|
|
Обзор подготовлен
При поддержке
Все тоньше становятся границы между безопасностью и информационными технологиями, технической безопасностью и АСУ ТП, а также другими областями, еще недавно представлявшими собой независимые сферы деятельности. Объединять их в пределах компании выгодно и с экономической, и с технологической точки зрения.
Информационные технологии стремительно меняют наши представления о привычных вещах, создают новое качество жизни, устанавливают новые стандарты. Наверное, именно они представляют собой и тот стержень, который притягивает смежные технологии и интегрирует их с собой.
Чтобы убедиться в этом, достаточно вспомнить, что всего лишь 20 лет назад только начали появляться персональные компьютеры, а интернет делал первые шаги. Почтовая телеграмма была самым быстрым способом доставки коротких сообщений, мобильная связь существовала лишь как атрибут фантастических фильмов, а словосочетание "электронная почта" не имело никакого смысла.
Если позволить себе немного пофантазировать и попытаться заглянуть в будущее хотя бы лет на 20 вперед, можно представить, что понятия "офис" и "рабочее место" станут условными. Информация будет доступна в любой точке земного шара, скорости передвижения возрастут многократно. На больших предприятиях станут работать не тысячи, а десятки сотрудников, так как основную работу возьмут на себя компьютеры и автоматика.
Еще многое, вероятно, изменится так, как мы сегодня даже не в состоянии представить. Причем само понятие "компания" трансформируется от представления о ней как о здании, в котором она размещается, до понятия "совокупности информации", которой она располагает для ведения бизнеса. И что делать в такой ситуации сотруднику, на плечах которого колоссальная ответственность — обеспечение безопасности компании?
Начав с фундамента, то есть с технической безопасности, можно рассмотреть, какие возможности предлагают в этой области информационные технологии. Важный подраздел технической безопасности — физическая безопасность, которая подразумевает комплекс мер, обеспечивающих защиту материальных, человеческих, информационных, интеллектуальных ресурсов от несанкционированного вмешательства или уничтожения в результате какого-либо события, пожара, наводнения и т.д.
Для предотвращения несанкционированного вмешательства всегда и везде в первую очередь применялись меры по ограничению доступа. Еще задолго до наступления эры ИТ человечество придумало внушительный арсенал средств для предотвращения доступа посторонних лиц: заборы, блок-посты, проходные, пропуска, пароли, замки, сейфы и т.д.
К сожалению, эти в целом надежные средства не подходят для защиты современного презентабельного банка. Функции заборов, проходных и блок-постов эффективно выполняются системами охранного видеонаблюдения и контроля периметра. При возникновении нештатной ситуации эти электронные устройства сигнализируют путем передачи видео- или звукового сигнала на пульт службы охраны, сотрудники которой активируют средства реагирования на несанкционированное вторжение.
Бумажные пропуска и замки на дверях эффективно заменяются системами контроля и управления доступом, разрешающими вход по специальным электронным картам и чипам. Причем карта может быть запрограммирована так, чтобы предоставлять доступ сотруднику или посетителю только в определенные помещения в определенное время.
В качестве дополнительных бонусов от внедрения электронных систем контроля и управления доступом есть возможность анализировать, сколько времени проводят сотрудники на рабочих местах, а сколько — за пределами здания, сопоставлять эти данные с результатами работы, оптимизировать офисные площади и режим работы подразделений компании.
Старший аналитик IDC Александр Голощапов согласен: "Сегодня дополнительным аргументом при обосновании инвестиций, например, в систему контроля и управления доступом (СКУД) может стать выполнение каких-либо пунктов нормативных или корпоративных документов и политик. Очевидно, что отсутствующий в офисе (согласно данным СКУД) сотрудник не может отправить электронное письмо или послать на печать конфиденциальный документ. То есть его коллега, даже зная идентификационные данные, не скомпрометирует таким способом информацию благодаря взаимодействию ИТ, ИБ и технических средств безопасности".
Таким образом, спектр задач руководителя службы безопасности все больше смещается в область разработки логической безопасности. Например, в одном из процессинговых центров по выпуску банковских пластиковых карт реализовали многоуровневую систему контроля доступа в различные помещения центра.
