Деловые новости
Экономика и финансы
Криминал
Оценка деловых рисков
Аналитические обзоры
Оценка деловых рисков
Оффшоры
Корпоративная безопасность
Платежные средства
Портфель руководителя СЭБ
Базы данных
Законы
Подписка на новости
Для подписки на новости введите ваш e-mail:
Вы можете просматривать анонсы наших новостей и статей на мобильных устройствах с нашей rss ленты
Курсы валют
30.06.202201.07.2022
$51,158052,5123 
53,858054,6405 
все курсы валют
Корпоративная безопасность | Портфель руководителя СЭБ | Безопасность
Бизнес-разведка | Безопасность | Защита информации | Технические средства

Ау...Аудит!


П. Рудаков

Об авторе: Павел Рудаков,
менеджер по маркетингу компании "Открытые технологии"

Заблудиться среди новых информационных технологий достаточно просто. А время не ждет, и на рынке появляются все новые и новые продукты и решения. Что же может помочь в такой сложной ситуации?

Информационная безопасность, защита сетевого трафика, доверительный доступ в Интернет - чтобы разобраться со всеми терминами и определениями в сфере защиты информации, можно потратить не один день. Кроме того, каждый день список технологий, продуктов и компаний-производителей постоянно растет. Естественно, что параллельно расширению рынка средств безопасности, должна совершенствоваться внутренняя инфраструктура организаций. При этом реализация стратегии безопасности должна охватывать проблему всесторонне: начиная с учета молниеносно развивающихся Интернет-технологий и заканчивая анализом реальных потребностей предприятий. Понятно, что очень просто закупить оборудование для построения системы безопасности. Но мало кто задумывается, что аудит информационных систем, позволяющий определить что и как защищать, является гораздо более серьезной и сложно решаемой проблемой.

В настоящий момент проблемы управления защищенной средой встают перед руководителями ИТ-подразделений гораздо острее, особенно если ранее на предприятии или в организации не осуществлялось планирование, проектирование и целенаправленное развитие комплекса безопасности. Практически все предприятия и организации имеют в составе своих информационных систем те или иные компоненты системы безопасности: межсетевые экраны, антивирусное ПО, виртуальные частные сети или др. Раздробленная на части система безопасности способна обеспечивать защиту только отдельно взятых структурных единиц, причем совершенно не гарантируя совместную работу с другими подразделениями. А если еще учесть необходимость взаимодействия с филиалами, региональными представительствами, поставщиками и т.п.? Вот тут и возникают проблемы управления информационной средой.

Эффективное управление системой безопасности определяет не только общее состояние информационной среды, но и ее надежность и практичность. Оптимальное решение по безопасности информации должно минимально ограничивать функциональность всей системы, и в то же время обеспечивать максимальную, комплексную защиту.

Следует учитывать, что создание единой и надежной системы информационной безопасности упирается не только в решение проблем совместимости, масштабируемости и настройки оборудования. Существует множество организационных вопросов, регулированию которых должно уделяться особое внимание. Всем знакомы проблемы нехватки финансирования, недостаток квалификации персонала, непонимание со стороны руководства, а от решения этих проблем зависит эффективность и результат всех работ по созданию системы безопасности.

В настоящее время корпоративные сети предоставляют своим пользователям многочисленные услуги: передача голосовых и видеоданных, всевозможные IP-сервисы с различными уровнями доступа и т.п. Каждая новая услуга или внедренная технология повышает возможности экономического роста, но при этом, соответственно, возрастает и риск несанкционированного использования информации.

Бытует мнение, что причиной всех нарушений в сфере защиты информации являются хакеры, проникающие во внутренние корпоративные сети из Интернета. На самом деле это не совсем так. По официальной статистике, объем финансовых потерь от преступлений, совершенных злоумышленниками через общедоступные публичные сети, не превышает 4% от общего объема потерь, вызванных нарушениями в сфере ИТ. При создании системы безопасности основное внимание необходимо уделять нештатным ситуациям, которые могут произойти по вине внутренних пользователей. Зачастую, подобные сбои являются следствием неумышленных ошибок персонала в результате небрежности, халатности или некомпетентности, хотя многие нарушения совершаются персоналом из корыстных побуждений, либо обиженными и недовольными служащими-пользователями с целью нанесения вреда (вывода системы из строя и др.).

