Безопасность корпоративного информационного пространства-2008

Владимир УЛЬЯНОВ, руководитель аналитического центра Perimetrix

Ключевые выводы

• Большинство организаций (92,5%) имеют собственную политику информационной безопасности (ИБ), которая регулярно совершенствуется (85,7%). Однако мало чей документ охватывает все существующие аспекты безопасности. Только 44,7% компаний касаются в политике вопросов обеспечения непрерывности бизнеса. И лишь 43,2% организаций уделяют внимание классификации данных.
• 57,1% российских компаний внедрили у себя систему управления инцидентами ИБ. Однако лишь в 23,1% случаев она является самостоятельной системой.
• Ни одна из опрошенных организаций не доверяет обслуживание инцидентов безопасности сторонним компаниям.
• Во многих организациях функции отделов ИТ и И Б тесно переплетены в рамках одного подразделения. Так, только в 37,5% компаний обслуживанием инцидентов безопасности занимаются специалисты ИБ. В остальных организациях для этого привлекаются сотрудники ИТ.
• Отечественные организации хорошо защищены от вирусов (95,7% компаний), хакерских атак (91,7%), но уязвимы для собственных работников (40,9%).
• Аудитом ИБ пренебрегает почти половина (47,8%) организаций.

Портрет респондента

Большую часть респондентов исследования (рис. 1) составляет руководящий состав (60%). Самая многочисленная группа (40%) - руководители подразделений различного уровня. Еще 20% - это управляющие и владельцы компаний. Технические специалисты насчитывают 22,5% участников. То есть костяк составляют именно те люди, которые работают над вопросами ИБ, поднятыми в данном исследовании.

Политика ИБ

Радует тот факт, что почти все компании (92,5%), принявшие участие в исследовании, имеют свою политику ИБ. В деле обеспечения безопасности основное внимание традиционно сосредотачивалось на технической стороне вопроса (выбор оборудования или ПО). На разработку же сопутствующего документа не оставалось ни сил, ни времени, ни желания. Подобный подход в корне неверен. Ведь политика И Б отнюдь не приложение к реализованным методам защиты. Это стратегия поведения организации в области ИБ, предусматривающая целый комплекс мероприятий. Именно политика должна лежать в основе любого проекта по безопасности.

В вопросе о том, какие аспекты затрагивает политика ИБ (рис. 2) в компаниях, бросается в глаза кучное распределение ответов респондентов. Фактически все варианты уместились в узком промежутке от 30 до 55%. Такие результаты указывают, прежде всего, на то, что в сумме компании уделяют внимание всем вопросам обеспечения безопасности, не оставляя ни один из них в стороне. В то же время компания редко охватывает все аспекты в рамках своего стандарта.

Крайне мало внимания уделяется классификации данных (43,2%). Между тем на классификации основываются многие другие методы защиты информации, в том числе разграничение доступа (51,4%). Получается, примерно в половине компаний не регламентируют доступ к корпоративным данным. О какой же безопасности можно говорить дальше? Мало голосов набрали и меры обеспечения непрерывности бизнеса (44,7%). При этом в некоторых организациях отказ ИТ-операций и простой в течение всего нескольких минут может привести к многомиллионным убыткам.

В то же время можно объяснить низкую популярность некоторых других аспектов безопасности. Например, используемые защитные средства затрагивает политика безопасности 33,9% компаний-респондентов. Действительно, инструменты, реализующие защиту на практике, довольно часто меняются. Поэтому, может быть, целесообразно прописать эти временные средства не в самой политике ИБ, а в отдельном документе.

Отметим, что в 85,7% компаний существуют формальные процессы по совершенствованию и изменению политики безопасности. Это очень важный момент. Дело в том, что современные угрозы безопасности очень изменчивы. Ответом на изменяющиеся угрозы должны становиться новые методы борьбы, отраженные в политике ИБ. Любая, даже самая замечательная и тщательно проработанная стратегия безопасности быстро устаревает и становится бессильной перед новыми информационными угрозами.

Что касается контроля над исполнением политик безопасности, в компаниях преобладают организационные (82,1%), а не технологические (71,4%) методы. Вероятно, первые проще реализовать. Но эффективность организационных методов будет ниже. Для беспристрастной оценки лучше использовать технологические возможности, основанные на автоматизированных системах.

