполнить почти любую просьбу. Коронным аргументом со стороны "специалиста технической поддержки" может стать ссылка на начальника и на то, как тот будет недоволен, если поручение не выполнить в срок.

Пример 3. Злоумышленник играет на подсознательном желании человека помочь коллеге. Представившись специалистом одного из отделов, он описывает, в какую сложную ситуацию вы попали, тем самым дает "жертве" почувствовать, что ее решение может быть очень веским. После этого он просит переслать счета, ведомости, накладные, списки сотрудников и т.п. на сторонний адрес электронной почты или другой факс.

В подавляющем большинстве эти просьбы будут выполнены. Даже если инциденты раскроются и виновные будут наказаны, утечка информации уже произошла. Как видно из примеров, система безопасности не могла стать преградой для злоумышленника, так как сотрудники сами выдавали все сведения.

Как же бороться с этой проблемой?

Одними из самых эффективных мер борьбы с "социальной инженерией" являются обучение и тренинги персонала. Не стоит ограничиваться обычным инструктажем - человек прочитает и забудет. Подписка о неразглашении корпоративной тайны также не всегда является барьером для человека, совершающего необдуманные поступки. А вот интерактивные занятия с приведением примеров поведения злоумышленника, с разбором возможных вариантов и отработкой ситуаций в группах будут очень полезны. Если инструкция по безопасности вызывает у персонала лишь сонливость и желание поскорее отделаться от надоедливых сотрудников службы безопасности, то активное мероприятие может пробудить в нем интерес.

Другой подход к проблеме, который будет наиболее эффективен в совокупности с первым способом, - это развитие корпоративной культуры. Если мы возьмем пример со "специалистом технической поддержки", то простейшим выходом из ситуации стал бы обыкновенный бейдж, содержащий Ф.И.О., название отдела, фотографию и телефон. Не так уж и сложно набрать номер отдела и убедиться, что такой сотрудник там числится, и он действительно выполняет программу по борьбе с вирусами. Ответный звонок, если не брать случаи инсайдерства, является очень действенным средством. Можно предварительно оповещать сотрудников о готовящихся работах, и тогда незваный гость сразу же вызовет недоверие и желание прояснить ситуацию у начальства.

Сложнее дело обстоит с администраторами, сотрудниками службы безопасности и подобными подразделениями, халатность которых может повлечь за собой большие проблемы. Контролером в данном случае является руководитель компании, поэтому особое внимание надо уделять отбору на этапе найма. Именно в этом случае применяют полиграф и подробную проверку досье. Очень распространена практика привлечения людей из своей команды.

От того, как построена работа с персоналом, зависит, будет ли ваша компания процветать или погрязнет в случаях инсайда и утечек ценной информации из-за халатности отдельных личностей.

 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2009