В данном материале приводятся оценки ситуации в сфере защиты информации американских специалистов из Альянса безопасности Интернета (ISAlliance), Национальной ассоциации производителей (NAM) и экспертов RedSiren Technologies Inc.

Целью проведенного опроса 227 специалистов в области информационной безопасности в ряде стран мира было выяснение ситуации в области информационной безопасности, сложившейся после трагических террористических нападений на Центр международной торговли и Пентагон в сентябре 2001 года.

По результатам опроса, большинство респондентов согласились с тем, что информационная безопасность сегодня – ключевой вопрос и его значение постоянно возрастает. 88% опрошенных считают, что информационная безопасность существенна в деле обеспечения устойчивости их бизнеса и деловой жизнеспособности, но 30% сообщили, что их критическая деловая информация защищена пока недостаточно. 45% респондентов практически не готовы к решению проблем в области информационной безопасности и кибертерроризма, и в случае возможной атаки им скорее придется закрыть свой бизнес, чем восстанавливать его «с нуля».

Таким образом, большинство организаций уже занимают правильную позицию и реально оценивают степень важности компьютерной безопасности, однако многие руководители компаний по-прежнему неадекватно воспринимают угрозу безопасности информации.

Несмотря на то что 91% опрошенных признают значение информационной безопасности, 30% считают, что их компании в настоящее время не могут быть оснащены надежным оборудованием. 40% респондентов считают информационную безопасность сегодня более важной, чем до событий 11 сентября 2001 года. Почти две трети опрошенных (67%) сообщили, что руководство их компаний выделило проблемы информационной безопасности в число приоритетных. Однако 39% полагают, что их предложения по совершенствованию информационной безопасности не были восприняты руководством должным образом.

Интересно, что проблема кибертерроризма «расколола» опрошенных на два лагеря: 48% ответили, что известные события сделали их «более заинтересованными» в противодействии кибертерроризму, столько же человек затруднились назвать какие-либо изменения в своих планах.

Результаты опроса также свидетельствуют о значении распределения ресурса в обеспечении адекватной безопасности. 47% опрошенных сообщили, что у них еще до событий 11 сентября были необходимые ресурсы. Столько же респондентов отметили, что прошлым годом, 38% указали, что эта тенденция сохранится и в 2003 году.

Более 50% компаний имели достаточный уровень физической и информационной безопасности, а также разработали и реализовали соответствующую политику еще до событий 11 сентября 2001 года.

Почти 40% предприняли меры по усовершенствованию средств защиты во всех областях, включая информационную. Это свидетельствует о том, что организации уже пересмотрели свои позиции по отношению к целому ряду категорий рисков, воспринимаемых ими раньше как несущественные. Многие респонденты рассказали, по крайней мере об одном, нападении на их информационную систему в прошлом году; 25% сообщили об 1–5 нападениях; 10% – уже о 6–20 нападениях и 17% – о более чем 20 нападениях.

Однако 18% не знают, сколько раз их организации были атакованы. Результаты проведенного анализа подтвердили, что высшее руководство осознает необходимость совершенствования подходов к решению задач в области информационной безопасности. Проблемы кибербезопасности и угрозы конфиденциальности становятся для топ-менеджмента более осязаемыми. Однако пока уровень предпринимаемых мер остается неадекватным угрозам.

Эксперты отмечают, что целями любого проекта в области защиты информации компании должны быть:

• активная эффективная защита;
• обеспечение конфиденциальности коммерческой информации;
• гарантии клиенту;
• повышение гражданской и уголовной ответственности за нарушения в сфере защиты информации.

Для их достижения весь процесс обеспечения надежной защиты должен охватить стратегию компании и организационные аспекты. Решению этих задач может способствовать обучение персонала компании, которое дожно быть направлено на повышение степени осознания ими рисков, связанных с использованием информационных систем.

Обеспечение информационной безопасности должно стать приоритетным направлением деятельности компании, затрагивать всю организацию и корпоративную культуру компании, изменяя ее стратегию, структуру, системы, навыки персонала. Именно за таким подходом будущее построения систем защиты информации. Только так можно создавать надежные и устойчивые информационные системы.

Информационная безопасность означает гораздо больше, чем простое добавление нескольких программно-аппаратных средств безопасности к уже существующим средствам: должна быть создана рабочая среда, в которой присутствует необходимое представление о важности защиты информации и существуют способы анализа уязвимости системы.

Первый шаг в осуществлении эффективной стратегии защиты информационной системы – формирование политики безопасности компании. Эта политика должна определять правила использования системы и управления организацией. Ее цель заключается именно в том, чтобы продвинуть безопасное использование и управление информационными системами на уровень управления всей компанией.

С 2 млрд евро в 2000 году до 7 млрд евро в 2005 году. Наиболее стремительным будет рост в области систем авторизации, администрирования и аутентификации в ущерб использованию межсетевых экранов и антивирусных программ. Такой уровень расходов оправдан тем, что количество инцидентов в области безопасности значительно возросло. По статистическим данным CERT (Computer Emergency Response Team), в 1999 году было зафиксировано 3859 инцидентов, в 2001-м – уже 34754!

