Технологии обхода систем безопасности развиваются не менее быстрыми темпами, чем технологии защиты от вторжений, что подчас заставляет говорить о кризисе в сфере ИБ и малой эффективности предпринимаемых усилий.
Развитие современных информационных технологий сопровождается ростом числа компьютерных преступлений и связанных с ними материальных потерь. По данным зарубежных аналитиков, за последний год от компьютерных взломов пострадало около 60% компаний, причем почти у 20% убытки превысили 1 млн долларов, а потери от одной «дыры» в системе защиты составили в среднем около 50 тыс. долларов. Ежегодно обычная организация сталкивается с 14 случаями нарушений информационной безопасности (ИБ). От 45 до 70% опрошенных считают самой большой угрозой возросшую сложность атак (см. Рисунок 1). Внедрение программных и аппаратных средств обеспечения безопасности (включая VPN) является одним из приоритетных направлений для руководителей отделов ИТ. По оценкам аналитиков Gartner, в 2005 г. 20% корпоративных сетей подвергнутся несанкционированным вторжениям (без учета вирусных инцидентов), а оборот мирового рынка ИБ достигнет 21 млрд долларов.
Неудивительно, что вопросам защиты информации и безопасности уделяется повышенное внимание. По данным Symantec, в первой половине этого года число хакерских атак выросло на 19%. Умножается и число компьютерных вирусов: за первое полугодие Internet-«червей» зарегистрировано на 12% больше, чем за аналогичный период прошлого года, а количество вирусов Win32 увеличилось более чем вдвое. Одной из серьезных проблем остается распространение гибридных сетевых вирусов, в которых вредоносный код сочетается с поиском уязвимости в ПО. На их долю пришлось 60% от общего количества вирусов — на 20% больше, чем в прошлом году.
Необходимость защиты информации стала обязательным условием ведения современного бизнеса. Эта проблема касается не только информационных служб, но и компании в целом, ведь вместе с ростом угроз растет и зависимость от ИТ, что требует комплексного обеспечения безопасности на всех уровнях, баланса риска и стоимости решений. Наряду с повышением роли информационных систем в деятельности предприятий увеличивается их сложность, распределенность, количество компонентов и взаимосвязей. Различные сферы экономики развитых стран все больше зависят от ИТ, поэтому вопросы безопасности поднимаются и на государственном уровне.
По прогнозам аналитиков Datamonitor, к 2006 г. расходы на технологии обеспечения безопасности корпоративных сетей достигнут 13,5 млрд долларов, т. е. почти удвоятся по сравнению с прошлым годом, когда они составляли 7,1 млрд долларов. Как ожидается, больше всего средств будет потрачено на защиту от вторжений, технологии оценки уязвимости и средства управления системами защиты, все чаще интегрируемые с корпоративными системами управления. Согласно IDC, мировой рынок устройств для защиты информации во II квартале вырос на 10% по сравнению с аналогичным периодом 2002 г. Ожидается, что в регионе EMEA (включая Россию) рынок ИБ будет расти примерно на 18% в год. Технологии комплексной, многоуровневой защиты (охватывающей корпоративные серверы, периметр сети и различные клиентские системы) станут новым стимулом для его роста.
В настоящее время львиную долю отечественного рынка ИБ составляют межсетевые экраны и системы контроля контента. Нередко полагают, что для обеспечения ИБ достаточно защитить локальную сеть от доступа извне, хотя это лишь часть необходимых мер, включающих защиту рабочих станций, настройки ОС, политику управления доступом, «почтовую» политику, резервное копирование, план выхода из «сбойных ситуаций» и проч. Кроме того, значительная часть инцидентов, связанных с нарушениями ИБ, происходит в локальной сети.
ОТЕЧЕСТВЕННЫЙ РЫНОК ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Россия, Индия и Китай считаются потенциально перспективными рынками для решений ИБ, но, как во всем мире, инвестиции в безопасность отстают от роста числа уязвимостей и развития электронной коммерции. В нашей стране наиболее серьезно подходят к вопросам безопасности компании, имеющие отношение к ИТ, операциям с ценными бумагами, банковскому сектору и сотовой связи. Что касается других организаций, то, согласно результатам различных исследований, руководители многих из них не уделяют должного внимания данным вопросам, хотя и знают об основных видах угроз.
