Как правило, руководители отечественных предприятий рассматривают проблему защиты конфиденциальной информации преимущественно с технической точки зрения. При этом решение проблемы связывается с приобретением и настройкой соответствующих аппаратно-программных средств защиты информации. Однако для эффективной организации режима информационной безопасности компании этого недостаточно. Для того чтобы убедиться в этом, проведем анализ современного рынка средств защиты конфиденциальной информации и покажем "подводные" камни существующих технологий. Затем обоснуем необходимость разработки политики безопасности, под которой понимается некоторый набор общих принципов, правил и практических рекомендаций по обеспечению информационной безопасности компании при работе в Internet.

Анализ отечественного рынка средств защиты информации

Современный рынок средств защиты информации можно условно разделить на две группы:

• средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов (государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, Министерства обороны РФ и ФСБ РФ);
• средства защиты для коммерческих компаний и структур, позволяющие выполнить рекомендации СТР-К Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408 и ISO 17799:2.

Например, для защиты конфиденциальной информации в органах исполнительной власти предъявляются следующие требования.

1. Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры внутренней сети; проведение анализа защищенности узла Интернет; использование средств антивирусной защиты; централизованное управление, должен производиться на основании рекомендаций документа Гостехкомиссии РФ СТР-К.
2. АС организации должны обеспечивать защиту информации от НСД (несанкционированного доступа) по классу «1Г» в соответствии с РД Гостехкомиссии РФ "РД. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".
3. Средства вычислительной техники и программные средства АС должны удовлетворять требованиям четвертого класса РД Гостехкомиссии России «РД. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации».
4. Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям «РД. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» по третьему классу защиты.
5. Информационные системы должны удовлетворять требованиям ГОСТ ИСО/ МЭК 15408 по защищенности информационых систем в рамках заданных профилей защиты.
6. Во исполнение приказа Госкомсвязи России от 25 декабря 1997 года N103«"Об организации работ по защите информации в отрасли связи и информатизации при использовании сети Интернет» прямое подключение к сети Интернет АРМ по управлению оборудованием сетей связи, мониторингу, обработки данных должно быть запрещено.
7. Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей, VPN должны иметь сертификаты ФАПСИ.
8. Обязательным является использование средств ЭЦП для подтверждения подлинности документов.
9. Для введения использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей для использования средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).
10. Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и иформационных систем требований информационной безопасности.
11. Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности.

Для выполнения перечисленных требований и надлежащей защиты конфиденциальной информации в госструктурах принято использовать сертифицированные средства. Например, средства защиты от несанкционированного доступа (НСД), межсетевые экраны и средства построения VPN, средства защиты информации от утечки за счет ПЭМИН и прочие. В частности, для защиты информации от НСД рекомендуется использовать аппаратно-программные средства семейств Secret Net («Информзащита»), Dallas Lock («Конфидент»), «Аккорд» (ОКБ САПР), электронные замки «Соболь» («Информзащита»), USB-токены («Аладдина») и прочие. Для защиты информации, передаваемой по открытым каналам связи рекомендованы аппаратно-программные межсетевые экраны с функциями организации VPN, например, Firewall-1/VPN-1 (Check Point),«"Застава» («Элвис+»), VipNet («Инфотекс»), «Континент» («Информзащита»), ФПСН-IP («АМИКОН») и другие.

Средства защиты информации для коммерческих структур более многообразны, среди них:

• средства управления обновлениями программных компонент АС;
• межсетевого экранирования;
• построения VPN;
• контроля доступа;
• обнаружения вторжений и аномалий;
• резервного копирования и архивирования;
• централизованного управления безопасностью;
• предотвращения вторжений на уровне серверов;
• аудита и мониторинга средств безопасности;
• контроля деятельности сотрудников в сети Интернет;
• анализа содержимого почтовых сообщений;
• анализа защищенности информационных систем;
• защиты от спама;
• защиты от атак класса «Отказ в обслуживании»;
• контроля целостности;
• инфраструктура открытых ключей;
• усиленной аутентификации и прочие.

Дадим краткую характеристику перечисленным средствам защиты.

Средства управления обновлениями

Внедрение средств управления обновлениями программных компонент АС, например Microsoft Software Update Services, позволяет уменьшить объем Интернет-трафика компании в целом. Так как становится возможным организовать и котролировать необходимые обновления программных компонент АС компании с одной точки - выделенного внутреннего сервера. При этом предприятие получает следующие преимущества:

• уменьшаются расходы по оплате трафика;
• увеличивается надежность функционирования программных компонент АС;
• уменьшается время на техническую поддержку и сопровождение программных компонент АС;
• повышается защищенность АС в целом, в частности, уменьшается количество инцидентов, связанных с вирусами и враждебными апплетами.

Средства межсетевого экранирования

Межсетевые экраны (брандмауэры) используются как средства защиты от несанкционированного доступа периметра сети и основных критичных компонент АС. Межсетевые экраны (МЭ) позволяют обеспечивать защиту на уровне доступа к компонентам и сети в целом (MAC-адреса), на сетевом уровне (контроль IP-адресов), на транспортном уровне ("машины состояний" основных протоколов), на прикладном уровне (прокси-системы). Характеристики рынка МЭ представлены на диаграмме 1.

Средства построения VPN

Средства построения виртуальных частных сетей,VPN, используются для организации для защиты трафика данных, передаваемых по открытым каналам связи. При этом защита организуется на физическом уровне (защита кабелей, экранизация наводок), на сетевом уровне (например, шифрование трафика от компьютера до компьютера на основе протокола IPsec), на транспортном уровне (например, шифрование данных, передаваемых одним приложением другому (на другом компьютере) на основе протокола SSL), на прикладном уровне (например, шифрование данных приложением самостоятельно).

На диаграмме 2 представлена оценка рынка SSL VPN.

Средства контроля доступа

Появление средств контроля доступа обусловлено необходимостью регламентировать доступ множества пользователей к приложениям и информационным ресурсам компании. Данные средства осуществляют аутентификацию (точное опознание) подключающихся к АС пользователей и процессов, авторизацию (наделение определенными полномочиями) пользователей и процессов.

