Поделиться
Оборотная сторона популярности ИБ: проблемы множатся
По данным исследования Gartner, проведенного в конце 2010 года, повышение безопасности входит в Топ-10 приоритетов в бизнесе и ИТ. При этом само это понятие многими понимается по-разному, а сам рынок систем безопасности решает проблемы, в числе которых отношения с регулятором, обеспечение ИБ в облаках и многое другое. Эти и другие вопросы были в центре внимания на конференции "Информационная безопасность бизнеса и госструктур", организованной CNews Conferences и CNews Analytics.В заключение выступающий рассказал о способах организации антивирусной защиты и защиты конфиденциальной информации, привел пример структуры системы безопасности с централизованным управлением и добавил, что решение задачи по обеспечению ИБ упрощается при использовании программно-аппаратных комплексов Dr.Web Office Shield.
Что такое уязвимость?
Если рассматривать взаимоотношения любой компании с государственными регуляторами в общем виде, то в них обязательно присутствует необходимость решения массы вопросов договорного порядка посредством переговоров. Такой деятельности менеджмента сопутствует обмен потоками данных в информационном мире, и чем полнее они соответствуют друг другу, тем лучше для организации. Для оценки соответствия данных используются такие понятия, как их полезность, доступность, объективность и т. п. Отдельно выступает защищенность.
Корпоративная безопасность складывается из двух компонентов — качества управления в областях ИТ и ИБ. При этом в них существует и общий сектор, в котором также приходится решать задачи по безопасности. Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России, считает, что эффективность решения подобных задач зависит от правильного их понимания, а значит — внимательного изучения понятийного материала. Спикер обратил внимание присутствующих на фундаментальные понятия в сфере безопасности (угроза, субъект или агент угрозы, атака, уязвимость, инцидент и т. п.) и их соотношения, привел некоторые постулаты (например, атаки на объект защиты и уязвимости систем защиты объекта не связаны и не коррелируются) и остановился на деятельности службы безопасности. Цель такой деятельности, по мнению докладчика, заключается не столько в реализации новых проектов по безопасности, сколько в выявлении и устранении уязвимостей в системе защиты. Чтобы понять, как добиться минимального числа уязвимостей, надо определить, из-за чего они возникают и какие из них наиболее опасны. Господин Курило ответил на эти вопросы и предложил несколько направлений борьбы с уязвимостями.
Безопасность в АСУ ТП
Понятие безопасности в сетях информационных систем отличается от ее определения в автоматизированных системах управления технологическими процессами (АСУ ТП). Если для первых важна конфиденциальность данных, то для вторых на первом месте находится скорее безопасность персонала, оборудования и самого технологического процесса. Отсюда следуют различия в подходах обеспечения безопасности АСУ, в выборе используемых для этого инструментов. О некоторых аспектах таких подходов рассказал присутствующим Александр Митрейкин, советник заместителя министра энергетики РФ.
Докладчик дал определение АСУ ТП, привел ее типичный состав и добавил, что независимые исследования показали множественные уязвимости, которые могут привести к нарушению корректной работы ТП. Господин Митрейкин указал на наиболее часто встречающиеся уязвимости, особо подчеркнув, что для АСУ ТП в ТЭК реальную угрозу представляют и специальные вредоносные программы, в частности, компьютерный червь Stuxnet. Спикер подробно остановился на одной из ключевых проблем — уровне квалификации работников компаний в области информационной безопасности. Выступающий отметил, что такие работники должны обязательно обладать определенными минимальными знаниями и навыками.
Господин Митрейкин также заметил, что промышленно развитые страны, такие как США, достаточно серьезно относятся к проблеме защищенности АСУ ТП своих энергетических объектов, причем не только от непосредственных опасностей — террористических атак, но и от атак информационных. Он добавил, что в России, в рамках деятельности профильных федеральных органов исполнительной власти (ФСБ РФ, ФСТЭК), тоже ведется работа по обеспечению ИБ критически важных объектов. Спикер рассказал, что в конце прошлого года в России была создана соответствующая рабочая группа, полем деятельности которой является проведение анализа текущего состояния существующих систем обеспечения ИБ и нормативной базы.
Облака пока не защищены
Облачные вычисления — относительно недавно появившаяся технология, которая с каждым годом становится все более популярной. Основные преимущества перехода в облака очевидны, но существуют и сдерживающие факторы — это вопросы доступности и безопасности виртуальных сервисов. Традиционная модель защиты данных компании — эшелонированный подход, когда в центре находится ценный информационный актив компании, вокруг которого выстраивается многоступенчатая система безопасности. Если же перенести часть информации в облако, в защите появляется дыра, поскольку неизвестно, что происходит у поставщика услуг — ведь уровень его безопасности нельзя проконтролировать.