Тем не менее в последнее время российский рынок продуктов ИБ быстро развивается, в этой области появились важные наработки, чему способствуют и прогресс отрасли ИТ в целом, и внимание, уделяемое сфере ИБ на государственном уровне. По оценкам IDC, к 2007 г. оборот данного направления вырастет с 30 до почти 100 млн долларов. Рынок решений ИБ привлекает все большее число поставщиков (как зарубежных, так и отечественных) и системных интеграторов, кооперация которых позволяет создавать комплексные системы безопасности и образовывать отраслевые альянсы для успешного продвижения продуктов. О реальной заинтересованности зарубежных производителей и отечественных разработчиков можно судить также по большому количеству конференций и семинаров, посвященных данной сфере.
Понятие «информационная безопасность» выходит за рамки защиты информации. Решение задач обеспечения ИБ должно быть комплексным и охватывать самые разные области (от технологических аспектов до государственной политики), а также требует взаимодействия специалистов разного профиля. Обмен мнениями во время конференций дает возможность уточнить новые направления и наладить деловые контакты. Именно поэтому организаторы подобных мероприятий стремятся собрать на них экспертов разных отраслей. С другой стороны, многообразие подобных форумов демонстрирует нынешнюю раздробленность этого рынка и определенные противоречия интересов его игроков.
В течение года состоялось несколько крупных конференций по ИБ, а кроме того, целый ряд мероприятий был организован отдельными производителями средств защиты и их партнерами. Такие форумы уже становятся традицией и привлекают все большее число участников. Они помогают скоординировать усилия заинтересованных сторон, способствуют продуктивному обмену информацией, дают возможность выявить и обсудить «узкие» места в разработке и использовании средств безопасности.
Именно практические аспекты ИБ представляют особый интерес для отечественного рынка. Обмен опытом и решение проблем, препятствующих внедрению существующих продуктов и разработок, должны позволить значительно ускорить его развитие.
РОСТ КИБЕРПРЕСТУПНОСТИ И СОВЕРШЕНСТВОВАНИЕ ЗАКОНОДАТЕЛЬСТВА
Согласно МВД, за последние три года количество правонарушений в области информационных технологий выросло более чем в 63 раза, а число инцидентов, связанных с несанкционированным доступом к компьютерной информации, увеличилось в 30 раз. По данным организованного в 1998 г. для борьбы с компьютерными преступлениями подразделения МВД «Линия К», статистика роста преступности в области защиты информации в России выглядит удручающей. За последние три года количество противоправных действий такого рода ежегодно удваивается. Правда, к ним отнесены не только преступления в компьютерной и телекоммуникационной сфере, но и незаконный оборот электронных средств. В прошлом году было зарегистрировано более 6 тыс. подобных случаев, причем растет не только количество преступлений, но и тяжесть их последствий. Так, согласно приводимым цифрам, убытки от воровства трафика российских операторов составляют миллиарды рублей. Существующие законы явно не работают: 77% преступников получают условное наказание, а около 90% возобновляют свою деятельность.
Пробелы в законодательстве препятствуют не только успешному раскрытию и предотвращению преступной деятельности, но и развитию электронной коммерции в России. Федеральный закон «Об электронной торговле» прошел только одно чтение в Госдуме, тем временем ущерб от преступлений сопоставим с приносимыми этой отраслью доходами. Для развития рынка защиты информации требуется усовершенствовать большое количество юридических документов, причем должны быть созданы механизмы выявления и доказательства соответствующих преступлений, поскольку отечественная компьютерная криминалистика остается неразвитой и не отвечает современным требованиям.
Необходимость совершенствования законодательства, обучения, развития и унификации программного обеспечения остается в числе основных проблем обеспечения ИБ. В доработке нуждаются многие правовые механизмы, включая нормы, регулирующие не только ответственность за правонарушения, но и систему лицензирования и сертификации, а также вопросы использования зарубежных программных и аппаратных средств.
