Информационные технологии медленно, но верно проникают во все сферы нашей жизни, а значит, возрастают требования к защищенности ИТ-систем, сохранности и безопасности данных. В этом году компания «Белсек» и Владимир Артамонов, эксперт в сфере информационной безопасности (ИБ) международного класса, провели ряд специализированных семинаров по данное тематике.
По заверениям организаторов, семинары собрали множество положительных откликов. IT.TUT.BY решил пообщаться с экспертами в области информационной безопасности с глазу на глаз.
– Скажите, насколько вообще интересна белорусским предприятиям и специалистам тема ИТ-безопасности? Как прошли ваши семинары?
Александр Василевский, директор СООО «Белсек»: Решение о проведении семинара было очевидным для нас. Опыт общения с предприятиями и организациями показывал информационный «вакуум» по данной тематике. На приглашения об участии в семинарах откликнулось большое количество организаций и предприятий – практически все банки, крупные предприятия, мобильные операторы, частные компании. Решение о приглашении ведущим семинаров Артамонова Владимира Афанасьевича было логичным, т.к. Владимир Афанасьевич является одним из ведущих специалистов республики в области информационной безопасности, имеющим обширный практический опыт. Также, необходимо отметить тот факт, что Владимир Афанасьевич является нашим научным консультантом по ряду выполняемых проектов.
Владимир Артамонов: Что касается непосредственно семинаров - они проходили очень живо, в формате активного диалога. По итогам 4 мероприятий мы с коллегами единодушно пришли к выводу, что тематика информационной безопасности чрезвычайно актуальна для предприятий и организация, работающих во всех сферах экономики.
– Владимир Афанасьевич, как бы вы определили компьютерную безопасность – что это в вашем понимании, насколько она пересекается с информационной безопасностью?
Владимир Артамонов: Обычно я всегда начинаю свои выступления тезисом, что информационная безопасность – это не продукт, а процесс. Требовательный, непрерывный процесс, который сопровождает системы информационных технологий всё время их жизненного цикла – от момента создания и до момента окончания её функционирования.
Второй тезис – абсолютно безопасных систем не бывает. Как сказал великий импрессионист Сальвадор Дали, «Не бойся достичь совершенства – тебе его всё равно никогда не достичь». Так и в этом вопросе: уровень безопасности не является статичным. Идёт вечная борьба «снаряда и брони» – под бронёй мы понимаем системы защиты, а снаряд – это нарушитель.
И третий момент – информационная безопасность – это процесс управления информационными рисками. Управление направлено на то, чтобы снизить уровень рисков или привести их к приемлемому уровню. Компьютерная безопасность - это только методы, с помощью которых можно уменьшить риски, и только в одном из направлений информационной безопасности – компьютерных сетях.
– А каковы мировые тенденции вы бы отметили в этой области?
Владимир Артамонов: Мы как государство не стоим на обочине прогресса и тот мировой опыт, который воплощён в международных стандартах в области информационной безопасности, достаточно быстро находит отклик у нас на уровне национальных стандартов. На сегодняшний день у нас существует более 20-ти подобных национальных стандартов.
Опыт проведения наших семинаров открыл одну любопытную деталь: целенаправленного, единого подхода, который бы базировался на использовании международного опыта и данных стандартов, нет как такового! Я полагаю, что не более 25% специалистов знакомы с состоянием дел в области стандартизации по вопросам информационной безопасности да и по вопросам ИТ в целом. Поэтому, в практической деятельности большинство изобретает велосипед.
– А какие службы представляют эти специалисты? Существуют ли выделенные отделы по ИБ или хотя бы отдельные специалисты по безопасности, или такие вопросы решают в основном администраторы, начальники ИТ-служб?
Владимир Артамонов: Этот вопрос в наших диалогах со специалистами был одним из самых интересных. В каждой организации – по-разному. Существуют международные рекомендации и стандарты, которые предписывают, что служба информационной безопасности должна быть подчинена напрямую высшему руководству организации. Безопасность всегда вносит дополнительные ограничения, дополнительные хлопоты, которые не всегда отдельным специалистам хочется выполнять. И политика безопасности в организации должна предусматривать довольно серьёзные обязанности, ограничения, ответственность сотрудников – от рядового до высшего руководства.
– Какие вы видите основные проблемы в Беларуси, связанные с компьютерной и информационной безопасностью?
Александр Василевский: Большой проблемой является отсутствие на многих предприятиях комплексного подхода к вопросам информационной безопасности – решаются локальные задачи по принципу «пока гром не грянет мужик не перекрестится». Но, как все мы прекрасно знаем, предупреждение проблем является более эффективным, чем устранение возникающих последствий.
Владимир Артамонов: Проблемой является обоснование и планирование затрат на информационную безопасность. Зачастую, службы безопасности не могут достаточно четко обосновать и убедить руководство в целесообразности тех или иных расходов на ИТ-безопасность.
Есть некоторые пробелы в законодательстве, в экономических вопросах. Например в отличие от, скажем, затрат на противопожарную безопасность, которые можно отнести на себестоимость продукции, затраты на ИБ, к сожалению, могут идти только в счёт прибыли – и это краеугольный камень.