Управление инцидентами ИБ

Переходя к практическим аспектам исследования, отметим, что и с реализаций мероприятий по безопасности существуют определенные сложности.

Так, почти в половине компаний (42,9%) отсутствуют системы управления инцидентами ИБ. Но тогда каким образом происходит выявление инцидентов? Вероятно, этим вручную занимаются сотрудники служб ИТ и ИБ. Данный подход тоже имеет право на существование, однако эффективность такой работы остается низкой. Большое количество инцидентов происходит незамеченными. Кроме того, при таком подходе практически невозможно выявить инцидент в реальном времени. Значит, остается расследовать инцидент постфактум и устранять все его последствия.

Но даже в тех организациях, где система управления инцидентами внедрена, она чаще всего (в 76,9% случаев) совмещена с системой управления ИТ-инцидентами. Здесь мы видим пресловутое смешание функций ИТ и ИБ в одном департаменте или даже подразделении, что неверно в принципе. Для обеспечения качественной защиты, ИТ- и ИБ-отделы должны быть разделены и подчиняться разным людям из состава руководства организаций. Иначе в компаниях неизменно будут присутствовать люди, наделенные сверхполномочиями. В идеальном случае сотрудники ИТ вообще не должны иметь преимуществ перед работниками профильных отделов. Конечно, на практике это пока недостижимо, но разделить полномочия ИТ и ИБ вполне можно и даже нужно.

В продолжение обсуждения поднятой проблемы обратимся к вопросу о том, кто занимается инцидентами (рис. 3). Видим ту же картину. Всего около трети организаций (37,5%) имеют полноценные подразделения ИБ, которые занимаются обслуживанием инцидентов. Еще в 37,5% организаций возможности служб ИБ ограничены, и инцидентами безопасности занимаются работники ИТ. В 25% компаний сотрудники ИБ либо отсутствуют в принципе, либо занимаются не только инцидентами.

Еще один немаловажный вывод: отдавать безопасность на аутсорсинг российские компании не готовы. Несмотря на то что в зарубежной практике передать обслуживание инцидентов третьей стороне означает сократить расходы для небольших фирм, в России сторонним экспертам по безопасности попросту не доверяют.

Как видно из ответов на следующий вопрос (рис. 4), в компаниях по-разному определяют инциденты безопасности. Большинство (66,7%) идентифицируют инцидент как попытку нарушения конфиденциальности. Между тем нарушение целостности или отказ доступа -это тоже очень серьезные проблемы, которые напрямую связаны с вопросами обеспечения непрерывности бизнеса. Таким образом, любой из перечисленных сценариев следует считать инцидентом ИБ.

Угрозы и средства защиты

Пожалуй, самая интересная часть исследования касается основных угроз ИБ и средств борьбы с ними.

Ровно две трети компаний (66,7%) инструктируют своих работников по поводу возникновения инцидентов безопасности на рабочих местах. В то же время оставшаяся треть организаций совершенно пренебрегает обучением сотрудников. При этом, как показывает практика, большое количество утечек информации происходит не из-за злонамеренных инсайдеров, а по неосмотрительности или халатности лояльных в целом работников.

К сожалению, менее половины компаний (46,7%), в которых разработаны программы информирования сотрудников, проводят для них периодические тренинги (рис. 5). В оставшихся 53,3% ограничиваются одноразовым инструктажем, видимо, при приеме на работу. Однако повторенье - мать ученья. Поэтому обучение работников основам ИБ необходимо проводить не реже, чем раз в год.

Как уже отмечалось выше, в основе системы ИБ лежит классификация данных и разграничение доступа. Каким же образом на предприятиях осуществляется контроль доступа (рис. 6)? Большинство (39,1%) производят контроль на сетевом уровне. Еще 26,1% применяют специальные системы. Однако контроль доступа должен быть многоуровневым. Если, к примеру, пользователь авторизовался в операционной системе, это не значит, что он автоматически получает доступ ко всем приложениям.

Что касается вопроса об использовании антивирусной защиты, остается лишь констатировать, что от вредоносных программ компании защищены хорошо. Лишь 4,3% организаций не используют централизованную систему антивирусной защиты. Довольно опрометчиво. Персональные антивирусы, установленные на отдельные рабочие станции, хоть и являются достаточно эффективным средством для домашнего применения, но не гарантируют защиты сетевых ресурсов и, кроме того, сложны для администрирования.

