Спецпроекты

Безопасность Конференции Стратегия безопасности

Корпоративная безопасность в России нуждается в стратегии

Число уязвимостей, угроз и информационных рисков с каждым годом увеличивается. Происходит это в том числе и потому, что компании – даже крупные и средние – практически не уделяют должного внимания разработке стратегий информационной безопасности и часто пренебрегают правилами ИБ. Огромное число новых уязвимостей порождают и мобильные пользователи. На конференции CNews Conferences и CNews Analytics «ИБ бизнеса и госструктур: актуальные решения», которая прошла 22 мая 2014 г., эксперты отрасли обсудили, какие подходы, продукты и технологии помогают обезопасить инфраструктуру компаний.

Энергодата: К каждой корпоративной ИС необходим свой подход

Что угрожает российской отрасли ИБ в связи с возможными санкциями, какие корпоративные системы нуждаются в наибольшей защите и как разнятся требования к ИБ-решениям у заказчиков, рассказали эксперты компании «Энергодата» – руководитель проектов Сергей Середа и технический директор Евгений Балахонов.

CNews: Что угрожает российской отрасли ИБ в связи с возможными санкциями со стороны западных вендоров?

Сергей Середа: Российская отрасль ИБ зависит от решений западных вендоров в значительно меньшей степени, чем, например, отрасль корпоративных информационных систем. Причины тому достаточно очевидны – наличие «суверенных» стандартов в области ИБ, а также обязательное государственное лицензирование деятельности по технической и криптографической защите информации и сертификация СКЗИ и ИСПДН.

Этот факт, а также определенное своеобразие реализации угроз ИБ, видов мошенничества, спроса на утечки и т.п., привел к тому, что основная масса решений ИБ на российском рынке либо создана отечественными разработчиками, либо локализована с существенной доработкой. Соответственно, указанные решения либо не зависят от западных вендоров, либо санкции в их отношении не выгодны самим вендорам, потому что реализовать эти продукты на других рынках затруднительно. Кроме того, в ряде областей, например разработке антивирусов, российские разработчики являются лидирующими на международном рынке. То есть отрасль развивалась своими силами и стала самодостаточной и практически нечувствительной к возможным санкциям со стороны зарубежных разработчиков.

Евгений Балахонов: Тем не менее определенные риски существуют, так как далеко не все технологии и решения, применяемые в отрасли ИБ, имеют отечественные аналоги. Например, мы традиционно слабы в части «железа». Отечественное аппаратное обеспечение по-прежнему базируется на импортной элементной базе, интеллектуальная собственность на которую в основном принадлежит западным компаниям. Ограничения в их поставке могут создать определенные трудности.

Но хочу отметить, что и в этой области отечественные разработчики уже имеют хороший задел. Введение санкций только подстегнет развитие отечественных программно-аппаратных решений в области ИБ. Главное здесь – не идти советским путем копирования, нужно создавать собственные оригинальные решения.

CNews: Какие корпоративные информационные системы, на ваш взгляд, нуждаются в особой защите и почему?

Середа: По нашему мнению, в плане защиты периметра (идентификация, аутентификация) уровень защиты всех КИС предприятия должен быть одинаковым. В противном случае в системе будет слабое звено, которое обеспечит прорыв «линии обороны» и вторжение злоумышленника с переходом к более сильно защищенным от внешних атак системам.

В плане ролевых ограничений, связанных с бизнес-логикой корпоративных систем, достаточно очевидным представляется, что транзакционные системы должны быть защищены от несанкционированного манипулирования данными: ввода недостоверной информации или модификации уже введенных данных, а системы бизнес-аналитики – от утечек.

В разрезе функционала наиболее защищенными должны быть системы обработки финансовой информации, поскольку последняя практически вся относится к категории коммерческой тайны, а также системы обработки персональных данных – в силу требований действующего законодательства.

системы (MRPII, APS, MES, EAM, SCADA) едва ли могут быть источником утечки коммерческой информации (для ее извлечения требуются развитые средства Data Mining и Knowledge Discovery), однако циркулирующая в них оперативная информация является критичной. Таким образом, меры и средства ИБ для подобных систем должны акцентироваться на обеспечении доверия к источникам первичной информации, а также на фиксации авторства любых изменений и обеспечения «неотказуемости» от них (т.е. применении ЭЦП). В то же время защита систем класса АСКУЭ требует одновременного применения как описанных средств, так и средств защиты, свойственных системам финансового учета и планирования. Обеспечение ИБ в системах электронного документооборота требует внедрения ЭЦП (если документооборот должен быть юридически значимым) и применения мер и средств защиты от утечек.