Состояние рынка средств контроля доступа представлено на диаграмме 3.

Средства обнаружения вторжений и аномалий

Средства обнаружения вторжений, IDS (Intrusion Detection Systems) и аномалий позволяют с помощью некоторого регламента проверок контролировать состояние безопасности корпоративной сети в реальном масштабе времени. Общий анализ рынка систем обнаружений и аномалий представлен на диаграмме 4.

Средства резервного копирования и архивирования

Средства резервного копирования и архивирования применяются для обеспечения целостности хранилищ данных в случаях аппаратных и программных сбоев, ошибочных действий администраторов и пользователей, а также отказов средств вычислительной техники. Текущее состояние рынка систем резервирования представлено на диаграмме 5.

Средства централизованного управления безопасностью

Средства централизованного управления информационной безопасностью позволяют эффективно создавать, проверять и поддерживать технические политики безопасности программных компонент АС. Например, система централизованного управления Cisco Works VPN/Security Management Solution позволяет контролировать и управлять политиками безопасности следующих устройств безопасности компании Cisco Systems:

• Cisco PIX Firewall;
• Cisco VPN Router;
• Cisco IDS 4200;
• Cisco Security Agent.

Средства предотвращения вторжений на уровне серверов

Так как сервера компании обычно являются основной целью атак злоумышленников (на них обрабатывается основная часть конфиденциальной информации компании), то необходимо использовать средства предотвращения вторжений на уровне серверов, например, Cisco Security Agent. Другие возможные решения представлены на диаграмме 6.

Средства мониторинга безопасности

Большое количество средств обеспечения информационной безопасности (межсетевые экраны, системы обнаружения вторжений, маршрутизаторы, средства создания виртуальных частных сетей, журналы безопасности серверов, системы аутентификации, средства антивирусной защиты и т. д.) генерирует огромное количество сообщений. Для успешного мониторинга и управления этими средствами рекомендуется использовать соответствующие средства аудита безопасности, например Cisco Security Information Management Solution. Другие решения вы можете увидеть на диаграмме 7.

Средства контроля деятельности сотрудников в Internet

В настоящее время одной из серьезных проблем в работе отечественных служб безопасности является предотвращение попыток использования Internet-ресурсов компании в личных целей (загрузка видео, аудио, картинок, нелицензионного программного обеспечения). По статистике, нецелевое использование сети Интернет приводит к потере продуктивности сотрудников компании приблизительно на 30-40% (согласно данным производителя средств защиты Surfcontrol) (см. диаграмму8).

Для предупреждения названных действий рекомендуется устанавливать сооветствующие средства, например Websense, которые позволяют анализировать и формировать отчеты по использованию сотрудниками компании ресурсов Internet, контролировать использование сотрудниками программного обеспечения на своих рабочих местах, а также проводить анализ сетевой активности и пропускной способности сети компании в целом.

Средства анализа содержимого почтовых сообщений

Средства анализа содержимого почтовых сообщений предназначены для обнаружения и предотвращения передачи конфиденциальной информации с помощью корпоративной электронной почты. В настоящее время на отечественном рынке средств защиты информации имеются такие системы, в частности «Дозор-Джет» компании «Инфосистемы Джет и Maile Swipper компании «Информзащита».

Средства анализа защищенности

Анализ защищенности АС является одним из ключевых аспектов построения надежной системы обеспечения информационной безопасности предприятия и основан на применении сканеров безопасности. На рынке коммерческих сканеров можно выделить четыре основных группы производителей сканеров - поставщиков решений согласно 7-уровневой модели OSI:

• прикладного уровня - 1 уровень модели OSI (сверху вниз);
• представительного уровня - 2 уровень OSI;
• сеансового уровня и ниже - 3-5 уровни OSI;
• сетевого уровня - 6-7 уровни OSI.

См. рисунок 9. Первая группа (Application Security, Pentest, NGS SQUIRRD, DB Scanner ISS и прочие) предлагают сканеры прикладного уровня (приложения, распределенные БД, системы электронного документооборота, ERP и другие). Среди них выделяется компаниия Application Security (www.appsecinc.com), которая предлагает решения для Oracle, MS SQL, Sybase, DB2 IBM, MySQL, Lotus Notes, то есть практически всех основных лидеров и поставщиков решений электронного оборота, ERP, CRM.
Вторая группа (KAVADO, Sanctum, SpiDinamics) предлагает услуги и продукты для сканирования представительного уровня.
Третья группа (Foundstone, ISS, E. Eye, Nessus, Retina, NetIQ, Xpider) предлагает решения для 3-5 уровней модели OSI. Популярны в России сканеры семейства ISS, а также сканеры Nessus, Retia, Xpider.
Четвертая группа (Network Associates, Symantec) предлагает решения преимущественно для 6-7 уровней модели OSI. Основной особенностью наиболее продаваемых и используемых коммерческих сканеров является способность как минимум еженедельно обновлять базы данных уязвимостей, взамодействия с крупнейшими центрами по сбору новых уязвимостей, а также с ведущими производителями сетевого оборудования и программного обеспечения.

Средства защиты от спама

В Российской Федерации объем спама в сообщениях электронной почты достиг 60%. Сотрудникам приходится тратить свое рабочее время, а это деньги предприятия, на просмотр таких сообщений, их удаление, настройку правил по нейтрализации. Спам также содержит программы типа «Троянский конь», программы-шпионы (spyware) и вирусы. Для предотвращения получения сообщений, содержащих спам, можно использовать один из продуктов следующих фирм: Symantec (использует технологию фирмы Brightmail), Trend Micro (технология фирмы Postini) или "Лаборатория Касперского". (см. диаграмму 10.)

Средства защиты от атак «Отказ в обслуживании»

Также большие убытки предприятиям наносит реализация атак «Отказ в обслуживании».

См. диаграмму 11.

Для защиты от такого вида атак рекомендуется использовать, например, продукцию компании Riverhead, которая была приобретена компанией Cisco Systems и продается под торговой маркой Cisco Guard XT 5650 и Cisco Traffic Anomaly Detector XT 5600.

