Окончание «холодной войны» в конце двадцатого века породило новую проблему в веке XXI. За долгие годы этой войны было разработано и непрерывно совершенствовалось одно из самых совершенных оружий – оружие информационной войны, которое за ненадобностью в холодной войне стало использоваться в бизнесе и политике, постепенно превращая бизнес в арену информационных баталий. Перефразируя классиков можно утверждать, что «обладающий информаций обладает конкурентным преимуществом», именно поэтому сейчас так важна информационная безопасность. Развенчаем сложившиеся мифы информационной безопасности.
Вопрос, только, – какой информацией и как добытой? То есть, насколько актуальна информация, которой мы владеем или к которой мы стремимся, что в свою очередь становится вопросом достоверности и полноты информации и периода ее полу-жизни (аналогично – периоду полураспада). Поэтому вопросам информационной безопасности уделяется сейчас более чем пристальное внимание, поскольку случаи потери и кражи информации приводят к краху компании или потери конкурентных преимуществ на рынке. За последние 5 лет участились случаи краж интеллектуальной собственности, одновременно корпоративные сети все чаще подвергаются нападениям со стороны недовольных или нелояльных сотрудников внутри организаций. Монопольное владение конкретной информацией предоставляет конкурентные преимущества на рынке, однако, это в свою очередь должно повышать внимание к построению систем защиты. Защита информации от кражи, изменения или уничтожения приобрела в настоящее время первоочередное значение. Не менее важной является задача предотвращения последствий или рисков от информационной атаки, спланированной и проводимой по разработанному сценарию конкурентами. Последствиями подобной атаки могут явиться как прямые потери от коммерчески необоснованного решения, как в случаях с использованием неправильной «стоп-цены», так и затяжные судебные тяжбы для доказательства собственной непричастности или невиновности. И новейшая история знает тому много примеров, стены «бутырки» и «матроской тишины» не пустуют. Необходимо различать информационную безопасность и безопасность информации. Так в одном случае, нам надо защищать информацию, а в другом – защищаться от информации. Итак, информационная безопасность становится неотъемлемой частью общей безопасности предприятия, но, несмотря на прогресс в данной области, информационная безопасность понимается под разными углами зрения.
Миф 1. Информационная безопасность – это чисто техническая проблема и ею должны заниматься ИТ специалисты
Сегодня на рынке услуг информационной безопасности существует множество специализированных решений, поэтому очень часто работы по информационной безопасности поручают специалистам ИТ-подразделений. Это практика приводит к построению системы ИБ, направленной на достижение целей ИТ-подразделений. В результате бизнес-подразделения теряют возможности эффективного ведения бизнеса. Мероприятия по обеспечению информационной безопасности становятся обузой и часто не принимаются сотрудниками бизнес-подразделений, поскольку они теряют возможности эффективного сбора и обмена информацией, что задерживает компанию в своем развитии. Для решения данных вопросов, построение системы информационной безопасности нужно начинать с анализа целей и требований бизнеса. Для этого необходимо привлечение сотрудников бизнес-подразделений для обеспечения минимально необходимого воздействия на деятельность бизнес-подразделений при построении системы информационной безопасности. «Безопасность – это не просто один из компонентов ИТ, отметил Крис Апгар, отвечающий в компании Providence Health Plans за информационную безопасность – Это культура и процесс, процедура и установка». В результате для поддержки системы информационной безопасности в компании необходимо выделение роли ответственного за информационную безопасность и определение комитета по информационной безопасности во главе с Генеральным директором.
