Руководство российских компаний зачастую рассматривает проблему обеспечения информационной безопасности как исключительно техническую. Однако, как показывают исследования, в мире в стуктуре убытков, связанных с инцидентами в сфере защиты информации, свыше 75% приходятся на проблему "человеческого фактора", для решения которой необходима разработка адекватной политики.
Политика безопасности
Политика информационной безопасности главный документ, в котором ожидания руководства по обеспечению безопасности озвучиваются в определенные, измеряемые и контролируемые цели и задачи. В российской терминологии документ определяющий стратегию называют концепцией, а документ определяющий тактику политикой. На Западе принято создавать единый документ, включающий в себя оба аспекта.
В политику безопасности включаются обязанности сотрудников по ее обеспечению и описываются наказания за нарушения ее требований. Определение ответственности за нарушения политики информационной безопасности является очень важным моментом, так как не везде можно реализовать технические средства безопасности. Политика является фундаментом для разработки целого ряда сопутствующих документов (стандартов, руководств, процедур).
Исследования показывают, что компании, разработавшие политику безопасности для своих нужд, приводят следующие причины, побудившие их совершить этот шаг:
1. Требования руководства
Как правило, руководство проявляет внимание к проблемам информационной безопасности под воздействием «фактора страха» или после нескольких серьезных инцидентов, повлекших за собой остановку или замедление работы компании в результате вирусных атак или атак типа «отказ в обслуживании», разглашение конфиденциальной информации или кражу компьютеров.
2. Требования законодательства и отраслевых стандартов
Политика информационной безопасности позволяет определить правила, в соответствие с которыми информация будет отнесена к категории коммерческой или служебной тайны. Это позволит компании юридически защитить информацию (статья 139 Гражданского Кодекса). В зависимости от сферы действия компании, она должна выполнять требования существующего законодательства применимые к ее отрасли. Например, банки, в соответствии со статьей 857 Гражданского Кодекса должны гарантировать защиту банковской тайны клиентов.
3. Требования клиентов и партнеров
Ести клиенты и партнеры компании хотят гарантий того, что их конфиденциальная информация защищена надлежащим образом, они могут потребовать юридического подтверждения данного факта в контрактах. Доказательством этого и является политика информационной безопасности. Поскольку политика отражает философию и стратегию управления, это четкое и бесспорное доказательство намерений компании относительно качества информационной безопасности. Что интересно, партнеров и клиентов, как правило, интересуют именно эти «намерения», а не технические средства, которыми они могут быть достигнуты.
4. Необходимость сертификации по стандартам качества
Сертификация по общепризнанным стандартам (например, ISO 9001 или ISO 17799) подтверждает необходимый уровень обеспечения информационной безопасности для защиты информации и бизнес-процессов. В настоящее время фокус создания продуктов и услуг смещается в страны с дешевой рабочей силой, где особенно важным доказательств адекватной защиты передаваемой заказчиком информации является сертификация на соответствие требованиям стандартов по информационной безопасности.
5. Требования аудиторов
Любая внешняя аудиторская проверка обращает внимание на необходимость формализации всех бизнес-процесов, в том числе особое внимание уделяется наличию политики информационной безопасности.
6. Обеспечение конкурентного преимущества за счет оптимизации бизнес-процессов
Правильно разработанная и реализованная политика безопасности позволяет уменьшить время недоступности сервисов, вызванной компьютерными инцидентами, и, таким образом, увеличить производительность компании.
7. Уменьшение стоимости страхования
Страхование важная составляющая управления информационными рисками. Наличие политики информационной безопасности является необходимым и обязательным условием страхования. В России уже появились фирмы предлагающие страховать информационные риски «Ингосстрах» и «РОСНО». Стоимость страхования компания определяет путем проведения аудита информационной безопасности независимой компанией, специализирующейся в этой области.
8. Экономическая целесообразность
Политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности. По мнению экспертов, оптимальная доля усилий, направленных на разработку политики безопасности, составляет от 60% до 80%.
Сопоставление стоимости и эффективности средств обеспечения информационной безопасности
Источник: Delloitte&Touche
9. Положительная бизнес-практика
Наличие политики информационной безопасности является правилом хорошего тона. В опросе, проведенном в Великобритании компанией PriceWaterHouseCoopers в 2002 году, 67% компаний назвали именно эту причину основным мотивом создания политики информационной безопасности.
Даже такие технологичные компании как Cisco заявляют, что правильно сформулированная политика информационной безопасности лучше технических средств обеспечения информационной безопасности. Подход Cisco к проблемам создания защищенной инфраструктуры показывает, что именно политика информационной безопасности (Corporate Security Policy) является краеугольным камнем безопасности, вокруг которого строится вся система обеспечения безопасности.
