Проблематика информационной безопасности предприятия остается актуальной в любых экономических условиях. Чем сложнее общая ситуация на рынке, тем большую важность приобретают вопросы сохранения информации, четкое функционирование всех ИТ-систем, обеспечивающих стабильную работу бизнеса и, как следствие, сохраняющих лояльность клиентов. Концепция глобального ИТ-контроля и различные подходы к развитию систем ИБ обсуждались в рамках круглого стола " Глобальный ИТ-контроль", организованного CNews Conferences и компанией "Verysell Проекты".
У любого бизнеса существуют болевые точки, в которых протекают процессы, негативно влияющие как на безопасность компании, так и прямо и опосредовано на ее доходность. Внутренние риски должны быть формализованы, поставлены под контроль и задокументированы, внешние же риски тоже можно свести к минимуму, используя глобальный подход к ИТ-контролю. Общая концепция подразумевает перестройку ИТ-служб, превращение их в сервисное подразделение, помогающее бизнесу контролировать процессы, приводящие к тем или иным негативным изменениям. Существующая в компании инфраструктура должна быть перестроена таким образом, чтобы любые события безопасности находились под постоянным или глобальным контролем.
Под глобальным ИТ-контролем сегодня понимают обеспечение полного контроля над людьми, процессами и системами. Каким образом уложить концепцию в рамки нашей экономической действительности и какие инструменты позволяют добиться полного контроля над инфраструктурными процессами, обсудили участники круглого стола CNews "Глобальный ИТ-контроль".
Глобализация контроля
Директор департамента развития технологий компании "Verysell Проекты" Румяна Свистунова отмечает, что составляющие контроля - это определение цели, которая должна быть достигнута в определенный отрезок времени, и сравнение результатов с ожиданиями. По ее словам, ИТ-ресурсы только тогда соответствуют бизнес-целям, когда они отвечают бизнес-требованиям к информации. Требования заключатся в качестве получаемых данных, в их безопасности.
Руководитель практики комплексных проектов Евгений Блохин и его заместитель Денис Пустоваров показали, что уменьшить негативные факторы, влияющие на безопасность, с помощью ИТ-служб вполне реально. По словам Пустоварова, 80% каких-либо неприятностей происходят по вине людей, и лишь в 20% случаев в сбоях повинна техника. Единственный способ минимизации влияния человеческого фактора - строгая формализация общения специалиста с системой.
Главным критерием успешной формализации является четкое понимание того, что ИТ-службы существуют для бизнеса, а не наоборот. Бизнес формирует требования, четко прописывая сервисы и их качество. На этой основе определяются параметры взаимодействия бизнеса и ИТ, позволяющие разработать концепции и политики для четкого понимания, какие именно ИТ-инструменты необходимы для обеспечения сервисов. Таким образом стандартизация, определение метрик, методов и методик измерения показателей достижения цели являются необходимыми параметрами для снижения влияния человеческого фактора.
Так, Евгений Блохин привел пример из собственной практики. В одном из ЦУПов при проведении корректировки орбиты вышла из строя специальная система. Сбой случился по вине одного из администраторов, который удалил необходимую учетную запись. После определения "болевых точек" были предложены варианты улучшения контроля, что позволило в дальнейшем избежать подобных инцидентов.
По словам Дениса Пустоварова, к сожалению, очень часто понимание необходимости совместной работы ИТ и бизнеса возникает на этапе, когда ИТ-службы уже существуют. В этом случае возникает необходимость решения сразу двух задач: управления в рамках разработки документации и преобразования системы в регламентируемую. Для выполнения этих задач необходим как административный, так и инструментальный контроль.
Технический специалист компании "Verysell Проекты" Дмитрий Качурин отметил, что угрозам в организации подвергается вся существующая инфраструктура. Во всех подсистемах происходит множество различных событий безопасности. Однако при попытке структурировать и систематизировать эту информацию появляется множество проблем. Во-первых, часто ее просто недостаточно. По словам Дмитрия Качурина, очень сложно знать какие именно события, влияющие на безопасность, происходят в сети прямо сейчас. Во-вторых, данные журналов безопасности не всегда бывают полными, точными и защищенными от различных искажений. В-третьих, проведение политик и процедур безопасности не должно снижать производительность сети и влиять на работу пользователей.
