Работа ИТ-отдела традиционно включает вопросы безопасности – ведь любая информационная система нуждается в средствах защиты. Более того, безопасность всегда была одним из важнейших требований, предъявляемых бизнесом. Таким образом, деятельность ИТ-сотрудника неотделима от понятия «безопасность».
Трубная металлургическая компания (ТМК) образовалась почти шесть лет назад в результате объединения нескольких независимых предприятий. Ее руководство изначально придавало большое значение качеству используемых ИТ-решений. В особой степени это относится к сфере безопасности.
Территориальная диверсификация компании требует охраны периметра сети каждого объекта. В ТМК охрана подразумевает защиту от проникновений не только из Internet, но и из «дружественных» сетей. Периметр управляющей компании, всех заводов и торгового дома ограничен едиными средствами безопасности. Это означает, что для доступа из посторонней структуры запрещены все сервисы, кроме тех, которые разрешены в явном виде.
«Политика безопасности компании предусматривает в первую очередь ограничение доступа к ресурсам для тех, кто не является их владельцами», — говорит Сергей Кораблев, начальник ИТ-управления ТМК. Это было важным требованием руководства: в открытом для сотрудников информационном пространстве не должны появляться материалы, которые могут представлять интерес лишь для определенной группы сотрудников. Поэтому в ТМК не существует неконтролируемых папок общего доступа на файловых серверах.
Создание единой формализованной политики безопасности — очень сложный процесс. В данный момент единая политика находится в стадии формирования. Технически она уже реализована в виде политик межсетевых экранов и маршрутизации корпоративной сети, а в ближайшее время планируется сформировать комплексную систему информационной безопасности.
Конечно, в идеале этим вопросом должна заниматься служба безопасности. Однако в реальности груз ответственности приходится брать на себя, как правило, ИТ-службе, поскольку разработка организационно-распорядительных документов отстает от тех темпов, которых требует бизнес. Нередко многие вопросы (например, о доступе к конкретному ресурсу) приходится решать на уровне руководителя ИТ-службы.
Риски и непрерывность
Важнейшим информационным риском является потеря данных, содержащихся в информационных системах. Несоблюдение их сохранности приведет к катастрофическим последствиям. Финансовую оценку этого риска дать очень трудно, в российской практике такие попытки крайне редки. «Я с большим недоверием воспринимаю информацию о том, что деятельность какого-либо вируса привела к многомиллионным потерям», — признается Кораблев. Действительно, многие воспринимают подобные заявления как уловки консалтинговых и сервисных компаний, особенно с учетом того, что выкладки приводятся буквально на следующий день после атаки. Тем не менее всегда можно просчитать стоимость потерянного рабочего дня сотрудника (например, если были утеряны данные за предыдущий день, их придется восстанавливать). Однако такую цифру можно рассматривать лишь как оценку снизу.
Что касается непрерывного функционирования информационных систем, то представляется, что простой большинства приложений, длящийся менее половины рабочего дня, не станет катастрофическим. Тем не менее надо отметить, что подобных случаев в ТМК не было.
Как это ни странно, с точки зрения функционирования компании в целом наиболее критичным является отсутствие телефонной связи — именно оно вызывает самые большие нарекания. Следующими по важности идут проблемы с работой корпоративной сети. Однако в ближайшее время ситуация может измениться. В ТМК продолжается внедрение решения SAP R/3. В концепцию этой системы изначально заложена возможность постоянного доступа к ней — даже малейший простой недопустим. В связи с этим приходится резервировать как сетевое оборудование, так и аппаратное обеспечение.
В плане защиты данных все системы имеют примерно одинаковый приоритет. Тем не менее информация, которая хранится в финансовых приложениях, более критична к обеспечению сохранности, признает Кораблев. С другой стороны, на файловых серверах хранятся отчеты, построенные на базе той же информации, которые не менее важны для принятия стратегических решений. Почта, несмотря на ее широкое использование, менее критична: даже потеря части переписки не будет иметь для предприятия катастрофических последствий.
Политики простые и сложные
Защита периметра сети каждого объекта холдинга осуществляется с помощью решения CheckPoint Provider-1. Главную роль играет модуль межсетевого экрана CheckPoint Firewall-1. Особенность решения состоит в том, что оно ориентировано на потребности распределенных компаний, где необходимо управлять глобальными политиками.
На крупном предприятии децентрализованное управление инфраструктурой имеет очевидные недостатки. С другой стороны, при централизованном управлении громоздкая единая политика безопасности создает условия для возникновения ошибок.
В случае ТМК холдинговая компания имеет жесткое централизованное управление, вместе с тем каждый ее объект имеет свою инфраструктуру, свою ИТ-службу и свои особенности, которые управляющая компания не обязана знать.
Решение CheckPoint позволяет упростить сложную корпоративную политику путем разбиения на множество более простых политик. Таким образом, оно позволяет дать каждому объекту достаточную степень свободы для управления своими локальными политиками и при этом накладывает на них ограничения, предусмотренные глобальными политиками, которые важны для инфраструктуры всего холдинга. Администраторы удаленных объектов могут дополнять глобальную политику собственными не противоречащими ей правилами. Это во многом и определило выбор компании в пользу Provider-1.
«Разумеется, ценовой критерий никто не отменял. Когда внедряется любое ИТ-решение, компания в первую очередь смотрит на его стоимость», — рассказывает Кораблев. По оценкам, покупка недорогих решений для каждого объекта обошлась бы дороже стоимости единой системы. Кроме того, стоимостная нагрузка на предприятия распределяется по-разному. В реализованном варианте большая ее часть легла на центральный объект (управляющую компанию). Это позволило минимизировать нагрузку, падающую на региональные объекты. Такое решение было с одобрением воспринято руководством.
