
По мнению многих российских и зарубежных экспертов, повышение активности в области обеспечения безопасности информации в различных отраслях экономики связано с целым рядом причин: от угрозы террористических актов в отношении важных объектов экономики до несанкционированных действий конкурентов. Трагические события в США 11 сентября 2001 года заставили изменить взгляд на проблемы обеспечения конфиденциальности, целостности и доступности информационных ресурсов.
В данном материале приводятся оценки ситуации в сфере защиты информации американских специалистов из Альянса безопасности Интернета (ISAlliance), Национальной ассоциации производителей (NAM) и экспертов RedSiren Technologies Inc.
Целью проведенного опроса 227 специалистов в области информационной безопасности в ряде стран мира было выяснение ситуации в области информационной безопасности, сложившейся после трагических террористических нападений на Центр международной торговли и Пентагон в сентябре 2001 года.
По результатам опроса, большинство респондентов согласились с тем, что информационная безопасность сегодня – ключевой вопрос и его значение постоянно возрастает. 88% опрошенных считают, что информационная безопасность существенна в деле обеспечения устойчивости их бизнеса и деловой жизнеспособности, но 30% сообщили, что их критическая деловая информация защищена пока недостаточно. 45% респондентов практически не готовы к решению проблем в области информационной безопасности и кибертерроризма, и в случае возможной атаки им скорее придется закрыть свой бизнес, чем восстанавливать его «с нуля».
Таким образом, большинство организаций уже занимают правильную позицию и реально оценивают степень важности компьютерной безопасности, однако многие руководители компаний по-прежнему неадекватно воспринимают угрозу безопасности информации.
Несмотря на то что 91% опрошенных признают значение информационной безопасности, 30% считают, что их компании в настоящее время не могут быть оснащены надежным оборудованием. 40% респондентов считают информационную безопасность сегодня более важной, чем до событий 11 сентября 2001 года. Почти две трети опрошенных (67%) сообщили, что руководство их компаний выделило проблемы информационной безопасности в число приоритетных. Однако 39% полагают, что их предложения по совершенствованию информационной безопасности не были восприняты руководством должным образом.
Интересно, что проблема кибертерроризма «расколола» опрошенных на два лагеря: 48% ответили, что известные события сделали их «более заинтересованными» в противодействии кибертерроризму, столько же человек затруднились назвать какие-либо изменения в своих планах.
Результаты опроса также свидетельствуют о значении распределения ресурса в обеспечении адекватной безопасности. 47% опрошенных сообщили, что у них еще до событий 11 сентября были необходимые ресурсы. Столько же респондентов отметили, что прошлым годом, 38% указали, что эта тенденция сохранится и в 2003 году.
Более 50% компаний имели достаточный уровень физической и информационной безопасности, а также разработали и реализовали соответствующую политику еще до событий 11 сентября 2001 года.
Почти 40% предприняли меры по усовершенствованию средств защиты во всех областях, включая информационную. Это свидетельствует о том, что организации уже пересмотрели свои позиции по отношению к целому ряду категорий рисков, воспринимаемых ими раньше как несущественные. Многие респонденты рассказали, по крайней мере об одном, нападении на их информационную систему в прошлом году; 25% сообщили об 1–5 нападениях; 10% – уже о 6–20 нападениях и 17% – о более чем 20 нападениях.
Однако 18% не знают, сколько раз их организации были атакованы. Результаты проведенного анализа подтвердили, что высшее руководство осознает необходимость совершенствования подходов к решению задач в области информационной безопасности. Проблемы кибербезопасности и угрозы конфиденциальности становятся для топ-менеджмента более осязаемыми. Однако пока уровень предпринимаемых мер остается неадекватным угрозам.
Эксперты отмечают, что целями любого проекта в области защиты информации компании должны быть:
- активная эффективная защита;
- обеспечение конфиденциальности коммерческой информации;
- гарантии клиенту;
- повышение гражданской и уголовной ответственности за нарушения в сфере защиты информации.
Для их достижения весь процесс обеспечения надежной защиты должен охватить стратегию компании и организационные аспекты. Решению этих задач может способствовать обучение персонала компании, которое дожно быть направлено на повышение степени осознания ими рисков, связанных с использованием информационных систем.
Обеспечение информационной безопасности должно стать приоритетным направлением деятельности компании, затрагивать всю организацию и корпоративную культуру компании, изменяя ее стратегию, структуру, системы, навыки персонала. Именно за таким подходом будущее построения систем защиты информации. Только так можно создавать надежные и устойчивые информационные системы.
Информационная безопасность означает гораздо больше, чем простое добавление нескольких программно-аппаратных средств безопасности к уже существующим средствам: должна быть создана рабочая среда, в которой присутствует необходимое представление о важности защиты информации и существуют способы анализа уязвимости системы.
Первый шаг в осуществлении эффективной стратегии защиты информационной системы – формирование политики безопасности компании. Эта политика должна определять правила использования системы и управления организацией. Ее цель заключается именно в том, чтобы продвинуть безопасное использование и управление информационными системами на уровень управления всей компанией.
С 2 млрд евро в 2000 году до 7 млрд евро в 2005 году. Наиболее стремительным будет рост в области систем авторизации, администрирования и аутентификации в ущерб использованию межсетевых экранов и антивирусных программ. Такой уровень расходов оправдан тем, что количество инцидентов в области безопасности значительно возросло. По статистическим данным CERT (Computer Emergency Response Team), в 1999 году было зафиксировано 3859 инцидентов, в 2001-м – уже 34754!
