Для обеспечения информационной безопасности необходимы единое управление соответствующими средствами и минимизация информационных рисков
Чем глубже информационные технологии входят в нашу жизнь, тем важнее обеспечить безопасность их использования. Поэтому рынок средств информационной безопасности и соответствующих услуг быстро развивается. По данным IDC, в мире на программное обеспечение для защиты информации в 2005 году было потрачено 11,3 млрд. долл. Растет популярность тематики и в России: 2 марта компания IDC и издательство «Открытые системы» провели очередную, уже четвертую по счету, тематическую конференцию «Информационная безопасность предприятия: анализ рисков, противостояние угрозам и проблемы регулирования», где обсуждались наиболее животрепещущие вопросы, связанные с защитой корпоративной информации. В этом году на конференции в основном говорили о централизованном управлении различными средствами защиты.
Рынок программного обеспечения для защиты в России по оценкам IDC составил 55 млн. долл. Причем, по словам Тимура Фарукшина, руководителя программ исследований IDC, в нашей стране продажи «защитного» программного инструментарий составляют 1,2% от общего объема продаж программного обеспечения; в мире в среднем эта цифра значительно выше — 3%.
Централизованное управление
По словам Жерома Бретона, инженера систем безопасности Check Point, одной из важнейших проблем является неуправляемость защиты. По данным IDC, 70% угроз связаны с ошибками администраторов. При этом даже если закупить все возможные инструменты, но не позаботиться об эффективном управлении ими, результат может быть печальным. Для того чтобы защитой можно было управлять, она должна быть не точечной и дополнительной, а интегрированной и комплексной.
Один из действенных способов решить проблему интеграции предложил менеджер Cisco Systems Алексей Лукацкий: он состоит в том, чтобы покупать всю систему защиты от одного поставщика, а не продукты разных производителей. Первый вариант может быть несколько дороже, но он потребует меньше затрат на интеграцию.
Впрочем, для того чтобы централизованно управлять безопасностью предприятия, нужно надежно идентифицировать каждого пользователя и давать ему минимально необходимые права на доступ к корпоративным приложениям. Именно эти задачи и решает система управления идентификационной информацией. В частности, на конференции была представлена система управления идентификационной информацией от компании Oracle. Ее продукт, который называется Identity & Access Management Suite, является наследником трех технологий: собственных разработок Oracle (Internet Directory и Identity Management), компании Orlx (продукты серии COREid) и Thor Technologies (Xellerade Identity Provisioning и OctetString Virtual Directory). В основном IAM предназначен для создания единого каталога идентификационной информации, которая может храниться как в традиционной базе данных, так и в LDAP-каталогах, а также для организации доступа к нему со стороны различных корпоративных приложений.
Кроме политики учета всех пользователей также нужна корпоративная служба, которая занималась бы выявлением инцидентов безопасности и решением проблем, обнаруженных в процессе разбора инцидента. Это требование лежит в основе стандарта на систему управления информационной безопасностью (СУИБ), который и базируется на методике снижения информационных рисков. На международном уровне принято два стандарта — ISO 17799 и ISO 27001. Оба они исходят из британского стандарта BS 7799. В частности, ISO 27001 по сути является второй частью BS 7799, которая определяет требования к системе управления информационной безопасностью и обеспечивает основу для ее сертификации. Этот стандарт был принят в октябре 2005 года, и в России уже есть компания, получившая сертификат соответствия его требованиям — «ЛУКОЙЛ-Информ», которая занимается эксплуатацией информационной системы ЛУКОЙЛа.
Новые угрозы
«Сам термин «информационная безопасность» неверен, — заявил менеджер Cisco Systems Алексей Лукацкий. — Его употребление приводит к тому, что отдел информационной безопасности передается в подчинение департаменту информационных технологий. Лучше, если он будет называться «отдел по управлению рисками». Термин «информационная безопасность» допускает, что безопасности этой можно достичь, а «управление рисками» точно определяет ее как процесс, которым нужно управлять. В реальности достигнуть состояния безопасности невозможно, поскольку постоянно возникают новые угрозы. Поэтому компания должна иметь в своей структуре специалиста, который бы контролировал появление новых угроз, оценивал риск их реализации и принимал адекватные меры защиты.
Филипп Циммерманн видит острую необходимость в защите все более распространяющихся решений VoIP |
Например, Филипп Циммерманн, разработчик известной свободно распространяемой системы шифрования электронной почты PGP, видит новую угрозу со стороны все более распространяющихся решений VoIP. По его мнению, голосовые пакеты можно легко продублировать, направить в любую точку Internet и затем прослушать. Причем таким способом можно прослушать даже внутрикорпоративные переговоры. Он предлагает усложнить прослушивание VoIP-трафика при помощи шифрования посредством разработанного им протокола ZRTP. На московской конференции Циммерманн объявил о начале тестирования своего нового продукта Zfone, который реализует данный протокол. Программа будет работать в Windows, Linux и MacOS и производить шифрование на уровне сетевой библиотеки. Для пользователя она будет прозрачной, на его экране будет появляться код из четырех цифр, который фактически является уникальным идентификатором сеанса связи. Если этот код у обеих разговаривающих сторон совпадает, это означает, что сеанс связи не прослушивается. Впоследствии планируется выпустить клиента и для Windows CE.
Общую методологию поиска и защиты от новых угроз предлагает и компания Hewlett-Packard. Эта методология содержит три пункта: активное противодействие, раннее обнаружение и восстановление системы. Активное противодействие является сервисом предупреждения о найденной и опубликованной угрозе или уязвимости программного обеспечения. Как только информация об угрозе начала распространяться, она анализируется сотрудниками HP, вырабатываются меры противодействия. После этого средства для устранения проблемы распространяются по корпоративной системе, что обеспечивает превентивную защиту от проблемы.
Средства раннего обнаружения вирусной эпидемии встроены в аппаратные продукты HP: коммутаторы ProCurve и серверы ProLiant. Они выполняют анализ очереди сетевых запросов, вставляют задержку между часто повторяющимися запросами и сообщают персоналу об их обнаружении. Для восстановления после атаки HP предлагает систему WAVE. В ее основе — компьютер-приманка, который не занимается продуктивной работой, но получает все паразитные запросы, анализирует их и выдает рекомендации по устранению внесенных атакой изменений на других компьютерах. Система управления идентификационной информацией, отдел по обеспечению информационной безопасности и система реагирования на новые уязвимости позволяют минимизировать риск от потери или утечки корпоративной информации.