Средства контроля целостности

Внесение некорректного изменения в конфигурации сервера или маршрутизатора может привести к выходу из строя важного сервиса или целой сети. Очень важно предупредить и отследить несанкционированные изменения на портале предприятия. Для предупреждения и быстрого реагирования на такую ситуацию необходимо иметь способ отслеживания всех производимых изменений. Данную возможность предоставляет серия продуктов компании Tripwire.

Инфраструктуры открытых ключей

Внедрение инфраструктуры открытых ключей очень трудоемкая задача, требующая тщательной проработки и анализа. При решении этой задачи реомендуется использовать продукты компании RSA Security (Keon) и КриптоПро (Криптопровайдер), хранение сертификатов осуществлять на аппаратных устройствах Aladdin USB eToken.

Средства усиленной аутентификации

На критичных элементах сетевой инфраструктуры рекомендуется реализовать систему усиленной аутентификации на базе продукта Cisco Secure Access Control Server с использованием системы однократных паролей RSA Security SecurID.

Характеристика зрелости техологий защиты информации

Практика обеспечения защиты информациии в отечественных компаниях насыщена инцидентами. Анализ инцидентов в области безопасности свидетельствует о том, что одних только технических средств защиты недостаточно. Приведем несколько примеров.

1. Появление новых сетевых "червей" пусть даже в день опубликования сообщения об очередной уязвимости приложений и/или операционных систем практически сводит на нет все усилия поставщиков антивирусного программного обеспечения. Они просто не успевают своевременно выпустить обновления для своих антивирусов. Так как необходимо время на исследование нового вируса, разработку и публикацию соответствующей сигнатуры, а потребителям антивирусов необходимо время на установку обновлений в корпоративной сети. За это время корпоративная информационная система уже может быть выведена из строя. Кроме того, большинство конфигураций операционных систем установлено по умолчанию, что способствует быстрому распространению сетевых "червей". Например, в 2003 году примерно 90% инцидентов было вызвано атаками сетевых "червей". Более того, теоретически доказано, что множество всех вирусов не поддается перечислению и что нельзя создать универсальный детектор, способный отличить "чистую" программу от зараженной (Л. Адлеман и Ф. Коэн).
2. Операционные системы, как бы ни заявляли разработчики о своих новых успехах, все равно остаются самым слабым местом в корпоративной системе защиты информации. Согласно исследованиям университета Carnegie-Mellon на каждые 1000 строк кода программы приходится от 5 до 15 ошибок. Можно посчитать сколько ошибок потенциально содержит каждая из перечисленных операционных систем:
   • Windows 2000- 35-60 миллионов строк кода
   • Windows XP- 45 миллионов строк кода
   • Debian GNU/Linux 2.2- 55 миллионов строк кода
   • Linux Red Hat- 30 миллионов строк кода
3. По данным независимых аналитических центров системы обнаружения вторжений, IDS обнаруживают не более 14% - 18% всех осуществляемых атак. При этом большинство систем обнаружения вторжений построены на принципах обнаружения на основе сигнатур атак (см. таблицу 1), то есть обладают теми же недостатками, что и антивирусное программное обеспечение.
4. Системы контроля доступа на основе биометрических параметров тоже не идеальны. Отпечатки пальцев не настолько уникальны, как утверждается производителями: существует вероятность 0.1, что постороннее лицо будет идентифицироваться как имеющее право доступа.

Аналогичные выводы можно сделать практически по каждой технологии защиты информации. Наглядно оценки зрелости современных технологий защиты информации представлены на диаграмме аналитической компании Gartner Group (См. рис.12).

В целом анализ инцидентов безопасности, начиная с 2001 года и по настоящее время, свидетельствует о ежегодном росте числа инцидентов в среднем на 200-300% (см. рис 13). При этом, согласно исследованиям Института компьютерной безопасности США в 2004 году из 750 млн. долларов, потерянных компаниями из-за инцидентов в области информационной безопасности, более 500 млн. долларов убытков были обусловлены следующими видами инцидентов:

• Неавторизованный доступ к ресурсам внутренних сотрудников;
• Неразрешенное использование интернет;
• Саботаж;
• Сканирование и взлом систем;
• Кража конфиденциальной информации.

Анализ статистики инцидентов в АС отечественных предприятий показывает, что для российских компаний наиболее злободневны вопросы нейтрализации следующих основных угроз (см. табл.2)

Характер угрозы	% случаев	Требования к ИТС по отражению атаки на
Умышленные нападения	17%	Катастрофоустойчивость
Пожары	17%	Катастрофоустойчивость
Ураганы	14%	Катастрофоустойчивость
Землетрясения	11%	Катастрофоустойчивость
Отключения электроэнергии	10%	Отказоустойчивость
Выход из строя программ	9%	Отказоустойчивость
Наводнения	7%	Катастрофоустойчивость
Выход из строя техники	5%	Отказоустойчивость
Персонал + Прочие	10%	Политика безопасности

В результате, по данным Gartner Group, проблема защиты информации выделилась среди других проблем совершенствования информационных технологий и стала одной из приоритетных проблем развития отечественных компаний и предприятий ( См. рис. 14).

Как эффективно подойти к решению проблемы защиты информации? По видимому, сначала необходимо разработать действенную политику информационной безопасности компании.

Необходимость создания политики безопасности

Любую отечественную компанию можно сравнить с небольшим государством. И если в каждом государстве существует законодательство, регламентирующее деятельность граждан, то в компании роль законов выполняют правила политики безопасности. За нарушение законов государства граждане несут ответственность, за нарушения политики безопасности компании сотрудники также должны нести ответственность.

Политика информационной безопасности определяет стратегию и тактику построения корпоративной системы защиты информации. В российской терминологии документ определяющий стратегию часто называют концепцией, а документ определяющий тактику - политикой. На Западе принято создавать единый документ включающий в себя стратегию и тактику защиты. Политика безопасности компании является основой для разработки целого ряда документов безопасности: стандартов, руководств, процедур, практик, регламентов, должностных инструкций и пр.

