Корпоративная безопасность в России нуждается в стратегии
Число уязвимостей, угроз и информационных рисков с каждым годом увеличивается. Происходит это в том числе и потому, что компании – даже крупные и средние – практически не уделяют должного внимания разработке стратегий информационной безопасности и часто пренебрегают правилами ИБ. Огромное число новых уязвимостей порождают и мобильные пользователи. На конференции CNews Conferences и CNews Analytics «ИБ бизнеса и госструктур: актуальные решения», которая прошла 22 мая 2014 г., эксперты отрасли обсудили, какие подходы, продукты и технологии помогают обезопасить инфраструктуру компаний.Доверенные компьютерные платформы, представленные на конференции Ренатом Юсупов, являются тем решением, которое если не избавит полностью, то существенно снизит риск заражений компьютеров до старта операционных систем. Эта платформа базируется на гипервизоре, который работает на низком уровне и виртуализирует (изолирует) все устройства. На практике это реализовано так: микрооперационная система с собственным API включает в себя большое число средств защиты, которые можно использовать до старта операционной системы. Эта технология применима к любой вычислительной – ПК, серверам, сетевым устройствам.
Строительству доверенных сетей было посвящено выступление Айбека Абдыманапа, технического директора компании «Русьтелетех». Используя не конечные решения, а лежащие в их основе технологии, создавая затем собственное «железо» и сертифицированный соответствующими органами программный код, можно обеспечить надежную работу корпоративных сетей, а также сетей органов государственной власти. Именно по этому пути – выпуску собственного телекоммуникационного оборудования – пошла компания «Русьтелетех». В ее линейке есть ряд Ethernet-коммутаторов, которые соответствуют международным стандартам качества и в то же время сертифицированы ФСТЭК России по третьему уровню контроля отсутствия НДВ (недекларированных возможностей).
От защиты ERP к стратегии безопасности
Защита бизнес-систем – еще одна актуальная задача в области информационной безопасности. На примере решений SAP Евгений Балахонов, технический директор компании «Энергодата», вкратце перечислил основные угрозы, связанные с работой ERP. Среди них наиболее «популярные» – разглашение, искажение информации. Ограничивая доступ к данным пользователей в соответствии с их ролями, можно поднять уровень информационной безопасности. Парольный способ защиты, хотя и применяется в подавляющем большинстве случаев, не эффективен. Пользователи не утруждают себя вводом сложных паролей, а предпочитают короткие (клички домашних животных, даты рождения и т.п.), а чуть более сложные записываются на самом видном месте. Биометрия – способ более эффективный, однако для идентификации пользователей в ERP-системах трудноприменимый.
Интересна тема и персональных сертификатов на электронных ключах. Подключившись к бизнес-приложениям, пользователь может обрабатывать данные в соответствии со своими правами. Созданное приложение, как добавил Евгений Балахонов, блокирует даже снятие скриншотов при просмотре критически важной информации (хотя эта проблема, как заметили участники конференции, легко обходится: экран компьютера фотографируется при помощи мобильных телефонов) и автоматически подписывает выгружаемые на внешние носители данные цифровой подписью. Это решение нацелено на российский рынок и базируется на ГОСТ-криптографии.
Безопасность – это не только выявление и удаление вредоносного кода на аппаратном уровне или на уровне операционной системы, но и создание и обеспечение процедур контроля. Скажем, может ли использоваться определенный логин пользователя, который на самом деле не приходил на работу, не проходил через охрану, не пользовался своим электронным пропуском? Ответ очевиден: конечно, нет. В этом и любых других случаях соответствующие службы должны фиксировать инциденты, назначать ответственных за расследования и собирать базу знаний для решения аналогичных инцидентов. Как отметил Аркадий Прокудин, заместитель руководителя отдела центра компетенции информационной безопасности «АйТи», компьютерные системы и приложения формируют разную отчетность, в разных форматах, нередко на разных языках. Изучать логи по очереди – задача затратная и неэффективная. Однако, если эту информацию собирать и обрабатывать централизованно, можно существенно сократить время обнаружения и ликвидации инцидентов.
В разработанной «АйТи» программе Security Vision централизованно ведется «дневник» работы всего оборудования и ПО. Такой подход, при котором решения о том, как бороться с инцидентами, принимаются из одной точки, упрощает работу служб безопасности. Конечно, внедрение подобного рода инструментов на первых порах существенно увеличит число зафиксированных инцидентов (это происходит потому, что прежде о них попросту не догадывались), но с другой стороны – в разы сократит время на принятие экстренных решений.
Корпоративная безопасность зависит от проработанности бизнес-ориентированной стратегии информационной безопасности. Как отметил Роман Чаплыгин, директор по анализу и контролю рисков PrisewaterhouseCoopers Russia B.V., необходимость в стратегии информационной безопасности обусловлена целым рядом причин. Соответствующий документ позволяет ускорить сроки внедрения ИТ-решений, оптимизировать расходы, обеспечить прозрачность деятельности по ИБ и потребностей бизнеса, механизмы и контроль за реализаций требований ИБ и др. В стратегию ИБ вносятся основные риски и угрозы, учитывающие как внутренние факторы (культуру, технологии, компетенции), так и внешнюю бизнес-среду.
Безопасность медстрахования
Владимир Поихало, начальник отдела информационной безопасности Федерального фонда обязательного медицинского страхования, поделился некоторыми особенностями работы территориальных и федеральных фондов медстрахования. Федеральный фонд – некоммерческая организация, реализующая госполитику в сфере обязательного медицинского страхования.
Взаимодействие участников рынка медицинского страхования
Источник: Федеральный фонд обязательного медицинского страхования, 2014
Непосредственно оформлением страховок занимаются территориальные фонды. В них и хранятся персональные данные клиентов, включая ФИО, дату и место рождения, проживания и регистрации, гражданство, а также данные удостоверяющих документов (паспортов, СНИЛС, полисов обязательного медстрахования и др.). Такой персонализированный учет обеспечивает гарантии прав застрахованных лиц на оказание бесплатной медицинской помощи, контроль целевого использования средств и определение потребностей в объемах медпомощи в регионах. В федеральном фонде при этом хранятся обезличенные сведения об оказанной застрахованному лицу медицинской помощи, включая вид, условия, сроки, диагноз, применяемые лекарственные препараты, результаты получения медпомощи и ряд других данных.
Сергей Лосев