Миф 2. Реализовав некоторое техническое решение мы решим проблему информационной безопасности
Можно установить в компании различные средства сетевой защиты, контроля физического доступа и т.п. после чего пребывать в спокойном состоянии, считая, что все необходимые меры по обеспечению информационной безопасности приняты. Однако вскоре конфиденциальная информация опять оказывается у конкурентов или сотрудник «случайно» стирает материалы проекта и т.п. Эти факты показывают, что проблема информационной безопасности является не только технической, но и управленческой. Большинство рисков информационной безопасности можно минимизировать управленческими решениями, рассматривая эти риски в качестве операционных, а остальные программными и аппаратными средствами. Под риском понимается возможность возникновения негативного события. Причем соотношение между управленческими и остальными решениями может быть 1 к 1. Поэтому, внедряя только техническое решение, мы не контролируем полноту защиты информации в компании, а идем на поводу у поставщиков систем, которые убеждают, что компании это очень необходимо. «Я могу иметь в своем распоряжении самые совершенные средства, изобретенные человечеством, но если люди не понимают основ, я потрачу на безопасность миллионы, но не получу никакого результата», – заметил Крис Апгар. Информационная безопасность должна давать гарантию того, что достигаются следующие цели: · конфиденциальность критически важной для организации или для принятия решения информации; · целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода); · оперативная доступность информации в любой момент времени; · возможность накопления информации, т.е. сохранения предшествующих вариантов; · минимизация рисков путем выполнения компенсационных мероприятий; · учет всех процессов, связанных с информацией. Установка технического решения без предварительной оценки рисков, целей информационной безопасности и ее влияния на бизнес-процессы может привести к отрицательному влиянию на бизнес-процессы и потери контроля над ними.
Миф 3. Информационная безопасность – нужно минимизировать все риски
При определении рисков информационной безопасности возникает достаточно объемный перечень. Встает вопрос, нужно ли защищаться от всех рисков? Данный вопрос решаются очень просто, если при определении и оценке риска учитывать три параметра: угроза (вероятность отрицательного воздействия), уязвимость (уровень текущей защиты от отрицательного воздействия), убыток (нанесение урона или создание такой возможности). Угрозы для организации исходят как изнутри (недовольные сотрудники), так и снаружи (присутствие лазеек в защите). Уязвимости возникают из-за неэффективного управления компанией и недоработок в информационных системах. Оценивая риски в данных разрезах, получают перечень особенно опасных рисков, к минимизации которых необходимо приступать немедленно, и минимизация которых повысит уровень безопасности организации. Фактически речь идет лишь о понимании, сколько риска организация готова взять на себя и какому риску она подвергается в действительности. Что делать с оставшимися рисками? Скорее всего их минимизация не требуется, поскольку стоимость мероприятий по их минимизации может превысить убытки от данных рисков. Поэтому основной задачей является определение логической границы между рисками, требующими минимизации, и остаточными рисками. В начале построения системы информационной безопасности данная граница может иметь высокий уровень, дальнейшее понижение этой границы возможно при проведении работ по информационной безопасности, но необходимо определить тот момент, когда ее дальнейшее понижение станет убыточным для организации. Иначе возможен переход в состояние, когда мероприятия по защите информации будут работать сами на себя. Для оценки данной границы необходимо четко оценивать свои ресурсы и возможные расходы
Миф 4. Информационная безопасность обходится очень дорого
Как правило, выполнение всех мероприятий по информационной безопасности требует достаточно больших ресурсов, но очень часто не учитывается направленность данных мероприятий на конкретный результат, т.е. минимизацию наиболее вероятных рисков. В результате организация защищается от всех рисков, несмотря на стоимость мероприятий по защите и возможных убытков. При данном подходе, как правило, излишние мероприятия в той или иной степени негативно отражаются на деятельности организации. Прежде чем вкладывать деньги в безопасность, необходимо оценить получаемые в результате экономические выгоды. Для уменьшения стоимости системы информационной безопасности, необходимо в первую очередь выполнять только те мероприятия, которые направлены на минимизацию наиболее вероятных и опасных рисков. Данный подход позволяет направить финансовые ресурсы, именно, на повышение уровня информационной безопасности, и четко отслеживать эффективность данных вложений. Для оценки эффективности вложений необходимо просчитывать возможные финансовые убытки хотя бы экспертным путем, поскольку более эффективных по цене/качеству методов расчета не существует. Вполне возможно, что определенные группы рисков проще страховать, чем минимизировать. Оценка стоимости мероприятий, ущерба и страховки поможет принять верное решение. Очевидно, что в результате объем инвестиций должен быть меньше, чем потери от фактических рисков.
