Информационная безопасность
Система управления безопасностью: простые рецепты
Михаил Савельев
, #07/2005
В последнее время все больше заметен перекос понятий в области защиты данных: говоря об информационной безопасности, многие в первую очередь имеют в виду защиту от вирусов и хакеров. Но если попросить специалистов по безопасности рассказать о том, что их волнует, выяснится, что наибольшую озабоченность вызывают действия "инсайдеров" (сотрудников компании) Это показали и ежегодный отчет ФБР Computer Crime and Security Survey, и Global Information Security Survey 2004 компании Ernst&Young, и исследования "Внутренние IT-угрозы в России 2004", проведенные компанией InfoWatch.
Так, по данным этих исследований, ущерб от неосторожных и неправомерных действий сотрудников в несколько раз превышает объем причиненного вреда от действий вирусов и хакерских атак. И это несмотря на то, что, согласно отчету Computer Crime and Security Survey, количество инцидентов по вине внешних и внутренних нарушителей спокойствия соизмеримо.
Этот результат вполне закономерен. Хотя внешних злоумышленников действительно значительно больше, но, во-первых, они меньше мотивированны. Отбросив малое число наемных профессионалов, мы получим огромную массу школьников и студентов, которые просто из любопытства пробуют скачанные утилиты, не преследуя каких-либо определенных целей и порой даже не зная, что делать с полученной информацией. Во-вторых, им противостоят мощные и зрелые технологии периметровой защиты, то есть внешнему злоумышленнику нужна большая квалификация, чтобы преодолеть все эти барьеры.
У внутреннего нарушителя, особенно если его действия сознательны, а не являются ошибкой, стимулов может быть больше: от банальной обиды до материальной выгоды в случае подкупа со стороны конкурентов. А возможностей - не в пример больше. Он уже является легальным пользователем сети, имеет доступ в том числе и к конфиденциальным ресурсам организации, может пользоваться корпоративными приложениями и обрабатываемыми в них данными на законных основаниях.
Но если это так, почему большие усилия тратятся именно на защиту от внешних угроз? Есть несколько причин.
Строить систему защиты от внешнего врага гораздо проще. Это хорошо известный и уже проторенный путь. Любой из нас готов начать перечислять необходимые средства защиты. Кроме того, занимаясь построением этого рубежа обороны, мы не влияем на работоспособность нашей информационной системы. Все бизнес-приложения работают нормально, цена ошибки администрирования - по большому счету, лишь кратковременное отсутствие доступа в Интернет.
Защита от внутреннего врага сложнее и требует больших усилий. Она складывается из обеспечения безопасности самих приложений и грамотного администрирования, которое прежде всего подразумевает под собой наличие четких привилегий сотрудников компании на доступ к ресурсам информационной системы (в сформулированном виде - это политика безопасности).
Данные привилегии должны быть достаточны для обеспечения нормальной работы и в то же время минимальны с точки зрения доступа и возможности манипулирования информацией.
И зачастую при появлении подобной задачи, проблем видится больше, чем решений.
Перечислять их можно долго, проблемы цепляются друг за друга. Например, незащищенность ряда приложений вынуждает нас использовать дополнительные средства защиты. Однако эти средства нужно не только приобрести и правильно внедрить, но и сопровождать. И если с процессом внедрения обычно проблем не возникает (справляются либо штатные специалисты, либо нанятые консалтинговые компании), трудности появляются потом, в процессе администрирования системы. Ведь управление средствами защиты осуществляется зачастую отдельно от уже используемых в компании, в том числе и штатных механизмов. А это означает, что рано или поздно (в зависимости от масштаба информационной системы) наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться.
Расхождение происходит еще и потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности.А внести изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их. Да и набрать номер администратора или забежать к нему по пути проще, чем написать заявку. В результате - в заданный момент времени практически невозможно воссоздать реальную картину происходящего, невозможно ответить на вопрос: "Почему к определенному ресурсу имеют доступ эти пользователи и группы пользователей?". Теряется история всех производимых изменений, и уже нельзя определить - правильно или неправильно сконфигурированы, пусть даже самые совершенные, механизмы защиты.
Цена ошибки за неправильное администрирование измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно - созданием огромной уязвимости в информационной системе), либо ограничением необходимого ему в какой то момент доступа (при этом, возможно, срывается выполнение задач организации).
Кстати, среди этих вариантов невозможно выбрать предпочтительный…
