English version
Новости
О компании
Решения
Услуги
Проектные работы
Аудит информационных систем
Консультационные услуги
Техническая поддержка
Партнеры
Контакты
Аудит информационной безопасности

Если взглянуть на данные опроса, проведенного Network Computing, то можно видеть, что cегодня более 80% заказчиков при выборе продуктов безопасности уделяют основное внимание межсетевым экранам и антивирусному программному обеспечению. Такая статистика однозначно говорит о некоторой общей тенденции, закрепившейся на рынке безопасности в последние годы. Эта тенденция послужила тому факту, что большинство заказчиков уже построили начальные фрагменты безопасности в своих корпоративных сетях. И теперь перед ними стоит более сложная задача, понять, куда нужно двигаться дальше. Очевидно, что дальнейшее движение представляется более сложным, ввиду чего скорость внедрения, по всей видимости, будет не столь высокой, как при внедрении начальных фрагментов. Среди продуктов, представляющих наибольший интерес (по данным вышеназванного источника) для заказчиков отмечаются средства обнаружения вторжений, средства анализа уязвимостей, продукты для построения инфраструктур с открытыми ключами (PKI) и, конечно же, VPN в современном понимании. Ссылаясь на данные, приводимые компанией Ernst&Young, в 2000 году наибольшими сложностями с которыми пришлось столкнуться компаниям, являлись, в первую очередь, недостаточная компетентность их специалистов, во-вторых, недостаточность финансирования (это отмечается, скорее как традиционный факт), в-третьих, нехватка персонала, в-четвертых, слабая поддержка со стороны руководства. Последний факт представляется нам наиболее тревожным, так как без него невозможно реализовать в компании действительно грамотную политику безопасности.

Деятельность в этом направлении представляется более сложным и длительным процессом по сравнению с разработкой (проектированием) тех или иных решений. Следует понимать, что компании, предлагающие свои услуги в части разработки решений далеко не всегда способны к проведению серьезного аудита. Это возникает ввиду того, что при разработке решений не всегда уделяется должное внимание вопросам эксплуатации. Задача разработчика состоит в том, чтобы предложить красивое, грамотное отвечающее современным тенденциям решение, вопросы эксплуатации при этом практически не затрагиваются. Цель же компании-аудитора состоит в том, чтобы в деталях рассмотреть все, что уже построено, а также насколько это эффективно и что следует предпринять, чтобы политика безопасности стала живым работающим организмом. Кроме всего вышесказанного, процесс аудита призван предотвратить необоснованное приобретение тех или иных продуктов безопасности, на которые тратятся огромные суммы.

Кто же реально определяет политику безопасности на большинстве предприятий? Скорее всего - это администратор, в худшем случае это единственное лицо, которое постоянно занято решением громадного числа вечных проблем. Среди этих проблем вопросам безопасности уделяется внимание место, но далеко не самое приоритетное. Где дела обстоят именно так, говорить о существовании политики безопасности просто не приходится. Интересно, что при попытке помочь привлечением компании-аудитора ваш администратор весьма скептически оценивает такое намерение и зачастую воспринимает его, как попытку вторжения в его епархию.

Почему же следует обращаться к команде профессионалов по вопросам аудита? Во-первых, потому что стоимость хорошего специалиста по безопасности в России оценивается только по зарплате в сумму порядка 30 тыс.у.е. Но этой суммой затраты не ограничиваются, вы должны учитывать достаточно высокую стоимость повышения профессионального уровня, стоимость тестового оборудования и ПО ну и, конечно, все расходы связанные с его содержанием. Учитывая то обстоятельство, что уровень специалиста будет постоянно расти, для него откроются хорошие перспективы профессионального роста и наверняка он получит предложения от других компаний. Постарайтесь задуматься над вопросом готовы ли вы его удержать? Во-вторых, вы должны учитывать разнообразие и повышающуюся сложность задач. Если несколько лет назад один ваш администратор все успевал, то сегодня одному человеку перекрыть все вопросы безопасности представляется весьма сложным делом. Т.е. ваша задача состоит не в том, чтобы "вырастить" одного человека, а скорее в том, чтобы создать небольшую специализированную группу. Теперь следует задаться вопросом, сколько времени и сил вам для этого потребуется. Может лучше сразу получить в распоряжение (на некоторое время) профессиональную команду из компании аудитора.

