О журнале

Рекомендации

Проблемы безопасности информационной инфраструктуры бизнеса
Кононов А.А.

Проблемы безопасности информационной инфраструктуры бизнеса
А.А. Кононов


В системе современного бизнеса существуют значительные массивы информации, обеспечение целостности, доступности и конфиденциальности которых имеет для бизнеса решающее значение. К такого рода информации относятся:
  • данные контрактов и договоров, выполняемых организацией;
  • данные о текущем финансовом, материальном, техническом состоянии организации;
  • данные о перспективных и готовящихся проектах и договорах, бизнес-планы;
  • данные о персонале;
  • данные об используемых ноу-хау;
  • данные о текущей деятельности организации;
  • данные учета (оперативного, бухгалтерского, движения материальных средств и др.);
  • данные, необходимые для выполнения функциональной деятельности всех подразделений организации.

В современном бизнесе практически вся эта информация хранится и обрабатывается в автоматизированных информационных системах (АИС). Поэтому эффективность деятельности фирмы, а, значит, и судьба ее бизнеса, становятся все в большей степени зависимы от устойчивости функционирования и защищенности этих систем от пассивного и активного информационного воздействия внешней среды и конкурентов, соответственно. Потеря работоспособности АИС может повлечь негативные последствия для бизнес-структуры, а в некоторых случаях привести к гибели системы в целом.

На начальных этапах внедрения информационных технологий АИС использовались главным образом в системах учета и контроля. В настоящее время АИС все активнее используются в качестве ядра бизнес-процессов. Новый импульс для использования информационных технологий в бизнесе дал интернет. Сначала его роль сводилась, главным образом, к роли нового канала коммуникаций – через электронную почту пошел основной поток переписки между сотрудниками фирм. В настоящее время наиболее популярными являются два направления развития бизнеса через интернет, получивших названия: "business to business" (B2B) и "business to customer" (B2C).

Важнейшим для развития интернет-бизнеса является сектор платежных систем и систем обеспечения безопасности электронного документооборота. Роль и число организаций этого сектора будут возрастать по мере интенсификации использования интернета в бизнесе, расширения и укрепления нормативной и законодательной базы интернет-экономики. В значительной степени именно недостаточная развитость указанного сектора препятствует развитию новых форм бизнеса с применением интернета. В качестве еще одного препятствия нельзя не отметить противоречивость существующей нормативно-правовой базы по вопросам применения криптографии. И если в законодательной области в ближайшее время можно рассчитывать на какие-то сдвиги в связи с принятием Закона об электронной цифровой подписи, то в области криптографического обеспечения интернет-бизнеса можно констатировать чрезвычайно тревожную ситуацию.

На сегодняшний день существует положение о том, что разрешено использование в системах общего пользования только сертифицированных ФАПСИ средств криптографической защиты информации, что обеспечивает определенные гарантии их безопасности, но нужно что-то делать с тем, чтобы при этом решалась проблема отсутствия на отечественном рынке достаточно полного набора средств криптографической защиты, отвечающих указанному требованию. Предлагаемые отечественными предприятиями сертифицированные средства и системы криптографической защиты либо ориентированы на ведомственные решения, либо предназначены для создания систем обслуживания узкого круга клиентов и не применимы для реализации реальных крупномасштабных проектов интернет-бизнеса.

Для успешного развития систем электронной коммерции в нашей стране нужно обеспечить возможности широкого доступа пользователей к криптографическим средствам формирования электронно-цифровой подписи (ЭЦП). Необходимо создать сеть удостоверяющих центров открытых ключей ЭЦП, которые будут выдавать сертификаты открытых ключей и удостоверять их правильность при заключении сделок и проведении финансовых транзакций.

