С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.

В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:

Информация (в области обработки информации) - любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.

Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.

Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.

Правовая основа

В декабре 2017 года в России принята Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.

Доктрина - концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.

Определение информационной безопасности

Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

В инфографике использованы данные собственного «СёрчИнформ».

В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров - юридических лиц, которым принадлежат определенные данные.

Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.

Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.

Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых - нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.

Три основных вопроса ИБ-концепции для любой организации

Что защищать?

Какие виды угроз превалируют: внешние или внутренние?

Как защищать, какими методами и средствами?

Система ИБ

Система информационной безопасности для компании - юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

• статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
• динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность - это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда - две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр - доступность.

Дайджест информационной безопасности

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

• информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
• права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
• система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
• система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

• информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
• сведения в открытом доступе;
• общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
• опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Информация из первой группы имеет два режима охраны. Государственная тайна , согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных - непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, - Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Конфиденциальная информация - более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера» . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:

• на информационное самоопределение;
• на доступ к личным персональным данным и внесение в них изменений;
• на блокирование персональных данных и доступа к ним;
• на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
• на возмещение причиненного ущерба.

Право на закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:

• печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• документы всех типов: личные, служебные, государственные;
• программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты - это документы, правила, мероприятия, формальные - это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.

Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.

Формальные средства защиты

Широкий диапазон технических средств ИБ-защиты включает:

Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.

Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.

Программные средства - это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат и : первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые - обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.

К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.

Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.

В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.

В 2018 году вышел первый релиз . Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.

Неформальные средства защиты

Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.

• Нормативные средства

В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный - ISO/IEC 27000. Стандарт создавали две организации:

• ISO - Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
• IEC - Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения

Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.

Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.

По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный - концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, - положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.

Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.

• Организационные и административные меры

В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

• Морально-этические меры

Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.

Прежде, чем начинать разговор об организации эффективной и надежной защиты информации в операционных системах, определим круг угроз, от которых необходимо защититься. Угрозы безопасности операционной системы существенно зависят от условий эксплуатации системы, от того, какая информация хранится и обрабатывается в системе, и т.д. На­пример, если операционная система используется главным образом для организации электронного документооборота, наиболее опасны угрозы, связанные с несанкционированным доступом (НСД) к файлам. Если же операционная система используется как платформа для провайдера Inter­net-услуг, очень опасны атаки на сетевое программное обеспечение операционной системы.

Все попытки взлома защиты компьютерных систем можно разделить на три группы:

Атаки на уровне операционной системы;

Атаки на уровне сетевого программного обеспечения;

Атаки на уровне систем управления базами данных.

Атаки на уровне систем управления базами данных

Защита СУБД является одной из самых простых задач. Это связано с тем, что СУБД имеют строго определенную внутреннюю структуру, и операции над элементами СУБД заданы довольно четко. Есть четыре основных действия - поиск, вставка, удаление и замена элемента. Другие операции являются вспомогательными и применяются достаточно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев хакеры предпочитают взламывать защиту компьютерной системы на уровне операционной системы и получать доступ к файлам СУБД с помощью средств операционной системы. Однако в случае, если используется СУБД, не имеющая достаточно надежных защитных механизмов, или плохо протестированная версия СУБД, содержащая ошибки, или если при определении политики безопасности администратором СУБД были допущены ошибки, то становится вполне вероятным преодоление хакером защиты, реализуемой на уровне СУБД.

Кроме того, имеются два специфических сценария атаки на СУБД, для защиты от которых требуется применять специальные методы. В первом случае результаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись содержит личный счет хакера в банке, а округляемые числовые поля относятся к счетам других клиентов банка). Во втором случае хакер получает доступ к полям записей СУБД, для которых доступной является только статистическая информация. Идея хакерской атаки на СУБД - так хитро сформулировать запрос, чтобы множество записей, для которого собирается статистика, состояло только из одной записи.

Атаки на уровне операционной системы

Защищать операционную систему, в отличие от СУБД, гораздо сложнее. Дело в том, что внутренняя структура современных операционных систем чрезвычайно сложна, и поэтому соблюдение адекватной политики безопасности является значительно более трудной задачей. Среди людей несведущих бытует мнение, что самые эффективные атаки на операционные системы могут быть организованы только с помощью сложнейших средств, основанных на самых последних достижениях науки и техники, а хакер должен быть программистом высочайшей квалификации. Это не совсем так.

Никто не спорит с тем, что пользователю следует быть в курсе всех новинок в области компьютерной техники. Да и высокая квалификация - совсем не лишнее. Однако искусство хакера состоит отнюдь не в том, чтобы взламывать любую компьютерную защиту. Нужно просто суметь найти слабое место в конкретной системе защиты. При этом простейшие методы взлома оказываются ничуть не хуже самых изощренных, поскольку, чем проще алгоритм атаки, тем больше вероятность ее завершения без ошибок и сбоев, особенно если возможности предварительного тестирования этого алгоритма в условиях, приближенных к "боевым", весьма ограничены.

Успех реализации того или иного алгоритма хакерской атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной операционной системы, являющейся объектом этой атаки.

Единой и общепринятой классификации угроз безопасности опера­ционных систем пока не существует. Однако можно классифицировать эти угрозы по различным аспектам их реализации.

Классификация угроз по цели:

Несанкционированное чтение информации;

Несанкционированное изменение информации;

Несанкционированное уничтожение информации;

Полное или частичное разрушение операционной системы (под разрушением операционной системы понимается целый комплекс разрушающих воздействий от кратковременного вывода из строя ("завешивания") отдельных программных модулей системы до физического стирания с диска системных файлов).

Классификация угроз по принципу воздействия на операционную систему:

Использование известных (легальных) каналов получения информации; например, угроза несанкционированного чтения файла, доступ пользователей к которому определен некорректно - разрешен доступ пользователю, которому согласно адекватной политике безопасности доступ должен быть запрещен;

Использование скрытых каналов получения информации; например, угроза использования злоумышленником недокументированных во­зможностей операционной системы;

Создание новых каналов получения информации с помощью программных закладок.

Классификация угроз по характеру воздействия на операционную систему:

Активное воздействие - несанкционированные действия злоумы­шленника в системе;

Пассивное воздействие - несанкционированное наблюдение злоумышленника за процессами, происходящими в системе.

Классификация угроз по типу используемой злоумышленником слабости защиты:

Неадекватная политика безопасности, в том числе и ошибки администратора системы;

Ошибки и недокументированные возможности программного обеспечения операционной системы, в том числе и так называемые люки - случайно или преднамеренно встроенные в систему "служебные входы", позволяющие обходить систему защиты; обычно люки создаются разработчиками программного обеспечения для тестирования и отладки, и иногда разработчики забывают их удалить или оставляют специально;

Ранее внедренная программная закладка.

Классификация угроз по способу воздействия на объект атаки:

Непосредственное воздействие;

Превышение пользователем своих полномочий;

Работа от имени другого пользователя;

Использование результатов работы другого пользователя (например, несанкционированный перехват информационных потоков, инициированных другим пользователем).

Классификация угроз по способу действий злоумышленника (нару шителя):

В интерактивном режиме (вручную);

В пакетном режиме (с помощью специально написанной программы, которая выполняет негативные воздействия на операционную систему без непосредственного участия пользователя-нарушителя).

Классификация угроз по объекту атаки:

Операционная система в целом;

Объекты операционной системы (файлы, устройства и т.д.);

Субъекты операционной системы (пользователи, системные процессы и т.д.);

Каналы передачи данных.

Классификация угроз по используемым средствам атаки:

Штатные средства операционной системы без использования дополнительного программного обеспечения;

Программное обеспечение третьих фирм (к этому классу программного обеспечения относятся как компьютерные вирусы и другие вредон­осные программы (exploits), которые можно легко найти в Internet, так и программное обеспечение, изначально разработанное для других целей: отладчики, сетевые мониторы и сканеры и т.д.);

Специально разработанное программное обеспечение.

Классификация угроз по состоянию атакуемого объекта операционной системы на момент атаки:

Хранение;

Передача;

Обработка.

Типичные атаки на операционную систему

Сканирование файловой системы.

Данная атака является одной из наиболее тривиальных, но в то же время одной из наиболее опасных. Суть атаки заключается в том, что злоумышленник просматривает файловую систему компьютера и пытается прочесть (или скопировать или удалить) все файлы подряд. Если он не получает доступ к какому-то файлу или каталогу, то продолжает сканирование. Если объем файловой системы достаточно велик, рано или поздно обнаруживается хотя бы одна ошибка администратора. В результате злоумышленник получает доступ к информации, доступ к которой должен быть ему запрещен. Данная атака может осуществляться специальной программой, которая выполняет вышеописанные действия в автоматическом режиме.

Несмотря на кажущуюся примитивность описанной атаки, защититься от нее не так просто. Если политика безопасности допускает анонимный или гостевой вход в систему, администраторам остается только надеяться, что права доступа ко всем файлам системы, число которых может составлять сотни тысяч, определены абсолютно корректно. Если же анонимный и гостевой вход в систему запрещен, поддержание адекватной политики регистрации потенциально опасных событий (аудита) позволяет организовать эффективную защиту от этой угрозы. Впрочем, следует отметить, что поддержание адекватной политики аудита требует от администраторов системы определенного искусства. Кроме того, если данная атака осуществляется злоумышленником от имени другого пользователя, аудит совершенно неэффективен.

Кража ключевой информации .

В простейшем случае эта атака заключается в том, что злоумышленник подсматривает пароль, набираемый пользователем. То, что все современные операционные системы не высвечивают на экране вводимый пользователем пароль, несколько затрудняет эту задачу, но не делает ее невыполнимой. Известно, что для того, чтобы восстановить набираемый пользователем пароль только по движениям рук на клавиатуре, достаточно всего несколько недель тренировок. Кроме того, достаточно часто встречается ситуация, когда пользователь ошибочно набирает пароль вместо своего имени, которое, в отличие от пароля, на экране высвечивается.

Некоторые программы входа в операционную систему удаленного сервера допускают ввод пароля из командной строки. К таким командам относится, например, команда nwlogin операционной системы UNIX, предназначенная для входа на сервер Novell NetWare. При использовании с ключом -р она позволяет вводить пароль в командной строке, например: nwlogin server user -ppassword

При вводе пароля в командной строке пароль, естественно, отображается на экране и может быть прочитан злоумышленником. Известны случаи, когда пользователи создавали командные файлы, состоящие из команд, подобных вышеприведенной, для автоматического входа на удаленные серверы. Если злоумышленник получает доступ к такому файлу, тем самым он получает доступ ко всем серверам, к которым имеет доступ данный пользователь, в пределах предоставленных ему полномочий.

Иногда пользователи, чтобы не забыть пароль, записывают его на бумагу, которую приклеивают к нижней части клавиатуры, к задней стенке системного блока или в какое-нибудь другое якобы укромное место. В этом случае пароль рано или поздно становится добычей злоумышленника. Особенно часто такие ситуации имеют место в случаях, когда политика безопасности требует от пользователей использовать длинные, трудные для запоминания пароли.