Миф 5. Информационная безопасность – построение системы можно поручить интегратору технических решений в данной области
В настоящее время интеграторы технических решений в области информационной безопасности предлагают различные услуги в данном направлении, но, как правило, эти услуги формируются от технического продукта, что не обеспечивает полноту системы и решает только отдельные вопросы информационной защиты. В редких случаях проводится полноценный анализ рисков с экспертной оценкой угроз, уязвимостей и убытков. Данный анализ позволяет выделить области, которые необходимо защищать в первую очередь. Внедрение технического решения без предварительной оценки рисков и выработки необходимых мероприятий в совокупности с изменением бизнес-процессов, не дает полноты системы информационной защиты.
Миф 6. Информационная безопасность – система может быть построена без внесения коренных изменений в деятельность Компании
Эффективная система информационной безопасности должна быть встроена в деятельность компании, иначе ее эффективность будет минимальной. Построение данной системы требует перестроения бизнес-процессов Компании и добавление функций обеспечения и контроля информационной защиты. Как правило, возникает необходимость регламентировать определенные процедуры, описать изменения в бизнес-процессах и определить ответственность исполнителей. Помимо этого необходимо предусмотреть тренинги и обучение по вопросам информационной безопасности, причем проводить их на постоянной основе. Очень часто выполнение мероприятий по минимизации рисков требует доработок, а иногда и внедрения специализированных информационных систем и технических решений. Причем на данных этапах необходимо привлечение интеграторов технических решений в области информационной безопасности и хранения документов.
Миф 7. Информационная безопасность – система не требует постоянной корректировки
Теперь допустим что, политика информационной безопасности сформулирована и утверждена, риски собраны и оценены, выполняются мероприятия по их минимизации. Но внешняя среда компании меняется, появляются новые риски, исчезают старые. Для обеспечения адекватности системы информационной безопасности текущему состоянию внешней среды необходимо производить периодическую переоценку рисков. Помимо реакции на изменения внешней среды, переоценка рисков должна обеспечивать контроль над эффективностью выполняемых мероприятий по обеспечению информационной безопасности.
Миф 8. Чем больше запретительных мер, тем лучше система информационной безопасности
Во многих компаниях системы информационной безопасности строятся от подхода «все запретить», что вызывает неудобства в работе сотрудников, но главное – это может служить причиной замедления развития компании, поскольку корпоративные знания перестают быть доступными. Необходимо находить золотую середину между ограничениями, связанными с мероприятиями информационной безопасности и свободой обмена информацией внутри и вне компании. Главное, что бы безопасность из средства не превратилась в цель. Часто, вместо того, чтобы придерживаться принципа, подразумевающего сохранение текущей ситуации всегда, когда это допустимо, сотрудники, отвечающие за информационную безопасность, занимают формальную позицию и по максимуму минимизируют возможности пользователей. Как правило, большое количество «запретительных» мероприятий порождает способы обмена информацией в обход защищенных каналов, что сводит все усилия по обеспечению защиты информации на нулевой уровень эффективности, т.е. бизнес-процессы компании перестраиваются, обходя все «запретительные» мероприятия.