Результаты обзора, опубликованного в апреле 2001 года компанией Sirmi, свидетельствуют, что увеличение количества проектов в области создания систем интерактивной торговли и банковских услуг приведет к распространению следующих технологий обеспечения защиты информации: протокол SSL – 70%, третья доверенная сторона (центры доверия) – 60% и протокол SET – 28,3%. Их использование обусловит возрастание популярности смарт-карт и электронных денег (оба пункта вместе – 15%). Опрос 600 компаний, проведенный компанией Sirmi, показал, что для обеспечения безопасности коммуникаций в Сети используются такие решения: 65,2% – пароли; 47,3% – межсетевые экраны; 15,1% – аппаратное разделение внутренней и внешней сетей; 8,4% – методы криптографической защиты.
Согласно результатам исследования, выполненного компанией Colt-Idc, процедуры безопасности для физической защиты оборудования реализованы в 32% компаний. Стандартная стратегия, используемая 81%, состоит в том, чтобы «запереть» сервер, а также регистрировать вход/выход в систему и все соединения. Достаточно широко для аутентификации используются различные токены (36%) и смарт-карты (24%); 20% респондентов выбрали непрерывный контроль действий в системе и только 3% – биометрические системы контроля доступа.
Таким образом, результаты анализа в области информационной безопасности и защиты информации показывают, что сегодня для большинства компаний не характерен систематический и комплексный подход к решению проблем защиты информации. Как правило, эти вопросы решаются, что называется, постфактум, от случая к случаю, без четкой программы действий.
В чем причина сложившейся ситуации?
Понятно, что обеспечить абсолютную защиту информации невозможно, как невозможно создать абсолютную броню. Однако это утверждение справедливо только в том случае, если мы рассматриваем броню как таковую, а не как элемент системы обеспечения устойчивого функционирования боевой машины. Именно в системности и комплексности решения стоящих задач и заключается положительный результат.
Рассмотрим несколько примеров. В некоторой компании А развернута одна из наиболее совершенных и дорогих систем обнаружения вторжений, однако информационная система продолжает подвергаться атакам, нередко успешным. Компания А, несмотря на значительные капиталовложения в средства защиты информации, продолжает нести убытки.
В чем же причина? Анализ показывает, что на принятие ре 50 серверов и 200 рабочих станций) требуется примерно 15–20 минут. В то же время опытному и подготовленному хакеру на преодоление средств защиты, установку специального программного обеспечения и скрытый уход достаточно 8–10 минут. Здесь мы сталкиваемся с одной из наиболее серьезных проблем, когда нарушитель способен действовать внутри цикла управления администратора безопасности, навязывая ему свой темп событий, реагировать на который специалист компании не в состоянии.
Другой пример. Компания В установила систему антивирусной защиты. Кроме того, в ней развернута подсистема резервного копирования и восстановления данных в информационной системе. Однако после очередной эпидемии нового вируса компания понесла серьезные убытки, связанные с вирусным поражением части информационных ресурсов. В чем проблема? Большинство специалистов в области защиты информации знает, что современные антивирусные системы несовершенны. При появлении нового вируса компании-разработчики антивирусов могут предоставить вакцину не ранее чем через 24 часа после обнаружения опасности. Все это время системы остаются незащищенными от вирусной атаки. Спасти ситуацию в данном случае могло бы четкое выполнение плана восстановления бизнеса или обеспечения его непрерывности. Таковых в компании не существовало.
Подобных примеров можно приводить достаточно много. Однако всех их объединяет важное обстоятельство – ни в одной из компаний не было СИСТЕМЫ защиты информации. Да, были развернуты определенные средства, задействован персонал, но качественного изменения характеристик, возможного только при тесной интеграции всех процессов защиты информации в единое целое, не обеспечивалось. В связи с этим наиболее актуальной задачей становится интеграция средств защиты информации в единую систему. Ее построение должно быть основано на четком представлении руководства компании о тех угрозах и возможных последствиях для бизнеса, которые исходят из информационной сферы деятельности компании. Позиция топ-менеджмента отражается в политике информационной безопасности компании.
Выявить угрозы и каналы их реализации, оценить вероятность возникновения нежелательного вмешательства и возможный ущерб от него можно только после тщательного и всестороннего аудита информационной системы. Лишь тогда можно говорить о том, какие средства защиты, в каком количестве и где должны быть установлены.
Большое значение имеет организационно-методическое обеспечение работ по защите информации: должны быть разработаны методики оценки рисков, инструкции персоналу системы и подразделению защиты информации и др. Причем все документы должны быть взаимоувязаны между собой.
Немаловажную роль в обеспечении защиты информации играет уровень подготовки персонала, его способность четко и слаженно действовать в чрезвычайных обстоятельствах. Здесь ключевая роль отводится администратору безопасности, его человеческим и профессиональным качествам. Таким образом, на у столько размеры капиталовложений в эту сферу, сколько четкая и грамотная увязка уже имеющихся средств защиты.
Сергей Гриняев
- 21-06-2021В Башкирии участились попытки вербовки молодежи экстремистами
- 07-06-2021Город крылатых ракет
- 24-05-2021Американские технологические компании пересматривают отношения с армией США
- 18-05-2021Программы НАТО по информационной и кибербезопасности
- 11-05-2021Немецкие генералы в советском плену
- 29-05-2012Наркотики на службе Третьего Рейха
- 12-09-2010Многие эксперты считают танк Меркава лучшим основным боевым танком в мире
- 12-09-2010Министр обороны ФРГ представил проект масштабной реформы вооруженных сил
- 21-04-2001К вопросу о войне в четвертой сфере
- 11-10-2010Иран вооружился экранопланами