CC BY
15
научно-практический журнал. - 2011. - № 1(8). - ISSN 1995-5731.
7. Панов П. Google нарушает российский закон // Известия. - 2012. - № 17.
8. Харламова И. Ю. Аспект проблемы безопасности детей в сети Internet с точки зрения родителей [Текст] / И. Ю. Харламова, Е. Ю. Кузнецова // Информационная безопасность регионов :
научно-практический журнал. - 2011. - № 2(9). - ISSN 1995-5731.
9. Российская Федерация. Законы. О персональных данных [Электронный ресурс] : федер. закон : [принят 27.07.2006 : по состоянию на 25.07.2011 г.]. - АИПС КонсультантПлюс (дата обращения: 18.01.2012).
Материалы поступили в редакцию 06.02.2012 г.
УДК 004
ЭВОЛЮЦИЯ ПРАКТИКИ ЭФФЕКТИВНОГО ИСПОЛЬЗОВАНИЯ ИТ-СИСТЕМ БЕЗОПАСНОСТИ
© Гришин Сергей Евгеньевич
кандидат философских наук, доцент кафедры ДДОУ, Саратовский государственный социально-экономический университет.
И с.е.гришин@письмо.рф
В статье рассматриваются актуальные проблемы информационной безопасности в свете происходящих изменений в области информационных технологий. Сделан вывод о том, что разработка программы корпоративной информационной безопасности должна состоять из технологий, процессов и учёта человеческих факторов, которые связаны с рисками для учреждения.
Ключевые слова: ИТ-программы безопасности, органы управления безопасностью, оценка риска, безопасная деловая среда.
Ключевая важность слов Б. Баруха отражается в происходящих изменениях в области ИТ-безопасности в течение последних 10-15 лет [1, р. 30-45]. В прошлом вопросам ИТ-безопасности не уделялось такого внимания, как сегодня. ИТ-администраторы защищали «критические» системы шифрованием или другими передовыми методами либо обеспечивали минимальную антивирусную защиту. Мероприятия реагирования в сфере безопасности были сосредоточены, главным образом, на борьбе с целенаправленными нападениями отдельных хакеров или распространением вирусов среди индивидуальных пользователей.
Вместе с тем массовое использование интернет-технологий и рост спроса на под-
Искусство жизни заключается не столько в устранении наших бед, сколько проблем, растущих вместе с ними.
Б. Барух
ключение к Сети постоянно росли. Госорганы, наряду с остальной частью общества, стали всё более взаимосвязаны через World Wide Web. С расширением связей пришли новые угрозы, распространявшиеся слабо защищёнными системами, подключёнными к открытой общественной сети. Хакеры с помощью большого количества приёмов традиционных целевых атак и посредством нового «транспортного средства» в виде вирусов-червей блокировали доступ к сети Интернет путём перегрузки или переправляли их к заражённой системе, которую хакеры могли использовать как часть зомби-сети для рассылки спама или проведения дополнительных атак.
Известно о нескольких случаях, когда автоматизированные атаки вызвали крупномасштаб-
ные остановки различных систем. Исследования в данной области свидетельствуют, что целенаправленное применение защитных технологий (таких как брандмауэры) и относительно низкий уровень использования «мягких» мер (политика, понимание и планирование) позволяет решить ряд вопросов защиты. Но лишь одна атака в виде удара «червей» по ИТ-системам выводит из строя тысячи компьютеров, вызывает временное отключение Сети. В результате все разговоры о том, что необходимо ограничить в масштабах всей организации меры безопасности ИТ, прекратились, начали пересматриваться подходы в этой сфере, значительно меняться инструменты и методы, направленные на борьбу со всё возрастающей волной угроз безопасности [2].