Наконец, потеря или кража внешнего носителя парольной информации (дискеты или электронного ключа, на которых хранится пароль пользователя, предназначенный для входа в операционную систему).

Подбор пароля.

Подбор пароля по частоте встречаемости символов и биграмм;

Подбор пароля с помощью словарей наиболее часто применяемых паролей;

Подбор пароля с привлечением знаний о конкретном пользователе - его имени, фамилии, номера телефона, даты рождения и т. д.;

Подбор пароля с использованием сведений о существовании эквивалентных паролей, при этом из каждого класса опробуется всего один пароль, что может значительно сократить время перебора;

Полный перебор всех возможных вариантов пароля.

Сборка мусора.

Во многих операционных системах информация, уничтоженная пользователем, не уничтожается физически, а помечается как уничтоженная. С помощью специальных программных средств эта информация (так называемый мусор) может быть в дальнейшем восстановлена. Суть данной атаки заключается в том, что злоумышленник восстанавливает эту информацию, просматривает ее и копирует интересующие его фрагменты. По окончании просмотра и копирования вся эта информация вновь "уничтожается". В некоторых операционных системах, таких как Windows 95, злоумышленнику даже не приходится использовать специальные программные средства - ему достаточно просто просмотреть "мусорную корзину" компьютера.

Сборка мусора может осуществляться не только на дисках компьютера, но и в оперативной памяти. В этом случае специальная программа, запущенная злоумышленником, выделяет себе всю или почти всю доступную оперативную память, просматривает ее содержимое и копирует фрагменты, содержащие заранее определенные ключевые слова. Если операционная система не предусматривает очистку памяти при выделении, злоумышленник может получить таким образом много интересной для него информации, например содержание области памяти, только что освобожденной текстовым редактором, в котором редактировался конфиденциальный документ.

Превышение полномочий.

При реализации данной угрозы злоумышленник, используя ошибки в программном обеспечении операционной системы и/или политике безопасности, получает полномочия, превышающие те, которые ему предоставлены в соответствии с политикой безопасности. Обычно это достигается путем запуска программы от имени дру­гого пользователя, имеющего необходимые полномочия, или в качестве системной программы (драйвера, сервиса, и т.д.). Либо происходит подмена динамически загружаемой библиотеки, используемой системными программами, или изменение переменных среды, описывающих путь к таким библиотекам.

Программные закладки.

Программные закладки, внедряемые в операционные системы, не имеют существенных отличий от других классов программных закладок.

О тказ в обслуживании.

Целью этой атаки является частичный или полный вывод из строя операционной системы:

Внедрение «жадных» программ. Жадными называются программы, преднамеренно захватывающие значительную часть ресурсов компьютера, в результате чего другие программы не могут выполняться или выполняются крайне медленно и неэффективно. Часто запуск жадной программы приводит к краху операционной системы;

Бомбардировка запросами (хакерская программа постоянно направляет операционной системе запросы, реакция на которые требует привлечения значительных ресурсов компьютера);

Использование ошибок в программном обеспечении или администрировании.

Если в программном обеспечении компьютерной системы нет ошибок, и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками операционной системы, то атаки всех перечисленных типов малоэффективны. Дополнительные меры, которые должны быть предприняты для повышения уровня безопасности, в значительной степени зависят от конкретной операционной системы, под управлением которой работает данная компьютерная система. Тем не менее, приходится признать, что вне зависимости от предпринятых мер полностью устранить угрозу взлома компьютерной системы на уровне операционной системы невозможно. Поэтому политика обеспечения безопасности должна проводиться так, чтобы, даже преодолев защиту, создаваемую средствами операционной системы, хакер не смог нанести серьезного ущерба.

Атаки на уровне сетевого программного обеспечения

СПО является наиболее уязвимым, потому что канал связи, по которому передаются сообщения, чаще всего не защищен, и всякий, кто может иметь доступ к этому каналу, соответственно, может перехватывать сообщения и отправлять свои собственные. Поэтому на уровне СПО возможны следующие хакерские атаки:

Прослушивание сегмента локальной сети (в пределах одного и того же сегмента локальной сети любой подключенный к нему компьютер в состоянии принимать сообщения, адресованные другим компьютерам сегмента, и следовательно, если компьютер хакера подсоединен к некоторому сегменту локальной сети, то ему становится доступен весь информационный обмен между компьютерами этого сегмента);

Перехват сообщений на маршрутизаторе (если хакер имеет привилегированный доступ к сетевому маршрутизатору, то он получает возможность перехватывать все сообщения, проходящие через этот маршрутизатор, и хотя тотальный перехват невозможен из-за слишком большого объема, чрезвычайно привлекательным для хакера является выборочный перехват сообщений, содержащих пароли пользователей и их электронную почту);

Создание ложного маршрутизатора (путем отправки в сеть сообщений специального вида хакер добивается, чтобы его компьютер стал маршрутизатором сети, после чего получает доступ ко всем проходящим через него сообщениям);

Навязывание сообщений (отправляя в сеть сообщения с ложным обратным сетевым адресом, хакер переключает на свой компьютер уже установленные сетевые соединения и в результате получает права пользователей, чьи соединения обманным путем были переключены на компьютер хакера);

Отказ в обслуживании (хакер отправляет в сеть сообщения специальною вида, после чего одна или несколько компьютерных систем, подключенных к сети, полностью или частично выходят из строя).

Поскольку хакерские атаки на уровне СПО спровоцированы открытостью сетевых соединений, разумно предположить, что для отражения этих атак необходимо максимально защитить каналы связи и тем самым затруднить обмен информацией по сети для тех, кто не является легальным пользователем. Ниже перечислены некоторые способы такой защиты:

Максимальное ограничение размеров компьютерной сети (чем больше сеть, тем труднее ее защитить);

Изоляция сети от внешнего мира (по возможности следует ограничивать физический доступ к компьютерной сети извне, чтобы уменьшить вероятность несанкционированного подключения хакера);

Шифрование сетевых сообщений (тем самым можно устранить угрозу перехвата сообщений, правда, за счет снижения производительности СПО и роста накладных расходов);

Электронная цифровая подпись сетевых сообщений (если все сообщения, передаваемые по компьютерной сети, снабжаются электронной цифровой подписью, и при этом неподписанные сообщения игнорируются, то можно забыть про угрозу навязывания сообщений и про большинство угроз, связанных с отказом в обслуживании);

Использование брандмауэров (брандмауэр является вспомогательным средством защиты, применяемым только в том случае, если компьютерную сеть нельзя изолировать от других сетей. Поскольку брандмауэр довольно часто не способен отличить потенциально опасное сетевое сообщение от совершенно безвредного, то в результате типичной является ситуация, когда брандмауэр не только не защищает сеть от хакерских атак, но даже препятствует ее нормальному функционированию).

«Глобальное исследование по вопросам информационной безопасности. Перспективы на 2014 год» (The Global State of Information Security® Survey 2014) - это всемирное исследование, проведенное фирмой PwC и журналами CIO и CSO. Опрос проводился в режиме «онлайн» с 1 февраля по 1 апреля 2013 года. Приглашения принять участие в исследовании были направлены по электронной почте читателям журналов CIO и CSO, а также клиентам PwC во всех регионах мира. В основе результатов, рассматриваемых в настоящем отчете, лежат ответы более чем 9 600 респондентов из 115 стран: руководителей компаний, финансовых директоров, директоров по информационной безопасности, директоров информационных служб, руководителей служб безопасности, вице-президентов и директоров по вопросам ИТ и информационной безопасности. Тридцать шесть процентов респондентов представляли Северную Америку, 26% - Европу, 21% - Азиатско-Тихоокеанский регион, 16% - Южную Америку и 2% - Ближний Восток и Африку. Допустимая погрешность составляет менее одного процента. Все цифры и графические данные, приведенные в настоящем отчете, основаны на результатах опроса (если иное не указано отдельно).

Суть проблемы

Стратегии безопасности, которые традиционно были основаны на соблюдении нормативно-правовых требований и ограничивались лишь «защитой периметра», не успевают за растущим уровнем рисков в данной области.

К чему это ведет? Сегодня компании зачастую используют устаревшие стратегии безопасности, которые неспособны эффективно противостоять искушенным мошенникам, имеющим доступ к технологиям будущего.

Злоумышленники применяют изощренные методы, чтобы проникнуть через устаревшую защиту периметра безопасности, и наносят точечные «удары», которые очень непросто отследить. Многие из них прибегают к надежным методам «фишинга», с помощью которых незаконным способом получают необходимую информацию от топ-менеджеров компаний. Ситуация также усугубляется тем, что потенциальные объекты хакерских атак - партнеры, поставщики, клиенты и прочие стороны - оперируют все большими объемами информации с помощью взаимосвязанных цифровых каналов.

В совокупности все эти факторы делают вопрос обеспечения информационной безопасности все более сложным и актуальным. Сегодня информационная безопасность превратилась в отдельную дисциплину, которая требует применения передовых технологий и процессов, навыков защиты от взлома системы безопасности, а также исключительной поддержки со стороны высшего руководства компаний. Основным требованием нового подхода является понимание того, что сегодня практически нельзя избежать хакерских атак и что обеспечение безопасности всех данных на одинаково высоком уровне не представляется возможным.

Глобальное исследование состояния информационной безопасности и перспектив её развития на 2014 год проводилось с целью анализа и оценки методов, применяемых международными организациями для борьбы с опытными и ловкими мошенниками. В этом году исследование показало, что руководители в большей степени начинают осознавать важность информационной защиты. Они обращают внимание на необходимость финансирования усиления мер безопасности и считают, что в их компаниях должны быть существенно улучшены инструменты, процессы и стратегии информационной защиты.

Впрочем, хотя компании и повышают стандарты безопасности, мошенники все равно опережают их. Опрос, проведенный в этом году, показывает, что количество инцидентов в сфере безопасности увеличилось на 25% за прошедшие 12 месяцев. При этом затраты, связанные с нарушениями систем безопасности, в среднем выросли на 18%.

Результаты опроса также демонстрируют, что многие организации не применяют технологии, которые позволили бы им выявлять уязвимые звенья общих систем и отслеживать угрозы безопасности, не помогают определить и защитить ключевые активы, а также оценить риски с точки зрения бизнес-целей компании. Для многих компаний вопрос безопасности не является основным компонентом стратегии бизнеса, определяемым генеральным директором и советом директоров, получающим достойное финансирование.

Проще говоря, немногие организации сегодня могут успешно справляться с растущими рисками. Еще меньшее число компаний готово к решению проблем, с которыми им придется столкнуться в будущем.

Гэри Лавленд, руководитель практики PwC, уверен: «Нельзя бороться с новыми угрозами с помощью старых методов. Нам нужна новая модель информационной безопасности, основанная на осознании потенциальных угроз, понимании того, что включают в себя имеющиеся у компании активы, а также на знании мотивов злоумышленников и целей, которые они ставят перед собой».

Такая новая модель информационной безопасности построена на принципе «знание - сила». Помните об этом.

Подробное обсуждение вопроса

Принципы ведения бизнеса меняют свой облик под влиянием процесса универсализации цифровых технологий.

