В условиях растущего числа угроз информационной безопасности руководители компаний начинают задумываться об этом аспекте защиты своего бизнеса. Но за кажущейся простотой приобретения готовой «коробки» стоит нелегкое решение, особенно если критерием станов
Маленькие, средние и большие
Выбор любых средств безопасности сетевой инфраструктуры и информационных ресурсов зависит от двух глобальных факторов: зрелости рынка, способного удовлетворить нужды компаний, и зрелости конкретной компании, то есть ее готовностью к внедрению тех или иных систем информационной безопасности. Бытует мнение, что мелкие и средние компании мало заинтересованы в автоматизации, во внедрении ИТ-продуктов и решений по информационной безопасности. А компании, принадлежащие к корпоративному сектору, напротив, уже пришли к пониманию ценности информации и необходимости обязательной ее защиты. Но так ли это? Чтобы определить, какое место занимает компания в рыночной иерархии, нужно выявить ее тип. Для этого существуют самые разные способы. Рассмотрим наиболее популярные из них.
Простейшей классификацией компаний является разделение на основе числа рабочих мест. К мелким относятся компании, насчитывающие менее ста рабочих мест, к средним — до 500 рабочих мест, к крупным — до 2 000 и к сверхкрупным — от 2 000 и более. Последнюю категорию крупных инфраструктурных компаний, несмотря на ее малочисленность, стоит выделять из-за четко выраженной специфики проектов (продолжительный цикл продаж, поэтапное внедрение и др.) и наличия определенных «правил игры» при работе с ними (соответствие отраслевым стандартам, использование только сертифицированных решений и др.).
Дополнительным критерием для классификации может служить ежегодный доход компании:
-
малый бизнес (до 5 млн. евро);
-
средний бизнес (от 5 до 50 млн. евро);
-
крупный бизнес (более 50 млн. евро).
Казалось бы, на основе этих нехитрых принципов топ-менеджер любой компании может самостоятельно отнести свой бизнес к той или иной категории с присущими ей потребностями. Но компания любого масштаба должна быть, прежде всего, заинтересована в решении ряда общих вопросов, связанных с информационной безопасностью. У нее должна быть сформирована потребность во внедрении средств защиты, исходя из наиболее характерных рисков, индивидуальных для каждого бизнеса. Допустим, малое предприятие с относительно невысоким уровнем дохода в большей степени озабочено тем, чтобы удержаться на рынке (на рынке мелких организаций смена участников происходит очень интенсивно). Основной риск для такой компании — уход ведущих менеджеров продаж с базой клиентов в конкурирующую фирму. С полным правом его можно назвать риском утечки информации, но вряд ли руководство компании превентивно примет какие-либо меры по его предотвращению.
С другой стороны, существуют компании, занимающиеся разработкой собственной программной продукции, нередко на экспорт. Такие организации также можно отнести к малым — обычно они насчитывают не больше 20—40 человек. Однако при этом они могут иметь развитую локальную сеть, многоуровневую систему защиты от внутренних злоупотреблений и внешних угроз. Да и доход такой компании может выходить за пределы 5 млн. евро, ведь речь идет о западном заказчике. Таким образом, у нас есть два примера, идентичных по типовым критериям, но принципиально разных с точки зрения отношения к вопросам информационнойбезопасности. Компания сектора SMB может обладать зрелой ИТ-инфраструктурой и, наоборот, крупное предприятие может использовать «разношерстные» рабочие станции, морально устаревшее оборудование и децентрализованную систему управления.
Вывод напрашивается сам собой — единственно верным решением для отнесения компании к тому или иному сектору рынка является оценка зрелости ее сетевой инфраструктуры и уровня понимания важности информационной безопасности.
Уровни зрелости
Условно уровни, по которым руководитель может оценить степень зрелости ИТ-инфраструктуры своей компании и ее готовность к внедрению систем информационной безопасности, можно классифицировать следующим образом.
Первый уровень. На данном уровне развития ИТ-инфраструктуры в компаниях отсутствует осознанная политика развития ИТ. Используются часто несовместимые между собой приложения, различные операционные системы, «самописный» софт (не всегда корректно работающий со штатными решениями) и др. Отсутствуют механизмы единого централизованного управления и поддержки сети. Автоматизирована, как правило, лишь часть бизнес-процессов, например, бухгалтерия и складской учет. Стандартов управления, внутренних документов по ИТ-безопасности, не говоря о политиках информационной безопасности, нет. Соответственно все проблемы, связанные с сетевыми сбоями или остановкой работы отдельных приложений, решаются по мере их возникновения.
Аналогичная ситуация складывается и в отношении предотвращения интернет-угроз. Чаще всего в таких компаниях установлен антивирусный пакет на ПК пользователей (в основном это «коробки», предлагаемые антивирусными вендорами для мелкого и среднего бизнеса), но требования производителя по обновлениям выполняются далеко не регулярно. Кроме того, «стандартный набор» не защищает от таких постоянно прогрессирующих угроз, как программы-шпионы, фишинг, спуфинг, фарминг и др.
