Rambler's Top100
Статьи ИКС № 7 2005
01 июля 2005

Разработчики: откровения на тему

«Идеально безопасная» среда

СЗИ, система управления ИБ, угрозы. В ИС всех респондентов используются СЗИ, поскольку иначе «организация работать не сможет: даже если внешний интерес к нашей информации будет отсутствовать, достаточно простых вирусных угроз, чтобы парализовать систему на весьма продолжительное время» (И. Tрифаленков, «Инфосистемы Джет»). К тому же, замечает М. Савельев («Информзащита»), «необходимость системы ИБ продиктована не только тем, что мы не можем выступать в роли сапожника без сапог. У нас в ИС, помимо информации о наших разработках, хранятся данные о клиентах, с которыми нас связывают соглашения о конфиденциальности. Мы просто не имеем права позволить этой информации попасть в третьи руки».

И, в конце концов, как справедливо считает А. Сабанов из компании Aladdin, «продавать любое решение в 100 раз легче, если ты сам ежедневно им пользуешься и уверен в его качестве и удобстве. Поэтому большая часть наших решений в первую очередь внедряется у нас в офисе. Кроме того, далеко не все новейшие средства защиты пригодны для российских условий. Поэтому мы являемся еще и тестовой лабораторией для СЗИ, особенно по проблемам ААА (аутентификация, авторизация, администрирование), без решения которых не обходится ни одна система защиты».

В каждой организации существуют выделенные структуры, ответственные за ИБ (в Aladdin и Rainbow их сотрудники даже носят гордое звание «офицер безопасности»), правда, не у всех компаний есть полнофункциональные системы управления безопасностью (некоторые ограничиваются установкой систем мониторинга и корреляции событий). Однако, по мнению И. Трифаленкова, «администрировать все СЗИ и системы ИБ в сети при количестве сотрудников более 100 без системы управления безопасностью практически невозможно». А в «Информзащите» используется собственная разработка – система КУБ. Все разработчики строят свои системы защиты на основе политики безопасности, тесно связанной с бизнес-процессами; политика, естественно, утверждается на уровне руководства компании, а внутренний аудит проводится регулярно, не реже чем раз в полгода.

Но в части аудита «впереди планеты», пожалуй, «КРОК». У них внедрена система управления информационной безопасностью на основе британского стандарта BS 7799 – 2: 2002 (прошла сертификацию в апреле). Более того, по словам М. Пышкина, ее аудит проводится не реже двух раз в год и в нем задействованы как собственные специалисты, так и внешние аудиторы.

Основные виды угроз, характерные для бизнеса разработчиков, ничем не отличаются от тех, с которыми сталкиваются ИС иных организаций: утечка конфиденциальной информации, вирусы и спам, угрозы, ограничивающие работу внешних сервисов (почтового, web и др. ). Для противодействия им используется целый ряд средств как российского, так и зарубежного производства (лишь у Rainbow и IBM СЗИ исключительно «импортные»). Вместе с тем, считает И. Трифаленков, «неправильно выбирать средства, ориентируясь на то, кто их производит. СЗИ выбирают исходя из тех требований, которые к ним предъявляются, и той политики безопасности, которую они должны реализовать».

Что касается сертификации, то, поскольку разработчики суть коммерческие организации, обязательного требования по применению сертифицированных СЗИ у них нет. Поэтому сертифицированных – необходимая часть. Другое дело, если организация имеет право на работу с информацией, составляющей государственную тайну (а таковые есть среди наших респондентов). Тогда она обязана применять для тех частей ИС, где циркулирует такая информация, набор сертифицированных средств.

Претензий к используемым СЗИ респонденты не имеют: «средств защиты, к которым у нас есть претензии, мы просто не применяем».

Финансы и проблемы. Среди участников опроса не нашлось «обиженных» невниманием руководства к нуждам систем защиты информации – средства на ИБ выделяются в соответствии с бюджетным планом и с рекомендациями специалистов, отвечающих в компании за ИБ. Как заметил И. Трифаленков, «поскольку компания занимается вопросами ИБ, убеждать руководство в необходимости выделять средства на ИБ нет нужды».