Что должно мотивировать отечественные предприятия и компании разрабатывать политику информационной безопасности? К таким мотивам можно отнести следующее:

1. Выполнение требований руководства компании
Как правило, руководство компании проявляет внимание к проблемам информационной безопасности под воздействием "фактора страха" или после нескольких серьезных инцидентов повлекших за собой остановку или замедление работы компании. Например, в результате вирусной атаки или атаки "отказ в обслуживании", разглашения конфиденциальной информации или кражи компьютеров с ценной информацией.

2. Выполнение требований российского законодательства
Каждая компания обладает информацией, представляющей некоторую ценность, и по понятным причинам она не желала бы разглашения этой информации. Политика информационной безопасности позволяет определить правила в соответствии с которыми информация будет отнесена к категории коммерческой или служебной тайны. Это позволит компании юридически защитить информацию (статья 139 Гражданского Кодекса и Закон о защите коммерческой тайны). В зависимости от сферы действия компании, она должна выполнять требования существующего законодательства применимые к ее отрасли. Например, банки, в соответствии со статьей 857 Гражданского Кодекса должны гарантировать защиту банковской тайны клиентов. Страховые компании должны защищать тайну страхования (статья 946 Гражданского Кодекса) и так далее. Кроме этого, в соответствии с Указом №188 от 06.03.97 "Об утверждении перечня сведений конфиденциального характера", компании должны обеспечивать защиту персональных данных сотрудников.

3. Выполнение требований клиентов и партнеров
Клиенты и партнеры компании часто желают получить некоторые гарантии того, что их конфиденциальная информация защищена надлежащим образом и могут потребовать юридического подтверждения этого в контрактах. В этом случае политика информационной безопасности компании и является доказательством предоставления подобных гарантий. Так как в политике безопасности декларируются намерения компании относительно качества обеспечения информационной безопасности. Интересно, что партнеров по бизнесу и клиентов компании, как правило, интересуют именно эти "намерения", а не технические средства, с помощью которых эти намерения могут быть достигнуты.

4. Подготовка к сертификации ISO 9001, ISO 15408 и ISO 17799
Сертификация по одному из вышеперечисленных стандартов подтверждает необходимый уровень обеспечения информационной безопасности компании. В настоящее время фокус создания продуктов и услуг смещается в страны с дешевой рабочей силой и одним из доказательств того, что компании этих стран они смогут адекватно защитить передаваемую информацию производителей, является сертификация на соответствие требованиям стандартов по информационной безопасности, например ISO 17799 (BS 7799 часть 2). На сайте www.xisec.com ведется реестр компаний подтвердивших свое соответствие требованиям этого стандарта. Список увеличивается примерно на 50-100 компаний ежемесячно, что показывает возросшее внимание к этой теме.

5. Устранение замечаний аудиторов
Любая внешняя аудиторская проверка обращает внимание на необходимость защищенности бизнес-процесов компании, в том числе особое внимание уделяется наличию политики информационной безопасности.

6. Получение конкурентного преимущества на рынке
Правильно разработанная и реализованная политика безопасности позволяет увеличить время доступности и коэффициент готовности сервисов копании. Таким образом увеличивается общая живучесть компании и обеспечивается непрерывность бизнеса. По словам ведущих аналитиков Gartner Group "обеспечение информационной безопасности является ключевым моментом устойчивости и непрерывности бизнеса".

7. Демонстрация заинтересованности руководства компании
Вовлечение руководства в организацию режима информационной безопасности компании значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании. Без демонстрации заинтересованности руководства компании сотрудники не станут воспринимать политику информационной безопасности всерьез. Цель политики безопасности - разъяснение и доведение позиции руководства по обеспечению информационной безопасности в соответствии с принципами безопасности и бизнес целями компании.

8. Создание корпоративной культуры безопасности
"Образно организацию режима информационной безопасности можно сравнить с цепью: рвется там где самое тонкое звено цепи"( Б. Шнайер). Сотрудники являются как самым сильным, так одновременно и самым слабым звеном в обеспечении информационной безопасности. Необходимо донести до сотрудников мысль о том, что "обеспечение информационной безопасности - обязанность всех сотрудников". Это достигается путем введения процедуры ознакомления с требованиями политики безопасности и подписания соответствующего документа о том, что сотрудник ознакомлен, ему понятны все требования политики и он обязуется их выполнять. Политика позволяет ввести требования по поддержанию необходимого уровня безопасности в перечень обязанностей каждого сотрудника. В процессе выполнения ими трудовых обязанностей для сотрудников необходимо периодически проводить ознакомление и обучение вопросам обеспечения информационной безопасности. Критически важным условием для успеха в области обеспечения информационной безопасности компании становится создание в компании атмосферы, благоприятной для создания и поддержания высокого приоритета информационной безопасности. Чем крупнее компания, тем более важной становится информационная поддержка сотрудников по вопросам безопасности.

9. Уменьшение стоимости страхования
Страхование - важная составляющая управления информационными рисками. Наличие политики информационной безопасности является необходимым и обязательным условием страхования. В России уже появились фирмы предлагающие страховать информационные риски, например "Ингосстрах" и "РОСНО". Стоимость страхования страховая компания определяет путем проведения аудита информационной безопасности независимой компанией, специализирующейся в этой области. Например, компания Центр финансовых технологий (интернет-проект Faktura.ru) заключила договор комплексного страхования информационных рисков с "Ингосстрахом". Сумма ответственности составила $500 000. Аудит проводила компания OАO "Элвис-Плюс".

10. Экономическая целесообразность
По рекомендациям ведущих компаний в области безопасности от 60 до 80 процентов всех усилий по обеспечению безопасности должны быть направлены на разработку политики безопасности и сопутствующих ей документов. Вы спросите почему? Как видно из диаграммы (рис. 14) разработанной Стивеном Россом (Delloitte&Touche) политика безопасности может являться как самым дешевым, так и одновременно самым эффективным способом обеспечения информационной безопасности.