Другим важным аргументом стала возможность легкой интеграции со службой каталогов Microsoft Active Directory 2003 и единой почтовой системы на базе Microsoft Exchange Server 2003. И система безопасности, и служба единого каталога создавались в рамках общего проекта по модернизации ИТ-инфраструктуры холдинга.
Как водится в таких случаях, выбор был болезненным и долгим: система внушительна как по функционалу, так и по стоимости. В конечном итоге мнение системного интегратора — компании Tops BI — и известность CheckPoint как реального стандарта для мировых компаний подобного уровня предопределили выбор.
Важный нюанс
Курс на централизованное управление деятельностью был взят изначально — такова политика холдинга. С одобрения руководства внедрена единая служба каталога, единая почтовая система, полноценно функционирует единое приложение «Парус» для торговой и бухгалтерской деятельности, внедряется единая система управления производством на базе SAP R/3. Вполне логично, что система управления безопасностью тоже должна быть централизованной. «На мой взгляд, это верное решение, ну а политику других компаний оценивать не буду», — говорит Кораблев. Действительно, до сих пор внедрение Provider-1 в ТМК остается единственным в России.
Несмотря на постоянные разговоры, до сих пор многие российские компании функционируют без систем безопасности подобающего уровня. В международных корпорациях все строже: безопасности информационных систем требуют сами акционеры. Компания должна иметь подтверждение соблюдения своей финансовой дисциплины на уровне ИТ. Это веский довод в пользу внедрения известных, зарекомендовавших себя ИТ-решений. В противном случае аудиторы могут сказать, что информационная система построена на базе программ, доверять результатам работы которых трудно. Это, в свою очередь, очень негативно скажется на котировке акций компании. Особенно актуальным этот довод стал после выхода ТМК на Лондонскую фондовую биржу.
Поддержкой решения CheckPoint занимаются сотрудники ТМК, отвечающие за сетевую инфраструктуру. «Специалистов по этому продукту очень трудно найти, — констатирует Кораблев. – Об этом свидетельствует не только наш опыт, но и положение дел у системных интеграторов».
Поддержка решения CheckPoint требует постоянного отслеживания изменяющихся бизнес-процессов. Специалист, занимающийся безопасностью, должен обладать не только техническими знаниями, но и представлять себе бизнес-процессы компании, понимать, для чего используется тот или иной компьютер. В этом заключается главное отличие системы, например, от антивирусного продукта, который настраивается один раз.
Защита от пользователя
Любой солидной организации необходима надежная антивирусная защита, хотя стопроцентного барьера не существует. Но без защитных мер работа компании будет парализована.
В данный момент задача управления антивирусной защитой решается локально ИТ-службами заводов. В качестве средств защиты используются продукты TrendMicro. Оборона периметра также является существенным фактором антивирусной защиты. Зараженный внешний компьютер не сможет связаться с компьютером из сети компании, если у него нет на это разрешения.
«Пользователи становятся грамотнее, но в любом случае систему надо от них защищать», — считает Кораблев. Речь идет как об ограничении административных прав устанавливать на рабочих станциях приложения, запрете на прохождение приложений через почтовую систему, так и активном поведении антивирусных средств. Внутренняя угроза информационной безопасности является самой серьезной и против нее бороться труднее всего.
Любой вынос сотрудниками рабочей информации на флэш-накопителях является по сути должностным преступлением. Если этот канал остается без контроля, то возникает огромная брешь в системе безопасности. В ТМК активно ведется работа по нейтрализации данного вида угроз. «У нас есть инструменты контроля подключения флэш-дисков, разработаны административные документы — каждый сотрудник подписывает соглашение о неразглашении конфиденциальной информации», — говорит Кораблев. Это весьма эффективное средство, как минимум предотвращающее действия «по незнанию».
Еще одним важным объектом контроля является телефония: все выходящие звонки протоколируются.
Готовность к развитию
Расходы на безопасность должны быть разумными. В ТМК пытаются их минимизировать за счет предоставления скидок ИТ-поставщиками, постепенного наращивания количества лицензий, активного использования отложенных платежей, что благотворно сказывается на общих затратах. Еще одним средством является покупка оптимального числа лицензий продукта, без запаса «на будущее».
Руководство компании понимает, что в безопасность необходимо инвестировать деньги, и готово уделять серьезное внимание развитию средств безопасности. «Мы начали теперь глубже осознавать, что такое система безопасности. До сих пор создавалась лишь ее инфраструктурная основа», — резюмирует Кораблев. На следующем этапе речь будет идти о построении всеобъемлющей комплексной системы, которая с помощью специального инструментария сможет просчитывать информационные риски (до сих пор в подавляющем большинстве случаев они определяются согласно пониманию ИТ-службы). Она позволит поднять систему не только на новый технический уровень, но и на организационный.
Комментарии к статьям направляйте по адресу: cio@osp.ru
Трубная металлургическая компания
Трубная металлургическая компания основана в 2001 году и является крупнейшим производителем и экспортером в России. ТМК объединяет Волжский трубный завод, Северский трубный завод, Синарский трубный завод, Таганрогский металлургический завод, Орский машиностроительный завод, а также румынские предприятия — трубный завод TMK-ARTROM (г. Слатина) и металлургический комбинат TMK-Resita (г. Решица). На заводах и предприятиях ТМК работает около 49 тыс. сотрудников.