Сегодня компании демонстрируют все большую взаимную связь, интеграцию и зависимость друг от друга. Они применяют технологии и популярные решения в области коммуникации, которые позволяют им обмениваться небывалыми объемами информации с клиентами, поставщиками услуг и товаров, партнерами и сотрудниками. Используя столь сложные технологические решения, организации выполняют свои коммерческие задачи с небывалым успехом и оперативностью.

Между тем сформировавшаяся в мире бизнеса экосистема также подвергает компании риску, отдавая их во власть мошенников, которые стремятся нанести ущерб или даже уничтожить их бизнес с помощью тех же самых технологий. Это привело к тому, что угрозы безопасности превратились в существенный коммерческий риск, о котором необходимо помнить международным компаниям.

На рынке продолжает доминировать привычный подход к управлению стратегией информационной безопасности, который основан на принципе реагирования на возникшую проблему и переносе ответственности за обеспечение безопасности на подразделения ИТ.

Сегодня такой подход перестает быть эффективным, поскольку не может обеспечить необходимый уровень защиты.

Опасность, которую в нынешних условиях представляют риски нарушения безопасности, требует от организаций рассматривать подобные угрозы в качестве проблем, способных нанести существенный ущерб деятельности компании, и решать их в рамках системы управления рисками организации. Обеспечение абсолютной защиты всех без исключения данных больше не представляется возможным.

Отталкиваясь от этого утверждения, мы спросили у представителей бизнеса, сотрудников служб безопасности и директоров по вопросам информационных технологий о том, как они решают первоочередные вопросы информационной безопасности, а также насколько точно соответствуют общим целям бизнеса меры обеспечения конфиденциальности и безопасности информации. Результаты глобального исследования состояния информационной безопасности и перспектив её развития на 2014 год показывают, что большинство директоров различных международных компаний уверены в эффективности методов информационной защиты, применяемых в их компаниях.

Уверенность в эффективности применяемых методов обеспечения безопасности

Как бы удивительно это ни звучало, но сегодня, в эпоху роста и видоизменения рисков, директора по-прежнему полностью уверены в эффективности систем и мер информационной защиты, действующих в их организациях. Семьдесят четыре процента респондентов из различных стран мира утверждают, что принимают эффективные меры по обеспечению безопасности (рис. 1). Наиболее оптимистично смотрит на проблему информационной безопасности высшее руководство компаний. Так, 84% генеральных директоров утверждают, что уверены в надежности своих программ безопасности, так же как и 78% директоров по информационной безопасности, которые несут прямую ответственность за обеспечение сохранности данных. Среди руководящих сотрудников наименьшую уверенность в надежности систем информационной безопасности испытывают финансовые директора. Данные по различным регионам показывают, что респонденты из Южной Америки (81%) и Азии (76%) наиболее уверены в эффективности своих систем безопасности.

Рисунок 1. Уверенность в эффективности программ безопасности (достаточно уверен или полностью уверен

Другим примером уверенности руководителей в системах безопасности может стать их мнение о том, насколько эффективно корпоративная программа безопасности выстроена с учетом общего бюджета расходов и стратегии бизнеса. В данном отношении респонденты проявляют не меньше оптимизма. Более 80% опрошенных уверены в том, что затраты на системы безопасности и соответствующая корпоративная политика соответствуют поставленным бизнес-задачам (за последний год уверенность в эффективности этих двух направлений лишь выросла). Столь высокий уровень уверенности говорит о том, что респонденты считают вопросы безопасности неотъемлемой частью своей бизнес-стратегии и признают их возможное влияние на конечную прибыль компании.

Респонденты также весьма оптимистично оценивают собственные стратегии безопасности и способность своих компаний к упреждающему применению таких стратегических инициатив. Мы попросили респондентов рассказать о том, как они оценивают собственный подход к вопросам обеспечения безопасности. Ответы показывают, что сейчас участники опроса дают себе более высокую оценку, чем это было год или два назад.

Участников, которые сообщили о наличии в их компании эффективной стратегии и о готовности компаний к упреждающим действиям в связи с угрозами, мы называем «фаворитами» в «забеге безопасности», поскольку они демонстрируют два основных лидерских качества. В этом году 50% респондентов заявили, что их компании обладают качествами «фаворита» в сфере безопасности. Это на 17% больше, чем в прошлом году (рис. 2). Около четверти опрошенных (26%) говорят о наличии в их организациях надежных стратегий, которые при этом не обязательно способствуют успешному претворению плана в жизнь. Таких респондентов мы назвали «стратегами». Компании, которые эффективно реализуют задуманное, но при этом не имеют столь эффективной стратегии, мы назвали «тактиками». На тактиков приходится 13% всех участников нашего исследования. Еще одну группу респондентов мы назвали «спасателями». Спасатели, на долю которых приходится 11% опрошенных, не имеют принятой стратегии и обычно лишь реагируют на возникшие угрозы.

Рисунок 2. Как респонденты характеризуют свой подход к обеспечению информационной безопасности

ействительно ли «фавориты» являются лидерами в вопросах обеспечения безопасности?

Самооценка собственной эффективности по понятным причинам бывает предвзятой. Потому мы решили подробно проанализировать полученные сведения, для чего сформулировали ряд требований, которым должны соответствовать настоящие лидеры, при этом мы основывались на полученных от респондентов фактических данных, а не на результатах их собственной самооценки. Для того чтобы подтвердить свой статус лидера, респондентам было необходимо:

• иметь общую стратегию в области информационной безопасности;
• иметь в штате директора по информационной безопасности (или равнозначного сотрудника), который отчитывается перед высшим руководством компании (то есть генеральным директором, финансовым директором, операционным директором, директором по рискам или юрисконсультом);
• выполнить оценку и анализ эффективности имеющейся в компании системы информационной безопасности за прошедший год;
• иметь четкое представление о том, какого рода инциденты в области информационной безопасности имели место в прошедшем году.

Анализ респондентов с учетом вышеописанных требований показал, что те, кого мы назвали фаворитами, не всегда реально лидируют в сфере информационной безопасности. Применение этих критериев позволило установить, что лишь 17% всех респондентов являются реальными лидерами в области обеспечения информационной безопасности (рис. 3). Нам также удалось выяснить, что по сравнению с «фаворитами» реальные лидеры способны обнаружить большее число нарушений безопасности, они лучше разбираются в различных типах нарушений и их причинах, а также несут меньшие финансовые потери в результате таких нарушений.

Рисунок 3. «Фавориты» и реальные лидеры

Больше всего реальных лидеров было обнаружено в Азиатско-Тихоокеанском регионе (28%) и в Северной Америке (26%), немногим меньше - в Европе (24%) и Южной Америке (21%), Ближний Восток и Африка (1%) замыкают этот список. Наиболее «продвинутыми» с точки зрения состояния информационной безопасности отраслями стали технологический сектор (16%), сектор финансовых услуг (11%), а также розничная торговля и производство потребительских товаров (9%).

Есть еще одна причина для оптимизма: бюджеты на обеспечение информационной безопасности растут.

Многие респонденты высоко оценивают собственную компетенцию в отношении методов обеспечения информационной безопасности, при этом лица, ответственные за корпоративные бюджеты, также весьма оптимистично смотрят на состояние систем безопасности. Возможно, они понимают, что сегодня, в условиях повышенного риска, проблемы безопасности требуют дополнительных инвестиций. Как бы то ни было, существенный рост финансирования систем информационной безопасности является хорошим знаком для служб безопасности. Несмотря на существенные различия таких бюджетов в зависимости от отрасли и размера компании, в целом, по оценке респондентов, объем средств, выделенных на обеспечение информационной безопасности в этом году, в среднем составил 4,3 млн долл. США, что на 51% больше, чем это было в 2012 году. Тем не менее, несмотря на такой рост, бюджет функций информационной безопасности составляет лишь 3,8% от общих затрат на информационные технологии в этом году, что говорит об относительно невысоком уровне инвестирования.

Что же ждет нас в будущем? Прогнозы также полны оптимизма. Почти половина всех респондентов (49%, что на 4% больше, чем в прошлом году) утверждают, что уровень затрат на обеспечение безопасности в течение следующих 12 месяцев увеличится. По данным опроса, 66% респондентов из Южной Америки и 60% представителей Азиатско-Тихоокеанского региона ожидают, что инвестиции в информационную безопасность будут расти. В Северной Америке лишь 38% участников опроса прогнозируют рост финансирования систем безопасности, что делает данный регион самым «скупым» на затраты в этом направлении.

Современные проблемы - устаревшие решения

Сегодня уже невозможно игнорировать шквал сообщений о том, что за последний год злоумышленники стали более изобретательными в вопросах взлома систем безопасности и все чаще добиваются достижения своих целей. Учитывая тот факт, что журналисты порой злоупотребляют сенсационностью заголовков новостей, чтобы привлечь читателей на сайты своих изданий, вполне разумно будет усомниться в точности сообщений о хакерских атаках.

Результаты данного исследования частично подтверждают обоснованность шумихи вокруг увеличивающего числа инцидентов в сфере информационной безопасности.

В любом случае с фактами не поспоришь, а они говорят о том, что число инцидентов в области информационной безопасности растет. (Под инцидентом в области информационной безопасности мы понимаем любое происшествие негативного характера, которое в той или иной мере угрожает компьютерной безопасности.) Участники опроса сообщили о том, что число обнаруженных инцидентов увеличилось на 25% по сравнению с прошлым годом (рис. 4). Похоже, эти данные оправдывают броские заголовки в прессе об увеличении числа угроз информационной безопасности. С другой стороны, рост числа обнаруженных инцидентов также может говорить о том, что организации более эффективно отслеживают возможные нарушения.

Рисунок 4. Среднее количество инцидентов в сфере информационной безопасности, произошедших за последние 12 месяцев

Марк Лобел, партнер PwC, утверждает: «Число инцидентов увеличивается не только из-за роста рисков, но также и вследствие того, что некоторые компании инвестируют в новые технологии, которые помогают более эффективно обнаруживать такие инциденты. С этой точки зрения увеличение числа выявленных инцидентов в области информационной безопасности можно рассматривать как положительный сдвиг».

При этом число респондентов, которым неизвестно точное число инцидентов, год от года продолжает расти, достигнув на сегодняшний день отметки в 18%. Похоже, это несколько противоречит утверждению о том, что компании все более эффективно выявляют случаи нарушения своей информационной защиты. Это, скорее, указывает на то, что старые методы обеспечения безопасности могут быть неэффективными или же просто не действуют. Рост числа инцидентов параллельно с увеличением объемов данных, передаваемых в электронном формате, приводит нас к очевидному выводу: уровень потерь информации становится все выше. В этом году 24% респондентов сообщили об утрате данных в результате инцидентов в области информационной безопасности, что на 16% больше, чем в 2012 году.

Углубленный анализ типов скомпрометированной информации позволяет прийти к весьма интересным выводам. Список таких данных возглавляет документация по персоналу (35%) и клиентские файлы (31%) (рис. 5). Каждый год участники опроса сообщают нам, что данные о сотрудниках и клиентах являются для них наиболее ценной информацией.