К каждому классу корпоративных информационных систем необходим свой подход, учитывающий специфику их функционала и обрабатываемой информации, но уровень обеспечиваемой информационной безопасности должен быть сравнимым для всех защищаемых систем.

Евгений Балахонов: Действительно, в первую очередь надо защищать те системы, которые хранят или обрабатывают информацию, утечка или искажение которой может нанести существенный вред бизнесу компании. И чем выше такие риски – тем больше уделять внимания ИБ. Что это за системы – зависит от профиля компании. Общими для всех являются финансово-экономические системы. Большинство усилий в части обеспечения ИБ часто тратят именно на них и их инфраструктуру.

Но для производственной компании первостепенную ценность представляют технологические системы, вмешательство в работу которых может приводить к существенным убыткам, остановке производства и даже порче дорогостоящего оборудования. Но случается, что как раз в эту область специалисты по ИБ даже не заглядывают.

Стоит отметить, что на предприятиях и компаниях одновременно функционирует целый ряд информационных систем и решений. В большинстве своем они тесно интегрированы между собой, образуя единую корпоративную информационную систему. В таких условиях неправильно заниматься защитой только конкретных ИС, необходимо не допускать появлений слабых звеньев и защищать информационный ландшафт в целом. Особенно ценные ИС, например производственные, проще вынести в отдельный контур защиты, имеющий ограниченное число точек соприкосновения с основным ландшафтом.

CNews: Имеет ли значение платформа ИС для определения стратегии безопасности?

Сергей Середа: Если речь идет именно о корпоративной стратегии информационной безопасности, то ключевое влияние на нее оказывает обрабатываемая в ИС информация, ценность обладания ею для компании и оценка ущерба от ее разглашения, утраты целостности и доступности. Что же касается программно-аппаратной платформы ИС, то она влияет на тактику обеспечения защиты информации и набор конкретных программных и аппаратных средств. В то же время, если влияние ключевых особенностей платформы очень велико, они волевым решением могут быть учтены и на уровне стратегии ИБ компании. Абсолютных догм здесь нет – совершенно верное в одной конкретной ситуации решение легко может оказаться неприемлемым в другой.

Евгений Балахонов: Если говорить о стратегии ИБ, то она должна быть единой, корпоративной. Платформа конкретной ИС влияет в первую очередь на методы и решения, применяемые для защиты системы. Для одних программных платформ обеспечение соответствия стратегии достигается относительно малыми силами, для других, обычно устаревших, – большими издержками.

Хочу также отметить, что далеко не всегда сложное, изощренное и дорогое решение по защите информационных систем на практике оказывается эффективнее и надежнее, чем набор относительно простых технических методов и соответствующей корпоративной культуры.

CNews: Как разнятся требования к выбору ИБ-решений госсектора и коммерческих компаний?

Середа: В госсекторе преобладает тенденция к выбору сертифицированных, но более дешевых решений, в то время как для коммерческих компаний государственная сертификация, как правило, не критична, если того не требует законодательство. Цена закупаемого решения может быть и достаточно высокой, если оправдывается функционалом, надежностью, репутацией поставщика.

В плане ИБ-решений разных классов требования коммерческих и бюджетных организаций, по нашему мнению, различаются, так как различны категории основного объема обрабатываемой в их системах информации. В частности, охраняемая в госсекторе информация чаще относится к категории персональных данных, ДСП (для служебного пользования), государственной или профессиональной тайны. Что же касается коммерческих компаний, защите в большей степени подлежат персональные данные, информация, относящаяся к коммерческой тайне, ноу-хау. Таким образом, в госсекторе требования к решениям в области ИБ могут сводиться к защите гостайны (если обрабатывается информация нескольких категорий, включая гостайну), а в коммерческих организациях к мерам и средствам защиты предъявляются менее жесткие требования (за исключением банковского сектора).

Балахонов: Но все относительно. Например, госсектор достаточно разнообразен и его участники часто имеют разные потребности в обеспечении ИБ. Крупные компании с преобладающим государственным участием в принципе не отличаются от аналогичных им коммерческих компаний и часто применяют дорогостоящие импортные решения ведущих мировых производителей в составе контура информационной безопасности.

Государственные учреждения тяготеют к сертифицированным отечественным решениям. Сертификация дает чиновнику определенную уверенность в выборе, но цена отечественных решений обычно ниже, что часто оказывает решающее значение во время тендера.

Короткая ссылка