Таким образом, для того чтобы сократить риски, связанные с несанкционированным изменением, раскрытием и утерей информации, необходимо четко определить все возможные угрозы и вероятности их возникновения, а также выделить объекты защиты и описать последствия атак (нарушений). В итоге может быть создана таблица, отражающая систему приоритетов при защите информации. Это позволит, во-первых, избежать нежелательных воздействий на информационную систему со стороны пользователей и, во-вторых, создать эффективный механизм, регулирующий работу сотрудников и обеспечивающий безопасность информации как с технической, так и с организационной сторон.

Что же такое "Аудит" ?

Очень часто, если речь идет об информационной безопасности, под аудитом понимают использование сканеров безопасности, средств обнаружения атак и т.п. Мне бы хотелось шире взглянуть на проблемы аудита в корпоративных сетях, а также рассмотреть составляющие этого процесса, его характерные черты и особенности.

Разработка и аудит информационной системы являются двумя схожими процессами, хотя между ними есть серьезные отличия. Разработка осуществляется на самых первых этапах реализации проекта, на стадии его "рождения". Аудит же предполагает наличие уже работающей системы безопасности, для которой требуется провести совершенствование в соответствии с текущими нуждами организации. Следствием этого являются различия в целях этих процессов: разработка системы комплексной защиты не предполагает серьезной проработки мероприятий по ее эксплуатации, а итогом аудита является адаптация, приближение системы к нуждам пользователей и организации в целом. Следует учесть, что при разработке новых ИС зачастую предлагается решение от одного производителя, позволяющее решить текущие проблемы защиты информации, хотя в будущем это затрудняет внедрение перспективных продуктов по безопасности от других компаний. В то же время аудит позволяет интегрировать существующий комплекс программно-аппаратных средств в новое комплексное решение. Вышеперечисленные тезисы позволяют сделать вывод, что разработку проектов по безопасности целесообразно проводить при создании совершенно новых информационных систем, хотя в реальной жизни мы гораздо чаще сталкиваемся с необходимостью совершенствования уже существующей системы безопасности, т.е. нуждаемся в проведении аудита.

Процесс аудита состоит из двух основных частей: в первой - оценивается текущее состояние на соответствие предъявляемым требованиям и стандартам, во второй - формулируются рекомендации и предложения, а также предлагается ряд мер по повышению безопасности информации в рамках конкретной ИС. Следует заметить, что точность результатов аудита и эффективность предлагаемых мероприятий будет напрямую зависеть от полноты и периодичности проводимого анализа.

Основным требованием к проведению аудита, на мой взгляд, является его комплексный характер. Это обусловлено тем, что информационная безопасность должна быть обеспечена не только на техническом, но и на организационно-административном уровне. Соответственно, анализ текущего состояния и последующая выработка рекомендаций должны охватывать такие аспекты как:

  • Особенности организационной структуры и ИТ-функционирования организации;
  • Анализ существующих информационно-прикладных задач;
  • Характеристика действующей политики безопасности;
  • Наличие требований, предъявляемых к системе безопасности;
  • Анализ используемых средств безопасности;
  • Оценка существующих правил информационной безопасности для персонала;
  • Рассмотрение правил действий в нештатных ситуациях;
  • Подходы к определению уязвимостей и оценке рисков;
  • Соответствие политики безопасности стандартам и другим нормативным актам.
Процесс аудита систем безопасности является достаточно многогранным и должен учитывать множество параметров. Для его осуществления требуется привлечение высококвалифицированных специалистов, разбирающихся как в вопросах применения информационных технологий и обеспечения безопасности, так и в проблемах управления производственными процессами, человеческими ресурсами и т.п. Рассматривая более подробно стадии аудита, можно выделить следующие:
  1. Планирование. На этом этапе определяются цели, производится анализ функционирующих информационных задач и требований по безопасности, определяются критерии оценки результатов проверки, а также происходит первоначальный сбор данных путем интервьюирования ответственных лиц.
  2. Анализ. Деятельность на этом этапе предполагает осуществление практического обследования объекта с использованием необходимых аппаратно-технических средств на предмет соответствия тем данным и критериям, которые получены на первом этапе. Осуществляется определение уязвимостей и оценка (ранжирование) рисков, выявленных в ходе исследования.
  3. Разработка. Стадия включает в себя определение оптимальных путей решения выявленных проблем и выдачу практических рекомендаций по совершенствованию системы информационной безопасности как единого комплекса организационно-технических мер.
  4. Контроль. Этот этап должен длится по времени от проведенного до последующего аудита. На данном этапе осуществляется оперативное управление производимыми изменениями в части безопасности, подробно разбираются произошедшие случаи, связанные с нарушением безопасности, вносятся необходимые корректировки в правила действия персонала. Кроме того, на данном этапе определяются задачи и сроки проведения следующего аудита с целью поддержания требуемого уровня безопасности.
В зависимости от интенсивности развития организации и ее информационной системы, аудит может проводиться несколько раз в год. Периодичность осуществления аудита обуславливается достаточно большим количеством факторов, но, тем не менее, все они, в конечном счете, сводятся к простому определению критичности хранимой информации для деятельности организации и рисков, связанных с несанкционированным доступом к ней. Естественно, что важную роль в принятии решений о проведении аудита играет вопрос финансирования. Затраты на аудит системы безопасности не могут превосходить стоимостную оценку охраняемых информационных ресурсов. Наиболее эффективная модель проведения аудита по времени должна обеспечивать необходимый уровень безопасности информации и соответствовать графику (см. рис.).