Рисунок 5. Последствия инцидентов в области информационной безопасности

Поэтому было бы логичным предположить, что защита именно этих видов данных должна стать приоритетом для служб информационной безопасности. Тем не менее тот факт, что данные о клиентах и сотрудниках компаний наиболее часто становятся объектом кражи, говорит нам о том, что текущие меры защиты информации являются неэффективными или же неверно ориентированы на возникающие риски.

Общий объем убытков

Вполне логичным представляется то, что по мере увеличения количества инцидентов в сфере безопасности будут расти и финансовые затраты. Так и происходит на практике. Мы установили, что средний уровень финансовых убытков, связанных с инцидентами в области информационной безопасности, за прошлый год вырос на 18%.

Шейн Симс, директор PwC, говорит: «В целом уровень затрат и степень сложности мер реагирования на инциденты увеличиваются. В число общих затрат входит стоимость проведения расследований, расходы на анализ бизнес-рисков и обнаружение инцидентов, стоимость отправки уведомлений клиентам, потребителям и в регулирующие органы, а также расходы на судопроизводство. Помимо этого, у компаний возникают затраты на устранение последствий инцидента, поскольку под угрозу попадает все больше информации в рамках различных юрисдикций, а системы контроля безопасности просто не поспевают за непрерывными изменениями в мире информационной безопасности».

Дальнейший анализ полученных данных показал, что наиболее существенный рост финансовых затрат отмечен в компаниях респондентов, которые сообщили об ущербе на крупные суммы в результате инцидентов в сфере безопасности. Конкретный пример: число респондентов, сообщивших об убытках в размере 10 млн долл. США и более, увеличилось на 51%% за период с 2011 года. Мы ожидали, что отрасли, которые традиционно принимали предупредительные меры и инвестировали в информационную безопасность, понесут меньшие убытки. Впрочем, как ни странно, на деле всё оказалось иначе. В число отраслей, которые понесли убытки в объеме 10 млн долл. США и более, вошли фармацевтический сектор (20%), сектор финансовых услуг (9%) и технологический сектор (9%).

В среднем один инцидент обходится компании в 531 долл. США (рис. 6). Респонденты, которых мы включили в число лидеров по информационной безопасности, сообщают о самой низкой стоимости одного инцидента (421 долл. США в среднем), что неудивительно. Весьма неожиданным для нас стало то, что компании, относящие себя к числу «фаворитов», тратят 635 долл. США на один инцидент в области информационной безопасности - почти столько же, сколько тратят «спасатели», которые, по собственной оценке, наименее подготовлены к реализации эффективной программы защиты от информационных угроз. Все это ставит под сомнение реальную эффективность компаний, входящих в категорию «фаворитов».

Рисунок 6. Средние затраты на один инцидент в области информационной безопасности

Инсайдеры, сторонние лица и хакеры

Как мы уже отмечали, заголовки новостей не всегда справедливо отражают актуальные риски. Хотя различные резонансные инциденты (например, случаи искусного взлома защитных барьеров, относимые к числу целенаправленных устойчивых угроз) искушают других злоумышленников, подталкивая их к попытке повторить успешный опыт преодоления защитных систем, на практике такие преступления совершаются редко.

На самом деле реальность куда более прозаична. Большинство респондентов считают, что причиной инцидентов, связанных с нарушением безопасности, являются обычные «инсайдеры», такие как сотрудники (31%) и бывшие сотрудники компаний (27%) (рис. 7). Многие организации полагают, что угроза, которую представляют инсайдеры, может быть даже еще опаснее, чем об этом говорится в резонансных новостях. При этом частотность инсайдерских инцидентов невелика.

Рисунок 7. Вероятные источники угрозы инцидентов

Учитывая широкую распространенность рисков, связанных с персоналом, у нас вызывает удивление неготовность многих компаний противостоять довольно обычным внутренним угрозам. Отдельный обзор под названием «Исследование уровня киберпреступности в США» за 2013 год, в спонсировании которого принимала участие фирма PwC, показал, что треть респондентов из США не имеют плана реагирования на инсайдерские инциденты . Впрочем, даже среди тех, у кого есть план на случай возникновения инсайдерской угрозы, лишь 18% считают его высокоэффективным.

Майкл А. Мэйсон, директор по безопасности компании Verizon Communications, утверждает: «На мой взгляд, сегодня вероятность инсайдерской угрозы существенно выросла по сравнению с прошлыми периодами». Он добавляет, что компания Verizon считает инсайдерами всех лиц, имеющих доступ к корпоративным данным: «Помните, что инсайдерский инцидент вовсе не означает попытку некоего "жулика" взломать вашу систему защиты. Такие инциденты, например, возникают, когда обычный сотрудник проявляет особое рвение и работает с нарушением условий безопасности. Наши проблемы в большей степени проистекают из человеческого, а не технического фактора».

Джон Хант, руководящий сотрудник PwC, отмечает: «Одна из причин того, что компании не имеют действенных планов защиты от внутренних угроз, заключается в том, что они сами предоставляют многим типам инсайдеров, например партнерам или поставщикам, право доступа в пределах периметра сети, поскольку такие инсайдеры пользуются определенным доверием. Бизнесу пора понять, что доверие к консультантам не должно быть безграничным».

Говоря о внешних факторах риска, важно отметить, что некоторые стороны, представляющие наибольшую угрозу, в частности хакеры, на практике оправдывают свой потенциал риска. Вот доказательство: 32% участников опроса связывают возникновение инцидентов в области информационной безопасности с хакерскими атаками (это на 27% больше, чем в прошлом году).

Не стоит забывать и об инцидентах, получивших широкий общественный резонанс. Речь идет, в частности, о попытках правительств иностранных государств получить нужную им информацию с помощью целенаправленных устойчивых атак. По мнению участников опроса, на долю инцидентов с участием иностранных государств приходится лишь 4% всех установленных случаев нарушения периметра информационной безопасности.

Для крупных компаний, таких как Verizon, этот аспект не представляет существенной угрозы. Майкл Мэйсон уверен, что «опасаться целенаправленных устойчивых угроз - в каком-то смысле все равно, что бояться подхватить простуду, работая со штаммами вируса сибирской язвы».

Несмотря на то что риск возникновения целенаправленных устойчивых угроз невелик, для многих крупных организаций крайне важно следить за стремительными изменениями в области кибермошенничества. Это хорошо понимает руководство компании Cablevision Systems Corporation, оператора мультисервисных каналов связи, предоставляющего услуги доступа к кабельному телевидению и сети Интернет, а также выпускающего ежедневное печатное издание.

Дженнифер Лав, старший вице-президент по вопросам безопасности компании, рассказывает: «Как и многие другие операторы мультисервисных каналов связи, мы внимательно отслеживаем публикуемые отчеты, сообщающие о росте числа обнаруженных угроз, связанных с деятельностью киберпреступников и иностранных государств, особенно если такие угрозы нацелены на электроэнергетические и коммуникационные компании. Мы получаем информацию из разных источников, в том числе отраслевых и государственных. На ее основании мы определяем имеющиеся риски и принимаем решения о дальнейших мерах».

Слабая защита от сильного противника

Для того чтобы успешно бороться с актуальными рисками, компаниям необходимо разработать действенную стратегию и внимательно следить за наиболее уязвимыми участками информационной экосистемы и за стремительно развивающимися угрозами. В основе принимаемых мер и инвестиционных решений должно лежать четкое представление об информационных активах, о рисках, угрожающих информационной экосистеме, и ее уязвимых местах. Все решения в данной области необходимо оценивать в контексте осуществляемой компанией деятельности.

Многим для этого нужно научиться мыслить по-новому и перестроить систему планирования. Именно поэтому вовсе не удивительно, что многие участники опроса говорят об отсутствии в их компаниях надежных технологий и процессов, которые могли бы обеспечить должный уровень понимания актуальных рисков. К примеру, 52% опрошенных не применяют инструменты поведенческого мониторинга и контроля. При этом 46% респондентов не прибегают к использованию информации о системах безопасности или технологий по управлению событиями. Несмотря на то что инструменты для управления активами играют крайне важную роль при обеспечении безопасности информационных активов, 39% опрошенных не применяют такие средства. Даже стандартные технологии, необходимые для защиты особо секретной информации, используются не столь широко, как хотелось бы. Особенно стоит отметить, что 42% участников исследования не применяют инструменты для предотвращения потери данных.

По мере увеличения объемов данных и активизации обмена информацией с партнерами, поставщиками, подрядчиками и клиентами, компаниям следует все более внимательно отслеживать риски, связанные с предоставлением корпоративных данных третьим лицам. Бизнесу также необходимо убедиться в том, что такие третьи стороны полностью соответствуют требованиям к безопасности информации или даже превосходят их.

Нас весьма беспокоит, что в США многие респонденты не имеют политик и инструментов, необходимых для оценки третьих лиц с точки зрения рисков безопасности (информация получена по результатам отдельного исследования, в финансировании которого принимала участие фирма PwC) . Например, лишь 20% опрошенных утверждают, что проводят оценку информационной безопасности третьих лиц, с которыми они могут обмениваться данными или которым они предоставляют доступ к своей сети, чаще одного раза в год. При этом 22% опрошенных говорят, что не проводят вовсе никакой оценки третьих лиц, а 35% проверяют третьи стороны на предмет безопасности лишь раз в год или реже.

Только 22% опрошенных утверждают, что создают планы реагирования на различные инциденты, связанные с партнерами по цепочке поставок, при этом 52% респондентов вообще не составляют такие планы.

Как уже говорилось, резкий рост числа рисков и изменение их характера требуют от компаний четкого понимания того, что в нынешних условиях нецелесообразно - или даже невозможно - обеспечить одинаковый уровень защиты для всех видов информации, как это было до недавнего времени. Новая модель информационной безопасности требует от бизнеса четко определять действительно значимую информацию и уделять ей повышенное внимание.

Вполне очевидно, что характер такой информации будет зависеть от особенностей конкретных компаний и отраслей. В число таких «драгоценных» активов может входить интеллектуальная собственность, включающая проектную документацию по продуктам, маркетинговые планы, информацию, которой обменивается руководство, а также стратегии бизнеса. Впрочем, данную категорию можно расширить до пределов любой информации, которая в случае ее кражи или потери может нанести бизнесу существенный вред.

Сегодня на долю таких нематериальных активов, как интеллектуальная собственность, приходится 80% всей стоимости, создаваемой фирмами, входящими в индекс S&P 500 (по данным Ocean Tomo, банка интеллектуальной собственности™) . Чем выше стоимость интеллектуальной собственности, тем больше она привлекает киберпреступников.

Результаты данного исследования показывают, что, несмотря на увеличение стоимости интеллектуальной собственности и усугубление потенциальных последствий ее утраты, многие респонденты недостаточно эффективно определяют и защищают свою информацию, имеющую особую ценность. К примеру, лишь 17% опрошенных распределяют информацию по категориям конфиденциальности в зависимости от ее коммерческой ценности, и только 20% применяют отдельные процедуры, направленные на обеспечение защиты интеллектуальной собственности (рис. 8). Двадцать шесть процентов участников опроса проводят инвентаризацию активов и применяют процедуры управления активами. Результаты опроса показывают, что в некоторых отраслях активность применения политики, направленной на защиту интеллектуальной собственности, фактически снижается.