Конечно, есть один щекотливый вопрос, стоит ли отдавать в чужие руки аудит именно вопросы безопасности. У вас наверняка существует мнение, что вы допускаете к столь серьезным вопросам людей со стороны. Аудит безопасности, как услуга существует на Западе с 1998 года. Наверное, это не очень большой срок и именно поэтому сомнения еще существуют. Но при выборе компании-аудитора решение о том, с кем работать, принимается на основании целого ряда факторов таких, как безупречность репутации, финансовая устойчивость компании, технологическая зрелость (владение набором технологий от разных фирм производителем, позволяющая как создавать, так и разбираться в том, что уже сделано у заказчика), наличие методик и инструментов (процесс аудита сопряжен с практическими навыками в использовании технических средств, позволяющих извлекать информацию для анализа из функционирующей корпоративной сети), и, наконец, наличие опыты работы.

Подходя к вопросу аудита всегда надо помнить о том, что это не одноразовое мероприятие, а процесс, который должен иметь некоторую периодичность повторения. Дать ответ на вопрос как часто это требуется и как часто это, возможно, решается в каждом конкретном случае. Учитывая нашу российскую специфику можно рекомендовать проведение аудита безопасности не менее одного раза в год.

Хотелось бы сделать несколько замечаний на тему о "человеческом факторе". Наверное, у многих на предприятиях существует должность главного специалиста по защите информации. В последние годы об этом много говорилось и писалось, на многих предприятиях эта должность только появилась. Давайте внимательно присмотримся и проанализируем деятельность данного сотрудника. Главный специалист имеет мало представлений об информационных технологиях или узнает о них только при проведении встреч с разработчиками программ или администратором, пытаясь интуитивно найти некий компромисс. Если у вас на предприятии по другому, то считайте, что вам повезло. Еще один важный момент для аудитора состоит в том, чтобы он обладал знаниями в области психологии и умел общаться с людьми, представляющими собой весьма различные категории знаний в области безопасности. Безусловно, интервьюирование представляет собой одну из составляющих, но аудит как процесс не может полагаться на то, что было извлечено из интервью различными людьми.

Итак, аудит представляет собой оценку текущего состояния безопасности на соответствие предъявляемым требованиям и стандартам, а также обеспечивает выдачу наиболее важных рекомендаций и предложений. С точки зрения тех документов, на которые следует обратить внимание - Аттестация объектов информатизации на соответствие требованиям Гостехкомиссии России, а также ISO 17799, как документ международного признания, появившийся в 2000 году и унаследовавший наибольшую часть Британского стандарта безопасности.

При выполнении работ по аудиту выделяются следующие основные этапы. Прежде всего - это создание команды, как из представителей исполнителя, так и заказчика. На первом этапе происходит общее планирование, анализ задач и сбор основных исходных данных. На втором этапе производится анализ уязвимости с оценкой рисков. На третьем - разработка самой политики безопасности и выдача предложений по организационным вопросам. И, наконец, чтобы процесс аудита не закончился на этом (а во многих организациях именно так происходит), весьма важным представляется контроль над исполнением политики безопасности после разработки основного документа и намечание сроков последующего аудита.

Основной документ, который разрабатывается в ходе аудита, может иметь различные названия, но он должен содержать в себе определенные разделы (о том, каковы они Вы можете узнать более подробно, обратившись к специалистам нашей компании).

Если Вы еще не совсем определились, когда и кто поможет Вам в проведении аудита, пожалуйста, обратите внимание на следующие 10 правил, которые рекомендованы специалистами из международных консалтинговых компаний:

  • Создание "сильных" паролей (по статистике 58% являются "слабыми");
  • Требование периодической смены паролей (не реже чем через 90 дней);
  • Обновление систем антивирусной защиты;
  • Предупреждение об открытии прикрепленных файлов (.exe, .vsb);
  • Внедрение комплексных решений (а не только межсетевых экранов);
  • Обращение внимания на новые типы атак;
  • Контроль над увольняющимися сотрудниками;
  • Особое внимание серверам удаленного доступа (централизация);
  • Обновление программного обеспечения Web-серверов;
  • Запрет неиспользуемых сетевых сервисов.

И в заключение хотелось сказать, что при серьезной постановке вопросов безопасности следует уделять серьезное внимание тем источникам, из которых можно почерпнуть ценную информацию по вопросам построения политики безопасности и мерам противодействия все новым и новым типам атак, которые появляются ежедневно.

Среди некоммерческих организаций следует отметить :

  • CERT - Computer Emergency Response Team (www.cert.org);
  • CSRC - Computer Security Resource Center (сsrc.nist.gov).

Среди коммерческих это:

  • SANS Institute (www.sans.org);
Новости О компании Решения Услуги Партнеры Контакты