Спецпроекты

Телеком Интернет Безопасность Бизнес Цифровизация Госрегулирование Стратегия безопасности Техническая защита Пользователю Новости поставщиков

Оборотная сторона популярности ИБ: проблемы множатся

По данным исследования Gartner, проведенного в конце 2010 года, повышение безопасности входит в Топ-10 приоритетов в бизнесе и ИТ. При этом само это понятие многими понимается по-разному, а сам рынок систем безопасности решает проблемы, в числе которых отношения с регулятором, обеспечение ИБ в облаках и многое другое. Эти и другие вопросы были в центре внимания на конференции "Информационная безопасность бизнеса и госструктур", организованной CNews Conferences и CNews Analytics.

В заключение выступающий рассказал о способах организации антивирусной защиты и защиты конфиденциальной информации, привел пример структуры системы безопасности с централизованным управлением и добавил, что решение задачи по обеспечению ИБ упрощается при использовании программно-аппаратных комплексов Dr.Web Office Shield.

Что такое уязвимость?

Если рассматривать взаимоотношения любой компании с государственными регуляторами в общем виде, то в них обязательно присутствует необходимость решения массы вопросов договорного порядка посредством переговоров. Такой деятельности менеджмента сопутствует обмен потоками данных в информационном мире, и чем полнее они соответствуют друг другу, тем лучше для организации. Для оценки соответствия данных используются такие понятия, как их полезность, доступность, объективность и т. п. Отдельно выступает защищенность.

Корпоративная безопасность складывается из двух компонентов — качества управления в областях ИТ и ИБ. При этом в них существует и общий сектор, в котором также приходится решать задачи по безопасности. Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России, считает, что эффективность решения подобных задач зависит от правильного их понимания, а значит — внимательного изучения понятийного материала. Спикер обратил внимание присутствующих на фундаментальные понятия в сфере безопасности (угроза, субъект или агент угрозы, атака, уязвимость, инцидент и т. п.) и их соотношения, привел некоторые постулаты (например, атаки на объект защиты и уязвимости систем защиты объекта не связаны и не коррелируются) и остановился на деятельности службы безопасности. Цель такой деятельности, по мнению докладчика, заключается не столько в реализации новых проектов по безопасности, сколько в выявлении и устранении уязвимостей в системе защиты. Чтобы понять, как добиться минимального числа уязвимостей, надо определить, из-за чего они возникают и какие из них наиболее опасны. Господин Курило ответил на эти вопросы и предложил несколько направлений борьбы с уязвимостями.

Безопасность в АСУ ТП

Понятие безопасности в сетях информационных систем отличается от ее определения в автоматизированных системах управления технологическими процессами (АСУ ТП). Если для первых важна конфиденциальность данных, то для вторых на первом месте находится скорее безопасность персонала, оборудования и самого технологического процесса. Отсюда следуют различия в подходах обеспечения безопасности АСУ, в выборе используемых для этого инструментов. О некоторых аспектах таких подходов рассказал присутствующим Александр Митрейкин, советник заместителя министра энергетики РФ.

Докладчик дал определение АСУ ТП, привел ее типичный состав и добавил, что независимые исследования показали множественные уязвимости, которые могут привести к нарушению корректной работы ТП. Господин Митрейкин указал на наиболее часто встречающиеся уязвимости, особо подчеркнув, что для АСУ ТП в ТЭК реальную угрозу представляют и специальные вредоносные программы, в частности, компьютерный червь Stuxnet. Спикер подробно остановился на одной из ключевых проблем — уровне квалификации работников компаний в области информационной безопасности. Выступающий отметил, что такие работники должны обязательно обладать определенными минимальными знаниями и навыками.

Господин Митрейкин также заметил, что промышленно развитые страны, такие как США, достаточно серьезно относятся к проблеме защищенности АСУ ТП своих энергетических объектов, причем не только от непосредственных опасностей — террористических атак, но и от атак информационных. Он добавил, что в России, в рамках деятельности профильных федеральных органов исполнительной власти (ФСБ РФ, ФСТЭК), тоже ведется работа по обеспечению ИБ критически важных объектов. Спикер рассказал, что в конце прошлого года в России была создана соответствующая рабочая группа, полем деятельности которой является проведение анализа текущего состояния существующих систем обеспечения ИБ и нормативной базы.

Облака пока не защищены

Облачные вычисления — относительно недавно появившаяся технология, которая с каждым годом становится все более популярной. Основные преимущества перехода в облака очевидны, но существуют и сдерживающие факторы — это вопросы доступности и безопасности виртуальных сервисов. Традиционная модель защиты данных компании — эшелонированный подход, когда в центре находится ценный информационный актив компании, вокруг которого выстраивается многоступенчатая система безопасности. Если же перенести часть информации в облако, в защите появляется дыра, поскольку неизвестно, что происходит у поставщика услуг — ведь уровень его безопасности нельзя проконтролировать.

По словам Евгения Климова, вице-президента RISSPA, на текущий момент возможности контроля нет ни у кого. Угрозы же для защиты вполне реальны. К ним можно отнести злоупотребление и нечестную игру при использовании облачных ресурсов, небезопасные интерфейсы, отсутствие контроля над сотрудниками провайдера, утрата или утечка данных и др. Свежие примеры потери данных — взлом сети Sony PlayStation Network, инциденты с компаниями Amazon и Google. Докладчик также подчеркнул, что не спасает ситуацию и возможность заключить договор SLA с поставщиком — последнего все равно будет очень сложно привлечь к юридической ответственности.