НАКАНУНЕ ПЕРЕМЕН
Проведение единой государственной политики в области технической защиты информации (некриптографическими методами), осуществление межотраслевой координации и регулирование деятельности по обеспечению такой защиты в органах власти, на предприятиях и в организациях является задачей Гостехкомиссии России. В ее коллегию входят представители более чем 20 федеральных органов исполнительной власти (в том числе ФСБ, МВД, ФСО, Министерство связи, Министерство обороны), а также ЦБ, Российской академии наук. Прикладные системы часто создаются без учета необходимых требований, и позднее бывает очень сложно увязать логику их работы с логикой работы подсистемы безопасности. Стандартизация используемых средств позволила бы в значительной степени решить проблему оценки безопасности информационных технологий и защиты данных.
Лицензирование и сертификация — важная мера, препятствующая внедрению не обеспечивающих достаточной безопасности решений. Официальные взгляды на цели и направления обеспечения ИБ определены в «Доктрине информационной безопасности РФ» — базовом документе, предусматривающем разработку последующих правовых документов. Процесс законотворчества в области ИБ находится лишь на начальном этапе создания концепции нормативного правого обеспечения, хотя уже проделана достаточно серьезная работа. Проект основ государственной политики в области технических средств защиты информации готовится к согласованию с федеральными органами исполнительной власти и в следующем году может быть принят. В завершающей стадии находится подготовка положения о государственной системе защиты информации, поскольку прежний документ, датированный 1993 г., в значительной степени устарел, и реалии сегодняшнего дня требуют его пересмотра. К числу основных проблем совершенствования законодательства в данной области можно отнести также разработку федеральных законов, касающихся служебной, коммерческой, банковской и других видов тайн.
Для реализации единой государственной политики по защите конфиденциальных данных Гостехкомиссией принят нормативный документ «Специальные требования и рекомендации по технической защите конфиденциальной информации». Его рекомендации направлены на обеспечение безопасности государственных информационных ресурсов, хотя он может использоваться и при работе с информацией, которая составляет коммерческую, банковскую тайну или содержит другие сведения, не подлежащие разглашению.
Многие компании нуждаются в документе по организации работ в области защиты информации в федеральных органах, на региональном уровне и на предприятиях. К сожалению, процесс получения ими нормативных документов Гостехкомиссии, касающихся вопросов ИБ, остается достаточно громоздким и длительным. Для устранения этих недостатков Гостехкомиссия России в 2004 г. планирует передать задачу обеспечения организаций нормативно-техническими документами в управления Гостехкомиссии по федеральным округам. Хочется надеяться также, что механизмы регулирования рынка ИБ станут не тормозом, а стимулом к его дальнейшему росту, а стремление создать условия для развития российской отрасли средств защиты информации не будет препятствовать конкуренции внутри нее. От всех заинтересованных сторон потребуются серьезные усилия, чтобы достичь взаимопонимания между властными и коммерческими структурами. Наконец, необходимо приведение стандартов ИБ России в соответствие с международными нормами.
ГОТОВЯСЬ К «ОБЩИМ КРИТЕРИЯМ»
Как отмечают многие специалисты, обычно проблема состоит не в средствах защиты, а в их использовании. Существующая нормативная база не позволяет оценить эффективность затрат на информационную безопасность (здесь стоит привести интересный постулат, согласно которому защита информации является достаточной, если дальнейший рост расходов на нее не увеличивает разницу между потенциальным ущербом и уже вложенными средствами). Да и сам термин «информационная безопасность» трактуется довольно широко. Кроме того, если говорить о защищенности применяемых продуктов, то возникает вопрос: по каким же критериям ее оценивать? Для оценки защищенности продуктов ИТ во всем мире применяется стандарт Common Criteria (ISO 15408), сменивший американский US TCSEC («Оранжевую книгу») и европейский ITSEC. Интеграция России в международное сообщество предполагает принятие Common Criteria в качестве государственного стандарта. С 1 января 2004 г. в действие вводятся несколько ГОСТов по информационной безопасности (ГОСТ Р ИСО/МЭК 15408-1-2002, 15408-2-2002 и 15408-3-2002), апробируемых в настоящее время.