Также организации хорошо защищены от вторжений извне (рис. 7). Только 8,3% компаний не используют системы обнаружения и предотвращения вторжений. Картина кардинально меняется при переходе к внутренним угрозам. Большинство фирм уязвимы для собственных сотрудников. Лишь 40,9% организаций применяют DLP-решения для защиты от инсайдеров.

Объяснить сложившуюся ситуацию несложно. Несмотря на то что внутренние угрозы различными авторитетными организациями признаются наиболее опасными и самыми страшными по масштабу убытков, опыта борьбы с инсайдерами многие компании не имеют. Зато область внешних угроз, хакерских атак, различного вредоносного кода хорошо изучена специалистами за предыдущие годы.

Аудит ИБ

Аудит является немаловажным мероприятием при построении систем ИБ. Ведь и в процессе разработки политики ИБ, и на этапах внедрения различных технических систем могут возникать ошибки или недоработки. Аудит проводится как раз с целью выявить имеющиеся бреши прежде, чем ими воспользуются злоумышленники. Однако всего около половины (52,2%) организаций проходят аудиторские проверки в области ИБ.

Остальные не считают нужным инспектировать свои системы ИБ. Кроме того, некоторые компании могут отказываться от проверок с той же мотивацией, что и в вопросе об аутсорсинге обслуживания инцидентов. Другое дело, что аудит ИБ в организации может осуществлять и собственное подразделение. Впрочем, эффективнее все же обращаться к сторонним экспертам.

Современные системы ИБ являются достаточно сложными сами по себе. Для полноценного аудита необходимы различные средства автоматизации. Данное утверждение поддерживают 7 из 10 российских компаний, проходящих аудит ИБ.

Трудно объяснить, почему российские компании привлекаются к аудиту ИБ в большей степени (60%), нежели известные западные бренды. Скорее всего, это обусловлено большим количеством отечественных аудиторов. Репутация же и квалификация западных компаний (тем более таких, как Pricewaterhouse Coopers, Ernst&Young, Deloitte или KPMG) не вызывает никаких сомнений.

Заключение

Исследование "Безопасность корпоративного информационного пространства-2008" обнаружило достаточно неплохую подготовку российских организаций в области ИБ. Практически все компании (92,5%) имеют собственные политики ИБ. За небольшим исключением, организации хорошо защищены от вредоносных кодов и вторжений извне.

В то же время нельзя не отметить и ряд недостатков и просчетов, допущенных компаниями при построении ИБ. Так, политики ИБ довольно скудны. Лишь 43,2% компаний касаются классификации данных, 44,7% озабочены вопросами непрерывности бизнеса.

Говоря о практических аспектах, следует отметить беззащитность организаций перед собственными сотрудниками. Лишь 4 из 10 учреждений используют системы защиты от утечек. Тем не менее эта цифра не так уж и плоха. Всего год-два назад LDP-решения были внедрены в единицах процентов организаций.

Многие отечественные компании объединяет еще одна проблема - смешание функций ИТ и ИБ.

Впрочем, все перечисленные проблемы решаемы. Достаточно доработать имеющиеся политики ИБ и последовательно их осуществлять. В качестве основы можно использовать индустриальные или государственные стандарты, например "Базовый уровень ИБ" для предприятий сферы телекоммуникаций или "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" Банка России для кредитных организаций. Разумеется, для осуществления всех необходимых мероприятий понадобятся определенные финансовые затраты. Но экономить на безопасности нецелесообразно, ведь расхлебывать последствия инцидентов гораздо дороже.

Комментарии экспертов

Вячеслав Железняков, эксперт Центра ИБ компании "Инфосистемы Джет"

Сейчас во многих организациях политика информационной безопасности уже сформулирована. Однако далеко не во всех компаниях она эффективна. Может показаться, что задача разработки политики ИБ является несложной, так как существуют определенные стандарты, в соответствии с которыми выстраивается политика, кроме того, опубликовано множество материалов на эту тему. Однако очень часто возникают проблемы с выполнением требований, предъявляемых стандартами.