Господин Климов отметил, что в российской практике сейчас тяжело выделить инициативы по информационной безопасности облачных сервисов, но за рубежом государства пошли по пути создания некоммерческой организации, выдвигающей на всеобщее обсуждение проекты документов и впоследствии предлагающей их в качестве открытых стандартов. На текущий момент таких организаций две — CSA (Cloud Security Alliance) со штаб-квартирой в США и российская RISSPA (Russian Information Systems Security Professional Association), недавно получившая статус филиала CSA. Выступающий рассказал, что на ближайшее время в планах RISSPA перевод нормативных документов, выпущенных CSA, и запуск в России учебных курсов по безопасности облачных технологий.

Телеком: забота о статусе

В настоящее время в телекоммуникационных сетях можно выделить достаточно много угроз. Это мобильное мошенничество, СМС-троянцы и спам, отправка денег с использованием пополнения счета телефона, наличие вирусов и т. п. По данным исследования "Безопасный Интернет", выполненного независимым агентством MASMI по заказу "ВымпелКома" в декабре 2009 года, 74% респондентов полагало, что провайдер должен предоставлять простые решения для обеспечения безопасности. При этом сегодня ни один оператор не воспринимается опрошенными, как обеспечивающий безопасность, а ведь ее проблематика обширна — выделяют финансовую, моральную, психологическую, технологическую, интеллектуальную и другие виды безопасности.

Дмитрий Устюжанин, руководитель департамента информационной безопасности компании "ВымпелКом", считает, что под безопасностью в телекоме подразумевается не столько защита электронных кошельков или личных данных, сколько забота о персональных ценностях, типа положения в социуме, общественного мнения, официального статуса. Спикер подчеркнул, что если игнорировать такой подход, то велика вероятность потери клиентов.

Докладчик рассказал, что основой операционной безопасности в компании является Security Operation Center, построенный несколько лет назад. В то время особое внимание уделялось технологической защите. Сейчас, по мнению господина Устюжанина, нужно следовать по другим направлениям. Актуальные векторы развития ИБ на сегодня — сервисы по ИБ для клиентов, защита Cloud Computing, выработка согласованных требований по ИБ и их контроль, CERT/CSIRT-кооперация, а также некоторые другие специальные подходы, с помощью которых можно защититься от неизвестных угроз.

Закон о персональных данных: грядут изменения?

Обычно стандартная ситуация, в которой, как правило, пребывают сотрудники отдела обеспечения ИБ, описывается следующим образом: средств на оборудование недостаточно, сервер подвержен постоянным атакам, в наличии внутренние конфликты, при этом надежность сотрудников гарантировать нельзя. Напрашивается вывод: если устранить изложенные проблемы, то ИБ в компании будет идеальна. Однако, как рассказал присутствующим Павел Головлев, начальник управления безопасности информационных технологий "СМП Банка", это далеко не так. Спикер отметил, что у них в организации была достигнута договоренность о полном доверии к службе ИБ, установлено самое современное оборудование, закрыты все уязвимости, разрешены все внутренние конфликты, при этом все работники на 200% лояльны. Но проблемы остались. И вытекают они из федерального закона № 152-ФЗ "О персональных данных".

Докладчик привел ряд ситуаций, когда из-за упомянутого закона возникают вопросы, не решаемые законодательным путем. Например, как начать обрабатывать персональные данные третьего лица при оказании услуги человеку, который пришел в банк? Господин Головлев резюмировал, что таким образом защита персональных данных сейчас превращается в защиту от закона о персональных данных. По его мнению, в условиях современной информационной гонки вооружений законодатель очень односторонне смотрит на проблему, то есть практически все права отданы на одну сторону, другая же получается совершенно беззащитна. При таком подходе можно придти к тому, что все ресурсы организации будут направлены на обеспечение физической безопасности и технической защиты, а о клиентах придется забыть.

О несовершенстве закона о персональных данных говорил и Александр Токаренко, председатель Правления НП "ДАТУМ". Он также привел ряд примеров, где отрицательно сказывалось буквальное исполнение федерального закона № 152-ФЗ. При этом докладчик продемонстрировал целый список совершенствований, благодаря принятию которых многие недоразумения были бы разрешены.

В частности, господин Токаренко предложил убрать раздражающий, по его мнению, пункт, в котором говорится что "оператором является лицо осуществляющее обработку", ввести определение "получателя персональных данных", изменить термин "обработчик", дать четкое описание того, что такое "согласие на обработку персональных данных" и т. п.

Андрей Потапенко / CNews


Презентации участников круглого стола

Презентация Легезо Денис, CNews. Рынок ИБ: новости и тенденции
Презентация Крушатина Елена, 3М Россия. Экраны защиты информации 3М, как часть комплексного подхода в области информационной безопасности
Презентация Емельянников Михаил, Код Безопасности. Безопасность информации при использовании современных информационных технологий в процессе предоставления государственных электронных услуг и межведомственного взаимодействия
Презентация Кривонос Алексей, headtechnology. Управление инцидентами и событиями безопасности на основе решений QRadar SIEM
Презентация Иржавский Александр, Инфорион. Все что вы хотели знать об аудите информационной безопасности, но боялись спросить
Презентация Медведев Вячеслав, Доктор Веб. Создание надежной системы безопасности, сбалансированной по критерию безопасность-стоимость
Презентация Курило Андрей, Банк России. Как обеспечить комплексный подход к реализации проектов по обеспечению ИБ
Презентация Климов Евгений, RISSPA. Безопасность облачных вычислений: тенденции, мировая и российская практика
Презентация Устюжанин Дмитрий, ВымпелКом. Актуальные направления развития рынка ИБ с точки зрения Телекома
Презентация Головлев Павел, Информационных технологий СМП Банка. Проблемы применения Закона о персональных данных
Презентация Токаренко Александр, НП ДАТУМ. Какие совершенствования необходимы закону о персональных данных
Презентация Скачать все презентации (архив)

Короткая ссылка