По словам Евгения Климова, вице-президента RISSPA, на текущий момент возможности контроля нет ни у кого. Угрозы же для защиты вполне реальны. К ним можно отнести злоупотребление и нечестную игру при использовании облачных ресурсов, небезопасные интерфейсы, отсутствие контроля над сотрудниками провайдера, утрата или утечка данных и др. Свежие примеры потери данных — взлом сети Sony PlayStation Network, инциденты с компаниями Amazon и Google. Докладчик также подчеркнул, что не спасает ситуацию и возможность заключить договор SLA с поставщиком — последнего все равно будет очень сложно привлечь к юридической ответственности.
Господин Климов отметил, что в российской практике сейчас тяжело выделить инициативы по информационной безопасности облачных сервисов, но за рубежом государства пошли по пути создания некоммерческой организации, выдвигающей на всеобщее обсуждение проекты документов и впоследствии предлагающей их в качестве открытых стандартов. На текущий момент таких организаций две — CSA (Cloud Security Alliance) со штаб-квартирой в США и российская RISSPA (Russian Information Systems Security Professional Association), недавно получившая статус филиала CSA. Выступающий рассказал, что на ближайшее время в планах RISSPA перевод нормативных документов, выпущенных CSA, и запуск в России учебных курсов по безопасности облачных технологий.
Телеком: забота о статусе
В настоящее время в телекоммуникационных сетях можно выделить достаточно много угроз. Это мобильное мошенничество, СМС-троянцы и спам, отправка денег с использованием пополнения счета телефона, наличие вирусов и т. п. По данным исследования "Безопасный Интернет", выполненного независимым агентством MASMI по заказу "ВымпелКома" в декабре 2009 года, 74% респондентов полагало, что провайдер должен предоставлять простые решения для обеспечения безопасности. При этом сегодня ни один оператор не воспринимается опрошенными, как обеспечивающий безопасность, а ведь ее проблематика обширна — выделяют финансовую, моральную, психологическую, технологическую, интеллектуальную и другие виды безопасности.
Дмитрий Устюжанин, руководитель департамента информационной безопасности компании "ВымпелКом", считает, что под безопасностью в телекоме подразумевается не столько защита электронных кошельков или личных данных, сколько забота о персональных ценностях, типа положения в социуме, общественного мнения, официального статуса. Спикер подчеркнул, что если игнорировать такой подход, то велика вероятность потери клиентов.
Докладчик рассказал, что основой операционной безопасности в компании является Security Operation Center, построенный несколько лет назад. В то время особое внимание уделялось технологической защите. Сейчас, по мнению господина Устюжанина, нужно следовать по другим направлениям. Актуальные векторы развития ИБ на сегодня — сервисы по ИБ для клиентов, защита Cloud Computing, выработка согласованных требований по ИБ и их контроль, CERT/CSIRT-кооперация, а также некоторые другие специальные подходы, с помощью которых можно защититься от неизвестных угроз.
Закон о персональных данных: грядут изменения?
Обычно стандартная ситуация, в которой, как правило, пребывают сотрудники отдела обеспечения ИБ, описывается следующим образом: средств на оборудование недостаточно, сервер подвержен постоянным атакам, в наличии внутренние конфликты, при этом надежность сотрудников гарантировать нельзя. Напрашивается вывод: если устранить изложенные проблемы, то ИБ в компании будет идеальна. Однако, как рассказал присутствующим Павел Головлев, начальник управления безопасности информационных технологий "СМП Банка", это далеко не так. Спикер отметил, что у них в организации была достигнута договоренность о полном доверии к службе ИБ, установлено самое современное оборудование, закрыты все уязвимости, разрешены все внутренние конфликты, при этом все работники на 200% лояльны. Но проблемы остались. И вытекают они из федерального закона № 152-ФЗ "О персональных данных".
Докладчик привел ряд ситуаций, когда из-за упомянутого закона возникают вопросы, не решаемые законодательным путем. Например, как начать обрабатывать персональные данные третьего лица при оказании услуги человеку, который пришел в банк? Господин Головлев резюмировал, что таким образом защита персональных данных сейчас превращается в защиту от закона о персональных данных. По его мнению, в условиях современной информационной гонки вооружений законодатель очень односторонне смотрит на проблему, то есть практически все права отданы на одну сторону, другая же получается совершенно беззащитна. При таком подходе можно придти к тому, что все ресурсы организации будут направлены на обеспечение физической безопасности и технической защиты, а о клиентах придется забыть.
О несовершенстве закона о персональных данных говорил и Александр Токаренко, председатель Правления НП "ДАТУМ". Он также привел ряд примеров, где отрицательно сказывалось буквальное исполнение федерального закона № 152-ФЗ. При этом докладчик продемонстрировал целый список совершенствований, благодаря принятию которых многие недоразумения были бы разрешены.
В частности, господин Токаренко предложил убрать раздражающий, по его мнению, пункт, в котором говорится что "оператором является лицо осуществляющее обработку", ввести определение "получателя персональных данных", изменить термин "обработчик", дать четкое описание того, что такое "согласие на обработку персональных данных" и т. п.
Презентации участников круглого стола
Короткая ссылка