См. рисунок 15.

11. Хорошая бизнес практика
Наличие политики информационной безопасности является правилом хорошего тона. В опросе проведенном в Великобритании компанией PriceWaterHouseCoopers в 2002 году 67% компаний назвали именно эту причину создания политики информационной безопасности. Даже такие высокотехнологичные компании как Cisco заявляют, что правильно сформулированная политика информационной безопасности лучше технических средств обеспечения информационной безопасности. Подход Cisco к проблемам создания защищенной инфраструктуры (см. рис. 16) показывает, что именно политика информационной безопасности является краеугольным камнем безопасности вокруг которого строится вся система обеспечения безопасности.

Таким образом, политика обеспечения информационной безопасности необходима для успешной организации режима информационной безопасности любой отечественной компании. Политика безопасности минимизирует влияние "человеческого фактора" и недостатки существующих технологий защиты информации. Кроме того политика безопасности дисциплинирует сотрудников компании и позволяет создать корпоративную культуру безопасности.

Успешность реализации политики безопасности

Хорошо известно, что безопасность настолько сильна, насколько защищено ее самое слабое звено. Практика защиты информации показывет, что сотрудников отечественных компаний часто оказывается легче обмануть или ввести в заблуждение, чем системы или технологии безопасности. Поэтому правильно организованное обучение и учет человеческого фактора является необходимой составляющей процесса разработки политики безопасности. Давайте на примере компании Cisco Systems рассмотрим следующие семь пунктов успешной программы реализации политики безопасности, которые объединяют большинство возможных подходов по информированию, вовлечению и задействованию сотрудников компании к решению данной проблемы.

1. Понимание необходимости защиты информации
Сотрудники, партнеры и клиенты, обладающие правами доступа к информационным активам и сервисам компании, должны быть надлежащим образом проинформированы о необходимости обеспечения информационной безопасности. При этом каждый сотрудник компании должен знать, что он должен делать для создания и поддержания требуемого режима информационной безопасности.

2. Обучение и информирование сотрудников компании
Новые сотрудники компании должны быть проинформированы о правилах политики безопасности и должны понимать ту важную роль, которую они играют в поддержании режима информационной безопасности. Каждый сотрудник должен быть ознакомлен с тем, что он должен и может делать для усиления и эффективности режима информационной безопасности. В связи с тем, что правила политики безопасности время от времени изменяются сотрудники должны быть своевременно проинформированы о всех текущих изменениях. Также, хорошей идеей является выпуск периодических напоминаний о правилах безоппасности для поддержания осведомленности сотрудников компании на должном уровне.

3. Персональная ответственность каждого сотрудника
Рекомендуется разделить правила политики безопасности на небольшие документы, каждый из которых должен содержать не больше одной страницы. Таким образом элементы политики безопасности будут затрагивать сотрудников индивидуально, т.е. сотрудники компании будут изучать только те правила политики безопасности, которые применимы к ним. Например, это могут быть правила создания и использования паролей, токенов, других средств систем контроля доступа, правила использования электронной почты и т.д.

4. Юридическая ответственность сотрудников компании
После публикации новой или изменения существующей политики безопасности компании, все сотрудники компании должны подписаться под следующим предложением: "Ознакомлен и обязуюсь выполнять требования этого документа". Эти соглашения позволят сотрудникам компании стать ответственными за выполнение требуемого режима информационной безопасности. При приеме на работу новые сотрудники компании также должны подписывать соглашения об обязательности выполнении требований политики безопасности. При изменении служебных обязанностей сотрудников документы должны быть перессмотрены и подписаны заново. Здесь основная идея заключается в том, чтобы сделать сотрудников компании юридически ответственными за надлежащее выполнение режима информационной безопасности.

5. Закрепление отвественности сотрудников компании
В политиках безопасности компании должны быть четко прописано, что произойдет, если сотрудник намеренно или непреднамеренно нарушит требования политики безопасности. Последствия должны быть четко оговоренны и должны доводить до сознания сотрудника, что они серьезны и "настоящие".

6. Согласованность во взглядах
Иногда строгие правила политики безопасности и ограничивающие средства защиты хуже, чем слабые политики и слабо ограничивающие средства защиты, потому, что они, скорее всего, будут игнорироваться сотрудниками компании. При формулировании политики безопасности компании важно уметь слышать мнение сотрудников и руководства для поиска надлежащего баланса между производительностью, доступностью, удобством работы и безопасностью. Открытость к диалогу, желание найти баланс - ключевые факторы успеха в создании и внедрении реально выполняемой политики безопасности компании.

7. Создание корпоративной культуры безопасности
Рядовые сотрудники компании часто являются первыми, кто замечает странные или экстраординарные события и начальные признаки атак в корпоративной информационной системе. Если удается вовремя донести до сознания сотрудников мысль о том, что обеспечение безопасности информационных активов компании является необходимой составляющей повседневной деятельности, то сотрудники будут сами информировать службу безопасности о потенциальных угрозах и нарушениях политики безопасности до того, как атаки достигнут своей цели. Активно привлекая сотрудников компании в процесс обеспечения безопасности можно заметно улучшить общее состояние защищенности информационных активов компании и повысить культуру безопасности в компании.

Примеры политик безопасности

Прежде, чем мы начнем рассматривать примеры политик безопасности компании поговорим немного о проблеме доверия.

Кому и что доверять

От правильного выбора уровня доверия к сотрудникам компании зависит успех или неудача реализации политики безопасности компании. При этом слишком большой уровень доверия может привести к возникновению проблем в области безопасности, а слишком малое доверие может заметно затруднить работу сотрудника компании, вызвать у него недоверие, и даже увольнение. Насколько можно доверять сотрудникам компании? Обычно используют следующие модели доверия.

• Доверять всем и всегда - самая простая модель доверия, но к сожалению не практичная.
• Не доверять никому и никогда - самая ограниченная модель доверия и также не практичная.
• Доверять избранным на время - модель доверия подразумевает определение разного уровня доверия на определенное время. При этом доступ к информационным ресурсам компании предоставляется по необходимости для выполнения служебных обязанностей, а средства контроля доступа используются для проверки уровня доверия к сотрудникам компании.