К тому же, сейчас многое зависит от принятия нового закона "Об информатизации и защите информации" – это фундаментальный документ, который многое поставит на свои места. В законодательстве хватает пробелов относительно вопросов, связанных с информационной безопасностью.
Из менталитета руководителей отмечу непонимание остроты этих процессов при управлении современным предприятием. Дело в том, что малое количество инцендентов, связанных с нарушением информационной безопасности, афишируется – они замалчиваются для того, чтобы организации не теряли имидж, поэтому в СМИ мы очень многого не видим.
Александр Василевский: Мы общались с представителями компетентных органов и они озвучили статистику, что практически 95% случаев с информационной безопасностью не всплывают наружу: руководство предприятия не хочет «выносить cор из избы» и пытается разобраться внутренними средствами... Часто квалификация специалистов не позволяет определить случился ли инцедент или же его не было. В случае доступа к информации, которая не была изменена или уничтожена (а «просто» скопирована), для обнаружения компрометации зачастую квалификации специалистов недостаточно. Они не понимают что инцедент случился, и только в случае очевидных последствий инцидент может быть в принципе зафиксирован.
– К тому же бытует мнение, что банку легче потерять деньги, чем получить публичный резонанс…
Александр Василевский: Вопрос репутации особенно важен для предприятий кредитно-финансовой сферы, публичных организаций, государственных органов. Им действительно проще решить вопрос, связанный с инцидентом, внутренними средствами, чем придавать его огласке.
– Мировые исследования показывают очень высокий уровень проблем в области информационной безопасности, связанных именно с инсайдерской деятельностью. Как обстоит ситуация с инсайдерством в Беларуси?
Владимир Артамонов: Проблемы есть. На наших семинарах даже шутка ходила, что «системного администратора увольнять надо очень любезно и бережно».
Андрей Мазовка, специалист по ИБ СООО «Белсек»: Выходом является комплекс программно-аппаратных решений и административных мер, направленных на разделение полномочий, чёткая фиксация обязанностей каждого из сотрудников. Зачастую на предприятиях существуют устные договорённости о функциях того или иного специалиста. Эти функции должны быть документированы.
Владимир Артамонов: Да, и ещё один вариант – ведение ролевого управления, когда каждому специалисту отводится отдельная роль. Это военная терминология, такой метод применяется при управлении важными обьектами – например, при запуске ракет, реакторов... То есть в одиночку оператор ничего не может изменить: каждый выполняет свою роль. Один выполнил свою задачу (нажал кнопку), следующий – свою (переключил тумблер) и так далее – в итоге, если последовательность действий корректная, то лишь тогда задача выполняется. Так и в информационной безопасности – если сисадмин имеет право доступа к любой информации то, конечно, система будет особенно уязвима. А если он ограничен в своих возможностях (это ролевое разделение можно организовать с помощью аппаратных и программных средств), то эти вопросы могут быть если не устранены целиком, то по крайней мере риск возникновения деструктивных последствий может быть минимизирован. Это удорожает процедуру обслуживания и управления, но, в общем-то, в итоге это оправдывает себя.
– Насколько рынок ИБ развит в Беларуси?
Владимир Артамонов: Рынок довольно узкий по той простой причине, что на нём есть лицензирование. Государственный центр безопасности информации (ГЦБИ)как орган, наделённый президентом страны полномочиями в сфере регулирования информационной безопасности выдаёт специальные разрешения и лицензии на деятельность, связанную с защитой информации, в том числе это и вопросы аудита.
Александр Василевский: Можно констатировать, что в последнее время всё больше частных предприятий, государственных организаций, банков рассматривает вопрос о необходимости и целесообразности проведения внешнего аудита. Базируясь на результатах независимого аудита планируются дальнейшие мероприятия, направленные на совершенствование систем информационной защиты предприятий.
Приятно, что многие предприятия сейчас рассматривают инвестиции в безопасность не как затраты, а как инвестиции в сохранность своего бизнеса. Те инвестиции, которые позволят бизнесу развиваться без инцидентов, без сбоев в каких-то бизнес-процессах.
– Если говорить об информационной безопасности как многокомпонентном процессе, какие его составляющие по Беларуси выражены сильнее, а какие – слабее? Например, «антивирусы есть везде, а вот с разграничением доступа – проблема».
Владимир Артамонов: Если говорить об уровнях, составляющих ИБ, то они находятся в примерном соответствии с международными рекомендациями.
Первый уровень ИБ – это правовое обеспечение. Мы должны работать в рамках существующего законодательства и существующее законодательство должно поддерживать своими актами обеспечение ИБ.
Второй уровень – это процедурный уровень. Он обеспечивает выработку документов по стратегии и тактике обеспечения информационной безопасности. Это политики безопасности, средства и другие документы по претворению их в жизнь.
Третий уровень – административный. Если не будет всех соответствующих административных мероприятий, то будет трудно обеспечить соответствующий уровень информационной безопасности.