Миф 9. Основные угрозы для компании находятся за ее пределами
Очень часто основные линии защиты выстраиваются на «границе» организации (межсетевые экраны, контрольно-пропускные пункты и т.д.), что создает видимость безопасности. Однако статистика нарушений показывает, что основные нарушения (около 70 процентов) в области информационной безопасности совершаются сотрудниками Компании, либо лицами, работавшими в ней. Это значит, что все построенные периметры защиты фактически бесполезны и основной источник опасности находится внутри организации. Получается, что при построении системы информационной безопасности необходимо защищать информацию не только от внешних угроз, но и от внутренних. Фактически необходимо построение как внутреннего «периметра» защиты, так и внешнего. Обеспечение информационной защиты внутри компании является наиболее сложной задачей и требует классификации информации, определение категорий конфиденциальности, четкого разграничения прав доступа и прав владения информацией в компании. Как правило, в рамках данных работ, требуется внедрения информационных систем, направленных на решение этой задачи, без которых нельзя эффективно управлять доступом к информации.
Миф 10. Основные риски находятся в информационных системах
Многие системы информационной безопасности строятся от рисков несанкционированного доступа к информационным системам путем взлома. Например, при аутентификации пользователя в систему закладывается многозначный код, который пользователь не в силах запомнить. Но данный код пишется на листочке и в лучшем случае носится с собой. В результате взломать код фактически невозможно, а «взломать» место хранения проще простого. Этот пример показывает, что прочность системы равна прочности ее самого слабого звена, т.е. основные риски, находятся в сотрудниках, а не в информационных системах. «Даже идеальная технология будет успешно нейтрализована безалаберными сотрудниками, подчеркнул Гэри Морс, президент консультационного агентства Razorpoint Security Technologies, специализирующегося на вопросах безопасности». Поэтому при формировании перечня рисков необходимо провести экспресс-обследование компании, причем рассматривать проблему с точек зрения различных подразделений и экспертным путем оценить опасность рисков. Конечно, в экспертной оценке присутствует некоторая неточность, но она не влияет на определение приоритетов.
Миф 11. Создание политики безопасности вполне достаточно для обеспечения информационной безопасности
Создание политики безопасности необходимо для создания системы информационной безопасности, но это только вершина айсберга. Политику нужно исполнять, что является кропотливой ежедневной работой. Многие организации ограничиваются формальным подходом, но это не решает проблемы информационной безопасности. Необходимо отстроить эффективные процессы по управлению рисками, планированию, исполнению и контролю мероприятий информационной безопасности. Без эффективных процессов система будет носить декларативный характер.
В заключение следует отметить, что построение эффективной системы информационной безопасности в компании это сложный и непрерывный процесс, от внимания к которому зависит жизнеспособность бизнеса. Для грамотного построения такой системы необходимо привлекать к участию в их создании топ – менеджмент компании, ИТ – специалистов, консультантов по данной тематике, технических специалистов. Можно выделить три основных момента, которые неизбежно возникнут при построении системы информационной безопасности: · Создание эффективного механизма управления доступом к информации, т.е. решение вопросов, как разграничения доступа, так и определения методов доступа. При этом необходимо понимать, что методы доступа к информации определяются характеристиками самой информации и на сегодняшний день оцениваются для российских условий как: 3-5% структурированной информации, 5-12% неструктурированной и 80-90% информации на бумажных и прочих носителях. Со структурированной информацией мы знаем как «бороться», для этого существует множество СУБД, а с неструктурированной? Как осуществить полнотекстовый поиск информации с ошибками в информационном теле и в запросе? Что делать с бумажными архивами, заваливающими столы и шкафы офисов? Ретроконверсия? – Дорого и долго. · Провести инвентаризацию и классификацию информации в организации, при этом необходимо разработать систему классификаторов. Как долго просуществует такая система? Сможет ли кто-нибудь воспользоваться разработанным классификатором, а изменить его, или дополнить? Будет ли учитывать такой классификатор таксономическую природу информации? · Создать систему управления рисками и мероприятиями по их минимизации. Мероприятия по информационной безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы. Здесь мы поставили лишь некоторые вопросы, которые необходимо решать в задаче информационной безопасности. Мы не коснулись обширной темы безопасности информации и агрессивности информационного пространства. Все эти вопросы мы будем обсуждать в дальнейших публикациях.
А.И. Громов А.К. Коптелов Финансовая газета, №23 (июнь, 2004)