Вряд ли существует компания, в которой следуют модели доверия "доверять всем и всегда". В сегодняшнем мире это маловозможно. То же самое относится и ко второй модели доверия"не доверять никому и никогда" (этой модели доверия часто стараются следовать в правительственных и военных организациях). Поэтому самая реалистичная модель доверия должна доверять некоторым из сотрудников компании на некоторое время.

Политические проблемы внедрения политики безопасности

Опыт создания политик безопасности показывает, что внедрение политики безопасности часто приводит к возникновению напряженности во взаимоотношениях между сотрудниками компании. Это, в основном, связано с тем, что сотрудники компании часто стараются не следовать каким либо правилам безопасности, так как не хотят себя ограничивать в своих действиях. Другая причина заключается в том, что каждый сотрудник компании имеет свое представление (необязательно солидарное с принятой в компании политикой безопасности) о необходимости и способах организации режима информационной безопасности в компании. Например, сотрудники контура сбыта заинтересованы в оперативном исполнении своих обязанностей без каких-либо задержек, связанных с применением средств защиты информации. Персонал службы поддержки часто заинтересован только в простоте эксплуатации администрируемых ими информационных систем. TOP-менеджмент компании заинтересован прежде всего в оптимизации затрат и уменьшении общей стоимости владения, TCO корпоративной системы защиты информации. Получить одобрение всех положений политики безопасности у перечисленных групп сотрудников компании трудная и практически не осуществимая задача. Поэтому лучше всего попробовать достигнуть некоторого компромисса.

Кто заинтересован в политике безопасности?

Политика безопасности затрагивает практически каждого сотрудника компании. Сотрудники службы поддержки будут осуществлять и поддерживать правила безопасности компании. Менеджеры заинтересованы в обеспечении безопасности информации для достижения своих целей. Юристы компании и аудиторы заинтересованы в поддержании репутации компании и предоставлении определенных гарантий безопасности клиентам и партнерам компании. Рядовых сотрудников компании политика безопасности затрагивает больше всего, поскольку правила безопасности накладывает ряд ограничений на поведение сотрудников и затрудняет выполнение работы.

Состав группы по разработке политики безопасности

Буклет SAGE "A Guide to Developing Computing Policy Documents " рекомендует следующий состав рабочей группы по разработке политики безопасности:

• член совета директоров;
• представитель руководства компании (CEO, Финансовый директор, Директор по развитию);
• CIO (Директор слубы автоматизации)
• CISO (Директор по информационной безопасности)
• аналитик службы безопасности;
• аналитик службы IT;
• представитель юридического отдела;
• представитель от пользователей;
• технический писатель.

Размер группы по разработке политики безопасности будет зависеть от широты и глубины проработки политики безопасности. Например, разработка небольшой политикиа безопасности для офисной сети в 40 -50 узлов может занять один человеко-месяц.

Процесс разработки политики безопасности

Если это возможно, о том что разрабатывается новая политика информационной безопасности компании необходимо уведомить сотрудников заранее. До начала внедрения новой политики безопасности желательно предоставить сотрудникам текст политики на одну-две недели для ознакомления и внесения поправок и комментариев. Также надо учитывать, что без прав не обязанностей, т.е. сотрудники, на которых распространяются правила безопасности должны обладать всеми необходимыми полномочиями для того, чтобы выполнять эти правила.

Основные требования к политике безопасности

В идеале политика безопасности должна быть реалистичной и выполнимой, быть краткой и понятной, а также не приводить к существенному снижению общей производительности бизнес подразделений компании. Политика безопасности должна содержать основные цели и задачи организации режима информационной безопасности, четко содержать описание области действия, а также указывать на контактные лица и их обязанности. Например, по мнению Cisco политика безопасности должна содержать не более двух (максимум пять) страниц текста, если это возможно. При этом важно учитывать, как политика безопасности будет влиять на уже существующие информационные системы компании. Как только политика утверждена она должны быть предоставлены сотрудникам компании для ознакомления. Наконец, политика безопасности должна пересматриваться ежегодно, чтобы отразить текущие изменения в развитии бизнеса компании.

Уровень средств безопасности

Хорошо написанная политика безопасности компании должна позволять балансировать между достигаемым уровнем безопасности и получаемым уровнем производительности корпоративной информационной системы компании. Одна из основных целей политики безопасности состоит в том, чтобы обосновать и внедрить средства защиты информации, адекватные целям и задачам бизнеса. Выбор необходимых средств защиты информации для определенной политики безопасности не всегда понятен и легко определяем. Здесь решающую роль играют необходимость организации режима информационной безопасности, а также бизнес культура компании. При этом если правила политики безопасности слишком ограничительны или слишком жестки, для того чтобы внедрять и соответствовать им в дальнейщем, то они будут либо игнорироваться, либо сотрудники компании найдут способ обойти средства безопасности.

Примеры политик безопасности

В настоящее время ряд ведущих компаний в области безопасности рекомендует разрабатывать политики:

• Допустимого шифрования
• Допустимого использования
• Аудита безопасности
• Оценки рисков
• Классификации данных
• Определения паролей
• Использования ноутбуков
• Построения демилитаризованной зоны, DMZ
• Построения экстранет
• Безопасности рабочих станций и серверов
• Антивирусной защиты
• Безопасности маршрутизаторов и коммутаторов
• Безопасности беспроводного доступа
• Организации удаленного доступа
• Построения виртуальных частных сетей, VPN и пр.

Приведем несколько примеров перечисленных политик безопасности.

