Информационная безопасность
Сегодня, когда роль информационных ресурсов в предпринимательской деятельности приобретает все большую значимость, вопрос обеспечения безопасности бизнеса связан прежде всего с проблемой утечки информации.
В конце мая в С.-Петербурге прошел семинар на тему “Комплексное обеспечение информационной безопасности объекта”. Он ознаменовал открытие Научно-информационного центра проблем безопасности (НИЦ ПБ), учрежденного ассоциацией защиты информации “Конфидент”. В работе семинара приняли участие представители МВД РФ, Государственной налоговой инспекции по С.-Петербургу, ОАО “Горьковский автомобильный завод”, ГУП “Водоканал” и предприятий связи.
Важнейшей темой семинара была концепция комплексной защиты информации, которая предполагает проведение взаимосвязанных организационных и технических мероприятий, направленных на обнаружение, отражение и ликвидацию различных видов возможных информационных угроз.
Наибольшее количество споров вызвала проблема создания службы информационной безопасности (СИБ). Эта служба представляет собой нештатную, функционально-ориентированную группу специалистов, занимающихся вопросами создания комплекса защиты информации, а в дальнейшем - его эксплуатацией и контролем.
В зависимости от масштабов и назначения организации вопросы о составе СИБ, правах и обязанностях ее сотрудников, о правилах взаимодействия с другими подразделениями по проблемам защиты информации решаются по-разному. В ходе бурного обсуждения различных вариантов построения СИБ и согласования ее деятельности с отделом автоматизации и руководством организации участники семинара пришли к единому мнению относительно идеальной структуры службы.
Удобство и надежность этой схемы определяются тем, что защитой информации занимается подразделение специалистов, непосредственно несущих ответственность за свою работу. Как показывает практика, сегодня эта схема используется в большинстве организаций, которые серьезно заботятся о безопасности информации.
Живой интерес вызвала также проблема выбора средств защиты. Ряд связанных с этим мероприятий, объединенных общим понятием “анализ риска”, позволяет получить ответы на три фундаментальных вопроса: что защищать, от чего защищать и чем защищать. Определение необходимого состава средств защиты можно рассматривать как типичную оптимизационную задачу: выбор комплекса технических и программных средств обеспечения безопасности, оценка их эффективности, уточнение состава средств защиты и т. д. Таким образом, ключевым является вопрос выбора механизма получения оценок качества используемых защитных средств. Очевидно, что для крупного предприятия, имеющего десятки филиалов, объединенных единой вычислительной сетью, решение будет иным, чем для организации, имеющей локальную сеть и расположенной в одном здании.
В зависимости от направления деятельности, размеров, материального состояния организации, требований к безопасности информации и множества других факторов в общем случае возможно несколько путей обоснованного выбора комплекса защитных мер. С практической точки зрения наибольший интерес представляет использование инструментальных средств тестирования степени защищенности автоматизированной системы и привлечение специалистов для проведения обследования.
Первый способ наиболее прост, дешев и удобен в том случае, если не предъявляются повышенные требования к защищенности автоматизированной системы. Профессиональные средства тестирования, самыми известными из которых являются COPS, SATAN, KSA, ISS, позволяют производить сканирование всех ЭВМ в сети и проверять наличие у них известных уязвимых мест. Каждая программа имеет свой список таких мест, и он постоянно пополняется. Как правило, эти средства выполняют проверки по следующим характеристикам:
2 корректность предоставления прав пользователям;
2 надежность паролей;
2 настройка средств управления доступом;
2 мониторинг сети;
2 целостность и конфиденциальность данных.
Результаты выдаются в виде обобщенных отчетов, не требуя от пользователя глубоких технических знаний при их подготовке. Выбор сканера определяется необходимой полнотой и качеством проверки, удобством установки и использования, информативностью предоставляемых отчетных документов и стоимостью средства.
В условиях роста компьютерной преступности в нашей стране правоохранительные органы, несмотря на принимаемые попытки, не смогли обеспечить безопасность деятельности государственных и коммерческих организаций. На территории России только за 1995 год выявлено 185 случаев хищения с использованием электронных средств доступа, ущерб от которых составил 250 млрд. руб.; было привлечено к ответственности более 60 человек. Ежегодный рост числа компьютерных преступлений составляет около 20%. И хотя они сейчас не носят массового характера, общественная
опасность от использования компьютерной техники в “традиционных” преступлениях постоянно повышается. Кроме того, помимо количественного роста таких случаев происходят и качественные их преобразования, связанные с освоением новейших достижений компьютерных технологий и современных средств связи.
Итак, можно сформулировать несколько основных правил, которых необходимо придерживаться в вопросах обеспечения информационной безопасности на предприятии.
Правило первое. Защиту можно обеспечить только комплексным сочетанием организационных и технических мер.
Правило второе. Чтобы определить содержание политики безопасности, необходимо оценить вероятные угрозы и размер возможного ущерба. Понятно, что формальных оценок здесь быть не может, поэтому существует третье правило.
Правило третье. Обращайтесь к специалистам. Но при этом имейте в виду, что скорее всего такого специалиста можно найти на предприятии, имеющем государственную лицензию на право деятельности в области защиты информации.
Правило четвертое. Будьте осторожны при выборе средств защиты. Осознайте необходимость средства и помните, что помимо секретности необходимо обеспечение высокой надежности. Интересуйтесь опытом внедрения конкретного средства защиты. Требуйте гарантий сопровождения продуктов.
Решение задач информационной безопасности осуществляется на основе проекта обеспечения информационной безопасности объекта, представляющего собой единый комплекс организационно-технических мероприятий. Для создания такого проекта по запросу заказчика в ассоциации защиты информации “Конфидент” в начале года создана аналитическая группа, которая уже выполнила около 60 работ по обследованию информационной защищенности ряда коммерческих банков, различных предприятий и организаций.
Альберт Воробьев
К Альберту Воробьеву, начальнику исследовательско-аналитической группы ассоциации “Конфидент”, можно обратиться по адресам:
hotline@confident.spb.su, http:www.confident.ru.
Определение необходимого состава средств защиты можно рассматривать как типичную оптимизационную задачу: выбор комплекса технических и программных средств обеспечения безопасности, оценка их эффективности, уточнение состава средств защиты и т. д. Таким образом, ключевым является вопрос о выборе механизма для получения оценок качества используемых защитных средств.