Главный вход был оборудован полноростовым турникетом, который, как и входы в различные помещения центра, контролировался из комнаты охраны. В секретную зону центра может попасть только персонал, обслуживающий технику и занимающийся выпуском карт, причем вход осуществляется через специальный шлюз по карте доступа.
Данный шлюз не только распознает карту доступа, но и взвешивает проходящего сотрудника, чтобы исключить проникновение двух человек по одной карте. Когда открыта одна из дверей шлюзов, вторая обязательно блокируется. Но если посторонний все-таки попал в одно из помещений, то система не выпустит его обратно, заблокировав между двумя пуленепробиваемыми дверями.
Вход в хранилище карт — помещение процессингового центра, обладающего самым высоким уровнем секретности, осуществляется одновременно двумя сотрудниками, каждый из которых должен использовать свой ключ и пройти контроль доступа по личной карте. Очевидно, что реализация такой многоуровневой и сложной системы доступа требует от службы безопасности предварительного серьезного проектирования и анализа всех бизнес-процессов, происходящих в процессинговом центре.
Современные технологии и информационные системы незаменимы и для обеспечения защиты от воздействий внешней среды, таких как пожары, наводнения и т.д. По мнению Дмитрия Рябченкова, руководителя направления КСБ (комплексные системы безопасности) компании "Черус", современная система пожаротушения, особенно газового или порошкового типа, должна работать совместно с системой аварийного оповещения и эвакуации людей. Это важно, так как в системе газового пожаротушения используются газы, опасные для жизни людей.
Система речевого оповещения и сигнализации своевременно оповестит персонал о необходимости покинуть помещение, блокирует электричество и лифты, но оставит подсвеченными пути безопасной эвакуации. Для зданий с большим скоплением людей (торговые центры, спортивные комплексы, бизнес-центры) в целях обеспечения безопасности оправдано применение систем учета посетителей. В аварийных ситуациях они позволяют точно определить, сколько людей в какой зоне здания находится, быстро и эффективно распределить ресурсы и организовать эвакуацию.
Еще одним ключевым направлением технической безопасности является защита технологических процессов. Львиная доля всех аварий на промышленных предприятиях происходит из-за человеческого фактора, причем не всегда по злому умыслу, чаще из-за некомпетентных действий или по халатности.
Никакими инструкциями и запретами кардинально ситуацию не исправить. И в этой области применение информационных технологий, а именно систем автоматизированного диспетчерского управления (АСДУ) помогает существенно снизить риски и свести аварийность к минимуму.
Так, применение АСУ ТП (автоматизированные системы управления технологическими процессами) позволяет удаленно контролировать работу всех систем и оборудования. С их помощью создаются предупреждающие сообщения в случае отклонения от нормальных параметров работы систем, своевременно предотвращается наступление аварийных ситуаций и проводится профилактическое обслуживание.
В случае отклонения от нормальных параметров работы оборудования АСУ посылает предупредительные сообщения на монитор диспетчерской службы, запускает световую и звуковую сигнализацию, выдает список регламентных работ и необходимых действий, предусмотренных в данной ситуации.
Совершенно новые интересные возможности можно получить вследствие интеграции традиционных средств технической безопасности и современных ИТ-решений. Александр Ульянов, ведущий инженер компании "Черус", рассказал о недавно разработанном компанией решении по интеграции систем видеоконференцсвязи и системы охранного видеонаблюдения. "Решение позволяет руководству строительных, энергетических, телекоммуникационных и других компаний контролировать территориально-распределенные объекты в режиме реального времени. Можно проводить производственные совещания (с демонстрацией видеоматериала), совместно анализировать ситуации и просматривать "старую" видеоинформацию, доступную из системы хранения данных. Помимо новых технических возможностей, интеграция видеонаблюдения и видеоконференцсвязи позволяет ускорить процесс принятия решений, повысить контроль их выполнения, сократить командировочные расходы и сэкономить время менеджеров".