Главной проблемой служб безопасности большинство считает кадровую. И хотя все опрошенные подчеркивали, что специалисты по ИБ регулярно повышают свою квалификацию на различных курсах, более всего руководители служб безопасности озабочены тем, где найти квалифицированного «защитника». Впрочем, М. Пышкин определил основную проблему этого подразделения как «необходимость время от времени отвлекать своих высококлассных специалистов по ИБ на внутренние проекты», а И. Трифаленков посетовал, что «собственная система в какой-то мере остается вторым приоритетом: осознавая необходимость внедрения тех или иных средств защиты в своей системе, мы прежде всего направляем ресурсы на решение внешней задачи, по которой существует договорная ответственность». Компания Rainbow выделила также такую проблему, как предотвращение НСД в ИС через оборудование, несанкционированно установленное сотрудниками.

Общее впечатление от систем ИБ, эксплуатируемых разработчиками: все в порядке, изменений не требуется, а главное – «наша система оптимальна с точки зрения угроз, требований защищенности и стоимости».

Клиенты и требования

Вторая часть вопросов касалась клиентов перечисленных компаний, а попросту, потребителей тех самых СЗИ и решений систем защиты, которые поставляют наши респонденты. Здесь выделить общее мнение было чуть сложнее, хотя по некоторым вопросам выявилось почти полное единодушие.

«ИКС»: Какой вы видите систему защиты информации организации? От чего зависит полнота/неполнота системы, степень влияния бизнес-процессов, форм собственности? Какая концепция, на ваш взгляд, должна лежать в основе любой системы?

Общее мнение. Следует различать коммерческую безопасность и безопасность государственных предприятий. Первая отталкивается от целей бизнеса, а его основная цель – получение прибыли. Таким образом, ИБ должна не мешать извлечению прибыли, а, в идеале, содействовать. Следовательно, при формировании системы защиты информации в коммерческих структурах определяющим является фактор целесообразности затрат (разумной достаточности): расходы на ИБ не должны превышать стоимость защищаемых ресурсов; для ее обоснования применяется оценка информационных рисков, а она может быть как качественной, так и количественной.

Для госпредприятий главными становятся требования законодательства и нормативных актов. Но не всегда их выполнение представляет собой адекватную меру по защите информации в данных конкретных условиях.

В любом случае система безопасности должна строиться таким образом, чтобы, с одной стороны, соответствовать набору угроз и рисков, который в системе существует, а с другой —чтобы ее применение в ИС не мешало основным функционалам. Иначе эта система будет неизбежно отставлена в сторону и мы получим незащищенную ИС.

Таким образом, полнота системы защиты информации определяется синтезом всех вышеперечисленных факторов: бизнес-процессов, форм собственности, направлений деятельности. Во-первых, от СЗИ требуется поддерживать возложенные на нее функции и при этом быть максимально прозрачной для легитимного пользователя, предоставлять полный отчет о событиях, происходящих в ИС, обеспечивать непрерывность защиты, гарантированное время восстановления после сбоев/инцидентов и быть экономически целесообразной. Во-вторых, она должна быть органичной частью ИС в целом: не просто совокупностью подсистем, а звеном сложной системы более высокого порядка. Функционирование системы ИБ подчинено критериям эффективности работы ИС и, далее, критериям эффективности бизнеса организации. Без четкого позиционирования системы ИБ в рамках бизнес-системы организации в целом построить эффективно работающую систему ИБ нельзя.

При разработке мер обеспечения безопасности (как технических, так и организационных) необходимо отталкиваться от рисков, присущих деятельности компании, виду бизнеса. Их вероятность и стоимость возможного ущерба помогут оценить целесообразность внедряемых технических средств и организационных мероприятий.

Но обратимся к ответам наших респондентов и представим их наконец со всеми их регалиями.

«ИКС»: Что мешает вам внедрять системы безопасности такими, как вы их себе представляете?

Алексей САБАНОВ, коммерческий директор Aladdin Software Security R. D. «Благодаря наследию» долгих лет строительства социализма у нас еще далеко не все научились различать свое и общественное. Поэтому главным фактором я считаю форму собственности. Здесь условно можно выделить два класса: государственные/полугосударственные компании и коммерческие.