Четвертый уровень – обеспечение физической безопасности. Это подразумевает под собой что помещение, периметр наших зданий должен быть должным образом защищён. Какие бы хитроумные программно-аппаратные системы мы не ставили, если мы не будем закрывать все окна и двери, то придёт обычный нарушитель, откроет системный блок и унесёт винчестер – тогда грош цена нашим средствам по информационной безопасности.
Следующий уровень – уровень инженерно-физической безопасности, связанный с утечками данных по техническим каналам. Это побочное электромагнитное излучение, перехват информации через вибрацию стёкол, вентиляционные отверстия, через системы электропитания…
Ну и последний, наиболее широкий – это программно-технический уровень обеспечения ИБ. Как видим из деления, процесс комплексный. И ежели мы где-то исключаем один из уровней или допускаем перекос в ту или иную сторону, то наибольшей эффективности системы ИБ мы не достигнем – нужен баланс всех этих структур, только тогда мы получим должный эффект.
Мы в этом плане не являемся отсталой страной (хотя и в передовиках не ходим), у нас все уровни в разных организациях и ведомствах в какой-то мере закрыты. Но мы не всегда поспеваем и можем работать на всех уровнях собственными средствами. Если выработать политики безопасности мы можем, то в части программно-технических средств вопрос сложный: мы пользуемся средствами обеспечения безопасности иностранного производства. Следовательно, должна быть достаточно мощная система сертификации и испытания таких средств.
Работа в этом направлении ведется, но её недостаточно. Особенно остро стоит вопрос применения средств криптографии: и наше законодательство, и законодательства многих стран относят криптографию к продукции особого назначения, как и оружие, ядерные материалы, боеприпасы, наркотические вещества и т.д. Большинство продуктов, поставляемых на наши рынки, это продукты иностранного производства и в основном они используют криптографический материал иностранного производства.
Вопрос пикантный: крупнейший производитель оборудования для обеспечения ИБ – США. Согласно директиве президента США об управлении криптографией в обществе, все ИТ-средства с криптографическими методами подлежат вывозу за пределы таможенных территорий США лишь в том случае, если длина ключа в них не превышает 56 бит. Советский стандарт предусматривает минимум 256-битные ключи.
А по международным рекомендациям средства безопасности должны иметь открытый интерфейс, чтобы в соответствии с национальным законодательством пользователи могли установить в модуль поставщика свой криптоблок, тогда этот вопрос практически и юридически решается, мы можем достичь определённого уровня доверия к продукции... Проблема не только наша – это проблема практически всех стран, кроме, пожалуй, стран НАТО или ЕС, где используются единые системами сертификации.
Вот Россия и Украина, например, смогли добиться от Cisco установки открытого интерфейса в свои продукты, благодаря чему потребители могут пользоваться криптопровайдерами, соответствующими российским стандартам. На Украине сделали дополнительный модуль в обход основного, что снизило производительность. У нас тоже подобная работа идёт, с технической точки зрения встроить криптопровайдер несложно, но, к сожалению, вопросы сертификации у нас решают уполномоченные органы, которые не всегда достаточно быстро и эффективно работают.
– Госорганы обязаны использовать криптографические сервисы, стандартизированные и одобренные ГЦБИ, я правильно понимаю?
Владимир Артамонов: Да, они должны иметь сертификацию, именно так.
– И сколько в Беларуси имеется сертифицированных криптопровайдеров?
Владимир Артамонов: Да даже на примере электронной цифровой подписи, по-моему, 5 или 6 реализаций есть.
– Стоит ли проблема нехватки информации по ИТ-безопасности?
Александр Василевский: В настоящее время существует большое количество учебной, методической литературы, в сети Интернет можно найти материалы по IT безопасности, как правило, англоязычные. Большое количество материалов создает проблему выбора наиболее релевантных источников информации. Специалисты, работающие в сфере IT безопасности, вынуждены постоянно повышать уровень своих знаний, так как информационные технологии развиваются стремительно, практически ежедневно появляются новые угрозы. И лишь от знаний и умений специалистов по информационной безопасности зависит, будет ли в будущем предприятие или организация надежно защищена от угроз. Проанализировав отзывы участников семинаров, мы приняли решение о необходимости проведения еще ряда мероприятий как по теме «Управление информационной безопасностью», так и по практическим аспектам защиты информации, их программа будет опубликована на .
– Что бы вы пожелали на прощание корпоративным, индивидуальным пользователям?
Александр Василевский: Наша компания желает всем читателям IT.TUT.BY безопасного использования информационных технологий.
Владимир Артамонов
Действующий член (академик) Международной академии информационных технологий, доктор наук, профессор, эксперт по вопросам информационной безопасности. Принимал участие в проектах, связанных с аудитом и построением систем управления информационной безопасностью для Мингориспокома, аппарата Совета Министров РБ, Березовской ГРЭС, МАЗа и др.
СООО «Белсек»
Компания оказывает услуги по защите информации и информационных ресурсов, обладает лицензией № 01019/0026190, выданной ГЦБИ 23 июля 2007 года.
Адрес в интернете: http://it.tut.by/news/96580.html
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:
