По данным аналитического агентства Gartner, общемировые расходы компаний и корпораций на информационную безопасность (далее - i-sec) в 2003 г. превысили 45 млрд долл. Так, средняя компания с персоналом до тысячи человек платит за минимально необходимый уровень спокойствия, сохранность ноу-хау, результатов работы и обеспечение работоспособности компьютерных систем около 50 тыс. долл. в год. Ежегодно данная статья расходов возрастает в среднем на 15-20%. По прогнозам российского совета Межрегиональной общественной организации "Ассоциация защиты информации", уже к 2007 г. отечественные компании будут тратить на i-sec не менее 7% своего бюджета.
Однако увеличение расходов на i-sec - не панацея и не страховка от всех бед, поскольку 100%-ное обеспечение защиты информационной системы отдельно взятого предприятия от всех видов угроз не может гарантировать ни одно программное или аппаратное решение. В связи с этим важнейшей задачей, стоящей перед руководством и директорами технических отделов компаний, сегодня являются расстановка четких приоритетов и выделение бизнес-процессов, потенциальная уязвимость которых может обернуться для предприятия недопустимыми убытками.
Опыт показывает, что компании уверены в надежности и защищенности своих систем до тех пор, пока не произойдет утечка ценной информации или в систему не проникнет злоумышленник, удаляющий информацию из хулиганских побуждений либо требующий за нее выкуп. Лишь в этих случаях компания обращается к экспертам, которые выявляют недостатки в имеющейся системе безопасности или приступают к ее разработке. В результате компания несет дополнительные убытки, которых можно было бы избежать благодаря значительно менее затратным превентивным мерам. Недостаточное внимание российских компаний к вопросам i-sec подтверждается еще и тем, что лишь у 5% имеется четкая внутренняя политика в этой области, а регулярный аудит средств безопасности, который рекомендуется проводить не реже одного раза в год, проводит менее 3% компаний и крайне нерегулярно.
Решение, обеспечивающее режим i-sec, должно не только учитывать специфику процессов предприятия, но и быть экономически эффективным. Именно расчет коэффициента окупаемости инвестиций (ROI) является наиболее сложной задачей, которую нужно решать на начальном этапе внедрения системы i-sec. Расчет ROI почти всегда проводится сторонними экспертами и специализированными компаниями.
Необходимость привлечения сторонних специалистов вопреки расхожему мнению о том, что допуск "чужих" в информационное поле компании является потенциальной угрозой безопасности и сохранности информации и коммерческих секретов, вполне очевидна. Среднестатистическая компания не имеет собственных экономистов и технических специалистов, уровень теоретических и практических знаний которых позволил бы с нуля создать и поддерживать действительно эффективную систему обеспечения i-sec. Более того, содержание собственных специалистов i-sec, разрабатывающих внутреннее решение безопасности, экономически неэффективно для предприятий малого и среднего бизнеса. Именно по этой причине для обеспечения i-sec в США и Европе обычно привлекаются сторонние компании, занимающиеся прогнозами масштабов роста, интенсивности и трендов информационных угроз, аудитом и расчетом возможных потерь и ущерба от нарушения режима i-sec и, конечно, внедрением решений, спроектированных с учетом потребностей каждого конкретного предприятия.
Работа по построению системы должна вестись совместно - компанией-интегратором и сотрудниками заказчика, потому что работать с созданным решением в конечном счете придется IТ-подразделению и службе безопасности компании. Весь комплекс этих вопросов должен быть прописан в концепции информационной безопасности и находиться в ведении двух указанных подразделений - без перекладывания друг на друга ответственности за ее обеспечение. Для эффективного взаимодействия подразделений может потребоваться специалист, который будет координировать работу в этом направлении. Именно он должен постоянно держать руководство в курсе всех вопросов данной сферы, указывать на проблемы и предлагать рекомендации по улучшению системы i-sec. Руководство в свою очередь принимает решения и по самому важному вопросу - финансированию действий по защите информации. Сегодня большинство российских компаний не выделяет расходы на i-sec в отдельную статью расходов и включает их в расходы на поддержку и развитие информационной инфраструктуры. Между тем все возрастающие масштабы информационных угроз обусловили необходимость выделения данной статьи расходов. В то же время учесть все невозможно. Масштабы затрат на систему обеспечения i-sec - на ее внедрение и поддержку - не должны превышать размеров потенциального ущерба от ее нарушения.