Пока коммерческие структуры, ориентированные на экономию средств на ИБ с целью максимального вложения в развитие бизнеса (как это ни печально), не научатся на своем горьком опыте определять реальный ущерб от действий внутренних или внешних злоумышленников, перебоев в питании и других факторов или хотя бы просто ЗАМЕЧАТЬ ущерб такого рода (учитывать его влияние на свое благосостояние), они не смогут построить информационно безопасную ИС. Если владельцы предприятия видят прямую зависимость развития бизнеса и совершенствования системы защиты, тогда бизнес и СЗИ развиваются гармонично, дорастая подчас до полных, даже по западным меркам, систем.

Для предприятий гос-и полугосударственных ситуация еще хуже. Каким бы законопослушным ни был персонал и топ-менеджмент оператора, работа по приказу, без личной заинтересованности никогда не приносила качественных результатов. Поэтому до недавнего времени и закупали всё подряд (в смысле – СЗИ), зачастую руководствуясь принципом «кто из поставщиков больше отблагодарит». Это большая проблема – найти разумный симбиоз необходимого и достаточного для построения системы безопасности при понимании угроз для государства, бизнеса, личности и общества в целом.

Ключ к успеху – осознание самих проблем и важности их решения.

Олег САМАРИН, руководитель отдела информационной безопасности AMT Group: Основными помехами можно назвать непонимание заказчиками системного характера проблемы построения ИБ в целом, недостатки нормативной и законодательной базы.

Антон МЯКИШЕВ, системный архитектор IBM Global Services: У каждого заказчика свои специфические взгляды, убеждения и возможности. Но после того, как удается показать эффективность предлагаемой системы безопасности в цифрах, многие проблемы исчезают. Поэтому для оценки эффективности системы мы часто используем риск-ориентированный подход, при котором размер инвестиций в безопасность сравнивается с потенциальным ущербом от реализации риска.

Михаил САВЕЛЬЕВ, начальник отдела продвижения решений НИП «Информзащита»: Ряд последних проектов показал, что все зависит от умения привлечь внимание руководства предприятия к проблеме и показать ее экономическую целесообразность. Например, по результатам аудита одного предприятия было выявлено, что весь технологический процесс там сводится на один старенький сервер без системы резервирования, установленный чуть ли не в производственном цехе, а его двухдневный простой может привести к полной остановке производства. Результат не заставил себя ждать: руководство сразу же выделило средства на решение проблемы.

Илья ТРИФАЛЕНКОВ, директор Центра информационной безопасности компании «Инфосистемы Джет»: Я бы поставил вопрос так: почему при создании системы защиты информации не всегда достигается оптимальный результат? Ответ: прежде всего потому, что ИС предприятия очень редко строится в соответствии с каким-то единым планом. Обычно есть «кусочная» автоматизация, есть неравносильные ее части, в которых вопросы защиты информации когда-то и как-то решались, а кое-что осталось «голым», и есть «разновозрастные» части системы. Но существуют еще ограничения по финансам и срокам. В подобном случае реализовать единый подход к безопасности в полной мере, наверное, не получится, и нужен какой-то компромисс. Задача состоит в том, чтобы этот компромисс не привел к печальному результату: лишь видимости защиты. Именно этого надо постараться избежать.

Михаил ПЫШКИН, руководитель направления информационной безопасности компании «КРОК»: Основная проблема —отсутствие у руководства многих российских предприятий понимания значимости угроз, связанных с безопасностью, неспособность оценить уровень зрелости собственной системы ИБ, сравнить его со средними показателями по отрасли и лучшими мировыми практиками.

Павел ПОКРОВСКИЙ, ведущий системный аналитик компании «Открытые Технологии»: Здесь следует разделять коммерческую безопасность и безопасность госпредприятий. В части коммерческой безопасности заказчику бывает сложно соблюсти баланс адекватности затрат и влияния СЗИ на автоматизированную систему в целом. Имеющийся в настоящее время спектр СЗИ практически полностью покрывает потребности рынка – слабо представлены только СЗИ, основанные на технологиях искусственного интеллекта.

