Правильный подход к информационной безопасности.
     В общем понимании главные задачи информационной безопасности заключаются в защите информации от неавторизированного (постороннего) доступа, ее разрушения, модификации, раскрытия или задержек в доступе. А также защите системы, гарантии точности и целостности информации, минимизации ущерба, имеющего место при модификации данных или их разрушении, конфиденциальности информации и учете всех связанных с информацией процессов.


Цель оправдывает средства

     Все эти задачи в той или иной степени перекладываются на компьютер, являющийся самым распространенным инструментом обработки информации. Часть защитных технологий встраивается непосредственно в компьютерные системы, другая – в программное обеспечение, а уровень сложности применяемых технологий безопасности напрямую зависит от уровня критичности используемой информации.
     Нередко задают вопрос: зачем вообще заниматься компьютерной безопасностью? Весьма распространен миф о том, что «наша организация злоумышленникам не интересна» (не говоря уже о домашних пользователях). В случае с государственными ведомствами или крупными компаниями – все понятно – шпионы и конкуренты постараются всеми способами выведать секретную информацию или помешать нормальной работе. Но зачем компьютерного злоумышленника заинтересует небольшая фирма, имеющая десяток связанных локальной сетью ПК? Даже если организация не хранит в сети никакой информации, порча или кража которой нанесет ущерб, а бизнес не зависит от работоспособности компьютерного оборудования, ее информационная структура все равно представляет интерес как площадка подготовки атак на другие сети, рассылки спама или хранение незаконных данных. Практика показывает, что любая сеть или компьютерная система может быть полезна хакерскому сообществу. Ко всему, в бизнесе произошла смена приоритетов от физических методов давления на конкурентов к более интеллектуальным и высокотехнологичным.
     Другое заблуждение сводится к тому, что информационную безопасность считают совокупностью программно-аппаратных средств и документов. То есть, потратив на нее некоторую денежную сумму и время на разработку инструкций, руководители считают свою работу выполненной. Подобным образом заблуждаются ИТ-специалисты с невысоким уровнем подготовки: установив новейшее оборудование и передовое ПО, они чувствуют себя защищенными. На самом деле, компьютерная безопасность – процесс регулярный, осуществляемый на всех этапах жизненного цикла защитной системы. Информационной защитой необходимо заниматься постоянно,  анализируя угрозы и принимая меры по их устранению. Еще в первых работах по защите информации были заложены аксиомы, не утратившие актуальности:
     Сюда добавим, что система защиты должна  быть именно системой, а не хаотичным набором некоторых технических средств и организационных мероприятий, что часто наблюдается на практике. При этом системный подход должен учитываться на всех этапах  - от подготовки технического задания до оценки эффективности защитных функций и качества системы в процессе эксплуатации.
     Прежде всего, чем конкретнее сформулирована  цель для системы информационной защиты, уяснены наличествующие ресурсы и определен круг ограничений, тем больше вероятность получить желаемый результат. Простые цели,  соответственно, требуют несложные по составу и структуре защитные системы. Если же круг проблем ширится, то защитные функции системы приобретают многомерный характер, значимость отдельного компонента системы снижается, и на первый план выдвигаются общесистемные задачи: построение оптимальной структуры,  определение режимов ее функционирования, взаимодействия элементов, учет влияния внешней среды. При системном подходе к защите информации во главу угла ставятся свойства элементов, отвечающих за взаимодействие друг с другом и влияющих на систему в целом.
     По большому счету, влияние на политику безопасности организации оказывает собственно сфера ее деятельности. Скажем, для технологических компаний, тратящих огромные средства на исследования и разработки, важно защитить интеллектуальную собственность, являющуюся средством выживания.  Поэтому технолидеры фокусируют внимание не только на сетевой защите, сколько на «внутренних» угрозах. Например, 59% опрошенных руководителей подобных предприятий уверены, что самую серьезную опасность информационной безопасности несут отосланные злоумышленниками из числа персонала электронные письма с конфиденциальными данными. Похожая ситуация складывается в мидиакомпаниях,  вращающихся вокруг контента, в основном цифрового. Защищать интеллектуальную собственность и авторские права приходится как на этапе создания контента, так и при его распространении.  Аналитики центра InfoWatch главным отличием предприятий медиа от остальных называют близость к потребителю, отчего информационная безопасность для них становится не просто обязательной, но даже одним из конкурентных преимуществ. ИТ-безопасность в медиа напрямую связана с качеством, а инциденты обычно вызывают сбои в предоставлении услуг, нарушая непрерывность бизнес-процессов, инициируя простои, что в итоге ударяет как по фирме, так и по клиентам.
  