Развитие современного бизнеса невозможно без обеспечения конфиденциальности при обмене информацией через телекоммуникационные каналы связи, что делает обязательным применение надежных средств шифрования. Однако требование обеспечения широкомасштабного доступа к средствам сильного шифрования в масштабе страны сталкивается с проблемой существования угрозы того, что средства шифрования могут быть использованы преступными организациями для координации и организации своей деятельности или использоваться недобросовестными предпринимателями, например, для ведения двойной бухгалтерии и сокрытия доходов от налогообложения. Для нейтрализации этих угроз необходимо создать эффективную инфраструктуру центров доверенного хранения и восстановления секретных криптографических ключей. Для того, чтобы нейтрализовать угрозы возможных злоупотреблений со стороны обслуживающего персонала или официальных лиц соответствующего уровня, необходимо разработать и реализовать технологии распределенного хранения отдельных частей ключей в различных центрах с возможностью предоставления частей ключей только их владельцам или правоохранительным органам в порядке, установленном законодательством.

В ближайшее время в стране должна быть усовершенствована система оценки безопасности информационных технологий (см., например, интервью заместителя начальника Управления лицензирования и сертификации Гостехкомиссии России

И.А. Калайды информационному бюллетеню JetInfo (№8 за 2000 г., http://www.jetinfo.ru/2000/8/2/article2.8.2000.html). В настоящее время для оценки уровня безопасности средств информатизации и автоматизированных систем применяется набор требований Рабочих документов (РД) Гостехкомиссии, большинство из которых разработаны около 10 лет назад и не удовлетворяют современным требованиям. Ближайшим шагом должно стать принятие российского стандарта, близкого по своему составу и содержанию к Общим критериям оценки безопасности информационных технологий, зафиксированным в международном стандарте ISO 15408. На основе этого ГОСТа предполагается разработать и принять Профили защиты для конкретных типов средств информатизации, по которым можно будет проводить сравнение уровней информационной защищенности, которые обеспечивают соответствующие средства.

Обеспечение информационной безопасности бизнеса в современных условиях

Расширение видов деятельности, освоение новых рынков, расширение круга клиентов и поставщиков, появление новых служб – все это ведет к усложнению структуры и алгоритмов функционирования организации и к требованию постоянного совершенствования ее информационной инфраструктуры на основе новых компьютерных и телекоммуникационных технологий.

Вместе с тем с созданием АИС расширяется число источников угроз нарушения информационной безопасности.

Источники угроз информационной безопасности бизнеса можно условно разделить на внешние и внутренние. Ориентировочное соотношение степени опасности этих источников, рассчитанное на основе данных публикаций по этой тематике в прессе и в интернете за последние два года, составляет 15 к 85.

К внешним источникам можно отнести:

  • деятельность конкурентов, использующих методы недобросовестной конкуренции: промышленный и экономический шпионаж, шантаж, дезинформацию, "черный" пиар;
  • действия хакеров и крекеров, стремящихся взломать систему защиты АИС организации с целью дезорганизации ее функционирования;
  • агентурную деятельность иностранных спецслужб и систем электронного шпионажа, специализирующихся на промышленном и экономическом шпионаже; в качестве примера можно привести американскую систему Echelon; европейская экономика понесла существенные потери в результате утечки по каналам системы Echelon информации о ряде крупных контрактов, "перехваченных" американскими подрядчиками у европейских;
  • недостаточный ассортимент сертифицированных средств защиты информации;
  • отсутствие инфраструктуры контроля достоверности открытых ключей ЭЦП;
  • ограниченность и противоречивость нормативно-правовой базы развития систем криптографической защиты информации, электронного документооборота, электронных платежей, электронной коммерции;
  • действия недобросовестных клиентов, стремящихся к получению незаконной выгоды;
  • деятельность недобросовестных партнеров, стремящихся ради собственной выгоды нанести ущерб организации.

К внутренним источникам можно отнести:
  • использование организацией технологий обработки информации, которые не обеспечивают требуемую защиту информации;
  • недостаточная надежность программно-аппаратных средств обработки данных;
  • недостаточная надежность систем защиты информации и, в частности, средств криптографической защиты информации;
  • недобросовестность и низкая квалификация персонала;
  • периодические обновления и модификация информационных систем;
  • использование несертифицированных аппаратных и программных средств, в частности, присутствие недокументированных возможностей и закладок;
  • недостаточная безопасность (техническая, пожарная, и т.д.) зданий и помещений, в которых расположена АИС;
  • недостаточная надежность систем энергоснабжения и жизнедеятельности;
  • использование "пиратских" копий программного обеспечения.