Однако многие важные технологии и практика по-прежнему не используют эффективные методы обеспечения безопасности при централизованном управлении данными, сетями и приложениями. Если информационные технологии стали рассматриваться в качестве одного из важнейших в системе институционального организма, как его кровеносная система, перемещающая информацию, которая всё более жизненно необходима для многих госучреждений, то характер нападений на эту систему становится опасней, чем прежде. В центре атак находятся составляющие этой системы - серверы и компьютеры, подключённые к сети, а цель вторжений - уничтожить имеющиеся данные, использовать их для запуска последующих атак на другие машины.
Защита от нападения становится главной целью информационной безопасности, поскольку объектом атак становятся сетевые подключения госорганов и сама сеть. Администраторы информационной безопасности стали более умело защищать ключевые хост-системы и поддерживать безопасную работу сети, что говорит о возросшем осознании важности успеха в деле защиты централизованного управления активами. Тем не менее новые угрозы с ориентацией на устройства поддержки сети, а также на сами данные, передаваемые и размещённые в созданных сетях и компьютерах, в частности, персональные данные в концентрирующих их учреждениях приобрели разнообразные формы: «захватчики» паролей; «фишинг» нападения, в которых пользователи обманом присваивают персональные идентификаторы; неправильно спроектированные приложения; хищения материальных активов (ноутбуки, носители информации с ценными данными). При этом фиксируются самые различные типы атак. Во-первых, они часто поражают цели в легко защищаемых системах или системах «невежественных» пользователей, за пределами
сильно защищённых участков сети учреждения. Во-вторых, и это более важно, они выглядят как просто «мешающие» атаки, однако нацелены непосредственно на персональную информацию с целью её хищения и получения финансовой выгоды, что значительно актуализирует вопросы информационной безопасности [3].
Именно поэтому исследователи рекомендуют искать более сбалансированный подход, сочетающий эффективное использование технологий с культурными решениями для результативной борьбы с угрозами.
Изучение проявлений современных информационных угроз свидетельствует о том, что они связаны с несколькими факторами. Во-первых, непосредственное изменение характера угроз. Многие новые атаки нацелены на выходные данные, а не на устройства защиты системы и сети организации. Во вторых, руководители организаций должны полностью осознавать сложности разработки комплексной системы ИТ-безопасности как программы по борьбе с меняющимися угрозами. К этому следует добавить трудности управления информационной безопасностью в сфере окружающей среды, где многие системы не охвачены централизованным управлением безопасностью [4].
Тем не менее разница в восприятии безопасности между центральными и местными системами, а также в других областях, выделенных в качестве возможности для совершенствования, в настоящее время требуют обратить внимание на новую потребность в развитии программ ИТ-безопасности, которые предназначены для защиты всей организации, а не только центральной системы, и сделать это необходимо на скоординированной, гибкой основе. Учитывая, что ИТ-безопасность, в отличие от большинства других основных инициатив в области ИТ, не даёт видимых или немедленных результатов и пользы для институциональных составляющих, принимая во внимание трудность в принятии решения тратить дефицитные ресурсы и значительный политический капитал на такие усилия, - всё это требует довольно веских аргументов.
Меняющийся характер угроз является одной из наиболее веских причин расширения программ защиты информации, обеспечения более полного охвата за пределами централизованного управления активами. Цель многих новых нападений не операционные системы и сети - установление контроля над машиной или получение личных данных о пользователях этих систем и компонентов организации. Попытки взлома совершаются для извлечения прибыли. И самое простое объяснение атак хакеров в том, что прибыль не является кражей
Научно-практический журнал. ISSN 1995-5731
сверхсекретных исследований, размещённых в безопасной системе или доступом к финансовой системе организации и перенаправления средств. Хакеры стремятся найти слабое звено в безопасности организации и использовать его, чтобы найти личные данные. Эта информация также может быть легко продана им другим преступникам без прямой связи хакера с ними. «За прошедший год мы стали свидетелями значительного уменьшения числа крупномасштабных глобальных вирусных атак, и, наоборот, отмечается, что злоумышленники движутся в сторону меньших, но более целенаправленных атак» [5].
Только хорошо продуманные, программы ИТ-безопасности, которые ограничивают распространение конфиденциальной информации среди пользователей, позволяют получить сведения об опасности, могут значительно снизить риск этих типов угроз.
