К осознанию того, что информацию в корпоративной системе необходимо защищать, пришли практически все. Однако при решении этой проблемы предприятия часто идут на поводу у компаний-подрядчиков, продвигающих один или несколько продуктов, решающих, как правило, частные задачи. Ниже рассмотрим наиболее общие подходы к комплексному решению задачи обеспечения безопасности информации.

Наиболее типичной ошибкой при построении системы защиты является стремление защитить всё и от всего сразу. На самом деле определение необходимой информации (файлов, каталогов, дисков) и иных объектов информационной структуры, которые требуется защитить - первый шаг в построении системы информационной безопасности. С определения этого перечня и следует начать: следует оценить, во сколько может обойтись потеря (удаление или кража) той или иной базы данных или, например, простой одной рабочей станции в течение дня.

Второй шаг - определение источников угроз. Как правило, их несколько. Выделить источник угроз - значит, оценить его цели (если источник преднамеренный) или возможное воздействие (непреднамеренный), вероятность (или интенсивность) его появления. Если речь идет о злоумышленных действиях лица (или группы лиц), то требуется оценить его организационные и технические возможности для доступа к информации (ведь злоумышленник может быть и сотрудником фирмы).

После определения источника угроз можно сформулировать угрозы безопасности информации. То есть что с информацией может произойти. Как правило, принято различать следующие группы угроз:

- несанкционированный доступ к информации (чтение, копирование или изменение информации, ее подлог и навязывание);
- нарушение работоспособности компьютеров и прикладных программ (с вытекающим блокированием нормальных бизнес-процессов);
- уничтожение информации.

В каждой из этих трех групп можно выделить десятки конкретных угроз, однако пока на этом остановимся. Заметим только, что угрозы могут быть преднамеренными и случайными, а случайные, в свою очередь, естественными (например, стихийные бедствия) и искусственными (ошибочные действия персонала). Случайные угрозы, в которых отсутствует злой умысел, обычно опасны только в плане потери информации и нарушения работоспособности системы, от чего достаточно легко застраховаться. Преднамеренные же угрозы более серьезны с точки зрения потери для бизнеса, ибо здесь приходится бороться не со слепым (пусть и беспощадным в своей силе) случаем, но с думающим противником.

Выяснение того, что, от кого и от чего защищать - половина ответа на главный вопрос: как защищать? Так что на первый этап не жалко потратить время, тем более, что даже в относительно крупной корпорации руководство совместно с компетентными сотрудниками способно ответить на все три вопроса в течение нескольких рабочих дней.

Принципы защиты информации

Построение системы защиты полезно проводить с принципами защиты, которые достаточно универсальны для самых разных предметных областей (инженерное обеспечение в армии, физическая безопасность лиц и территорий , и т. д.)

- Адекватность (разумная достаточность). Совокупная стоимость защиты (временные, людские и денежные ресурсы) должна быть ниже стоимости защищаемых ресурсов. Если оборот компании составляет 10 тыс. долларов в месяц, вряд ли есть смысл развертывать систему на миллион долларов (так, же как и наоборот).
- Системность. Важность этого принципа особо проявляется при построении крупных систем защиты. Он состоит в том, что система защиты должна строиться не абстрактно (защита от всего), а на основе анализа угроз, средств защиты от этих угроз, поиска оптимального набора этих средств и построения системы.
- Прозрачность для легальных пользователей. Введение механизмов безопасности (в частности аутентификации пользователей) неизбежно приводит к усложнению их действий. Тем не менее, никакой механизм не должен требовать невыполнимых действий (например, еженедельно придумывать 10-значный пароль и нигде его не записывать) или затягивать процедуру доступа к информации.
- Равностойкость звеньев. Звенья - это элементы защиты, преодоление любого из которых означает преодоление всей защиты. Понятно, что нельзя слабость одних звеньев компенсировать усилением других. В любом случае, прочность защиты (или ее уровня, см. ниже) определяется прочностью самого слабого звена. И если нелояльный сотрудник готов за 100 долларов «скинуть на дискету» ценную информацию, то злоумышленник вряд ли будет выстраивать сложную хакерскую атаку для достижения той же цели.
- Непрерывность. В общем-то, та же равностойкость, только во временной области. Если мы решаем, что будем что-то и как-то защищать, то надо защищать именно так в любой момент времени. Нельзя, например, решить по пятницам делать резервное копирование информации, а в последнюю пятницу месяца устроить «санитарный день». Закон подлости неумолим: именно в тот момент, когда меры по защите информации будут ослаблены, произойдет то, от чего мы защищались. Временный провал в защите, так же, как и слабое звено, делает ее бессмысленной.
- Многоуровневость. Многоуровневая защита встречается повсеместно, достаточно побродить по руинам средневековой крепости. Зачем защита строится в несколько уровней, которые должен преодолевать как злоумышленник, так и легальный пользователь (которому, понятно, это делать легче)? К сожалению, всегда существует вероятность того, что какой-то уровень может быть преодолен либо в силу непредвиденных случайностей, либо с ненулевой вероятностью. Простая математика подсказывает: если один уровень гарантирует защиту в 90%, то три уровня (ни в коем случае не повторяющих друг друга) дадут вам 99,9%. Это, кстати, резерв экономии: путем эшелонирования недорогих и относительно ненадежных средств защиты можно малой кровью добиться очень высокой степени защиты.