Изначально система i-sec строится для обработки внешней информации и защиты внутренней информационной структуры компании от внешних воздействий. Однако при обеспечении защиты информации компании от разрушительных действий необходимо также учитывать множество технических и "человеческих" факторов. Так, системы i-sec должны предусматривать не только внешние, но и внутренние угрозы - злонамеренные действия инсайдеров - сотрудников, отстаивающих интересы конкурентов или иных заинтересованных лиц и имеющих доступ к внутренней информации.
Системный подход
Современная система i-sec - это не просто механизм ограничения злонамеренного и неавторизованного доступа к информации компании, но и эффективная организация разноуровневого доступа к информации служащих компании, обеспечения сохранности и резервного копирования критических данных. Система должна гарантировать, что адресованная тому или иному сотруднику информация будет доставлена быстро, без искажений и, если это необходимо, с соблюдением конфиденциальности. Эту роль обеспечивают цифровые сертификаты и системы электронной подписи и шифрования.
При использовании различных платформ возникают проблемы перехода к гетерогенной информационной системе и несовместимости систем i-sec. Из-за различий в подходах к реализации i-sec в разных платформах в системах защиты гетерогенных сетей неизбежно возникают "дыры". Даже в случае использования сходного технического окружения и операционных систем одного семейства разные версии программного обеспечения предлагают различные уровни, механизмы и инструменты реализации защиты. Осложняется использование разных систем i-sec еще и тем, что инструменты, встроенные в операционные системы, пропретарны, т.е. их код закрыт, а механизм действия является коммерческой тайной разработчика.
Любая гомогенная сеть, подключенная к Интернету, становится гетерогенной. Разные вычислительные среды и средства предусматривают совместимость с продуктами конкурентов. Так, Microsoft уже давно предлагает поддержку сетевых технологий, изначально предназначенных и работавших только под Linux. Российские производители программных средств i-sec в свою очередь предлагают программные комплексы, позволяющие создавать защищенную информационную среду при использовании средств различных платформ и операционных систем, опираясь на различные программные средства и коммуникационные протоколы, дополняя их "узкие" места, повышая их надежность и безопасность. Например, программный пакет "ИВК Юпитер", разработанный российской компанией ИВК, позволяет полностью контролировать перемещение информации в пределах и за пределами организации, а также адресную доставку. Восприятие и контроль различных сетевых и физических информационных транспортов обеспечиваются за счет подключаемых адаптеров и быстрого анализа системных данных о том или ином способе передачи информации.
С помощью механизма гарантированной обработки сообщений можно определять критерии отправки и получения сообщений: кто, в каком порядке, в какие сроки, при каких условиях и т.д. Механизм гарантированной доставки и система обработки сообщений и информации представляют собой высоконадежную транспортную магистраль, объединяющую гетерогенную сеть любого уровня и сложности в единое целое.
В пределах гетерогенных сетей, использующих различные протоколы передачи данных, "ИВК Юпитер" осуществляет доставку данных в зашифрованном виде. Все данные, находящиеся в движении, помещаются в своего рода капсулу, которая содержит информацию о способе обработки (пересылки) находящихся внутри данных, адресате и уровне доступа к информации.
Для различных групп пользователей разработаны две версии продукта: базовая со стандартными средствами шифрования, закрывающая доступ к хранилищам данных и информации, передаваемой по линиям связи; версия 5.0, не только снабженная более сложными сертифицированными средствами защиты информации, но и обеспечивающая реализацию высокоуровневой модели безопасности. Базовые понятия, заложенные в этот продукт, приближены к схемам должностных инструкций и регламентных документов, определяющих организационные аспекты обеспечения безопасности предприятий. Подобный подход устраняет разрыв между техническим и организационным уровнями i-sec и позволяет легко формулировать и решать задачу обеспечения безопасности при работе с той или иной информацией. При выявлении попыток несанкционированного доступа службе безопасности компаний не требуется анализ технических данных - все действия фиксируются в автоматическом режиме.