Чтобы представить весь круг и всю сложность задач по обеспечению информационной безопасности в таких условиях, приведем перечень объектов, нуждающихся в защите, и мер, которые могут быть приняты.

Объектами обеспечения информационной безопасности являются:

  • здания, помещения и территории, на которых расположены средства АИС и где могут вестись переговоры и обмен конфиденциальной информацией;
  • технические средства АИС – компьютерное оборудование, оборудование локальных сетей, кабельная система, телекоммуникационное оборудование;
  • программные средства АИС;
  • информация, хранимая и обрабатываемая в АИС и передаваемая по каналам связи;
  • автономные носители информации (CD-диски, дискеты, и т.д.);
  • сотрудники организации, работающие с АИС и являющиеся носителями конфиденциальной информации и информации о защите АИС.

Все меры защиты можно разделить на четыре категории (в скобках указана относительная значимость этих мер для обеспечения информационной безопасности бизнеса, рассчитанная по данным публикаций в прессе и интернете за последние два года):
  • меры защиты от НСД территорий и помещений, где расположена АИС (20%);
  • меры защиты от технических средств шпионажа (12%);
  • меры защиты АИС и хранилищ с носителями информации (28%);
  • меры по работе с персоналом (40%).

Меры защиты территории и помещений включают следующие технические системы:
  • системы пожарной безопасности;
  • системы охранной сигнализации;
  • системы охранного телевидения и видеонаблюдения;
  • системы управления допуском, включая биометрические системы опознавания личности и другие системы, позволяющие автоматизировать процесс допуска людей и транспорта в защищаемые здания и помещения, а также дающие возможность отслеживать длительность пребывания и маршруты передвижения людей на защищаемых объектах;
  • системы входного контроля (металлодетекторы, интроскопы, средства обнаружения радиоактивных веществ и т.п.);
  • инженерные средства защиты – специальные замки и двери, решетки на окнах, защитные оконные пленки, пулестойкие оконные бронемодули.

Меры защиты от технических средств шпионажа включают:
  • поиск и уничтожение технических средств шпионажа;
  • шифрование телефонных переговоров, факсимильных сообщений, всей информации, передаваемой по каналам телефонной и иной связи;
  • подавление технических средств шпионажа постановкой помех;
  • экранирование помещений и источников электромагнитных излучений; заземление, звукоизоляция.

Меры защиты АИС включают:
  • выработку политики безопасности (правил разграничения доступа к информации) в АИС;
  • организационные меры по внедрению политики безопасности, включая подготовку и издание приказов и распоряжений по обеспечению информационной безопасности, меры по мониторингу и контролю их исполнения;
  • защиту оборудования (компьютеров) от нарушения их целостности;
  • антивирусную защиту программного обеспечения;
  • аутентификацию пользователей при допуске к работе на компьютере;
  • проверку целостности аппаратных средств и программного обеспечения, установленного на компьютерах АИС;
  • создание систем разграничения доступа к ресурсам информационно-вычислительной системы и к базам данных;
  • аутентификацию пользователей при доступе к ресурсам локальной сети и базам данных;
  • протоколирование действий пользователей при работе на компьютере в сетях;
  • аудит протоколов действий пользователей;
  • создание систем криптографической защиты информации в локальной сети;
  • установку межсетевых экранов между локальной сетью и каналами телекоммуникационного доступа; использование прокси-серверов;
  • установку систем обнаружения атак;
  • применение программного обеспечения сканеров контроля защищенности АИС от сетевых атак;
  • применение систем криптографической аутентификации и защиты информации в телекоммуникационных сетях;
  • создание систем резервного копирования и хранения информации, по возможности, территориально-распределенных;
  • использование систем резервирования электропитания;
  • создание систем защиты структурированной кабельной сети АИС, в том числе от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИиН);
  • создание систем учета и контроля информации, хранимой на автономных носителях информации, и учета этих носителей;
  • проведение расследований попыток нарушения информационной безопасности АИС, в том числе с привлечением профессиональных служб компьютерных криминалистов;
  • периодический контроль программного обеспечения, установленного на компьютерах пользователей, на предмет его легальности.