Не менее примитивно организации первого уровня относятся к вопросу аутентификации пользователей, к управлению идентификационными данными и устройствами. В большинстве случаев речь можно вести лишь о парольных политиках доступа к сети и приложениям. Администратор обладает неограниченной властью над всеми информационными ресурсами и процессами такой компании. Риски, связанные с превышением администраторских полномочий, а, следовательно, с утечкой конфиденциальных данных по этому каналу, очень высоки.
Второй уровень. Подход к организации системы информационной безопасности на этом уровне качественно отличается от первого. К этой категории относятся компании, уже находящиеся на этапе стабильного развития, в определенной рыночной ячейке с цивилизованной конкуренцией. Устойчивость позволяет обращать внимание не только на внешние, публичные преимущества, но и на организацию бизнес-процессов и способы их оптимизации.
В таких компаниях разработаны политики и стандарты, автоматизирована подавляющая часть процессов и операций. Более серьезный подход наблюдается и к антивирусной защите. Как правило, внедрена эшелонированная (многоуровневая) антивирусная система, состоящая, как минимум, из основного межсетевого экрана, антивируса на стороне сервера и защиты, установленной на ПК пользователей. Однако политика в области информационной безопасности этим и ограничивается. Она строится исходя из внешних угроз, а внутренним пока внимание не уделяется.
Управление информационными ресурсами и процессами на втором уровне — централизованное. Для управления идентификационными данными в качестве службы каталога в подавляющем большинстве случаев используется Microsoft Active Directory.
Для поддержки внутренней ИТ-инфраструктуры находящиеся на втором уровне предприятия выделяют отдельных специалистов. Соответственно работа ИТ-подразделения стабильна и, более того, на средства безопасности уже отводится минимальный бюджет, в какой-то мере (но чаще всего не полностью) удовлетворяющий нуждам компании в информационной безопасности. Подход к решению проблем в области ИТ-безопасности в большинстве своем еще реактивный — проблемы решаются по мере появления.
Третий уровень. Компании этого уровня — самые зрелые с точки зрения ИТ-инфраструктуры и места в ней информационной безопасности, характеризуются наличием разработанных и внедренных стандартов и политик упреждающего реагирования. Сформирована единая и четкая ИТ-стратегия, а также регламенты в области ИТ и информационной безопасности, созданные прежде всего с учетом бизнес-интересов компании. Управление инфраструктурой централизованное, используется автоматическая система распределения ПО; установка новых программ и обновление существующих версий автоматизированы и централизованы. Активно обеспечивается совместимость используемых приложений. Управление идентификационными данными реализуется через Active Directory, но при этом могут применяться дополнительные системы (в том числе аппаратные) для усиления функций аутентификации и идентификации пользователей при доступе к сетевым ресурсам. На внешнем периметре применяется эшелонированная защита, предполагающая шлюзовые комплексные решения контентной фильтрации входящего и исходящего трафика, а также межсетевые экраны на серверах и рабочих станциях под управлением групповых политик и антивирусы на компьютерах пользователей.
В организациях, которые можно отнести к третьему уровню, широко распространен удаленный доступ к информационным ресурсам, при этом он защищен программно-аппаратными средствами (смарт-карта, токен). Проактивная модель реагирования на ИТ-угрозы выстроена в соответствии с результатами аудита информационной безопасности. Бесперебойная работа ИТ и перманентное снижение рисков, благодаря профилактическим мерам, являются основными требованиями к сетевой инфраструктуре компаний третьего уровня. Соответственно применяются средства обеспечения отказоустойчивости, защита от вторжений, сбоев, аварий и т.п.
Специально выделены подразделения (отдел, направление), в сферу ответственности которых входит обеспечение информационной безопасности, выделяется отдельный бюджет.
Руководство — всему голова
Несмотря на подчас весьма объективные аргументы ИТ-руководителей и специалистов, уровень безопасности ИТ-инфраструктуры может не соответствовать уровню развития бизнеса компании и ее положению на рынке. Причин может быть несколько, но, как справедливо отмечает Gartner, основным барьером, как ни странно, чаще всего становится руководитель. Человек, который обычно является еще и владельцем или соучредителем предприятия, то есть тем, кто в первую очередь должен беспокоиться об устойчивости, стабильности и защите своего бизнеса от любого типа угроз.
На основании анализа отношения руководства предприятия к вопросам информационной безопасности можно выделить четыре фазы такой готовности:
-
нулевая — «охота и собирательство»;
-
первая — «феодальная»;
-
вторая — «возрождение»;
-
третья — «индустриальная».
На нулевой фазе у руководства нет понимания важности проблем информационной безопасности. Для защиты информации используются только встроенные в ОС и в приложения средства безопасности (парольная защита, ACL на уровне ОС и СУБД). В России сейчас на этом уровне, по разным оценкам, находятся от 25 до 30% организаций.