Понятие ИБ вошло в повседневный обиход совсем недавно: еще десять лет назад эти слова ассоциировались только с силовыми структурами и государственной тайной. Сегодня все изменилось, и дело обеспечения информационной безопасности — общая головная боль директора компании, начальника службы безопасности и ИТ-директора любой компании. В 2006 г. было принято сразу два федеральных закона, требующих от организаций защиты персональных данных и выполнения мер по защите информации.
Руководитель службы безопасности должен не скатиться в крайность, то есть не ввергнуть свою компанию в каменный век, отключив интернет, электронную почту и другие необходимые инструменты. Бизнесу необходимо стабильное и контролируемое развитие в соответствии с многочисленными требованиями (законы, международные стандарты, конкуренция и т.д.), а не самоликвидация благодаря усилиям CSO (chief security officer).
Что касается обеспечения защиты информации от любого физического воздействия, как со стороны людей, так и со стороны стихии (огня, воды и пр.), то здесь ИТ развиваются семимильными шагами. На рынке уже сейчас предлагают широкий спектр программно-аппаратных решений для резервирования, дублирования и репликации данных.
Уровень современных ИТ позволяет обеспечить не только высочайшую надежность систем на уровне "пять девяток", то есть не более пяти секунд простоя в год, но и удовлетворить требованиям катастрофоустойчивости. Технологии должны гарантировать сохранность данных и доступность систем в случае и террористических актов, и природных катастроф.
Катастрофоустойчивость, например, достигается за счет территориального резервирования всех систем и обеспечения в режиме онлайн обмена данными между несколькими центрами обработки и хранения данных. В случае выхода из строя основного центра резервный узел в тот же момент примет на себя выполнение всех функций. Время задержки составит не более секунды (пока резервный центр "узнает" о выходе из строя основного).
И все-таки большая часть инцидентов, связанных с утечкой информации и взломом информационных систем, связана не с выходом из строя оборудования, а с пресловутым человеческим фактором. Телефонные справочники и базы данных почтовых адресов почти любой компании содержат контакты людей, которые давно уволились. Можно сделать любопытные выводы, поинтересовавшись у администраторов, существует ли база данных учетных записей сотрудников компании в различных информационных системах, кто следит за своевременным удалением учетных записей уволившихся сотрудников и с какой регулярностью это происходит.
Здесь уместно привести западную статистику, согласно которой только 62% учетных записей удаляется непосредственно после увольнения сотрудников. А ведь пустые учетные записи увеличивают риск взлома информационных систем в 23 раза.
По мере развития бизнеса, роста количества сотрудников и информационных систем компании сталкиваются с рядом проблем, связанных с идентификацией и контролем доступа к информационным ресурсам. Это и увеличение количества точек администрирования, и высокий риск ошибок администрирования, а также большое количество идентификаторов и паролей, приходящихся на одного пользователя.
Находящиеся на пересечении сфер информационных технологий и безопасности, системы управления идентификацией и контроля доступа к информационным ресурсам (IAM — Identity and Access Management) способны обеспечить качественно более высокий уровень информационной безопасности компании. Внедрение программных решений данного класса позволяет централизовать управление правами доступами к информационным ресурсам компании. Можно автоматизировать ряд рутинных процедур по выдаче/удалению прав доступа при приеме/увольнении сотрудников. Можно наделять сотрудников полномочиями в информационной среде компании строго в соответствии с функциональными обязанностями и т.д.
Кроме того, данные программные решения обладают очень высокими показателями ROI (return on investments), или экономической эффективности. Для компании, в которой более тысячи внутренних и внешних пользователей информационных систем, эксплуатирующей 10–12 бизнес-приложений, экономический эффект внедрения может составить почти 300% за три года.
Подводя итог, можно сказать, что в современном мире безопасность компании обеспечивается только в результате комплексного подхода, в котором логически увязаны организационные меры, технические средства и информационные технологии. Очевидно, требованиями комплексного подхода к обеспечению безопасности и вызвана стремительная конвергенция рынков информационной безопасности, информационных технологий и средств технической безопасности. Для обеспечения комплексного подхода к безопасности компаниям потребуется совершенно новый класс менеджеров — CSO, которые уже есть на Западе и начинают появляться у нас.
Мария Манова