Учет этих принципов поможет избежать лишних расходов при построении системы защиты информации и в то же время добиться действительно высокого уровня информационной безопасности бизнеса.

Виды нарушителей

Если вы затрудняетесь с определением источников угроз - предлагаем несколько достаточно типичных.

- Хакер (как правило, начинающий). Обычно он является источником непреднамеренных угроз. Начитавшись книг и статей на тему «Как стать крутым хакером», подобные личности начинают из любопытства сканировать подключенные к Интернету компьютеры, «подвешивать их», заселять троянцами, копировать себе чужие файлы, которые вряд ли пригодятся. Одним словом, развлечение на стыке любопытства, спорта и хулиганства. Основной вред - нарушение работоспособности компьютеров и файловой системы, кража паролей доступа в Интернет (единственная корысть, кстати, наказуемая уголовно) и реже к платным ресурсам. Защита от них гарантируется несложными методами (межсетевые экраны, программы-антишпионы).
- «Доброкачественный сотрудник». Нет смысла распространяться о том, что может с ценной информацией сделать сотрудник компании, не имея при этом совершенно никакого злого умысла. Это и удаление нужного файла, и открытие в пришедшем от незнакомца письме прилагаемого файла (с вирусом, конечно), и посещение сайтов с сомнительным содержимым, как в плане эстетики, так и в плане безопасности. Предотвратить ущерб со стороны таких пользователей можно организационными мерами (инструктажи, разъяснения), различными механизмами «защиты от дурака» (изъятие из компьютеров приводов CD-ROM и дисководов). Для профилактики и ликвидации последствий неосторожных действий необходимо использовать антивирусные программы, межсетевые экраны, а также создавать резервные копии информации.
- «Злокачественный сотрудник». В отличие от доброкачественного, его действия против собственной корпорации носят намеренный характер, и в этом большая опасность. Это самое неприятное. Мотивов обычно два: действие в интересах конкурента (за деньги и иные стимулы), а также обида и личная неприязнь. Такие сотрудники опасны, так как, во-первых, действуют умышленно, во-вторых, имеют физический доступ к компьютерам и файлам. Степень опасности зависит от квалификации сотрудника. Но и при невысоком уровне (например операциониста в банке) ущерб может быть большим, если нелояльный сотрудник внутри компании действует в связке с внешним противником. Главная ценность такого «казачка» для противника - близость к желанной информации и механизмам защиты. Наперед заметим, что наличие ненадежного сотрудника делает многие средства защиты бессильными или малоэффективными (требуя дополнительных мер). Если верить отчетам аналитических компаний, подавляющее большинство преднамеренных атак на корпоративные системы осуществляются именно действующими или бывшими сотрудниками.
- Случайный посетитель. Человек, который под видом клиента или настройщика компьютера появился в офисе один или несколько раз. Может быть либо противником, либо его пособником. Времени и возможностей у него не так много, как у постоянно работающего сотрудника, но установить нужную программу может довольно быстро. Особенно если учесть, что для большинства гадостей много времени и не нужно.
- Внешний противник. То есть лицо (или группа лиц), не имеющих физического доступа в помещения корпорации. При отсутствии инсайдера (пособника внутри компании) единственным средством остается Интернет, к которому подключена корпоративная система. Защититься не сложнее, чем от простого хакера, хотя при наличии времени и средств внешний враг может сделать многое.
- Визитер со взломом. Приходит внезапно, в присутствии или отсутствии «заказчика». Основной метод - изъятие компьютеров и носителей информации с последующим изучением.
- Природа. Противник сильный и тупой. Отсутствие здравого смысла и цели - его главная слабость, потому его деструктивные действия легко блокировать.

Вот семь типичных источников угроз информационной безопасности. Оцените, насколько они опасны для вашего конкретного бизнеса. Если затрудняетесь - поверьте мировому и отечественному опыту: более 90% реализованных угроз приходится на нелояльных сотрудников и действия слепой стихии.

Дизайн и поддержка: Silicon Taiga

Обратиться по техническим вопросам