В области же организации защиты информации на госпредприятиях камнем преткновения, безусловно, являются требования законодательства. Взять хотя бы пресловутый указ №611 (Указ Президента РФ от 12. 05. 2004 «О мерах по обеспечению информационной безопасности РФ в сфере международного информационного обмена». – Ред. ): все имеющиеся решения в настоящее время реализуют его только частично. Решения, которое бы полностью соответствовало данному указу, на рынке нет. Есть только «бумажные» версии,. е. соответствие в технических условиях, а не по факту.

Дэян МОМЧИЛОВИЧ, руководитель отдела по работе с партнерами Rainbow Technologies: В основном мешает недостаточное финансирование и недопонимание заказчиком необходимости комплексного подхода к системе ИБ. Очень часто ее создание сводится лишь к установке средств защиты от вторжений в локальную сеть предприятия. При этом абсолютно не рассматриваются вопросы защиты от внутренних угроз, которые включают многофакторную аутентификацию сотрудников (как при физическом доступе в помещение, так и при доступе к информационным ресурсам). А уж о предоставлении исчерпывающей информации сотрудникам компании о политике ИБ и ее реализации на предприятии вообще забывают.

«ИКС»: Чем необходимо дополнить нормативную и законодательную базу, чтобы обеспечить нужный уровень защищенности и надежности сетей предприятий? Чего вам не хватает в части законов, стандартов, РД и других документов?

А. САБАНОВ: На мой взгляд, дело все же не в нормативной базе. Хотя она перманентно отстает от жизни, особенно в части борьбы с киберпреступностью и другими видами мошенничества, которые быстро развиваются вместе с бурным ростом ИКТ. Например, у нас не хватает законодательных и подзаконных актов для того, чтобы привлечь к ответственности злоумышленника, укравшего абонентскую базу оператора и продающего ее на рынке. Это только один из известных примеров …

О. САМАРИН: Более всего не хватает взвешенного, беспристрастного подхода к проблеме. Для эффективной защиты информации необходимы не запрещающие законы, а свободная конкуренция в области средств и методов защиты информации.

М. САВЕЛЬЕВ: Начать бы исполнять то, что есть...

И. ТРИФАЛЕНКОВ: Очевидно, что нормативная база является неполной. Здесь один из острых моментов, пожалуй, персональные данные, которые сегодня законодательством у нас никак не защищаются. И это может довести проблему до абсурда: весь мир защищает персональные данные, а в России – оазис полностью открытой информации.

М. ПЫШКИН: Не хватает стандарта управления информационной безопасностью, аналогичного BS 7799 – 2: 2002. Нужен его адаптированный российский аналог, который будет признаваться другими странами. Так сделано в Японии, Австралии, Норвегии и др.

П. ПОКРОВСКИЙ: Я бы предложил некоторую либерализацию в использовании криптоалгоритмов и алгоритмов электронной цифровой подписи. В настоящее время в России унификация реализаций стандартов шифрования и ЭЦП в рамках технических решений крайне затруднена. Например, реализация одного и того же алгоритма ГОСТ 28147-89 двумя разными организациями часто приводит к ситуации, когда симметричные криптографические ключи, сформированные устройством одной фирмы, не могут быть использованы на устройствах другой.

Д. МОМЧИЛОВИЧ: Сложный вопрос. В основном не хватает рекомендательных документов и, конечно же, поддержки рынка ИБ (в плане выполняемых работ и получения информации по принятой нормативной базе) со стороны соответствующих госструктур.

«ИКС»: Ваше отношение к возможному принятию положения о взаимопризнании сертификатов в области ИБ (на основании ГОСТ Р ИСО/МЭК 15408, известного как «Общие критерии») и появлению национального стандарта на системы управления и аудит ИБ?

А. САБАНОВ: Взаимопризнание скорее необходимый документ (в свете нашего будущего вхождения в ВТО). Просто надо готовиться к этому, как к неизбежному, отстаивая государственные интересы. А стандарт на системы управления ИБ нужен всем: пользователям, проверяющим органам, производителям систем.