Рисунок 8. Наличие политики по охране интеллектуальной собственности и коммерческой тайны

Еще одним ключевым риском в области защиты данных является применение мобильных устройств (смартфонов и планшетов), а также использование личных портативных устройств на работе. Хотя тенденция к использованию мобильных устройств для обмена информацией и передачи данных активно развивается, политика компаний в данной области существенно отстает от растущих темпов распространения смартфонов и планшетов. Участники опроса утверждают, что за последний год компании не сильно продвинулись вперед в вопросе внедрения программ безопасности в отношении использования мобильных устройств. Отмечается, что в некоторых случаях масштабы деятельности в данном направлении вообще сокращаются (рис. 9). Например, лишь 42% опрошенных отметили, что в их компаниях имеется стратегия по обеспечению информационной безопасности мобильных устройств. Только 39% утверждают, что в их организациях применяется программное обеспечение для управления мобильными устройствами - важный инструмент, предназначенный для автоматического коллективного администрирования смартфонов.

Рисунок 9. Меры по контролю рисков нарушения безопасности, связанных с использованием мобильных устройств

Облачные технологии, которые присутствуют на рынке уже более десяти лет, стали широко распространенной - если не повсеместной - практикой для обмена корпоративными данными.

Почти половина респондентов (47%) используют те или иные аспекты облачных технологий, что на 24% больше, чем в прошлом году. Среди тех, кто применяет в работе облачные технологии, 59% сообщили о повышении эффективности систем безопасности.

Сучетом вышесказанного весьма удивительно видеть, что многие компании не уделяют должного внимания возможным негативным последствиям применения облачных технологий. К примеру, среди всех участников опроса, использующих такие технологии, лишь 18% сообщили о наличии в их организациях официальной политики, регулирующей применение облачных вычислений.

Джошуа МакКиббен, директор PwC, говорит: «Отсутствие в организациях политики по регулированию использования облачных технологий является существенной угрозой безопасности бизнеса. Увеличение объемов передаваемых данных, а также рост масштабов применения мобильных устройств приводит к более интенсивному использованию облачных технологий, которое может привести к потенциальным злоупотреблениям со стороны персонала. В то же время компаниям важно следить за тем, чтобы сторонние поставщики услуг в сфере облачных вычислений соблюдали установленные требования к безопасности».

Как уже отмечалось, целенаправленным устойчивым угрозам уделяется неоправданно большое внимание в прессе, в результате чего число компаний, которые с повышенной серьезностью относятся к таким угрозам, может увеличиваться. К примеру, 54% опрошенных утверждают, что в их организациях внедрены технологии, обеспечивающие управление процессом обнаружения таких рисков и помогающие защититься от них. В число отраслей, компании которых применяют решения по противодействию целенаправленным устойчивым угрозам, входит аэрокосмическая и оборонная отрасль (61%), государственный сектор (58%) и фармацевтическая отрасль (58%).

В «Исследовании уровня киберпреступности в США» за 2013 год говорится о том, что инструменты по противодействию целенаправленным устойчивым угрозам обычно включают в себя анализ с целью выявления вредоносного ПО, отслеживание исходящего трафика, поиск неавторизованного оборудования, получающего доступ к сетям, а также анализ и географический поиск информации по IP-адресам .

Готовимся к встрече с угрозами будущего

Злоумышленники сегодня становятся все опытнее и изощреннее, что позволяет им находить новые уязвимые звенья в системах безопасности компаний. Для того чтобы эффективно справляться с этим риском, организациям необходимо применять передовые знания об информационных активах, системных угрозах и уязвимых местах, планируя инвестиции и необходимые меры для решения проблем в области информационной безопасности. Такие меры следует оценивать с учетом особенностей деятельности, осуществляемой организацией.

Данное исследование показывает, что компании, лидирующие, по нашему мнению, в области информационной безопасности, расширяют свои возможности в этом направлении, внедряя политику и регламенты, благодаря которым вопрос обеспечения безопасности становится одной из главнейших задач бизнеса. Для таких компаний вопросы безопасности выходят за рамки ИТ-проблем. Как же им это удается?

Лидеры в области безопасности стремятся тесно увязать свои стратегии по обеспечению информационной безопасности с потребностями бизнеса, устанавливая стандарты для внешних партнеров, а также в целом переосмысливая фундаментальные принципы безопасности данных (рис. 10). К примеру, 88% лидеров имеют в штате директора, который отвечает за информирование сотрудников предприятия о важности обеспечения информационной безопасности в компании. Другая дальновидная политика предполагает создание межфункциональной группы, которая будет координировать решение проблем в области безопасности и сообщать о них сотрудникам компании. Этот принцип организации систем безопасности применяется в 66% опрошенных организаций.

Рисунок 10. Политика и меры в области информационной безопасности, применяемые участниками опроса (все опрошенные / лидеры)

Джо Ноусэра, руководящий сотрудник PwC, отмечает: «Такая политика показывает, что компании проявляют высокий, невиданный ранее уровень ответственности в отношении информационной безопасности. Эта ответственность подразумевает участие всех директоров и ведущих руководителей в обеспечении успешного выполнения компанией всех задумок и планов, направленных на повышение уровня безопасности. Данная тенденция также подчеркивает необходимость информирования сотрудников и третьих сторон, занимающихся обработкой важной информации, о значимости информационной безопасности».

Дженнифер Лав, старший вице-президент по вопросам безопасности компании Cablevision, говорит: «В нашей компании топ-менеджеры и члены совета директоров с готовностью принимают участие в реализации инициатив в области безопасности. Они хорошо понимают, насколько важную роль играет информационная безопасность, и хотят иметь четкое представление об угрозах, с которыми мы сталкиваемся, и о мерах, принимаемых для защиты уязвимых участков периметра безопасности».

Внедрение политики и необходимых регламентов, а также вовлечение топ-менеджмента в работу над усовершенствованием систем безопасности - это всего лишь начало реальной деятельности. Эффективность принимаемых мер можно оценить, проанализировав применение компаниями технологий, которые обеспечивают внедрение такой политики и регламентов.

Чаще всего именно лидеры применяют инструменты, которые помогают в реальном времени анализировать подозрительную деятельность в рамках сетевого оборудования и приложений. К примеру, 66% лидеров в области информационной безопасности утверждают, что в их компаниях применяются системы защиты информации и управления инцидентами (SIEM). Ровно такое же количество опрошенных (66%) говорит, что им удалось внедрить инструменты корреляции событий, которые объединяют и сопоставляют информацию, полученную разными системами, например системами мониторинга уязвимостей и системами контроля взлома периметра безопасности. Решения, предназначенные для сканирования систем безопасности в поисках уязвимых мест, применяются 71% лидеров. Такие инструменты позволяют проводить оценку сетей и приложений с целью выявления возможных слабых сторон.

Несмотря на то что в данном отчете мы в основном рассматриваем лидеров, которые применяют вышеописанные технологии, также важно отметить, что сегодня, в условиях повышенных рисков безопасности, всем без исключения компаниям следует внимательно рассмотреть возможность применения данных защитных мер.

Другим примером эффективных мер безопасности является информирование сотрудников и организация обучения персонала. Информированность работников является очень важным фактором любой программы безопасности. Шестьдесят процентов опрошенных говорят, что в их компаниях имеются обучающие программы, предназначенные для повышения уровня информированности сотрудников. Поскольку сотрудники зачастую становятся «психологической мишенью» злоумышленников, всем без исключения респондентам следует задуматься о внедрении эффективной программы обучения персонала.

Для того чтобы оценить приоритеты респондентов в отношении подготовки к угрозам будущего, мы проанализировали, какие процессы и технологии защиты компании планируют внедрить в первую очередь в ближайшие 12 месяцев. Особое внимание мы уделяли следующим пяти категориям защитных мер: защита важных активов, обеспечение безопасности инфраструктуры, выявление угроз безопасности, аналитические меры и обеспечение безопасности мобильных устройств.

Сьюзен Модлин, директор по безопасности компании Equifax, международного бюро кредитных историй, рассказывает: «Очень часто деятельность злоумышленников направлена против сотрудников, которые располагают определенными сведениями. Именно поэтому мы проводим обучение сотрудников в виде ролевых игр. Наши программы обучения нацелены на такие группы высокого риска, как сотрудники колл-центра, пользователи с высокими полномочиями и топ-менеджеры. Мы учим персонал компании грамотно противостоять так называемым фишинговым атакам».

Для создания эффективной системы безопасности сегодня компаниям необходимо определить так называемые драгоценные активы, то есть наиболее важные активы компании, и в первую очередь обеспечить их защиту. Двадцать пять процентов респондентов утверждают, что в течение грядущих 12 месяцев они внесут в число приоритетных задач реализацию программы по определению особо важных активов, а 17% - что они оценят приоритетность инструментов по управлению активами (рис. 11). Данные решения являются ключом к пониманию, оценке и эффективному управлению важной корпоративной информацией.

Рисунок 11. Защитные меры, которые пока не применяются, но входят в список приоритетов на ближайший год

Для того чтобы повысить надежность инфраструктуры, практически четверть опрошенных (24%) планируют внедрить стандарты безопасности для внешних партнеров, поставщиков и клиентов. Эта задача становится все более актуальной по мере того, как компании открывают доступ к своим сетям, приложениям и данным для третьих лиц. Более того, применение таких технологий, как виртуализация и облачные вычисления, существенно повысило вероятность угроз, которые могут исходить от инсайдеров, обладающих высокими полномочиями доступа. Таким образом, мониторинг и управление пользователями с высоким уровнем доступа теперь входят в число основных проблем. Исследование показало, что 17% опрошенных планируют внедрить инструменты для управления пользователями с высоким уровнем доступа в течение следующих 12 месяцев.

Остальные приоритеты направлены на технологии, которые помогают лучше понять характер угроз, а также повысить уровень безопасности мобильных устройств. Мы впервые спросили респондентов о том, планируют ли они начать пользоваться абонентскими услугами по обнаружению потенциальных угроз для того, чтобы заручиться поддержкой третьих сторон и получать своевременные предупреждения о рисках и так называемых уязвимостях нулевого дня (уязвимость, используемая злоумышленником в тот же день, когда она была обнаружена, то есть пока способ ее устранения не найден). Многие из участников опроса ответили утвердительно на этот вопрос: 49% респондентов сказали, что в данный момент они применяют такие услуги. При этом 25% тех, кто не использует данные решения, планируют в ближайшие 12 месяц включить их в число своих приоритетных задач.

Компания Equifax в числе своих основных приоритетов называет обеспечение защиты устройств, которыми пользуются сотрудники, с тем чтобы организация, предоставляющая финансовые услуги, могла более эффективно отслеживать основные факторы угроз. Сьюзен Модлин говорит: «Мы анализируем аппаратное оборудование, применяемое сотрудниками, и фактически создаем так называемую песочницу, которая позволяет оградить компьютеры от вирусов и вредоносных программ. Это не только помогает нам бороться с рисками, но также способствует определению типов потенциальных угроз и поиску злоумышленников, планирующих атаки непосредственно против нашей компании».