Соблюдение существующих и разработка новых законов и положений, несомненно, служит успешной защите. Примерами таких законов и нормативных актов, принятых в США, являются: закон о конфиденциальности (FERPA), FTC закон защиты положений Грамма-Лича-Блили (GLBA), Акт об ответственности (HIPAA), государственные законы, касающиеся уведомления о нарушениях безопасности, правила FDA для электронных записей и электронных подписей (21 CFR Part 11), а также Payment Card Industry стандарт безопасности данных (PCIDSS) [6].
В документе под индексом АБУ-123, который содержит 7 федеральных руководств, отвечающих за отчётность и контроль в отношении активов и управлением ими, уделено значительное внимание вопросам соблюдения законодательства и набора стандартов, установленных правительством с целью обеспечения последовательного применения действующих норм безопасности и практики, осуществляемой на основании акта определения федеральной информационной системы как «информационной системы, используемой или эксплуатируемой органом исполнительной власти, подрядчиком органа исполнительной власти, другой организацией от имени органа исполнительной власти».
Ознакомление персонала организаций со стандартами необходимо для использования их в качестве руководства при разработке своих собственных программ в области безопасности информации. Так, Президентская директива «12» о национальной безопасности требует использования более безопасных стандартов, что находит отражение в Федеральном стандарте обработки информации (FIPS) 201-1, опубликованном Национальным институтом стандартов и технологий (NIST) [7].
Действие Директивы «12» распространяется на стандарты, которые внедряются как на федеральном уровне, так и «подрядчиками». Учреждения могут использовать их в качестве руководства в принятии решения при управлении идентификацией своих собственных систем.
Закон о помощи по поддержанию правопорядка (CALEA) является ещё одним законодательным актом, который содержит требования для развертывания стандартного оборудования и процедур, позволяя им находиться под наблюдением правоохранительных органов [8].
Согласно названным выше документам управление ИТ-безопасностью представляет собой ряд уникальных задач, особенно в крупных государственных учреждениях, которые работают децентрализовано. Хотя центральный ИТ-отдел должен обеспечить безопасность ИТ-активов учреждения, многие из этих активов не управляются централизованно. Они могут контролироваться с помощью относительно автономных структур. Однако это затрудняет осуществление принципа «одно решение подходит всем» для многих аспектов безопасности, а подходы к построению ИТ-безопасности должны отражать этот элемент организации защищаемой структуры.
Представляется, что ИТ-программы безопасности должны:
- базироваться на стандартах, которые используются всеми, включая не только технические стандарты, но и набор политик и процедур, которые доступны, понятны и своевременны;
- обладать способностью разрешить вопросы для различных потребностей распределённых подразделений и пользователей;
- приводиться в соответствие с рисками учреждения и разрабатываться с участием всех органов управления;
- создаваться на основе известных принципов и рисков, а не конкретных угроз или систем; это позволит адаптировать программу для каждого учреждения, изменений и новых угроз;
- отвечать требованиям доступности в понимании для физических лиц и ведомств, что может потребовать значительных усилий в работе ИТ-отдела;
- быть оцениваемыми; следует разработать критерии для оценки эффективности программ с целью дальнейшего совершенствования.
Перед организациями в обязательном порядке стоит ряд задач и требований.
1. Управление безопасностью должно иметь поддержку со стороны старшего менеджмента, высшего руководства в организации. Это будет иметь решающее значение, указывать на эффективность программ и структуры, предназначенной для управления этим подраз-
делением, а также для обеспечения контроля и соблюдения процедур. Учитывая повышенное внимание к безопасности, последствия неудач необходимо свести до минимума.
2. Группы управления должны быть небольшими, чтобы эффективно и быстро принимать разнообразные решения, но достаточными, чтобы включить точки зрения различных видов потребителей услуг. Многоуровневые структуры, например исполнительно-оперативные, могут помочь достижению этой цели.