О. САМАРИН: Взаимопризнание – дело хорошее. Как и стандарт. Но это не панацея. Велика вероятность того, что у многих появится иллюзия защищенности, если их система соответствует тем или иным стандартам, а это не всегда верно.

А. МЯКИШЕВ: Взаимное признание сертификатов на основании «Общих критериев» упростит процесс прихода на наш рынок передовых систем зарубежных производителей: им не придется тратить время и средства на дополнительную сертификацию своих продуктов. С другой стороны, перспективные отечественные производители смогут более четко позиционировать свои продукты на мировом рынке.

Существующий сегодня стандарт BS 7799 – 2 регламентирует многие аспекты функционирования систем управления ИБ и процессы ее аудита. Если он будет принят в качестве ГОСТ РФ, это облегчит процесс внедрения и аудита подобных систем. Как сертификация предприятия по стандартам серии ISO 9000 повышает конкурентоспособность продукции, так сертификация по данному стандарту повышает конкурентоспособность компании на внешнем и внутреннем рынке.

М. САВЕЛЬЕВ: Отношение нейтральное. Но, скорее всего, этого не произойдет, а если и случится, то коснется лишь области защиты конфиденциальной информации.

По поводу стандарта ISO 17799. Я бы говорил не о стандарте, а о своде рекомендаций. Хотя таковые существуют и сейчас, только пока в качестве «добровольно исполняемых», а не отраслевых. Но вообще изменений не ожидаю. Разве сегодня у нас сертификация предприятия по ISO 9001, например, на предмет контроля качества, дает ощутимые преимущества?

И. ТРИФАЛЕНКОВ: К взаимопризнанию надо относиться нормально —только чтобы не получилось, что мы их признае ’м, а они нас нет. С другой стороны, сертификат сертификатом, но требования, по какому уровню этот сертификат должен быть получен, формулируются заказчиком.

Появление российского аналога стандарта ISO 17799 – очень важное событие. Уже сейчас многие организации, работающие на зарубежных рынках, нуждаются в таком аудите, поэтому в компании «Инфосистемы Джет» есть сертифицированные BSI специалисты.

М. ПЫШКИН: Это можно только приветствовать: взаимопризнание сертификатов облегчит работу. Как и появление нового стандарта, если он будет приведен в соответствие с зарубежными аналогами.

П. ПОКРОВСКИЙ: Выводы делать преждевременно, пока не появится конкретное, произведенное и сертифицированное за рубежом техническое решение, сертификация которого на соответствие «Общим критериям» будет автоматически признана в РФ и которое будет внедрено в российской организации.

Что касается систем управления, то такой стандарт уже есть – ISO 17799. Правда, он зарубежный, но ничто не мешает применять его при аудите ИБ в коммерческих организациях.

Д. МОМЧИЛОВИЧ: С технической точки зрения открываются широкие возможности в плане построения защищенных каналов документооборота между компаниями. Но вот как будет сформулирована юридическая сторона данного положения?

А появление стандарта на системы управления и аудит ИБ только приветствуем.

«ИКС»: Теперь об изменениях в области регулирования использования средств шифрования. Считаете ли вы их внесение, в том числе принятие решения о правомерности применения зарубежных средств шифрования, алгоритмов DES, 3DES, AES без сертификации в ФСБ, необходимым? И для каких видов деятельности?

А. САБАНОВ: Коммерческим структурам и сейчас не запрещено использовать эти алгоритмы – для корпоративного (внутреннего) применения …У нас перед глазами яркий пример Украины, где реализация международных алгоритмов наряду с национальными дала стремительный взлет использования ЭЦП в различных сферах. Хорошо это или плохо? Для совершенствования систем ИБ, безусловно, хорошо. Разумный симбиоз лучшего западного с лучшим российским при соблюдении национальных интересов в сфере безопасности всегда давал положительный результат.

О. САМАРИН: Следует существенно изменить практику регулирования рынка шифровальных средств – перейти от разрешительной модели к рекомендательной. Естественно, это не касается государственных учреждений и области охраны гостайны. Там жесткое регулирование оправданно.