Принятие новых стандартов и взаимное международное признание сертификатов Common Criteria способно снизить затраты на сертификацию и приобретение средств защиты, а также позволит российским разработчикам и производителям получить международные сертификаты. Россия может сохранить национальные требования при сертификации продуктов на высшие уровни защиты (включая защиту государственной тайны), а для обеспечения безопасности прочей информации выработать единый комплексный подход. Наряду с внедрением Common Criteria потребуется решение вопросов управления, мониторинга и создание необходимых инструментов с учетом соответствующих стандартов ISO.
Некоторые уже разработанные документы Гостехкомиссии, касающиеся профилей защиты и оценки безопасности ИТ, по существу транслируют положения стандартов ISO в российскую нормативную базу. Между тем признание «Общих критериев» потребует повышения уровня разработки отечественных средств защиты информации, освоения новой терминологии и создания новых методологий (включая методики сертификации).
В следующем году вступает в силу закон «О связи» (ФЗ-126), согласно которому требования к защите сетей связи от несанкционированного доступа к передаваемой информации определяют федеральные органы исполнительной власти, в чьей прерогативе находится принятие нормативных правовых актов по регулированию деятельности в области коммуникаций, развитию и эксплуатации сетей и средств связи. Обязательные требования устанавливаются только для обеспечения целостности и безопасности единой сети электросвязи России и использования радиочастотного спектра, а статьи 53 и 65 определяют сведения об абонентах как информацию, подлежащую защите, и гарантируют тайну передаваемых сообщений. Созданная при АДЭ рабочая группа в настоящее время разрабатывает требования к ИБ сетей общего пользования. Министерство связи также готовит несколько нормативных актов, касающихся, в частности, обеспечения ИБ в таких сетях. Подготовка документа может завершиться в декабре, после чего начнутся его обсуждение и доработка.
ОТРАСЛЕВЫЕ СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Стандарты ИБ представляют собой некую основу, которую отраслевые специалисты наполняют конкретным содержанием, но даже крупные предприятия не всегда могут своими силами разработать корпоративный стандарт ИБ. Задачу усложняет и многоаспектность проблемы, охватывающей различные области — от компьютерных технологий до юриспруденции и социальной инженерии. Нарушение системы информационной безопасности происходит чаще всего на стыке различных областей.
Сейчас действует более двух десятков государственных (и других) стандартов, свыше 40 отраслевых и несколько документов Гостехкомиссии. Нормативная база создана достаточно давно, а потому нуждается в совершенствовании и дополнении в соответствии с меняющимися технологиями и сегодняшними реалиями. Кроме того, она охватывает в основном лишь техническую сторону защиты информации, а способы оценки инфраструктуры безопасности практически не рассматриваются. Стандартизировать все вовлеченные в ИБ технологии сложно, поэтому приходится ограничиваться концептуальными вопросами с конкретным наполнением в зависимости от специализации предприятия. В ходе «стандартизации» нужно решать целый ряд проблем, включая исследование конкретных типов угроз и рисков, различные аспекты деятельности администраторов и пользователей, а также формирование корпоративной «культуры безопасности».
В качестве положительного примера обычно приводится банковский сектор, где работа по созданию общекорпоративного стандарта ИБ (c участием Гостехкомиссии России) уже идет полным ходом, ведь деятельность банка непосредственно зависит от имеющейся информационной системы, и ее риски (включая риски безопасности) влияют на финансовую стабильность. Наряду с разработкой стандартов, банковские структуры считают очень важным подготовку специалистов, контроль за соответствием систем безопасности требованиям нормативных документов, эффективное использование существующих средств защиты.
ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ
Внедрение цифровой подписи наряду с идентификацией и защитой — одна из ключевых задач безопасности в области электронной коммерции. Для взаимодействия в открытых системах важнейшее место занимает структура сертифицированных удостоверяющих центров (УЦ) и создание единой системы управления ключами электронной цифровой подписи (ЭЦП). Работа по развитию общероссийской системы ЭЦП продолжается уже несколько лет. С июля прошлого года введен новый алгоритм ЭЦП, однако на федеральном уровне дело продвигается медленно. Похоже, что, несмотря на принятие в прошлом году закона «Об электронной цифровой подписи», трудности на пути превращения ЭЦП в неотъемлемую часть электронного документооборота и ее признания в качестве полноценной подписи под юридическими документами преодолеть пока не удается, однако будущая структура с головным центром и сетью подчиненных удостоверяющих центров уже вырисовывается.