Для решения проблем ИБ Качурин предлагает использовать централизованный сбор данных из всех журналов безопасности, включая информацию об активности недобросовестных пользователей. Немаловажной является возможность поддержки гетерогенного окружения, то есть сбор журналов из различных источников: ОС, баз данных, брэндмауэров, антивирусов, серверов и приложений. Полученные данные должны храниться в сжатом формате для сокращения расходов на их хранение. Отчеты должны распространяться в форматах, необходимых пользователям. Решения по мониторингу должны иметь возможность передачи оповещений о событиях безопасности.
Инструменты глобального контроля
О существующих решениях для обеспечения глобального ИТ-контроля рассказал глава представительства компании CA в России Васил Барзаков и менеджер по развитию бизнеса СА Виктор Дружинин. По словам Васила Барзакова, сегодня понятия ИТ-сервиса и бизнес-сервиса сливаются, следовательно нужна новая единая сервисная модель, обеспечивающая целостный подход к управлению ИТ с точки зрения бизнеса. Именно ИТ-контроль сейчас - один из главнейших факторов, помогающих бизнесу быть более конкурентноспособным. В третьей версии библиотеки ITIL уже есть описание подхода, позволяющего построить систему, связывающую ИТ и бизнес. По мнению Барзакова, в условиях повсеместной информатизации для создания единой сервисной модели необходим модульный подход к управлению ИТ-средой.
Васил Барзаков отметил, что даже если не касаться нынешнего финансового кризиса, за прошедший год рост активов российских банков снизился с 23% в первом полугодии 2007 до 15 % в 2008. По его мнению, постепенно банки приходят к мысли о минимизации необходимости посещения клиентами офисов. В этом случае в первую очередь нужно обеспечить безопасность банковского счета. Финансовым огранизациям пора задуматься о построении новой гибкой архитектуры для добавления новых сервисов и продуктов. Сейчас максимальный спрос со стороны банковского сектора приходится на ПО для управления сетями, уровнем доступа, инцидентами и проблемами. В последнее время отмечается рост интереса к решениям для управления проектами и портфелями проектов.
По словам Виктора Дружинина, использование ИТ-систем, расширяющих функциональность, ведет к повышению опасности для бизнеса. Чем шире функциональность, тем больше дырок в системе. Чем больше пользователей, тем выше риски неадекватного поведения, тесная интеграция ИТ и бизнеса также повышает риски, а усиление централизации управления ведет к увеличению последствий от нарушений в управлении. А чем больше объем и ценность информации в ИТ-инфраструктуре, тем выше риски потерь, в том числе и из-за действий инсайдеров. По мнению Виктора Дружинина существует два крайних варианта функционирования такой системы: полная функциональность и никакой безопасности либо полная безопасность, но никакой функуциональности. Разумеется, для обеспечения контроля и сохранения функциональности системы необходим некоторый компромиссный вариант.
Во-первых, необходимо определить, что есть в сети предприятия: визуализировать структуру, создать возможность автоматического обнаружения неисправностей и диагностики причин их возникновения. В идеале система должна обладать возможностями искусственного интеллекта и не требовать высококвалифициорованного персонала. По словам Виктора Дружинина, наличие такого рода системы позволит организациям снизить так называемый "ИТ-шантаж" со стороны ценных сотрудников, которые понимают, что без них система работать попросту не будет и постоянно требуют повышения зарплат. "Люди стали одним из критических условий. ИТ-службы зависят от людей, ИИ-системы позволяют уменьшить давление персонала", - заключил Виктор Дружинин.