Принимая во внимание все увеличивающийся интерес к способам обработки больших массивов информации, мы также спросили респондентов о планах их компаний относительно применения аналитических схем в целях повышения общей безопасности. Стратегический подход к данному вопросу становится все более популярным: 20% респондентов сказали, что планируют в будущем пересмотреть приоритетность инструментов информационной безопасности и управления событиями. Столько же опрошенных считают внедрение технологий корреляции событий в системах защиты своей первоочередной задачей.

Пракаш Венката, управляющий директор PwC, уверен: «Такие технологии помогают компаниям обнаружить закономерности и аномалии в деятельности, направленной на изучение компьютерных угроз, с которыми сталкивается бизнес. Обладая этими знаниями, руководители смогут предвидеть изменения в характере киберугроз, нависших над их организациями, и оперативно реагировать на них».

Еще одной актуальной проблемой является безопасность мобильных устройств. Практически четверть всех участников исследования сообщили о своих планах повысить приоритетность шифрования смартфонов, внедрить решения по управлению мобильными устройствами, а также реализовать стратегию использования персональных устройств в корпоративных сетях.

Прошедший год показал, что обмен информацией об угрозах безопасности, даже между конкурирующими компаниями, стал мощным инструментом противодействия рискам. Мы считаем, что сотрудничество помогает бизнесу быстрее адаптироваться к изменениям рыночной конъюнктуры. Пятое ежегодное исследование PwC Digital IQ5 помогло выявить, что фирмы, в которых топ-менеджмент готов к сотрудничеству, успешно интегрируют стратегию и информационные технологии. Такой подход весьма часто способствует повышению эффективности бизнеса.

Мы захотели узнать, как респонденты, многим из которых приходится работать в крайне конкурентных условиях, смотрят на возможность сотрудничества с другими игроками рынка в целях повышения уровня безопасности и обмена знаниями о потенциальных угрозах. Многие организации осознают, что у такого сотрудничества есть свои плюсы. Результаты опроса показали, что половина опрошенных сотрудничают с другими участниками рынка, а среди лидеров в области безопасности этот показатель достигает 82%.

Пример от Equifax: по словам Сьюзен Модлин, компания Equifax «принимает участие в деятельности Центра анализа информации о финансовых услугах и обмена такой информацией». Она убеждена: «Для нашей компании это крайне важно, поскольку многие государственные учреждения также принимают участие в работе этого Центра, что позволяет нам заранее получать информацию о возникающих угрозах». Equifax также участвует в работе нескольких других отраслевых групп и взаимодействует с аналогичными предприятиями.

Двадцать восемь процентов опрошенных в числе основных причин, по которым они отказываются от сотрудничества, называют обеспокоенность в связи с увеличением числа уязвимостей периметра безопасности, боязнь того, что конкуренты воспользуются полученной информацией в своих интересах, а также прямое недоверие своим конкурентам (рис. 12). Наконец, 22% респондентов не знают о том, сотрудничает ли их организация с другими участниками рынка.

Рисунок 12. Причины отсутствия сотрудничества по вопросам безопасности

Что препятствует развитию систем безопасности?

Хотя большинство лиц, заинтересованных в укреплении систем безопасности, и согласны с тем, что необходимо принимать меры по усилению информационной защиты, они до сих пор не могут прийти к общему пониманию того, какие меры необходимы для преодоления существующих барьеров.

Мы попросили участников исследования назвать самые существенные препятствия, которые мешают им повысить уровень информационной безопасности в их компаниях. В итоге мы получили множество противоречивых мнений, причем в некоторых случаях респонденты пытались найти виноватых вместо того, чтобы проанализировать реальные причины.

В целом участники опроса отметили, что в число наиболее существенных препятствий входит недостаток капитального финансирования, отсутствие четкого понимания того, какое влияние на состояние информационной безопасности окажут будущие потребности бизнеса, недостаток целеустремленных лидерских идей, а также отсутствие эффективной стратегии безопасности (рис. 13).

Рисунок 13. Основные препятствия на пути к созданию эффективной системы безопасности

Тенденция роста бюджетов на обеспечение безопасности в этом году может привести к решению проблем с финансированием. При этом вызывает беспокойство, что такие ключевые вопросы, как понимание принципов безопасности, приведение их в соответствие с будущими потребностями бизнеса, а также обеспечение эффективности стратегий безопасности, по-прежнему входят в число ключевых проблем. Респонденты также весьма часто называют высшее руководство, особенно генеральных директоров, в качестве основного препятствия на пути к повышению уровня безопасности.

Но кого же тогда винят во всем генеральные директора? Любопытно отметить, что генеральные директора в основном называли главным препятствием самих себя. Финансовые директора называли генеральных директоров в качестве основного барьера для развития информационной безопасности. За гендиректорами в этом списке следовали директора по информационным технологиям, информационной безопасности и общей безопасности. По мнению директоров по информационной безопасности, несущих прямую ответственность за системы информационной защиты, список основных препятствий возглавляет недостаточное финансирование (как капитальное, так и операционное), второе место занимает недостаток компетенций и технического опыта у специалистов компании. Директора по информационным технологиям считают, что развитию систем защиты информации мешает отсутствие эффективной стратегии и общей концепции развития, а также недостаток лидерского участия генеральных директоров и руководителей, отвечающих за обеспечение безопасности.

Дэвид Берг, руководящий сотрудник PwC., уверен: «Отсутствие четкого понимания всей картины препятствий, стоящих на пути к построению эффективной системы безопасности, отчасти показывает, что бизнес не вполне готов к ведению адекватного диалога по вопросам информационной защиты. Такой диалог помогает сотрудникам, руководителям и третьим лицам понять свои функции в рамках систем информационной безопасности, а также осознать ключевые приоритеты и наиболее опасные риски. Для того чтобы достигнуть устойчивого понимания принципов безопасности, компаниям также потребуется заручиться полной поддержкой высшего руководства, в том числе генерального директора и совета директоров. Обсуждение проблем безопасности должно иметь непрерывный характер».

Мировая гонка в области кибербезопасности

В течение нескольких лет Азиатско-Тихоокеанский регион был лидером по инвестициям в развитие технологий и процессов обеспечения безопасности, а также по расходованию средств на эти цели. В результате данный регион оторвался от остальных в вопросах разработки и внедрения эффективных программ защиты информации (рис. 14).

Рисунок 14. Меры по обеспечению безопасности в разбивке по регионам

а данный момент этот регион продолжает лидировать в сфере информационной безопасности. Фактически 28% компаний, которых мы считаем лидерами, представляют Азиатско-Тихоокеанский регион, а это лишь 21% от общего числа участников исследования.

Южная Америка стремится догнать Азиатско-Тихоокеанский регион, лидирующий в области информационной защиты. Впервые за все время Южная Америка оказалась близка к лидерству по объемам инвестиций в системы информационной безопасности, политике в этой сфере и характеру принимаемых защитных мер. Этот континент занимает ведущее положение по многим аспектам, включая уровень затрат на цели безопасности и количество штатных директоров по информационной безопасности, ответственных за контроль защитных систем. По многим другим аспектам Южная Америка не отстает от своего азиатско-тихоокеанского соперника.

И тем не менее Азиатско-Тихоокеанский регион продолжает занимать уверенные позиции в вопросах бюджета на безопасность и передовых методов работы. Европа и Северная Америка, в свою очередь, во многом отстают от своих соперников, в том числе в таких областях, как введение должности директора по информационной безопасности, внедрение политики по резервному копированию и восстановлению данных (обеспечению непрерывности бизнеса), а также сотрудничество с другими игроками рынка. Северная Америка демонстрирует успехи в ряде областей, добившись от третьих сторон соответствия установленным требованиям политики конфиденциальности, обеспечив высокий уровень информированности сотрудников и организовав обучение персонала по вопросам безопасности. Вместе с тем этот регион продолжает отставать по многим другим показателям.

Азиатско-Тихоокеанский регион: по-прежнему в лидерах

Азиатско-Тихоокеанский регион продолжает занимать лидирующее положение по таким показателям, как бюджет на безопасность и методы работы. Инвестиции в укрепление систем безопасности также остаются на высоком уровне: ередний объем бюджетов на безопасность увеличился на 85% за прошедший год. Азиатско-Тихоокеанский регион также продемонстрировал самый высокий показатель доли бюджета на информационную безопасность от общих затрат на информационные технологии - 4,3%. Респонденты рисуют вполне радужную картину будущих затрат на обеспечение информационной безопасности: 60% опрошенных утверждают, что бюджет на защиту данных в их компаниях будет увеличен в течение следующих 12 месяцев. Вместе с тем, средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос на 28% за прошедший год.

Азиатско-Тихоокеанский регион имеет равные с Южной Америкой позиции по ключевым направлениям политики, таким как: наличие в штате должности директора по информационной безопасности в целях контроля программы защиты данных. Регион также отличается стремлением к применению новых прогрессивных мер безопасности, среди которых назначение директора, отвечающего за информирование персонала о важности информационной безопасности (69%), и сотрудничество с другими игроками рынка в целях повышения уровня безопасности (59%). В регионе, если сравнивать его с Южной Америкой, по всей вероятности, будут внедрены технологии, направленные на обнаружение фактов взлома систем защиты (67%), и будут созданы системы для сбора, передачи и хранения всех персональных данных (60%).

Вместе с тем динамика ежегодных изменений показывает, что в Азиатско-Тихоокеанском регионе отмечается замедление в области внедрения некоторых направлений политики и технологий обеспечения безопасности. Например, число респондентов, которые ответили, что у них существует политика в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации, за последний год сократилось. При этом другие основные направления политики, такие как обучение сотрудников и процедуры защиты интеллектуальной собственности, фактически не развиваются.

На долю Китая в этом исследовании приходится 33% респондентов из Азиатско-Тихоокеанского региона, за Китаем следуют Индия (31%) и Япония (17%). По большинству показателей Китай значительно опережает другие страны в развитии практики и политики в области обеспечения безопасности. Например, 60% респондентов в Китае используют инструменты поведенческого мониторинга и контроля, 73% осуществляют централизованное хранение пользовательских данных, а 72% используют сканеры для выявления уязвимых мест - по всем указанным показателям Китай опережает другие страны. Шестьдесят два процента (62%) респондентов в Китае применяют технологии, обеспечивающие защиту и обнаружение целенаправленных устойчивых угроз, а 66% внедрили технологии защиты информации и управления событиями - все эти показатели выше, чем в других странах. Более того, ни одна из стран не внедрила политику по безопасности мобильных устройств, по использованию личных портативных устройств на работе и по использованию социальных сетей на более высоком уровне, чем Китай. Например, 71% респондентов в Китае имеют политику по использованию персональных устройств в корпоративных сетях, тогда как в США таких респондентов оказалось 64%, а в Индии - 54%. По сравнению c Китаем Индия демонстрирует убедительные достижения в сфере реализации программ и политики безопасности, но отстает от Китая почти по всем показателям.

Южная Америка: новый лидер с юга

Южная Америка демонстрирует значительные достижения по уровню расходов на обеспечение безопасности, внедрению политики и технологий в этой сфере. По многим показателям данный регион сопоставим с Азиатско-Тихоокеанским регионом, а иногда и опережает его.