А. МЯКИШЕВ: Отмена части существующих ограничений позволит многим компаниям легализовать средства, которые де-факто уже используются. Крупные международные компании получат возможность с меньшими временными и финансовыми затратами создавать инфраструктуру для своей производственной и коммерческой деятельности в России, что особенно важно в текущей экономической ситуации. Но, безусловно, в ведении ФСБ должно оставаться регулирование применения шифровальных средств в организациях, обрабатывающих информацию государственной важности.

М. САВЕЛЬЕВ: Этот вопрос лежит в области компетенции ФСБ. Сегодня мы не имеем права распространять такие продукты.

И. ТРИФАЛЕНКОВ: Вопрос регулирования в области средств шифрования и принятия решения о правомерности применения зарубежных алгоритмов шифрования, на мой взгляд, надуманный. Вряд ли стоит сейчас использовать DES (по причине «старости»), а у 3DES и AES преимуществ перед ГОСТом нет. Главное, чтобы клиент имел ту же функциональность при простой замене криптографического ядра. В этой ситуации мне представляется достаточно хорошим опыт Microsoft. У компании есть криптопровайдер, и в большинстве случаев замена одного криптоядра на другое для нее – весьма тривиальная операция. С сожалением должен констатировать, что UNIX-производители этой практике не следуют. И от этого сильно теряют.

М. ПЫШКИН: Внесение изменений существенно упростило бы работу многим компаниям.

П. ПОКРОВСКИЙ: Если имеется в виду признание на государственном уровне вышеописанных алгоритмов равнозначными в рамках правовых отношений российским криптоалгоритмам, то ответ положительный. По-моему, надо разрешить предусматривать в договорных отношениях между субъектами законодательства, что в качестве алгоритма ЭЦП могут применяться зарубежные алгоритмы – при условии одобрения регулирующим органом (ФСБ) конкретных средств формирования ЭЦП по зарубежным алгоритмам.

Д. МОМЧИЛОВИЧ: Регулирование в области шифрования должно быть только для информации, являющейся государственной тайной. В остальных случаях достаточно признать международные стандарты и использовать зарубежное оборудование и ПО без сертификации в ФСБ (ФАПСИ) на сетях не выше 3-го класса защищенности.

«ИКС»: Ваши рекомендации потенциальным заказчикам при выборе средств защиты?

А. САБАНОВ: Основное пожелание: выбирайте осознанно. Чтобы СЗИ было функциональным и органически вписывалось в реальную ИС предприятия с учетом его динамичного развития.

О. САМАРИН: Всегда следует руководствоваться системным подходом и здравым смыслом. Зачастую именно этого не хватает заказчикам. Необходимо постоянно следить за новыми тенденциями в области защиты информации и быть в курсе последних событий. «Оповещен – значит вооружен» – этот закон как нигде лучше применим в области защиты информации.

А. МЯКИШЕВ: Используйте системный подход, определите риски и политику безопасности своей организации до начала внедрения каких-либо технических средств. Это позволит избежать ненужных затрат и обеспечит максимальную эффективность системы безопасности.

М. САВЕЛЬЕВ: Будьте осмотрительны. В том смысле, что внедряйте действительно необходимые средства. И реально внедряйте, а не ограничивайтесь их формальной установкой в сети.

И. ТРИФАЛЕНКОВ: При выборе СЗИ рекомендуется всегда одно. Средство защиты —это всего лишь средство. Нужно понимать, для чего оно применяется, для защиты от каких угроз его предполагается использовать и в соответствии с какой политикой. Тогда это средство будет реально работать. Если средство защиты купили для того, чтобы оно просто «защищало», о это зря потраченные деньги.

М. ПЫШКИН: Надо руководствоваться материалами независимых тестов и собственным впечатлением от опытной эксплуатации, выбирать СЗИ на основе анализа рисков, проведенного независимым консультантом.

П. ПОКРОВСКИЙ: Прежде всего определитесь, что важнее: адекватность мер защиты или полное соответствие законодательству.

Д. МОМЧИЛОВИЧ: Не забывайте о комплексном подходе к реализации СЗИ. Помните: безопасность – это не только решение, но и процесс, непрерывный на всех этапах жизненного цикла информации.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!