Нередко в качестве главной причины такого положения дел называют отсутствие организационных или технических мер контроля. Но, как показывает практика, главные причины коренятся гораздо глубже - это традиционно низкая в российских компаниях исполнительная дисциплина, отсутствие у пользователей минимально необходимых знаний и незаинтересованность руководства в решении задач информационной безопасности.

Устранить эти причины применением отдельных технических или организационных мер невозможно, часто требуется изменение корпоративной культуры компании, кадровой политики, стиля руководства, то есть тех параметров, которые выходят далеко за рамки информационной безопасности.

Поэтому в случае несоответствия текущему уровню зрелости процессов организации, состоянию корпоративной культуры и интересам менеджмента компании политика информационной безопасности обречена на провал, даже если она сформулирована идеально и отвечает всем требованиям лучших практик.

Валентин Цирлов, CISSP, исполнительный директор ЗАО "НПО "Эшелон"

Политику информационной безопасности принято трактовать как высокоуровневый документ, в котором с единых управленческих позиций рассматривается совокупность подходов, применяемых в организации при построении корпоративной системы управления информационной безопасностью. Необходимость наличия такого документа очевидна, структура его достаточно строго определена современными стандартами в области управления информационной безопасностью (прежде всего ISO 27002 и ISO 27001).

Результаты аудита информационной безопасности в различного рода организациях показывают, что реальные политики безопасности часто далеки от идеала. Недостатки могут быть разными, но в большинстве случаев можно столкнуться с одной из следующих ситуаций:

1. Политика безопасности полностью отсутствует.
2. Документ под названием "Политика безопасности" имеется в наличии, однако представляет собой неструктурированное нагромождение разрозненных инструкций, регламентов и общих фраз относительно информационной безопасности. Подобного рода политики, характерные в первую очередь для государственных и федеральных структур, как правило, абсолютно бесполезны с практической точки зрения.
3. Политика информационной безопасности может разрабатываться как масштабный документ, подменяющий всю систему нормативных документов организации в области информационной безопасности. Созданный в результате такого процесса монстр обычно изначально является нежизнеспособным и отстает от реальной практики на несколько лет.
4. Наконец, отлично продуманная политика информационной безопасности может быть совершенно не подкреплена сопутствующими нормативными документами: корпоративными стандартами, руководствами и процедурами.

Не стоит забывать, что политика сама по себе не создает систему защиты - это всего лишь фундамент, на базе которого будет строиться корпоративная система управления информационной безопасностью. Лучшая рекомендация, которую можно дать разработчикам политик, - не пытаться изобретать велосипед, а пользоваться прекрасно зарекомендовавшими себя подходами современных управленческих стандартов.

Дмитрий Слободенюк, коммерческий директор ГК "Антивирусный центр"

Управление информационно-технической структурой предприятия, в особенности его безопасностью, - сложный процесс, включающий в себя значительные ресурсы по затратам времени специалистов, вовлеченным активам и т.д. Опыт показывает, что даже в тех случаях, когда требования к собственно безопасности минимальны, принятие политики безопасности (включая такие основные моменты, как предоставление доступа пользователям, управление активами, простейшие политики использования Интернета, электронной почты) способно многократно упростить управление ИТ-системами.

Именно в этом и заключается польза принятия политики безопасности для организации любого масштаба и безотносительно реальной стоимости информации, которой оперирует компания. Ведь в отсутствие такой политики сложно представить, кто за что отвечает, какими ресурсами железа, софта и прочего обладает организация. Следствием этого могут быть не только избыточные затраты труда, но и проблемы с законодательством (например, из-за неконтролируемого распространения и установки нелицензионного ПО), а также многочисленные злоупотребления со стороны персонала. Таким образом, первой задачей при принятии политики безопасности является "нормализация хаоса по умолчанию". После того как данная задача выполнена, политика безопасности может быть расширена до более высокого уровня, на котором будут учитываться уже вопросы работы с конфиденциальной информацией, более значительно структурированы права и возможности пользователей и т.п. Еще одним значительным плюсом создания политики безопасности является то, что она приучает всех вовлеченных в ее создание к комплексному системному подходу к своим обязанностям. Реальные примеры создания таких политик показывают, что дисциплинирующий эффект написания и применения такой политики приводит во многих случаях к значительному усилению общей безопасности системы, в том числе и в таких областях ИБ, о которых до процесса модернизации никто даже не задумывался.