«Феодальная» фаза характеризуется тем, что информационная безопасность рассматривается руководством как чисто техническая проблема, которую должен решать системный администратор, причем минимальными средствами. Именно поэтому применяются в основном встроенные средства ОC, но уже добавлены антивирусные комплексы, межсетевые экраны, возможно, VPN, SSL и средства резервного копирования данных. Таким образом, отдельные сегменты сети защищены, но они никак не связаны между собой. На этой фазе и пользователи, и руководители подразделений обнаруживают проблемы с безопасностью и пытаются их решать самостоятельно. На таком уровне находятся 55 % организаций. Их информационную структуру считать полностью защищенной нельзя.
Фаза «возрождения» отличается тем, что у руководства появляется понимание важности обеспечения информационной безопасности для бизнеса организации, разрабатывается политика информационной безопасности, регламенты и инструкции по работе с теми или иными ресурсами. Начинается работа с персоналом по простейшим принципам обеспечения информационной безопасности своего рабочего места. Именно на этом этапе начинают активно использоваться технологии PKI, смарт-карты и USB-ключи для двухфакторной аутентификации и хранения ключевой информации, а также IDS (системы обнаружения вторжений), SSO (Single Sign-On) и др. На фазе «возрождения» находится лишь 10% компаний, уже сместивших фокус внимания с платформы на транзакции.
Понимание важности управления рисками — одна из важных характеристик «зрелости» самого руководства. На этом уровне зрелости уже проводят как внешний, так и внутренний аудит информационной безопасности компании.
Четвертая, самая развитая фаза — «индустриальная». Здесь руководство расценивает безопасность как часть корпоративной культуры, в компании выделяют специальные подразделения, ответственные за информационную безопасность во главе с директором по безопасности (Chief Security Officer, CSO). Обеспечение информационной безопасности является одним из существенных бизнес-процессов компании (в частности, при клиентоориентированном бизнесе), который постоянно совершенствуется. Мерой его эффективности является не число предотвращенных инцидентов, а продуктивность основных бизнес-приложений организации. На этой фазе находится 5 % российских организаций. Именно это меньшинство уже может оценить возврат на инвестиции (ROI) в ИБ.
При всем богатстве выбора…
Допустим, что мы определили, к какому типу относится наша компания исходя из особенностей бизнеса и его потребностей в защите информационных ресурсов. Теперь надо понять, какой комплекс средств информационной безопасности ей требуется.
Критерием выбора здесь является не только и не столько технологические характеристики. Любой продукт, каким бы прекрасным и высокопроизводительным он не был, будет бесполезен, функционируя в отрыве от основной экономической задачи компании. Информационные технологии, и информационная безопасность в частности, должны прежде всего обеспечивать поддержку основных бизнес-процессов компании, повышать их эффективность, создавать новые возможности для развития бизнеса.
Именно экономическую обоснованность выбранного решения руководитель службы информационной безопасности должен суметь сформулировать и донести до руководства компании и своих коллег — руководителей бизнес-направлений. В этом случае он может рассчитывать на выделение бюджета на конкретный продукт в области информационной безопасности, а в дальнейшем и под развитие технологий информационной безопасности в компании.
Допустим, компания планирует выходить на региональные рынки или активно развивать филиальную сеть. Для этого необходимо прежде всего позаботится об обеспечении доступа к информационным ресурсам головного офиса и остальных структурных элементов. При современном уровне угроз ИТ-безопасности полагаться на парольные политики, особенно при организации удаленного доступа, рискованно. Оптимальным способом решения задачи управления доступом и аутентификацией пользователей будет развертывание IAM (Identity&Access Management) на основе универсальных аппаратных средств аутентификации — токенов. На конференции Microsoft Forefront был представлен модельный стенд, где в режиме реального времени показывалась работа ISA Server 2006 и электронных ключей eToken NG-OTP (One-Time Password, OTP) с генератором одноразовых паролей. Использование двухфакторной аутентификации на основе ОТР и цифровых сертификатов стандарта X.509 позволяет полностью отказаться от парольной аутентификации. Это повышает уровень безопасности, в том числе и при использовании технологий VPN, SSL-соединений и др. В данном примере внедрение решения в области информационной безопасности является именно тем фактором, который обеспечивает новые возможности развития бизнеса в регионах.
Помимо других известных факторов, влияющих на принятие решения о выборе системы безопасности (сертификация решения при работе компании с клиентами банковской и госсферы, русскоязычная техподдержка, желательно в режиме 24х7, возможности по обучению работе с продуктом и др), ИТ-специалист всегда должен иметь в виду переход на следующий уровень развития информационной инфраструктуры. Эти соображения должны быть учтены при организации процессов оценки, закупки и внедрения того или иного решения. Достижение нового уровня информационной безопасности в компании — это не результат, а постоянный процесс, темпы и эффективность которого напрямую зависят от правильного выбора продуктов, соответствующих бизнес-целям компании и упрощающих их достижение.
Антон Крячков — директор по продуктам компании Aladdin, kriatchkov@aladdin.ru