Внутренняя жизнь компании – тайна за семью печатями. Предприятия тратят немалые средства для ее сокрытия от посторонних глаз. Обеспечение информационной безопасности – один из самых острых и затратных вопросов, стоящих перед IT-службами организаций. Но, несмотря на все старания разработчиков средств защиты информации, гарантировать сохранность данных не может ни одна система безопасности. Ущерб, нанесенный мировой экономике электронными атаками, по данным аналитического агентства mi2g, в 2004 и 2005 годах составил $1 трлн. Такая ситуация вызывает рост рынка средств защиты информации.
Набор «оружия» зависит от масштабов компании. По статистике, риски хищения информации прямо пропорциональны числу сотрудников. «Небольшой компании достаточно использовать межсетевой экран стоимостью до $500, – говорит Валерий Андреев, заместитель директора по науке и развитию ИВК, – и разграничение доступа, реализованное в операционной системе». Организации средних масштабов уже понадобится провести аудит безопасности. «Он позволит вычленить из широкого спектра потенциальных угроз наиболее опасные», – рассказывает Сергей Груздев, генеральный директор производителя смарт-карт и USB-устройств Aladdin. Затем создается портрет типового нарушителя. На основе этих данных принимается решение о закупке и внедрении охранных средств.
Качество системы безопасности определяется степенью защиты самого слабого звена информационной среды. Например, для банков одной из главных проблем являются собственные работники. Следовательно, кредитным учреждениям необходимо работать над снижением роли человеческого фактора. Другие приоритетные направления защиты для банков – сохранение в целостности баз данных с информацией о клиентах, а также обеспечение работы сети банкоматов. Операторы связи обычно делают акцент на мониторинге доступа к сети для защиты от мошенников. Для государственных органов важно наличие различных инструментов шифрования информации.
Средства защиты информации делятся на несколько групп. В первую входит программное обеспечение, помогающее отсекать нежелательный трафик и посетителей. Вторая большая группа – программно-аппаратные средства для защиты данных. Наконец, третий тип защитных средств – средства авторизации и аутентификации.
Зараза не пройдет. Территориально распределенным компаниям просто невозможно обойтись без интернет-каналов общего пользования. Здесь появляется опасность несанкционированного доступа через интернет. От нежелательных посетителей защищают межсетевые экраны – программные продукты, контролирующие пограничные точки присоединения локальной сети компании к каналам интернет-провайдера. Они могут быть разного уровня сложности и предназначаются для защиты различных типов информации. Самые мощные в состоянии обслуживать узлы с сотнями пользователей. Межсетевые экраны должны быть сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК).
К средствам защиты информации этого типа также относятся антивирусные и антиспамовые системы ($15-20 на рабочую станцию или сервер). Производитель сам регулярно обновляет версии таких программ. Однако предпочтительнее спам-анализаторы и анализаторы вирусных атак ($40 на пользователя). Такие «интеллектуальные» решения оценивают и дополняют пакет опасностей самостоятельно. Их недостаток: администратор «умной» системы вынужден тратить гораздо больше времени на ее обслуживание. Сюда же относятся средства борьбы со шпионским ПО или «троянами», вирусами, которые похищают пароли пользователя или перехватывают информацию при ее вводе с клавиатуры. Современные программные продукты позволяют обеспечить безопасность централизованно, в точке доступа к информационной сети компании. Нет необходимости использования специализированного ПО на персональном компьютере. При любых изменениях на рабочем месте, например выключение антивируса, система незамедлительно закрывает пользователю доступ в наиболее важный сегмент корпоративной сети. «Внедрение комплексного решения антивирусной защиты уровня корпорации, – комментирует Сергей Сапельников, генеральный директор «Квазар Микро», – стоит от $30-40 тыс.». Спросом пользуются антивирусы и антиспамы компаний Symantec, Eset, продукты «Лаборатории Касперского», Doctor Web.
Следующий тип – криптографические средства защиты информации. Это программно-аппаратные средства шифрования данных. Криптосистемы используются для создания защищенного канала связи (VPN – Virtual Private Networking) между удаленными объектами, входящими в одну структуру и объединенными общедоступными линиями передачи данных. Контролем и сертификацией криптосистем занимается ФСБ. Создание VPN, включая обследование, проектирование, внедрение программной и аппаратной составляющей, тестирование, стоит несколько сотен тысяч долларов. Сочетание средств авторизации с шифровальным ПО позволяет организовать инфраструктуру открытых ключей. Это означает, что прочитать информацию, переданную по сети, может только пользователь определенного уровня. Можно не бояться, что данные для топ-менеджера перехватит сотрудник более низкого уровня. Без нужного алгоритма он все равно не сможет прочитать информацию.