Например, бюджеты на информационную безопасность за последний год резко увеличились - на 69%, а 66% респондентов в Южной Америке отмечают, что расходы на безопасность возрастут в течение последующих 12 месяцев. Бюджеты на обеспечение безопасности составляют 4,1% от общих расходов на информационные технологии, при этом более высокий показатель отмечен только в Азиатско-Тихоокеанском регионе. Респонденты в Южной Америке активнее приглашают на работу директоров по информационной безопасности (75%) и следуют политике в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (58%). Этот континент является лидером в области сотрудничества (66%) и поддерживает тесные связи с Азиатско-Тихоокеанским регионом в сфере реализации прогрессивных направлений политики безопасности, таких как наличие в штате организации директора, отвечающего за информирование сотрудников о важности информационной безопасности (68%). Средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос незначительно (на 4%) по сравнению с прошлым годом.

Доля респондентов из Бразилии оказалась самой большой в Южной Америке (48% от общего числа), затем следует Мексика (30%) и Аргентина (21%). Бразилия является лидером по ряду показателей, например в категории поведенческого мониторинга и контроля (57%), а также использования сканеров для выявления уязвимых мест в системах и сетях (63%), но в целом она отстает от Китая и США.

Южная Америка продемонстрировала некоторые слабые стороны. Например, доля респондентов, которые отметили, что в их организации существует политика обучения персонала в сфере информационной безопасности, оказалась сравнительно небольшой (54%), как и доля тех, кто ведет учет регионов, где осуществляется сбор, передача и хранение персональных данных (53%).

Европа: отставание в области финансирования и мер защиты

UB отличие от других регионов, в Европе за последний год инвестиции в информационную безопасность немного сократились (3%), и этот континент продолжает отставать в реализации важнейших мер по обеспечению информационной безопасности.

Наряду с небольшим сокращением инвестиций на обеспечение безопасности, только 46% респондентов в Европе считают, что уровень расходов на обеспечение безопасности в последующие 12 месяцев возрастет. И если число выявленных инцидентов в сфере безопасности снизилось за последний год на 22%, то средний размер финансовых убытков, вызванных такими инцидентами, повысился на 28%.

Внедрение существенных направлений политики, в том числе в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (45%), а также в сфере обучения и информирования сотрудников по вопросам информационной безопасности (21%), оказалось в Европе на сравнительно низком уровне. Кроме этого, небольшое число респондентов ответили, что они сотрудничают с другими компаниями (45%) и следуют политике в области мобильной безопасности (38%).

Северная Америка: в отстающих и в лидерах одновременно

Инвестиции в обеспечение безопасности стремительно растут в Северной Америке, как и число выявленных нарушений систем безопасности. И хотя далеко не все ключевые направления политики в области безопасности внедрены, Северная Америка является лидером в ряде важных областей.

Средний размер бюджета на обеспечение безопасности возрос за последний год на 80%, однако перспективный бюджет по расходованию средств в следующем году является наименьшим среди всех регионов: только 17% респондентов в Северной Америке ожидают увеличения расходов в области информационной безопасности в ближайший год. Количество выявленных нарушений системы безопасности возросло на 117% за 2012 год, а средняя сумма финансовых потерь, возникших в результате инцидентов в сфере безопасности, увеличилась на 48%.

Северная Америка является лидером среди других регионов по целому ряду направлений, таких как: наличие общей стратегии в сфере безопасности (81%), введение требования о соблюдении третьими сторонами политики конфиденциальности и неразглашения информации (62%) и обучение персонала по вопросам безопасности (64%). Кроме этого, в регионе высока вероятность учета, сбора, передачи и хранения персональных данных (64%), а также применения технологий обнаружения вторжений (67%).

Среди недостатков отметим следующее: Северная Америка отстает по таким направлениям, как сотрудничество с другими участниками рынка (42%) и наличие в штате компаний директора по информационной безопасности (65%). В Северной Америке меньшее число респондентов проанализировало эффективность мер по обеспечению безопасности в своих компаниях в прошедшем году.

США, на которые приходится 84% североамериканских респондентов, оказались среди лидеров в области стратегий развития облачных технологий (52%), безопасности мобильных устройств (60%), социальных сетей (58%) и использования личных портативных устройств на работе (64%), уступая лишь Китаю в большинстве категорий.

Что это значит для вашего бизнеса

В «Глобальном исследовании по вопросам информационной безопасности. Перспективы на 2014 год» отражается состояние систем информационной безопасности в период неопределенности, когда все замерли в ожидании перемен, но при этом пытаются сохранить существующее положение дел. Респонденты отмечают прогресс в применении современных средств безопасности, с одной стороны, а с другой - уделяют недостаточное внимание таким ключевым стратегиям, как защита прав интеллектуальной собственности. При этом они вновь готовы инвестировать средства в обеспечение безопасности, но не имеют четкого представления о том, как именно следует совершенствовать существующую практику.

Если принять во внимание значительные изменения и проблемы, вызванные появлением всё новых угроз для экосистемы бизнеса, совсем не удивительно, что на вопрос о том, в каком направлении нужно двигаться дальше, нет однозначного ответа.

Одно очевидно: прежние средства защиты уже неэффективны в борьбе с новыми, стремительно возникающими сегодня угрозами. А риски завтрашнего дня представляются в лучшем случае неопределенными, а в худшем - губительными, но в любом случае они потребуют разработки абсолютно новой модели обеспечения информационной безопасности.

Мы предлагаем современный подход к пониманию того, какой может быть модель безопасности, основанная на понимании природы и источников угроз, а также на знании того, какие ресурсы имеются у компании. При наличии такой модели нарушения в области безопасности воспринимаются как чрезвычайно опасный для бизнеса риск, который не всегда можно предотвратить, но которым можно управлять, удерживая его на приемлемом для организации уровне.

Мы назвали такую модель «От осознания - к действию». По сути, такой подход основан на четырех ключевых принципах:

• Обеспечение безопасности - жизненно важная для бизнеса задача. Создание эффективной системы безопасности требует, чтобы вы понимали уровень риска и возможные последствия, связанные с работой в условиях существования интегрированной международной экосистемы бизнеса. Комплексная стратегия безопасности должна стать важнейшим элементом вашей бизнес-модели; безопасность перестала быть всего лишь одной из задач в области ИТ.
• Угрозы для безопасности являются бизнес-рисками. Риски, связанные с безопасностью, следует рассматривать как угрозы для самой организации. Чрезвычайно важно прогнозировать такие угрозы, понимать уязвимые места своей организации, уметь выявлять связанные с ними риски и управлять такими рисками. Необходимо, чтобы поставщики, партнеры и другие третьи лица были ознакомлены с вашей политикой и практикой в области безопасности и были согласны следовать им.
• Защита наиболее важной информации. Для создания эффективной системы безопасности вы должны иметь четкое представление о характере меняющихся угроз и уметь адаптироваться к ним путем определения, какая информация является для вас наиболее ценной. Вы должны знать, где находится эта «драгоценная» информация, кто имеет к ней доступ в любое время, и умело распределять в приоритетном порядке ресурсы вашей организации в целях защиты наиболее ценной информации.
• Преимущества модели «От осознания - к действию».

Применение этой новой модели информационной безопасности предполагает, что в основе любой деятельности и инвестиционных решений должно быть четкое понимание того, что представляют собой имеющиеся в организации информационные ресурсы, какие существуют угрозы для экосистемы бизнеса, какие участки системы наиболее уязвимы, а также каковы результаты мониторинга деятельности организации. Вам необходимо сформировать в своей организации культуру, направленную на обеспечение безопасности, таким образом, чтобы она охватывала всех сотрудников, начиная с высших должностных лиц, принимающих на себя обязательство по обеспечению безопасности, и заканчивая каждым сотрудником и всеми третьими лицами. При этом необходимо сотрудничать с государственными учреждениями и частными компаниями для более эффективного обмена информацией о возникающих угрозах для безопасности.

Мы поможем вам понять последствия применения этого нового подхода к вопросу информационной безопасности и окажем содействие по внедрению принципов, лежащих в основе такого подхода, с учетом индивидуальных потребностей вашего бизнеса и отрасли, а также с учетом угроз, характерных для вашей бизнес-среды. Мы продемонстрируем вам, как можно успешно противостоять сегодняшним угрозам безопасности и эффективно планировать защиту против тех угроз, которые возникнут завтра.

«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.

«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: Журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.

Ocean Tomo, Ежегодное исследование рыночной стоимости нематериальных активов (Ocean Tomo), апрель 2011 года

Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.

Информационная безопасность. Курс лекций Артемов А. В.

Вопрос 1. Состояние вопросов обеспечения информационной безопасности

В настоящее время вопросы ИБ в вузах стали принимать все более актуальное значение. Следует вспомнить, что проблема компьютерных правонарушений зародилась именно в вузах (например, вирус Морриса). По оценкам МВД число компьютерных преступлений за предыдущий год в России возросло в 4 раза. Анализ сообщений в Интернет относительно уголовных правонарушений по статьям компьютерных преступлений показал, что фактически все они были совершены студентами. Кроме того, множество инцидентов находятся на грани компьютерных преступлений. Помимо сетевых атак, в последнее время возникло такое явление, как информационное противостояние студентов в Интернет, например: ведение неофициальных сайтов вузов (mgtu.ru), выкладывание компрамата на преподавателей, «реферативная» поддержка и т. д.

В настоящее можно насчитать около двух десятком вузов, где активно ведутся работы в области ИБ и создали подготовку по специальностям ИБ. Пять вузов имеют действительные лицензии Гостехкомиссии России на преподавание спецкурсов, а также разработку средств защиты информации. Однако в большинстве вузов вопросам всестороннему обеспечению ИБ уделяют недостаточное внимание. Представленный в Интернет обзор по ИТ-технологиям в вузах (http://www.cnews.ru/education) позволяет сделать вывод, что их внедрение находится на самом раннем этапе развития.

Из книги Информационная безопасность человека и общества: учебное пособие автора Петров Сергей Викторович

2.3. Место информационной безопасности в системе национальной безопасности России В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей

Из книги Засады, подставы и другие хитрости инспекторов ГИБДД автора Кузьмин Сергей

Глава 3 ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской

Из книги Сертификация сложных технических систем автора Смирнов Владимир

4.1. Конституция РФ и Доктрина информационной безопасности РФ о правовом обеспечении информационной сферы Проблема правового регулирования отношений в сфере обеспечения информационной безопасности является для России одной из важнейших. От ее решения во многом зависит

Из книги Информационная безопасность. Курс лекций автора Артемов А. В.