Во-вторых, в системе должны существовать гарантии того, что ресурсы используются по назначению только авторизованными пользователями и в строго определенное время. Здесь немаловажен контроль устаревших учетных записей. По словам Дружинина, нередки случаи, когда уволенные работники по-прежнему имеют доступ к системе. Такого рода "мертвые души" - одна из серьезных уязвимостей любой системы. Особенно это опасно для финансовых организаций.
Следующий немаловажный момент в обеспечении компромисса между безопасностью и функциональностью системы - грамотное применение политик безопасности. Когда большая часть ресурсов сосредоточена в одних руках, опасность злоумышленных действий со стороны администратора возрастает в разы. Разумеется, необходим и тотальный контроль, под которым подразумевается мониторинг и интеграция результатов аудита. И последняя составляющая - необходимость понимания степени соответствия ИТ-проектов бизнесу. Соблюдение этих правил, по мнению Виктора Дружинина, позволит обеспечить польный ИТ-контроль без ущерба для функциональности.
О концепции операционной эффективности и информационной безопасности Quest Software собравшимся рассказал ведущий архитектор компании Константин Шурунов. По его мнению, ПО для ИТ должно обеспечивать управление приложениями, улучшать и оптимизировать производительность баз данных, вести контроль над инфраструктурой, а также автоматизировать и контролировать виртуальные среды. Управление приложениями подразумевает детектирование возникающей проблемы, ее диагностику, решение и создание отчета.
Для оптимизации работы баз данных необходимо улучшение программ, работающих поверх баз данных. По словам Константина Шурунова, каждые четыре секунды в мире один пользователь осуществляет миграцию при помощи продуктов Quest Software. "ИТ-контроль - основание, без которого все, что выше, не имеет смысла", - заключил Константин.
О человеческом факторе риска для бизнеса говорил и заместитель генерального директора компании Aladdin Алексей Сабанов. Он отметил, что бизнес подвергается угрозам с трех сторон: влияние оказывают люди, государство и интернет.
По его словам, нельзя рассматривать человеческий фактор без отрыва от его окружения. Конечно, человек, самое слабое звено любой системы. По данным компании, 60% ущерба бизнес получает из-за халатности сотрудников, 45% потерь предприниматели несут из-за злоумышленников, 5% рисков приходятся на действия инсайдеров. Для снижения всех этих рисков необходимы механизмы персонификации действий пользователя. Но даже внедрением персонифицированного доступа снизить процент потерь из-за "халатности" все равно довольно сложно. Необходима двухфакторная аутентификация пользователей и шифрование данных на дисках и сменных носителей. В таком случае при утере физического носителя можно не бояться потери важной для бизнеса информации.
Государство - тоже немаловажный фактор риска для бизнеса. По данным аналитического агентства Control Risks Group, в 49% государств бизнес испытывает помехи и агрессию со стороны властей, а 40% государств не гарантируют предпринимателям безопасность их бизнеса. По словам же Алексея Сабанова, в глазах зарубежных компаний Россия является страной с высокими политическими рисками.
Говоря об интернете, он отметил, что мы до сих пор не готовы к его использованию, как в плане понимания угроз и проблем, так и в технологическом аспекте. Сейчас, по его мнению, ситуация с сетевыми угрозами близка к критической. По данным Positive Tecnologies, 93% сайтов в зоне ру имеют уязвимости средней степени риска, а 63% сайтов имеют критические уязвимости.
По мнению компании Aladdin, с изменением модели угроз должна измениться и парадигма защиты, то есть необходимо переходить от защиты объектов к защите взаимодействия. Необходимо решать проблему очистки интернет-трафика на уровне корпоративного шлюза или провайдера, а также мониторить и анализировать эффективность используемых средств защиты. Стопроцентное инспектирование трафика на шлюзе или у провайдера должно обеспечивать блокировку вредоносного и нежелательного контента, вырезание агрессивного и подозрительного контента, блокирование скрытых каналов утечки, таких как мессенджеры и другие приложение, а также блокирование спама на шлюзе.
Для проверки эффективности используемых средств ИБ необходим инструментальный аудит, а для выявления нарушений политик ИБ должен проводиться мониторинг деятельности пользователей.