Контроль входа. В следующую группу входят средства авторизации и аутентификации. Это программно-технические средства, осуществляющие «внутренний» контроль информационной безопасности предприятия. К ним относятся операционные системы, разграничивающие доступ, и средства персональной идентификации пользователя: электронные ключи, смарт-карты, системы авторизации на основе биометрии. Все они также сертифицируются ФСТЭК. По данным IDC, рост сегмента рынка 3А (охватывает системы аутентификации, авторизации, безопасного администрирования) в России за 2005 год составил 83%.
Электронные ключи – это устройства, внешне выглядящие как брелоки. Система состоит из сервера и самих устройств. Для авторизации необходимо вставить ключ, например, в USB-разъем. Сервер и устройство одновременно генерируют коды, которые зависят от количества подключений и имеют большую длину. В случае их совпадения пользователь получает доступ к компьютеру. Как только ключ извлекается из разъема, работа блокируется. Дополнительное средство защиты при использовании электронных ключей – требование ввода pin-кода. В зависимости от модели ключ стоит $40-70. Кроме того, необходимо программное обеспечение, стоимость которого может составлять от нуля до $2-5 тыс. Смарт-карта устроена по тому же принципу, что и электронный ключ, но выглядит как обычная пластиковая карта. В качестве носителя информации вместо магнитной полосы выступает интегральная микросхема.
Авангардом систем идентификации остается биометрия. Но уже вызывает большой интерес со стороны потенциальных покупателей. Доступ организуется с помощью сравнения цифровой модели участка тела (лица, глаза, отпечатка пальца), хранящейся в базе данных, с фрагментом, сканируемым с пользователя при входе в сеть. При этом по цифровой модели поверхности невозможно восстановить внешний вид проверяемого участка. Для крупной компании примерная стоимость комплекта, состоящего из сканера отпечатков пальцев, программного обеспечения и сервера идентификации, составляет $100 на сотрудника.
Одно из требований к корпоративной сети – централизованное управление системой аутентификации. По словам Сергея Тарасова, главы представительства СА в России и СНГ, организовать такую структуру возможно при использовании трех составляющих. Это централизованное администрирование пользователей и ресурсов (около $125 тыс. на организацию) и аутентификация ($35-50 на пользователя), а также управление доступом пользователя ($0,7-3,5 тыс. на сервер или $25 тыс. на web-сервер приложений).
Точный подход. Для обеспечения эффективной защиты крупной компании должны применяться все виды защиты данных. И не по отдельности, а пронизывать насквозь информационную структуру предприятия. Немаловажный фактор – правильная настройка программных и аппаратных комплексов. При этом нужно помнить, чем более защищена корпоративная система, тем менее удобна работа с ней. «Один из существенных аспектов, влияющий на качество обеспечения безопасности, – наличие возможности гибкого управления средствами защиты информации всей корпоративной сети предприятия», – говорит Сергей Тарасов, глава представительства CA в России. Такая система управления включает в себя решения для активного мониторинга и управления событиями (от $25 тыс. на организацию), а также аудита и пассивного анализа событий ($165-1200 на сервер).
Часто организации рассматривают вопрос об информационной безопасности в отрыве от IT-инфраструктуры, выделяя его в отдельный блок. Отношение меняется в зависимости от степени зрелости компании. По словам Ильи Трифаленкова, начальника центра информационной безопасности «Инфосистем Джет», наметилась тенденция к построению глобальных систем управления информационной безопасностью. Появился комплексный подход, когда управление и мониторинг сводятся в единую точку и используются сертифицированные средства. В связи с этим растет спрос на услугу проведения количественного анализа рисков, с помощью которого можно было бы обоснованно принимать решения о финансировании мероприятий по информационной безопасности.
В 2007-2008 годах вендоры предрекают усиленное внимание средствам защиты от легального пользователя и зловредного программного обеспечения. Быстро растет доля «троянов», уже сейчас в интернете идут аукционы, на которых разыгрываются «ручки управления» корпоративных сетей. Следовательно, повышенным спросом будут пользоваться антивирусные системы. Еще одна тенденция – рост спроса со стороны органов государственной власти на средства электронной цифровой подписи, развитие систем защиты от несанкционированного доступа и мониторинга. Поэтому больше внимания будет уделяться и внедрению средств для обеспечения удаленной работы мобильных пользователей. Общее мнение разработчиков – системы защиты движутся по пути унификации вместе со всем техническим миром. Не за горами распространение многофункциональных продуктов, включающих в себя все виды защиты: от корпоративной аутентификации до антивирусной защиты.