Система обеспечения информационной безопасности
Источник: Cisco
Политика является необходимым элементом построения эффективной системы обеспечения информационной безопасности. Ее главное предназначение защита сотрудников и информационных активов компании. Политика минимизирует влияние «человеческого фактора» и недостатки существующих технологий, позволяет вовлечь сотрудников в процесс обеспечения информационной безопасности, является эффективным и дешевым решением создания культуры безопасности в компании.
Проблемы технологий
Должное внимание проблемами информационной безопасности обычно уделяется только после возникновения инцидентов, связанных с недостаточным уровнем ее обеспечения, когда компания уже понесла финансовые потери или разглашена ее конфиденциальная информация. Даже в таких ситуациях руководство часто ограничивается рассмотрением только технической стороны вопроса, покупая межсетевые экраны, средства обнаружения вторжения или устанавливая новое антивирусное ПО. К сожалению, технологии обеспечения информационной безопасности еще находятся на этапе формирования и не достигли зрелости, что можно продемонстрировать на следующих примерах:
Появление новых сетевых червей на следующий или даже в день опубликования очередной уязвимости в приложении или операционной системе сводит на нет усилия поставщиков антивирусного программного обеспечения. Они просто не успевают своевременно выпустить обновление, ведь нужно исследовать вирус, разработать сигнатуру, опубликовать ее, а потребителю установить на центральный антивирусный сервер и распространить на клиентские компьютеры. В 2003 году до 90% инцидентов связанных с информационной безопасностью было вызвано распространением сетевых червей. К тому же, теоретически доказано, что множество всех вирусов не поддается перечислению и что нельзя создать универсальный детектор, способный отличить «чистую» программу от зараженной.
Операционные системы, что бы ни заявляли разработчики о новых усовершенствованиях, остаются слабым местом в системе обеспечения информационной безопасности. По данным исследователей университета Carnegie-Mellon, на 1000 строк кода приходится от 5 до 15 ошибок. Таким образом, можно подсчитать, сколько ошибок потенциально содержит каждая из перечисленных операционных систем:
Windows 2000- 3560 миллионов строк кода
Windows XP- 45 миллионов строк кода
Debian GNU/Linux 2.2- 55 миллионов строк кода
Linux Red Hat- 30 миллионов строк кода
Системы обнаружения вторжения обнаруживают на сегодняшний момент только 14% атак. Большинство из них построены на принципах сигнатур, то есть имеют такие же недостатки, как антивирусное программное обеспечение.
Системы контроля доступа на основе биометрических параметров тоже не идеальны. Отпечатки пальцев не настолько уникальны, как кажется: существует вероятность 0,1%, что постороннее лицо будет идентифицироваться как имеющее право доступа.
Потенциал технологий
Источник: Gartner
Хотя потенциал некоторых технологий эксперты оценивают очень высоко, для его полноценной реализации (так называемого выхода на "плато") в отдельных случаях потребуется десять и более лет.
Мировой опыт
Деятельность любой компании напрямую связана с различного рода рисками. Риски, связанные с недостаточным обеспечением информационной безопасности, занимают уже 6 место среди всех рисков, которым подвергается современная компания. Проблемы обеспечения информационной безопасности, согласно исследованиям компании Gartner Group, уже сейчас являются приоритетом номер 1 для ИТ-директоров, и будут оставаться таковыми до 2006 года.
Проблемы обеспечения информационной безопасности
Источник: Gartner
По мнению экспертов, проблемы информационной безопасности не могут быть решены при помощи одного лишь развития технологий. Согласно исследованию, проведенному Институтом компьютерной безопасности США в 2002 году из $450 млн. потерянных компаниями из-за инцидентов в области информационной безопасности, больше $350 млн. убытков приходятся на проблему так называемого «человеческого фактора». Это убытки обусловлены следующими категориями инцидентов:
кража конфиденциальной информации;
саботаж;
неавторизованный доступ к ресурсам внутренних сотрудников;
неразрешенное использование интернета;
сканирование и взлом систем.
Именно эти проблемы и призвана решить разработка адекватной политики информационной безопасности.
Сергей Петренко, Владимир Курбатов
Сергей Груздев: Мнение о том, что российские компьютеры неплохо защищены это только миф
О тенденциях развития российского рынка защиты информации, а также о некоторых распространенных мифах в интервью CNews.ru рассказал Сергей Груздев, генеральный директор Aladdin Software Security R.D.
CNews.ru: Какие тенденции, на ваш взгляд, повлияли на развитие рынка защиты информации в России в прошедшем и начале текущего года?
Сергей Груздев: Если говорить о рынке ИБ в целом, безусловно, значимым, хотя и неоднозначным событием явилось принятие Закона о техническом регулировании. С одной стороны, он отменяет обязательную сертификацию, с другой стороны, Закон о коммерческой тайне так и не был принят, законопроект был отвергнут в третьем чтении. В результате с законодательной точки зрения полной ясности в сфере регулирования государством нашего сектора рынка пока нет, как нет и полномочного государственного органа, отвечавшего бы за такое регулирование. Нет и полноценных органов лицензирования.