3. Необходимо определить и классифицировать активы, которые нуждаются в защите. Это чрезвычайно важное значение для данных, поскольку, в конечном счёте, это именно то, что учреждение пытается защитить. Классификация может быть простой, например: соблюдение нормативных требований к данным, подлежащим защите в связи с законодательством и другими нормативными актами; конфиденциальные сведения, защита которых определяется учреждением; внутренних данные, открытые для внутренних пользователей, но не для общественного потребления; государственные данные, обязательные к защите. При необходимости могут быть использованы более сложные классификации.
4. Выполнение оценки риска. Институциональные активы должны быть рассмотрены с целью определения уровня защиты, они требуют разработки плана уменьшения рисков для их устранения, с адекватным уровнем оценки.
5. Осуществление контроля. На основе оценки рисков учреждения должны осуществлять необходимые технические, процедурные и организационные компоненты и разработки подходов для удовлетворения потребностей обеспечения своей деятельности. Это необходимо для обеспечения централизованной поддержки некоторым распределённым областям.
6. Разработка и осуществление мониторинга механизмов и процедур для ИТ-активов, а также для самой программы, на регулярной основе, что поможет уточнить профиль риска и использовать результаты этого мониторинга для совершенствования программ в целях более эффективной работы [9, с. 15-19].
Таким образом, разработка программы корпоративной информационной безопасности должна состоять из технологий, процессов и учёта человеческих факторов, которые связаны с рисками для учреждения. Это должен быть достаточно гибкий инструмент, чтобы работать в условиях воздействия
окружающей среды, что позволит учреждениям не только ориентироваться на определённые угрозы и конкретные меры их нейтрализации, но и легче адаптироваться к новым угрозам, по мере их появления. Высший уровень поддержки необходим для действенного осуществления политики и процедур, создания эффективного управления усилиями по обеспечению безопасности. Хотя создать такую программу довольно трудно, но этот шаг необходимо предпринимать, чтобы обеспечить безопасность на более высоком уровне и предоставлять учреждениям безопасную деловую среду.
Библиографический список
1. Волоудакис Д. Постоянная эволюция практики эффективного использования ИТ-систем безопасности [Текст] / / EDUCAUSE Review. -Vol. 41. - 2006. - September/October.
2. Sieberg D. Hackers Shift Focus to Financial Gain [Электронный ресурс]. - URL: http://www. cnn.com/2005/TECH/ internet/09/26/identity. hacker/index.html (дата обращения: 03.08.2011).
3. URL: http://www.cnn.com/2005/TECH/in-ternet/09/26/identity.hacker/index.html (дата обращения: 03.08.2011).
4. URL: http://www.privacyrights. org/ar/ ChronDataBreaches.htm (дата обращения: 03.08.2011).
5. URL: http://www.whitehouse. gov/OMB/ circu-lars/a123/a123.html, http://www.whitehouse.gov/ news/releases/2004/08/20040827-8.html (дата обращения: 03.08.2011).
6. URL: http://www.whitehouse.gov/news/releases /2004/08/20040827-8.html (дата обращения: 03.08.2011).
7. URL: http://csrc.nist.gov/publications/fips/ fips201-1/FIPS- 201-1-chng1.pdf (дата обращения: 03.08.2011).
8. URL: /http://www.itaa.org/news/docs/ CALEAVOIPreport.pdf (дата обращения: 03.08.2011).
9. Овчинников С. А. Подготовку специалистов по защите информации на уровень современных международных требований // Информационная безопасность регионов : научно-практический журнал. - 2007. - № 1(1). - ISSN 1995-5731.
10. Овчинников С. А. Угрозы личности, обществу и государству при внедрении информационных технологий / С. А. Овчинников, С. Е. Гришин // Информационная безопасность регионов : научно-практический журнал. - 2011. - № 2(9). - ISSN 1995-5731.
Материалы поступили в редакцию 10.01.2012 г.
Научно-практический журнал. ISSN 1995-5731