Результаты обзора, опубликованного в апреле 2001 года компанией Sirmi, свидетельствуют, что увеличение количества проектов в области создания систем интерактивной торговли и банковских услуг приведет к распространению следующих технологий обеспечения защиты информации: протокол SSL – 70%, третья доверенная сторона (центры доверия) – 60% и протокол SET – 28,3%. Их использование обусловит возрастание популярности смарт-карт и электронных денег (оба пункта вместе – 15%). Опрос 600 компаний, проведенный компанией Sirmi, показал, что для обеспечения безопасности коммуникаций в Сети используются такие решения: 65,2% – пароли; 47,3% – межсетевые экраны; 15,1% – аппаратное разделение внутренней и внешней сетей; 8,4% – методы криптографической защиты.

Согласно результатам исследования, выполненного компанией Colt-Idc, процедуры безопасности для физической защиты оборудования реализованы в 32% компаний. Стандартная стратегия, используемая 81%, состоит в том, чтобы «запереть» сервер, а также регистрировать вход/выход в систему и все соединения. Достаточно широко для аутентификации используются различные токены (36%) и смарт-карты (24%); 20% респондентов выбрали непрерывный контроль действий в системе и только 3% – биометрические системы контроля доступа.

Таким образом, результаты анализа в области информационной безопасности и защиты информации показывают, что сегодня для большинства компаний не характерен систематический и комплексный подход к решению проблем защиты информации. Как правило, эти вопросы решаются, что называется, постфактум, от случая к случаю, без четкой программы действий.

В чем причина сложившейся ситуации?

Понятно, что обеспечить абсолютную защиту информации невозможно, как невозможно создать абсолютную броню. Однако это утверждение справедливо только в том случае, если мы рассматриваем броню как таковую, а не как элемент системы обеспечения устойчивого функционирования боевой машины. Именно в системности и комплексности решения стоящих задач и заключается положительный результат.

Рассмотрим несколько примеров. В некоторой компании А развернута одна из наиболее совершенных и дорогих систем обнаружения вторжений, однако информационная система продолжает подвергаться атакам, нередко успешным. Компания А, несмотря на значительные капиталовложения в средства защиты информации, продолжает нести убытки.

В чем же причина? Анализ показывает, что на принятие ре 50 серверов и 200 рабочих станций) требуется примерно 15–20 минут. В то же время опытному и подготовленному хакеру на преодоление средств защиты, установку специального программного обеспечения и скрытый уход достаточно 8–10 минут. Здесь мы сталкиваемся с одной из наиболее серьезных проблем, когда нарушитель способен действовать внутри цикла управления администратора безопасности, навязывая ему свой темп событий, реагировать на который специалист компании не в состоянии.

Другой пример. Компания В установила систему антивирусной защиты. Кроме того, в ней развернута подсистема резервного копирования и восстановления данных в информационной системе. Однако после очередной эпидемии нового вируса компания понесла серьезные убытки, связанные с вирусным поражением части информационных ресурсов. В чем проблема? Большинство специалистов в области защиты информации знает, что современные антивирусные системы несовершенны. При появлении нового вируса компании-разработчики антивирусов могут предоставить вакцину не ранее чем через 24 часа после обнаружения опасности. Все это время системы остаются незащищенными от вирусной атаки. Спасти ситуацию в данном случае могло бы четкое выполнение плана восстановления бизнеса или обеспечения его непрерывности. Таковых в компании не существовало.

Подобных примеров можно приводить достаточно много. Однако всех их объединяет важное обстоятельство – ни в одной из компаний не было СИСТЕМЫ защиты информации. Да, были развернуты определенные средства, задействован персонал, но качественного изменения характеристик, возможного только при тесной интеграции всех процессов защиты информации в единое целое, не обеспечивалось. В связи с этим наиболее актуальной задачей становится интеграция средств защиты информации в единую систему. Ее построение должно быть основано на четком представлении руководства компании о тех угрозах и возможных последствиях для бизнеса, которые исходят из информационной сферы деятельности компании. Позиция топ-менеджмента отражается в политике информационной безопасности компании.

Выявить угрозы и каналы их реализации, оценить вероятность возникновения нежелательного вмешательства и возможный ущерб от него можно только после тщательного и всестороннего аудита информационной системы. Лишь тогда можно говорить о том, какие средства защиты, в каком количестве и где должны быть установлены.
Большое значение имеет организационно-методическое обеспечение работ по защите информации: должны быть разработаны методики оценки рисков, инструкции персоналу системы и подразделению защиты информации и др. Причем все документы должны быть взаимоувязаны между собой.

Немаловажную роль в обеспечении защиты информации играет уровень подготовки персонала, его способность четко и слаженно действовать в чрезвычайных обстоятельствах. Здесь ключевая роль отводится администратору безопасности, его человеческим и профессиональным качествам. Таким образом, на у столько размеры капиталовложений в эту сферу, сколько четкая и грамотная увязка уже имеющихся средств защиты.

Сергей Гриняев

Источник: http://www.connect.ru/article.asp?id=3305

Теги: Россия , угроза