До сих пор использование ЭЦП во многом сдерживало отсутствие единого федерального удостоверяющего центра, однако в ближайшее время Министерство связи планирует передать на рассмотрение в правительство соответствующие проекты постановлений. Такой центр должен гарантировать подлинность ЭЦП на территории России и для зарубежных контрагентов. В его полномочия также входит сертификация криптографических ключей, используемых независимыми удостоверяющими центрами (УЦ). Межведомственное согласование проходят проекты постановлений, регламентирующих создание УЦ. Есть вероятность, что они будут утверждены до конца года. Совсем скоро могут определиться и победители тендера Министерства связи на создание инфраструктуры УЦ, а вслед за этим, как ожидается, будет создан первый федеральный удостоверяющий центр ЭЦП.
Центры должны использовать отвечающие государственным стандартам криптографические алгоритмы, иметь лицензию на распространение криптографических средств, техническое обслуживание и предоставление услуг шифрования информации. Определенный опыт разработки и сертификации УЦ уже накоплен — от создания модели угроз до разработки технических средств, регламента функционирования центра и оценки уровня его защищенности. Учрежденный недавно в рамках ФСБ Центр безопасности связи будет отвечать за проведение единой государственной политики в отношении средств криптографической защиты и регулирования деятельности в области производства/распределения и обслуживания средств технологической защиты информации. С передачей новому центру многих функций ФАПСИ никаких революционных преобразований не ожидается: курс на обеспечение государственной безопасности при одновременном соблюдении интересов и поддержке российских производителей средств и систем защиты информации остается прежним. На Центр безопасности связи при ФСБ возлагаются функции оценки ИБ и экспертизы сертификационных испытаний подобных центров для открытых систем и корпоративных сетей государственных учреждений, однако до завершения работы по созданию сети УЦ вопросы лицензирования остаются нерешенными. Тем временем ряд организаций и регионов приступили к созданию собственных удостоверяющих центров.
ПОЛИТИКА БЕЗОПАСНОСТИ
При построении полноценной системы ИБ предприятиям нередко приходится пересматривать свои технологии и процессы, чтобы четко определить стратегию и политику безопасности, сформулировать требования к создаваемой системе. По оценкам Gartner, самыми уязвимыми пунктами с точки зрения ИБ являются незащищенное коммерческое ПО, нефункциональная система обновлений и слабо информированные пользователи. Нередко информационная безопасность рассматривается исключительно как техническая проблема, однако значительную угрозу для информационных систем представляют промахи пользователей и администраторов.
По словам Андрея Курило, заместителя начальника главного управления безопасности ЦБ РФ, на степень защищенности огромное влияние оказывает административная и организационная политика компании, правильная организация работы служб безопасности и вопросы контроля. Недавние исследования PricewaterhouseCoopers показали четкую связь между наличием и соблюдением политики безопасности на предприятии и эффективностью реализуемых мер.
Часто те, кому по роду своей деятельности приходится иметь дело с разными уровнями информационной системы — физическим (администраторы) и бизнес-процессов (руководители), не находят взаимопонимания. Наиболее общей ошибкой является формулирование политики безопасности «снизу вверх», начиная с технологии, в то время как подход должен быть обратным — исходить следует из интересов бизнеса. Эффективность реализации политики зависит от вовлечения в нее сотрудников организации. Кроме того, политика безопасности требует ежегодной ревизии. Безопасность необходимо постоянно поддерживать как путем реконфигурирования и обновления технических средств, так и посредством проведения разъяснительных бесед с пользователями, чтобы система безопасности была адекватна существующим угрозам и рискам.
Наряду с разработкой адекватной политики безопасности не менее важно ее строгое соблюдение. Например, по оценкам специалистов, массовое воровство междугородного телефонного трафика в Москве стало возможным лишь благодаря несоблюдению регламентов по настройке телефонных станций в соответствии с требованиями безопасности, а пренебрежение администрированием межсетевого экрана в течение трех месяцев приводит к его неэффективности как средства защиты сети.