Распределение финансовых потерь от информационных угроз по данным 2006 CSI/FBI Computer Crime and Security Survey, $:

Вирусы и сетевые черви – 15,69 млн.
Неавторизированный доступ – 10, 62 млн.
Кражи ноутбуков – 6,64 млн.
Утечка конфиденциальной информации – 6, 03 млн.
DOS-атаки – 2,92 млн.
Финансовые мошенничества – 2, 56 млн.
Инсайдерские злоупотребления  - 1, 85 млн.
Зомби-сети – 0,92 млн.
Проникновение в систему извне – 0,75 млн.
Фишинг – 0, 65 млн.
Злоупотребление беспроводными технологиями – 0, 47 млн.
Злоупотребление интернет-пейджерами – 0,29 млн.
Злоупотребления при работе с web-приложениями – 0, 27 млн.
Информационная диверсия – 0,26 млн.
Атаки на сайты – 0,16 млн.
Кража паролей – 0,16 млн.
Атаки на DNS-серверы – 0,09 млн.
Другое – 0, 89 млн.


Большая политика

     Зачастую заказчик системы информационной безопасности плохо представляет себе значение того или  иного элементы и его вклад в общий уровень безопасности. Это приводит к увеличению затрат и неопределенности достигнутого результата. Говоря простым языком, заказчик не получает то, что ему действительно нужно, и не способен объективно оценить качество и эффективность системы защиты. Тупик? Избежать его можно пониманием четкой политики информационной безопасности, при разработке которой целесообразно пользоваться следующими принципами:
     1) Невозможностью миновать защитные средства. Любой злоумышленник или недовольный пользователь, владеющий лазейкой в компьютерной системе, обязательно ею воспользуется. Например, если защищаемая сеть имеет выход в Интернет через экран, то последний не должен иметь «тайных» модемных ходов или тестовых линий.
     2)  Необходимостью усиления слабого звена, которое в итоге определяет надежность любой обороны. Злоумышленник не станет бороться против силы, а постарается найти и преодолеть «тонкую стену».  Чаще слабым звеном информационной защиты оказывается как раз не компьютер, а человек…
     3) Невозможностью перехода в небезопасное состояние. В любой, даже форс-мажорной ситуации защитная система должны выполнять свои функции, на самый крайний случай – просто блокироваться. Остановка ее работы недопустима!
     4) Минимизация привилегий предписывает выделять пользователями администраторам только те права доступа, которые необходимы для выполнения непосредственно их обязанностей.
     5) При разделении обязанностей происходит разделение ролей, когда ни один человек не может нарушить критически важный для организации процесс.
     6) Эшелонирование обороны приписывает не полагаться на одну линию защиты, какой бы надежной она ни казалась. За физической защитой обязательно следуют программно-технические средства, за идентификацией и аутентификацией – управление доступом. Последний рубеж – протоколирование и аудит - существенно затрудняют незаметное выполнение злонамеренных действий.
     7) По своему характеру защитные средства должны быть разные, что потребует от потенциального злоумышленника освоения разнообразных и, по возможности, несовместимых между собой навыков – от преодоления оград до знаний слабых мест нескольких операционных систем.
     8) Крайне важен принцип простоты и управляемости защитных средств. Только в простой и управляемой системе можно согласовать конфигурации различных элементов и осуществить централизованное администрирование. Узкое место этого принципа – управляемость клиентских рабочих мест и стыка между клиентской и серверной частями информационной системы.  Дело в том, что клиентских мест много больше, чем серверных, они разбросаны по большой площади, используются людьми с разной квалификацией, оттого их администрирование – занятие сложное, дорогое и чревато ошибками.
     9) Наконец, принцип всеобщей поддержки мер безопасности носит, скорее, нетехнический характер, снова выдвигая на первый план человеческий фактор. Ведь если персонал считает информационную безопасность чем-то излишним или враждебным, эффективной системы защиты построить не получится. Стоит изначально предусмотреть комплекс мер, направленные на обеспечение лояльности персонала, постоянного его обучение.