СЕРГЕЙ ТАРАСОВ, глава представительства СА в России и СНГ:
– Необходимыми средствами для защиты сети, состоящей из нескольких десятков (и больше) компьютеров, являются системы управления доступом; межсетевые экраны; антивирусные системы; системы обнаружения вторжений; аудит и пассивный анализ; системы анализа контента; системы работы с уязвимостями операционных и прикладных систем, активного оборудования. В крупных организациях, использующих сотни компьютеров, оправдывают себя более «тяжелые» решения.
ВАЛЕРИЙ АНДРЕЕВ, заместитель директора по науке и развитию компании ИВК:
– В качестве МЭ удобнее применять комплексные устройства информационной безопасности (UTM, или Unified Threat Management. – «Ф.»). UTM объединяют в себе все методы анализа различных типов угроз и защищают от вредоносных программ (вирусов), спама, контролируют доступ к web- и FTP-ресурсам. Любой межсетевой экран предназначен для получения сетевого пакета, его последующего анализа, обнаружения следов несанкционированной активности и дальнейшей реакции. Консолидация всех функций в одном продукте позволяет исключить повторяющиеся действия, что способствует сокращению расходов компании.
СЕРГЕЙ САПЕЛЬНИКОВ, генеральный директор «Квазар Микро» в России:
– Обязательными являются обследование и тестирование системы безопасности, особенно при внедрении новых компонентов информационной системы. Также важно совершенствование системы управления правами доступа и средств повышения устойчивости систем от сбоев и катастроф и восстановления данных.
СЕРГЕЙ ГРУЗДЕВ, генеральный директор компании Alladin:
– Особое внимание необходимо уделять безопасности контента. Если раньше основные усилия были сосредоточены на защите электронной почты как потенциального «разносчика» вирусов, то сегодня главное – фильтрация входящего и исходящего трафика. Новые проактивные технологии позволяют выявлять вирусы по модели поведения и «отсекать» их на входе в сеть, до попадания на персональный компьютер. Уже в 2006 году вырастет спрос на средства защиты от инсайдера, такие как электронные ключи, разграничение доступа и аудит всех действий пользователей, в том числе и для юридического доказательства вины в случае инцидента.
ВЛАДИМИР СМИРНОВ, генеральный директор по корпоративным продажам Nortel в России, СНГ и странах Балтии:
– Необходимо обучение сотрудников на предмет следования политике компании в области информационной безопасности, в том числе проведение семинаров по защите от социоинженеров. Социальная инженерия – это нарушение информационной безопасности компании с помощью манипулирования людьми. Например, желание сотрудника узнать, что находится на «случайно» найденном диске с заманчивой надписью. В противном случае любые средства защиты информации могут оказаться бесполезными.
ДМИТРИЙ КРАВЦОВ, заместитель директора по развитию бизнеса компании BioLink:
– Ряд преимуществ в обеспечении информационной безопасности компании дает наличие биометрической системы идентификации. Это не только надежность: решение обеспечивает распознавание конкретной личности, а не жетона или карты. Потому невозможно отказаться от действий, совершенных по предъявлению биометрического идентификатора. Ведь его нельзя забыть, потерять или передать.
ИЛЬЯ ТРИФАЛЕНКОВ, начальник центра информационной безопасности компании «Инфосистемы Джет»:
– Система защиты информации всегда оригинальна. Она может включать стандартные блоки, но в целом всегда зависит от специфики деятельности конкретной организации. Одной важна доступность информации, другой – конфиденциальность, а третьей – целостность. Поэтому среди средств защиты не существует типовых решений.
КОНСТАНТИН ЧЕРЕЗОВ, ведущий специалист компании «Информзащита»:
– Не стоит увлекаться бесплатными решениями. Дело не только в их возможностях. Деньги в первую очередь платятся за сервисы поддержки и гарантию того, что средство будет развиваться и поддерживаться производителем.
Защита металла
Концепция комплексной системы Магнитогорского меткомбината разделяет все средства защиты информации на три части: защита периметра, средства администрирования и управления, а также средства аудита и расследования инцидентов. ММК использует продукты компаний CA, Cisco, TrendMirco и «Антивирус Касперского». Программное обеспечение устанавливалось последовательно в течение 1999-2006 годов. Среди средств защиты, необходимых для надежного обеспечения безопасности, Юрий Ипатов, начальник управления информационной инфраструктурой ММК, называет системы защиты периметра с централизованным управлением (антивирус и антиспам, межсетевые экраны и решения для обнаружения вторжения), а также системы аудита и администрирования. Желательной является возможность централизованного копирования некритической информации. В 2006 году предприятие планирует уделить внимание усилению антивирусных и антиспамовых систем, аудита и администрирования. Ежегодный бюджет комбината на обеспечение информационной безопасности составляет 14-16% от общего объема средств, выделяемых на IT.
Журнал «Финанс.» № 21 (158) 5 июня – 11 июня 2006 – IT+финансы
Наталья Анищук
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.