Политика допустимого использования

Политика допустимого использования информацинных ресурсв компании пределяет права и ответственность сотрудников компании за надлежащую защиту конфиденциальной информации компании. В частности, политика допустимого использования определяет могут ли сотрудники компании читать и копировать файлы, владельцами которых они не являются, но имеют доступ к ним. Также эта политика определяет правила допустимого использования корпоративной электронной почты, служб новостей и процедур доступа к сети компании Примерный текст из политики допустимого использования:

"Сотрудники несут личную ответственность за безопасность любой информации, используемой и/или сохраненной с применением их учетных записей в компании. Используйте руководство пользователя для получения рекомендаций по защите вашей учетной записи и информации с использованием стандартных методов безопасности на уровне операционной системы или при помощи программного обеспечения шифрования, типа PGP. Конфиденциальная информация компании или сторонних организаций не должна храниться или быть переданной на компьютеры не принадлежащие компании."

"Сотрудники не должны пытаться получить доступ к любым данным или программам, находящихся на рабочих станциях и серверах компании, если они не имеют соответствующего разрешения или явного согласия владельца этих информационных ресурсов."

Политика удаленного доступа

Политика даленного доступа определяет допустимые способы удаленного соединения с корпоративной информационной системой. Представляет собой основной документ безопасности в крупных транснациональых компаниях с географически разветвленной сетью. Должна описывать все доступные способы удаленного доступа к внутренним информационным ресурсам компании: доступ по коммутируемым сетям (SLIP, PPP), доступ с использованием ISDN/Frame Relay, telnet/ssh доступ через интернет, выделенную линию/VPN/DSL и пр.

Примерный текст из политики удаленного доступа:

"1. Сотрудники, мененеджеры продаж и выездные специалисты компании, обадающие удаленным доступом к корпоративной сети компании, несут такую же ответственность как и в случае локального подключения к сети компании.

2. Для членов семьи сотрудника компании доступ к Internet через сеть компании разрешается только в случае оплаты трафика самим сотрудником. При этом сотрудник компании несет личную ответственность за то, чтобы член его семьи не нарушил правила политик безопасности компании, не выполнил противозаконные действия и не использовал удаленный доступ для достижения собственных деловых интересов. Сотрудник компании также несет ответственность за последствия неправильного использования удаленного доступа.

3. При осуществлении удаленного доступа к корпоративной сети пожалуйста ознакомьтесь со следующими политиками безопасности:
    а. Политика допустимого шифрования
    б. Политика организации виртуальных частных сетей
    в. Политика беопасности беспроводного доступа
    г. Политика допустимого использования

4. Для получения дополнительной информации относительно удаленного доступа, включения и отключения услуги, поиска неисправностей и т.д., обращайтесь на вебсайт службы организации удаленного доступа к информационным ресурсам компании".

Политика удаленного доступа определяет, кто из сотрудников может иметь высокоскоростной удаленный доступ ISDN, Frame Relay. При этом определятся ограничения по лрганизации удаленного доступа.

Пример требований политики удаленного доступа:

"Защищенный удаленный доступ должен строго контролироваться. Требуемый уровень безопасности обеспечивается с помощью использования однократных (one-time) паролей или инфраструктуры открытых ключей, устойчивыми к взлому ключевыми фразами (passphrase). Для получения информации по созданию устойчивых ко взлому ключевых фраз, смотрите Политику использования паролей.

Сотрудник никому не должен передавать или посылать по электронной почте свой пароль на вход в систему, включая даже членов семьи.

Сотрудники, имеющие привилегию удаленного доступа должны гарантировать, что их компьютеры, которые удаленно подключены к сети, не подключены в то же самое время ни в какую другую сеть, за исключением домашних сетей, которые находятся под полным управлением сотрудника.

Сотрудники, имеющие привилегию удаленного доступа к корпоративной сети не должны использовать адреса электронной почты компании для ведения собственного бизнеса.

Маршрутизаторы для выделенных ISDN линий, сконфигурированные для доступа к корпоративной сети должны использовать для аутентификации, как минимум, CHAP".

Политика безопасности периметра

Политика безопасности периметра описывает порядок и правила получения привилегированного доступа к системам безопасности периметра корпоративной сети компании. Кроме того описывает процедуру инициации и обработки запросов на изменение конфигурации систем безопасности периметра сети, а также порядок и периодичность проверки этих конфигураций.

Примерный текст из политики безопасности периметра:

"Доступ к информации о конфигурации систем безопасности периметра сети компании должен быть ограничен. Информация о конфигурации систем безопасности периметра никогда не должна храниться или передаваться по корпоративной сети, и никогда не должна печататься и храниться в виде бумажной копии. Необходимо отслеживать все изменения конфигурации систем сетевой безопасности и периодически проводить аудит безопасности периметра сети".

Политика управления паролями

Политика управления паролми определяет правила и пордок создания и изменения паролей сотрудников компании.

Примерный текст из политики управления паролями:

"Все пароли системного уровня (например root, enable, administrator в системе Windows, пароли администраторов приложений, и т.д.) должны изменяться по крайней мере раз в квартал. Все пароли системного уровня должны быть частью глобальной базы данных управления паролями отдела защиты информации. Все пароли пользовательского уровня (например, доступа к электронной почте, к сети, к настольному компьютеру, и т.д.) должны изменяться по крайней мере раз в шесть месяцев. Рекомендованный интервал изменения - раз в четыре месяца. Учетные записи сотрудников, которым предоставляется доступ к административным учетным записям на системах с пмощью членства в группах или программ "sudo", должны иметь пароль отличный от всех других паролей данного сотрудника".

Процедуры безопасности

Процедуры безопасности также важны как и политики безопасности Если политики безопасности определяют "что" должно быть защищено, то процедуры безопасности определяют "как" защитить информационные ресурсы компании. Давайте сделаем обзор нескольких важных процедур безопасности.