Циклическое повторение аудита позволит поддерживать требуемый уровень безопасности информации. Эффект от реализации различных мероприятий, определенных в ходе проверки ИС, может чувствоваться через разные промежутки времени (в зависимости от инертности совершенствуемого объекта. Соответственно, чем выше мобильность и простота управления объектом при динамичном изменении информационной системы, тем чаще требуется возобновление процессов аудита).

Таким образом, процесс комплексного исследования информационной системы должен стать неотъемлемой частью последовательной политики в области информационной безопасности на предприятиях и в организациях. Компании, являющиеся лидерами в разных отраслях на мировом рынке, уже поняли и прочувствовали необходимость проведения аудита. По оценкам западных аналитиков, в следующем году интерес организаций к данной услуге должен возрасти более чем в 3 раза по сравнению с 1998 годом. Это говорит о том, что мировой рынок консалтинговых услуг в сфере защиты информации будет интенсивно развиваться. В России также наблюдаются положительные тенденции. Несмотря на слабый спрос на услуги аудита в нашей стране, крупные предприятия и учреждения уже достигли того уровня, когда управление информационной средой становится одной из стратегически важных задач, требующих к себе пристального внимания. Это значит, что вопросы аудита систем информационной безопасности также не останутся без внимания, а это, в свою очередь, позволит российским системным интеграторам развивать данную услугу, совершенствуя методики и применяя новейшие технические средства.

___________

Источник - sec.ru  


Статьи на эту тему
Предупреждение мошенничества: информационно-аналитические средства
Влияние «компьютерных» нагрузок на работу электрических сетей зданий
Человеческий фактор в обеспечении безопасности конфиденциальной информации
Защищайтесь от диктофонов.
Система безопасности магазина. Ограбление
Следствие ведут знатоки
Исследование Службой безопасности предприятия анонимных текстов на предмет выявления их авторов
Сделки с недвижимостью: проблемы безопасности.
«Слуховедческие» технологии в бизнесе.
Концепция безопасности коммерческого банка.
10 мифов о паролях в Windows.
Экономическая безопасность хозяйствующего субъекта.
Концепция безопасности и принципы создания систем физической защиты важных промышленных объектов.
Организация работ по обеспечению безопасности информации в фирме.
Организация конфиденциального делопроизводства — начало обеспечения безопасности информации в фирме.
Организация работы с конфиденциальными документами.
Ау...Аудит!
Воровство на фирме. Что этому противопоставить?
Концепция безопасности коммерческого банка.
О системах контроля и управления доступом.
Кадровое обеспечение службы безопасности предприятия.
Теория связи в секретных системах. Часть I.
Теория связи в секретных системах. Введение.
Концепции обеспечения безопасности коттеджных поселков техническими средствами.
Oрганизация службы безопасности предприятия (Часть2)
Вопросы обеспечения безопасности в выставочном бизнесе.
Oрганизация службы безопасности предприятия (Часть1)
Безопасность и коррупция
Нетрадиционные подходы противодействия организованной преступности на основе информационных технологий
Опасная уборка

Обсудить эту статью в форуме >>>

Поиск по разделу
© 2000—2018 Институт экономической безопасности, e-mail: webmaster@bre.ru