СЛАБОЕ ЗВЕНО
Как известно, в системах с шифрованием наиболее уязвимым звеном считается шифровальщик. Статистика подтверждает важность «человеческого фактора» в системе ИБ: до 80% преступлений совершают сотрудники компаний. Например, анализ случаев хищений в кредитно-финансовой сфере показывает, что в подавляющем большинстве их совершают сами сотрудники, либо в состав преступной группы входит один из служащих. Люди, имеющие санкционированный доступ к корпоративной сети, могут рассматриваться как внутренняя угроза. В подобной ситуации обычные технические инструменты мало эффективны, и требуются специальные процедуры контроля.
Нередко из соображений удобства или вследствие нерадивости принятую политику безопасности нарушают либо применяют неверные методы защиты. Даже не имея злого умысла, пользователи подвергают защиту угрозе и способны свести на нет самые надежные средства безопасности. Например, ключи USB для аутентификации доступа к системе превращаются в бесполезную безделушку, если, отлучаясь с рабочего места, сотрудники не берут их с собой. Разработчикам и администраторам приходится искать неординарные решения, дабы воспрепятствовать нарушению установленных правил.
Не менее важно грамотное противодействие компьютерным вирусам. Например, специалисты Symantec рекомендуют обучать персонал безопасной работе с электронной почтой и загружаемыми из Internet файлами. Опросы аналитиков подтверждают важность этих аспектов (см. Рисунок 2). Особенностью обеспечения ИБ, трактуемой как отсутствие недопустимого риска нарушения целостности, конфиденциальности или доступности информации, является участие в этой деятельности практически всех сотрудников предприятия. Проблеме «человеческого фактора» и психологической подготовке приходится уделять внимание при обучении как обслуживающего персонала, так и специалистов по безопасности ИТ.
ЗАКЛЮЧЕНИЕ
Исходя из данных IDC, в прошлом году общемировые затраты на приобретение ПО для обеспечения безопасности превысили 7 млрд долларов, а в России — 30 млн долларов. Согласно прогнозам, в ближайшие годы наиболее высокими темпами будет расти рынок систем обнаружения вторжений (IDS) и оценки уязвимости. Развиваются и услуги в области ИБ: защита сетевого периметра, приложений, антивирусная защита, аудит сетей, анализ риска, разработка политики, внедрение комплексных систем. Аналитики IDC полагают, что в ближайшие пять лет ежегодный рост российского рынка ПО для обеспечения безопасности составит 28%. Такая тенденция связана с возросшей интеграцией технологий в единое сетевое пространство и соединением корпоративных сетей с глобальными сетями. Вследствие высокого интереса финансовых структур ожидается стремительное развитие и рынка ЭЦП.
Специалисты в области защиты информации пока только начинают вырабатывать единый язык и общие понятия, им предстоит пройти немалый путь. Остается надеяться, что заинтересованным сторонам удастся придать столь важной отрасли отечественного рынка новые стимулы и направления. Благодаря проведению различных конференций и форумов, пользователи начинают лучше ориентироваться в многообразии существующих решений, хотя желали бы получить от таких органов, как Гостехкомиссия, более четкую их оценку — основу для практического выбора тех или иных вариантов. Кроме того, многие участники конференций ждут от представителей Министерства связи выражения их активной позиции.
При подготовке статьи использовались материалы Второй ежегодной всероссийской конференции «Обеспечение информационной безопасности: региональные аспекты», проведенной в Сочи «Академией информационных систем (АИС)».
Сергей Орлов — обозреватель «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.
Рисунок 1. Проблемы обеспечения безопасности информационных систем (по данным Ernest & Young).
1. Темпы изменений и растущая сложность угроз | 70% |
2. Низкая осведомленность сотрудников | 68% |
3. Доступность квалифицированных специалистов | 50% |
4. Ограниченный бюджет | 38% |
5. Плохо определенные и неверно понимаемые требования управления рисками | 36% |
6. Наличие инструментов и решений для обеспечения ИБ | 36% |
7. Нечеткость распределения ролей и обязанностей (включая отделы ИТ и подразделения, непосредственно занимающиеся бизнесом компании) | 26% |
8. Недостаточная поддержка руководства компаний и организаций | 17% |
9. Недостаточная поддержка руководителей отделов ИТ | 6% |