     Важный этап выработки политики информационной безопасности компьютерных интернет-систем – анализ рисков. Здесь исходят из двух критериев. Во-первых, по отношению к старым сервисам появляются новые угрозы.  Во-вторых, новые сервисы  порождают доселе невиданные угрозы. Тут как нельзя  лучше подойдут принципы «что не разрешено – запрещено» или «все непонятное – опасно».
     Несколько слов о сертификации средств информационной защиты. Во всем мире действуют нормы и правила, в соответствии с которыми средства защиты подлежат обязательной или добровольной сертификации.  Однако полностью полагаться на сертификацию не стоит, она не дает необходимых гарантий, - в лучшем случае проверяется только 85% всех возможных состояний, но обычно – едва более половины.  Согласно требованиям государственных стандартов по безопасности информации и иным нормативным документам, утвержденным Гостехкомиссией РФ, сертификация на соответствие им подтверждается с определенной степенью достоверности. Но чему конкретно равна эта достоверность, не указывается. Ответственность за результаты проверки образцов сертифицируемой продукции возлагается на испытательные центры (лаборатории). Такое положение дел привело к тому, что требования достоверности результатов испытаний защитных компонентов или систем безопасности остались лишь бумагой. Поэтому, даже если элементы систем информационной безопасности выдержали все сертификационные испытания и имеют полный комплект удостоверяющих документов, это не означает, что требуемый уровень безопасности обязательно будет обеспечен.


Популярные технологии компьютерной безопасности, %:

Межсетевой кран  - 98
Антивирусное ПО – 97
Антишпионское ПО – 79
Централизованный контроль доступа – 70
Система обнаружения вторжений – 69
Быстрое шифрование данных  - 63
Шифрование хранимых данных – 49
Повторно используемый пароль – 46
Системы предотвращения вторжений – 43
Управление log-файлами – 41
Firewall на уровне приложений – 39
Смарт-карты и токены – 38
Средства экспертизы – 38
PKI – 36
Системы безопасности беспроводных сетей – 32
Защита ПК пользователя – 31
Биометрический доступ – 20
Другое - 4


Неопределенный эффект

     Только по проишествии некоторого времени работы системы информационной защиты можно браться за анализ эффективности ее применения. Проектирование, организация и работа компьютерных систем безопасности фактически связаны с неизвестными событиями в будущем, поэтому всегда содержат элементы неопределенности, а также недостаточный объем информации для принятия управленческих решений, плюс человеческий фактор.  По мере реализации проекта уровень неопределенности снижается, но все равно эффективность защиты не может быть выражена или описана определенными показателями. Объективной характеристикой качества применяемых методов безопасности в условиях воздействия большого количества случайных факторов служит только вероятность, характеризующая степень возможностей конкретной системы защиты при заданных условиях.
     В общей теории систем такая характеристика называется «вероятностью достижений цели операции» или «вероятностью выполнения системой задачи». При этом критериями эффективности системы служат понятия пригодности и оптимальности. Пригодность – выполнение всех предъявляемых к системе защиты требований. Оптимальность – достижение любой из характеристик экстремального значения при соблюдении ограничений и условий на другие свойства системы.  Выбор конкретного критерия  необходимо согласовывать с возлагаемой на систему защиты целью. Обычно при построении системы возникает проблема решения задачи с многократными критическими показателями. Также при анализе эффективности учитываются показатели вероятностно-временного характера, то есть вероятность преодоления системы за некоторое время.


Немного паранойи

     Подведем итоги…
     В отношении информационной безопасности руководителю предприятия стоит уяснить три главные истины. Первая – информационной защитой стоит заниматься, хотя бы потому, что опасности существуют. Злоумышленники не просто ходят по одним с нами улицам, они запросто могут оказаться в числе самых доверенных сотрудников. А когда «гром грянет», можно не просто понести убытки, но даже остаться ни с чем.
     Вторая – опасностей много, фатальной способна стать и сетевая атака, и вынос с территорий предприятия конфиденциальной информации, и даже банальный вирус может в мгновение ока стереть жизненно важную базу данных. А значит, защищаться придется от всех напастей, то есть информационная безопасность должна быть комплексом – системой взаимосвязанных элементов.
     И третья – опасности эволюционируют. Старые приспосабливаются обходить известные способы защит, появляются новые, с доселе невиданными зловредными механизмами. А значит, и системы защиты обязаны эволюционировать, ведь застой даже самой передовой через некоторое время превратит ее в набор бесполезных программных пакетов.
     Учтите, что в случае с компьютерной безопасностью, особенно если информация критична для вас, полезно быть немного параноиком.