Большинство из указанных мер, как правило, реализуются путем установки в АИС специальных программно-аппаратных средств. Вся совокупность программных и технических средств защиты информации в АИС объединяется в подсистему информационной безопасности АИС.

Меры по работе с персоналом включают:

  • определение и закрепление дисциплинарной и иной ответственности каждого сотрудника за соблюдение условий конфиденциальности и других условий обеспечения безопасности информации в организации; информирование его об уголовной, административной и дисциплинарной ответственности, возникающей при злоупотреблениях во время работы с АИС и конфиденциальной информацией;
  • контроль знаний и умений персонала, в том числе по действиям в чрезвычайных условиях компьютерных атак и по восстановлению информационных баз и работоспособности АИС после потери информации или нарушений регламентов работы АИС;
  • контроль усвоения персоналом политики безопасности организации, знание им приказов, распоряжений и инструкций по обеспечению информационной безопасности;
  • контроль и повышение квалификации персонала в области защиты информации, в том числе в области распознания приемов социальной инженерии, которые к ним могут быть применены;
  • предупреждение эксцессов выражения нелояльности к организации, к ее руководству или к другим сотрудникам путем воздействия на ее информационную систему;
  • контроль лояльности и исключение возможности вербовки персонала; все чаще для выполнения этого требования в коммерческих структурах используют детекторы лжи;
  • разъяснение недопустимости использования нелегального, "пиратского" ПО.

Управление информационной безопасностью бизнеса

Очевидно, что принятие всех возможных средств и методов защиты на все случаи жизни абсурдно и нереально. От чрезмерных мер безопасности организационная система может стать неработоспособной и разорительной для собственников. Решение этой коллизии состоит в необходимости создания механизма, который бы позволил, отслеживая реальные риски и угрозы, принимать рациональные, наиболее эффективные и посильные для организации меры защиты. Таким механизмом может стать создание системы управления информационной безопасностью, аналогичной системам управления финансами, качеством, проектами, функционирующим в любой организации. Такое решение будет представлять собой тот самый системный комплексный подход к обеспечению информационной безопасности бизнеса, который будет гарантировать от неприятных "сюрпризов", связанных с нарушением защиты информации.

В рамках системы управления информационной безопасностью бизнеса должны решаться следующие задачи:

  • контроль и управление функционированием подсистемы информационной безопасности;
  • непрерывный мониторинг защищенности АИС и регистрация попыток вторжения;
  • разбор и расследование фактов нарушения информационной безопасности;
  • изучение известных моделей хакерских атак и взлома компьютерных систем, анализ возможностей их реализации в отношении АИС организации, принятие мер по устранению возможностей реализации такого рода атак и методов взлома;
  • организация антивирусной защиты компьютеров организации;
  • обеспечение соблюдения политики безопасности в организации;
  • мониторинг возможных угроз нарушения информационной безопасности;
  • управление рисками нарушения информационной безопасности;
  • подготовка планов и предложений по совершенствованию подсистемы информационной безопасности и политики безопасности;
  • разработка новых решений по защите информации;
  • внедрение новых средств защиты информации;
  • контроль появления и проведение своевременной установки "заплат" к программному обеспечению;
  • управление персоналом в аспектах, связанных с обеспечением информационной безопасности организации;
  • в перспективе – управление страховыми гарантиями безопасности используемых компьютерных и телекоммуникационных технологий.

Кононов Александр Анатольевич - старший научный сотрудник Института системного анализа РАН, кандидат технических наук.

&copy Информационное общество, 2002, вып. 1, сc. 45-48.