Все события в сфере i-sec должны обслуживаться системой реагирования и обнаружения вторжений. "ИВК Юпитер" отличается от традиционных систем защиты тем, что, например, в случае с виртуальными частными сетями (VPN) распознавать проникновение внутрь защищенной среды зачастую невозможно (в частности, если используется украденный пароль). "ИВК Юпитер" как защищенная информационная среда высокого уровня работает не с оборудованием и IР-адресами, а с логическими именами.Злоумышленник должен не только узнать имя и пароль, но и использовать их в определенных политикой безопасности программных и аппаратных условиях. Даже войдя в сеть, злоумышленник сможет лишь констатировать обмен сообщениями между разными логическими адресами, но не сможет получить доступ к содержанию этих сообщений.
"ИВК Юпитер" позволяет регулировать также правила внутреннего использования программных средств - работники различных уровней имеют доступ к информации и приложениям, определенным политикой безопасности. То же самое касается даже определенных действий приложений. Помимо системы запретов и разрешений имеется встроенная система мониторинга всей информационной среды и действий отдельных сотрудников, различных событий и т.д. Инструменты мониторинга обеспечивают быстрое восстановление всей цепочки действий, создавших условия для нарушения режима информационной безопасности.
Границы защиты безопасности
Даже при передаче и обмене зашифрованной информации периметр сети должен быть обязательно защищен. Для данных целей существует целый класс продуктов, получивших название межсетевых экранов. Компания ИВК в сотрудничестве с компанией Alt Linux разработала продукт "ИВК Кольчуга" - межсетевой экран с расширенной функциональностью, дополненный функциями коммуникационного центра.
К основным функциям "ИВК Кольчуга" относятся маршрутизация и фильтрация TCP/IР-трафика, маскировка структуры внутренней сети, защита включенных в нее устройств от внешних воздействий, организация взаимодействия с устройствами шифрования и т.д.
Первый вариант поставки "ИВК Кольчуга" для защиты конфиденциальной информации обеспечивает 4-й класс защищенности от несанкционированного доступа и удовлетворяет потребности большинства корпоративных клиентов. Второй вариант пакета предназначен для использования в государственных и иных структурах, работающих с информацией, составляющей государственную тайну, и обладает сертификатами 2-го класса защищенности от несанкционированного доступа.
Помимо шифрования и защиты пакет имеет средства подсчета трафика и администрирования различных сервисов. Постоянно появляющиеся новые виды угроз информационной безопасности учитываются разработчиком - пакет постоянно дополняется. Обновления можно получить через сеть Интернет с гарантированным сохранением всех существующих настроек. В случае появления новых опций и возможностей программа "сообщит" об этом администратору, "предложив" в случае необходимости их активировать. "ИВК Кольчуга" обеспечивает безопасность любой гетерогенной сети, включающей различные аппаратные платформы под управлением различных версий операционных систем: Windows, Linux, Unix, Mac OS, IBM OS/2 и др.
"ИВК Кольчуга" может поставляться как программный продукт для установки на имеющемся сервере или как программно-аппаратный комплекс, где программное обеспечение предустановлено на сервер Intеl-архитектуры, конфигурация которого оптимизирована под использование "Кольчуги". Одно из преимуществ продукта - его простота. Для его использования не требуются специальные знания. Настроить "ИВК Кольчуга" под нужды своего предприятия может любой администратор, даже не являющийся специалистом в области i-sec, - достаточно лишь минимального представления о бизнес-процессах компании. Система может быть использована в организациях любого масштаба от предприятий малого бизнеса до органов местного самоуправления и общеобразовательных учреждений.
Использование продуктов "ИВК Кольчуга" и "ИВК Юпитер" позволяет создать действительно защищенную территориально распределенную информационную систему, сети и узлы которой можно связывать даже через открытые телекоммуникационные каналы.
Появление сертифицированных отечественных комплексов для обеспечения информационной безопасности свидетельствует, с одной стороны, о неизменно высоком уровне российских разработчиков, с другой - о развитии и модернизации телекоммуникационной инфраструктуры предприятий и государственных учреждений страны. Очевидно и то, что выход отечественного разработчика на рынок средств i-sec до массового проникновения на него западных компаний позволит в ближайшем будущем избежать жесткой монополизации, как это произошло на рынке операционных систем. Кроме того, благодаря применению оригинальных алгоритмов шифрации и мониторинга можно исключить возможность разнообразных недокументированных "закладок" и гарантировать, что конфиденциальные данные действительно останутся таковыми навсегда.