4.5. Международное сотрудничество России в области обеспечения информационной безопасности Международное сотрудничество РФ в области обеспечения информационной безопасности – неотъемлемая составляющая политического, военного, экономического, культурного и других

Из книги автора

ПРАВИЛА ОСВИДЕТЕЛЬСТВОВАНИЯ ЛИЦА, КОТОРОЕ УПРАВЛЯЕТ ТРАНСПОРТНЫМ СРЕДСТВОМ, НА СОСТОЯНИЕ АЛКОГОЛЬНОГО ОПЬЯНЕНИЯ И ОФОРМЛЕНИЯ ЕГО РЕЗУЛЬТАТОВ, НАПРАВЛЕНИЯ УКАЗАННОГО ЛИЦА НА МЕДИЦИНСКОЕ ОСВИДЕТЕЛЬСТВОВАНИЕ НА СОСТОЯНИЕ ОПЬЯНЕНИЯ, МЕДИЦИНСКОГО ОСВИДЕТЕЛЬСТВОВАНИЯ

Из книги автора

7.6. Методы и средства информационной поддержки систем обеспечения качества

Из книги автора

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем

Из книги автора

Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности Рассматривая Концепцию национальной безопасности России, утвержденную Указом Президента РФ от 17.12.97 № 1300 (в ред. от 10.01.2000), которая отражает названную «Окинавскую хартию

Из книги автора

Вопрос 3. Современные угрозы информационной безопасности в России Согласно Закону о безопасности под угрозой безопасности понимается совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Концепция

Из книги автора

Лекция 4 Методика построения корпоративной системы обеспечения информационной безопасности Учебные вопросы:1. Разновидности аналитических работ по оценке защищенности.2. Модель и методика корпоративной системы защиты информации.3. Формирование организационной

Из книги автора

Лекция 6 Основы обеспечения информационной безопасности в банковской сфере Учебные вопросы:1. Особенности информационной безопасности банков2. Анализ состояния банковских автоматизированных систем сточки зрения безопасности3. Принципы защиты банковских

Из книги автора

Вопрос 1. Особенности информационной безопасности банков Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная

Из книги автора

Вопрос 1. Обобщенная модель процессов информационной безопасности Общими моделями систем и процессов защиты информации названы такие, которые позволяют определять (оценивать) общие характеристики указанных систем и процессов в отличие от моделей локальных и частных,

Из книги автора

Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ Функционирование АСУ, обеспечивающее реализацию технологии автоматизированного управления сложными процессами в распределенной системе, должно основываться на плановом начале с

Из книги автора

Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории

Из книги автора

Лекция 11 Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений Учебные вопросы:1. Состояние вопросов обеспечения информационной безопасности.2. Угрозы и уязвимости КСУЗ.3. Этапы построения БКСУЗ.4. Направление

ГОСТ Р ИСО/МЭК 17799:2005 «Информационная технологии. Практические правила управлении информационной безопасностью»

Рассмотрим теперь содержание стандарта ИСО/МЭК 17799 . Во введении указывается, что «информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации». Таким образом, можно говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с точки зрения экономического эффекта.

Указываются три группы факторов, которые необходимо учитывать при формировании требований в области информационной безопасное™:

• - оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
• - юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
• - специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации. После того как определены требования, идет этап выбора и

внедрения мероприятий по управлению информационной безопасностыо, которые обеспечат снижение рисков до приемлемого уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации, эффекта от снижения рисков и возможных убытков в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий приводится в стандарте, но отмечается, что он может быть дополнен или сформирован самостоятельно исходя из потребностей организации.

Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.

Следующий раздел затрагивает организационные вопросы, связанные с обеспечением информационной безопасности. Стандарт рекомендует создавать управляющие советы (с участием высшего руководства компании) для утверждения политики безопасности, назначения ответственных лиц, распределения обязанностей и координации внедрения мероприятий но управлению информационной безопасностью в организации. Также должен быть описан процесс получения разрешений на использование в организации средств обработки информации (в т. ч. нового программного обеспечения и аппаратуры), чтобы это нс привело к возникновению проблем с безопасностью. Требуется определить и порядок взаимодействия с другими организациями по вопросам информационной безопасности, проведения консультаций с «внешними» специалистами, независимой проверки (аудита) информационной безопасности.

При предоставлении доступа к информационным системам специалистам сторонних организаций необходимо особое внимание уделить вопросам безопасности. Должна быть проведена оценка рисков, связанных с разными типами доступа (физическим или логическим, г. е. удаленным) таких специалистов к различным ресурсам организации. Необходимость предоставления доступа должна быть обоснована, а в договоры со сторонними лицами и организациями должны быть включены требования, касающиеся соблюдения политики безопасности. Аналогичным образом предлагается поступать и в случае привлечения сторонних организаций к обработке информации (аутсорсинга).

Следующий раздел стандарта посвящен вопросам классификации и управления активами. Для обеспечения информационной безопасности организации необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация активов:

• - информационные (базы данных и файлы данных, системная документация и т. д.);
• - программное обеспечение (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
• - физические акгивы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
• - услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).

Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость и степень ее защиты. При этом можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого предлагается разработать и внедрить процедуру маркировки при обработке информации. Для каждого уровня классификации следует определять процедуры маркировки, для того чтобы учесть следующие типы обработки информации:

• - копирование;
• - хранение;
• - передачу по почте, факсом и электронной почтой;
• - передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
• - уничтожение.

Раздел 6 рассматривает вопросы безопасности, связанные с персоналом. Стандартом определяется, чтобы обязанности по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры, и проводился их мониторинг в течение всего периода работы сотрудника. В частности, при приеме в постоянный штат рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность сотрудников, нарушивших политику и процедуры безопасности организации. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы.

Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски. Кроме того, должен быть определен порядок информирования о нарушениях информационной безопасности, с которым необходимо ознакомить персонал. Аналогичная процедура должна задействоваться в случаях сбоев программного обеспечения. Подобные инциденты требуется регистрировать и проводить их анализ для выявления повторяющихся проблем.

Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что «средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия». Кроме организации контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа посетителей. Необходимо также обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.

С целью минимизации риска неавгоризованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации рекомендуется внедрить политику «чистого стола» в отношении бумажных документов и сменных носителей данных, а также политику «чистого экрана» в отношении средств обработки информации. Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.

Название раздела 8 - «Управление передачей данных и операционной деятельностью». В нем требуется, чтобы были установлены обязанности и процедуры, связанные с функционированием всех средств обработки информации. Например, должны контролироваться изменения конфигурации в средствах и системах обработки информации. Требуется реализовать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей.

Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения (ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.

Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт.

Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие и перспективные планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы.

Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые «черви», «троянские кони» и логические бомбы. Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.

Должен быть определен порядок проведения вспомогательных операций, к которым относится резервное копирование программного обеспечения и данных, регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.

Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры требуется внедрение средств контроля безопасности и защита подключенных сервисов от неавторизованного доступа.

Особое внимание уделяется вопросам безопасное™ носителей информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок использования сменных носителей компьютерной информации (порядок контроля содержимого, хранения, уничтожения и т. д.). Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать.

С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться.

Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству. В частности, должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем. Следует уделять внимание защите целостности информации, опубликованной электронным способом, например, информации на Web-сайте. Также необходим соответствующий формализованный процесс авторизации, прежде чем такая информация будет сделана общедоступной.

Следующий раздел стандарта посвящен вопросам контроля доступа. В нем требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных требований.

При использовании парольной аутентификации необходимо осуществлять контроль в отношении паролей пользователей. В частности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями (принудительная смена пароля после первого входа в систему и т. д.).

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлинности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации. Также должна контролироваться безопасность использования сетевых служб.

Многие сетевые и вычислительные устройства имеют встроенные средства удаленной диагностики и управления. Меры обеспечения безопасности должны распространяться и на эти средства.

В случае, когда сети используются совместно несколькими организациями, должны быть определены требования политики контроля доступа, учитывающие это обстоятельство. Также может потребоваться внедрение дополнительных мероприятий по управлению информационной безопасностью, чтобы ограничивать возможности пользователей по подсоединению.

На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам. Это относится к идентификации и аутентификации терминалов и пользователей. Рекомендуется, чтобы все пользователи имели уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества. Использование системных утилит должно быть ограничено и тщательным образом контролироваться.

Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия (если такое событие оценивается как вероятное). При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.

Терминалы, обслуживающие системы высокого риска, при размещении их в легкодоступных местах должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.

На уровне приложений также необходимо применять меры обеспечения информационной безопасности. В частности, это может быть ограничение доступа для определенных категорий пользователей. Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой.

Для обнаружения отклонения от требований политики контроля доступа и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы. Результаты мониторинга следует регулярно анализировать. Журнал аудита может использоваться для расследования инцидентов, поэтому достаточно важной является правильная установка (синхронизация) компьютерных часов.

При использовании переносных устройств, например, ноутбуков, необходимо принимать специальные меры противодействия компромегации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.

Десятый раздел стандарта называегся «Разработка и обслуживание систем». Уже на этапе разработки информационных систем необходимо обеспечить учет требований безопасности. А в процессе эксплуатации системы требуется предотвращать потери, модификацию или неправильное использование пользовательских данных. Для этого в прикладных системах рекомендуется предусмотрегь подтверждение корректности ввода и вывода данных, контроль обработки данных в системе, аугентификацию сообщений, протоколирование действий пользователя.

Для обеспечения конфиденциальности, целостности и аутентификации данных могут быть использованы крипгофафические средства защиты.

Важную роль в процессе защиты информации ифает обеспечение целостности программного обеспечения. Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений. Периодически возникает необходимость внести изменения в операционные системы. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Насколько возможно, готовые пакеты программ рекомендуется использовать без внесения изменений.

Связанным вопросом является противодействие «троянским» программам и использованию скрытых каналов утечки. Одним из методов противодействия является использование про]раммного обеспечения, полученного от доверенных поставщиков, и контроль целостности системы.

В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо предусмотреть меры по контролю качества и правильности выполненных работ.

Следующий раздел стандарта посвящен вопросам управления непрерывностью бизнеса. На начальном этапе предполагается идентифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т. п.). При этом нужно провести оценку последствий, после чего разработать планы восстановления. Адекватность планов должна быть подтверждена тестированием, а сами они должны периодически пересматриваться, чтобы учитывать происходящие в системе изменения.

Заключительный раздел посвящен вопросам соответствия требованиям. В первую очередь, эго касается соответствия системы и порядка ее эксплуатации требованиям законодательства. Сюда относятся вопросы соблюдения авторского права (в том числе, на программное обеспечение), защиты персональной информации (сотрудников, клиентов), предотвращения нецелевого использования средств обработки информации. При использовании криптографических средств защиты информации, они должны соответствовать действующему законодательству. Также должна быть досконально проработана процедура сбора доказательств па случай судебных разбирательств, связанных с инцидентами в области безопасности информационной системы.

Сами информационные системы должны соответствовать политике безопасности организации и используемым стандартам. Безопасность информационных систем необходимо регулярно анализировать и оценивать. В то же время требуется соблюдать меры безопасности и при проведении аудита безопасности, чтобы это не привело к нежелательным последствиям (например, сбой критически важного сервера из-за проведения проверки).

Подводя итог можно отметить, что в стандарте рассмотрен широкий круг вопросов, связанных с обеспечением безопасности информационных систем, и по ряду направлений даются практические рекомендации.

• В качестве примера можно назвать пароли для входа «под принуждением». Если пользователь вводит такой пароль, система отображает процессобычного входа пользователя, после чего имитируется сбой, чтобы нарушители не смогли получить доступ к данным.