Процедура управления конфигурацией

Процедура управления конфигурацией обычно определяется на уровне отдела или на уровне компании. Даже если есть процедура компании по управлению изменениями, индивидуальные группы могут иметь собственные процедуры. Процедура управления изменениями должна определять процесс документирования и запроса на изменения конфигурации всех масштабов (от простой инсталяции маршрутизатора до изменения списков контроля доступа на межсетевом экране). Идеально, если служба защиты информации проводит анализ изменений и контролирует запросы на изменения. Процесс управления изменениями важен по нескольким ключевым причинам:

• Документированные изменения обеспечивают возможность проведения аудита безопасности.
• В случае возможного простоя из-за изменения, проблема будет быстро определена.
• Обеспечивает способ координирования изменений таким образом, чтобы одно изменение не влияло на другое изменение

Процедура резервного копирования информации и хранения резервных копий

Процедуры резервного копирования и хранения информации вне офиса могут потребоваться из-за требований клиентов и парнеров по бизнесу. Число сотрудников компании, которые будут иметь доступ к резервным лентам за пределами компании, должно быть сведено к минимуму. Вы должны тестировать возможность восстановления информации из резервных носителей на регулярной основе для проверки целостности резервных копий. Часть процедуры резервного копирования может быть выполнено в виде программы или сценария, который автоматизирует процесс создания резервных копий.

Процедура обработки инцидентов

Процедура обработки инцидентов определяет порядок обработки и расследования инцидентов. Процедура обработки инцидентов должна быть в любой компании. Невозможно определить порядок реагирования на все инциденты, но Вы должны описать порядок реагирования на основные типы инцидентов, которые могут произойти. Некоторые из них: сканирование портов, атаки типа отказ в обслуживании, взлом компьютеров, взлом пароля учетной записи, и несоответствующее использование информационных систем. Вы должны назначить одного сотрудника отвечающего за взаимодействие с правоохранительными органами.

Это только несколько примеров политик, которые могут быть применимы к Вашей компании. С этими и другими политиками безопасности можно ознакомиться на вебсайте американского института аудиторов и администраторов безопасности SANS по адресу http://www.sans.org/newlook/resources/policies/policies.htm

Институт SANS выработал свой подход в понимании понятия политики информационной безопасности и ее составляющих. В терминологии SANS, политика информационной безопасности - многоуровневый документированный план обеспечения информационной безопасности компании.

• Верхний уровень - политики.
• Средний уровень - стандарты и руководства.
• Низший уровень - процедуры.

Далее документы разбиваются на следующие основные категории:

• Утверждение руководства о поддержке политики информационной безопасности.
• Основные политики компании
• Функциональные политики
• Обязательные стандарты (базовые)
• Рекомендуемые руководства
• Детализированные процедуры

Стандарты детализируют различие по настройке безопасности в отдельных операционных системах, приложениях и базах данных.
Руководства представляют из себя рекомендуемые, необязательные к выполнению, действия по предупреждению проблем связанных с различными аспектами информационной безопасности.
Процедуры - детальные пошаговые инструкции, которые сотрудники обязаны неукоснительно выполнять. При разработке политик очень важным является корректное распределение ролей и обязанностей. Очень важно соблюдать принцип наименьших привилегий, принцип "знать только то, что необходимо для выполнения служебных обязанностей" и использовать разделение обязанностей на критичных системах.

Различают следующие типы политик безопасности:

• Направленные на решение конкретной проблемы. Примерами таких политик могут служить политика по найму персонала, политика использования паролей, политика использования Internet;
• Программные. Высокоуровневые политики определяющие общий подход компании к обеспечению режима информационной безопасности. Эти политики определяют направление разработки других политик и соответствие с требованиями законодательства и отраслевых стандартов
• Применяемые к конкретной среде. Например, каждая операционная система требует отдельного стандарта по ее настройке.

Рекомендуемые компоненты политики безопасности:

• Цель
• Область действия
• Утверждение политики
• История документа
• Необходимость политики
• Какие политики отменяет
• Действия по выполнению политики
• Ответственность
• Исключения
• Порядок и периодичность пересмотра

Организация SANS разработала ряд шаблонов политик безопасности:

• Политика допустимого шифрования
• Политика допустимого использования
• Руководство по антивирусной защите
• Политика аудита уязвимостей
• Политика хранения электронной почты
• Политика использования электронной почты компании
• Политика использования паролей
• Политика оценки рисков
• Политика безопасности маршрутизатора
• Политика обеспечения безопасности серверов
• Политика виртуальных частных сетей
• Политика беспроводного доступа в сеть компании
• Политика автоматического перенаправления электронной почты компании
• Политика классификации информации
• Политика в отношении паролей для доступа к базам данных
• Политика безопасности лаборатории демилитаризованной зоны
• Политика безопасности внутренней лаборатории
• Политика экстранет
• Политика этики
• Политика антивирусной защиты лаборатории

Пример политики аудита безопасности информационных систем компании

1.0 Цель

Установить правила аудита безопасности информационных систем компании, выполняемого внутренними аудиторами. Аудиторы должны использовать утвержденный перечень средств поиска уязвимостей или сканеров безопасности при выполнении сканирования клиентских сетей и/или межсетевых экранов или любых друих компонент информационных систем компании.
Аудит может быть проведен для:

• Гарантии целостности, конфиденциальности и доступности информационных ресурсов компании.
• Расследования возможных инцидентов в области безопасности компании.
• Мониторинга деятельности сотрудников и активности информационной системы в целом.

2.0 Область действия

Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки касса "Отказ в обслуживании".

3.0 Политика

Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения удита безопасности (технические проекты, карта сети, положения и инструкции и пр.).

Доступ к информационной системе включает:

• Доступ на уровне пользователя или системный доступ к любому оборудованию системы.
• Доступ к данным (в электронном виде, в виде бумажных копий и т.д.) которая создается, передается и хранится в системе.
• Доступ в помещения (лаборатории, офисы, серверные и т.д.).
• Доступ к сетевому трафику.

3.1 Управление сетью

Если в компании доступ из корпоративной сети в Internet обеспечивается сторонней органзацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени.

3.2 Уменьшение производительности и/или недоступность сервиса

Компания освобождает аудиторов от любой ответственности связанной с уменьшением сетевой производительности или недоступностью сервисов вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов.

3.3 Контактные лица компании при проведении аудита

Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам возникающим во время проведения аудита безопасности.

3.4 Период сканирования

Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности.

4.0 Процесс оценки рисков.

Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании.

5.0 Ответственность.

К любому сотруднику компании нарушившему эту политику могут быть применены дисциплинарные меры, вплоть до увольнения.