Когда разговор заходит об угрозе проникновения в компьютерные сети российских жизненно важных объектов инфраструктуры (АЭС, аэропортов, банков, транспортных и военных организаций, коммунальных служб), специалисты говорят, что они практически неуязвимы.
В первую очередь из-за того, что не имеют выхода наружу - в Интернет.
Доступные же ресурсы подвергаются постоянным атакам хакеров. Например, только за первое полугодие 2002 г. сайт www.fsb.ru подвергся более чем 400 тыс. попыток взлома.
Ежегодно в России возбуждается более 400 уголовных дел, связанных с нарушением статей Уголовного кодекса о преступлениях в области информационных технологий. С каждым годом число рассмотренных дел растет. Информационная безопасность не зря имеет такое название – за ее нарушениями могут скрываться как неприятные, так и просто страшные вещи – от материальных потерь в результате действий конкурентов вплоть до угрозы жизни и здоровью семье и близким.
Количество возбужденных дел отнюдь не отражает истинных масштабов проблемы, так как в целях сохранения репутации многие руководители предпочитают просто скрывать случаи нарушения информационной безопасности в своих компаниях. Тем не менее, актуальность проблемы несомненна, а ее корни произрастают из нескольких источников, как техногенного, так и психологического характера.
Не секрет, что персонал является едва ли не основным источником утечки конфиденциальной информации. В группу риска входят сотрудники службы безопасности, инженеры по обслуживанию критически важных аппаратных и программных средств, секретари, делопроизводители, операторы и другие сотрудники, у которых может возникнуть так называемое «искушение посвященных».
При этом наиболее высокий уровень доступа к информации различного свойства обычно имеют системные администраторы. Именно на них, по мнению экспертов, необходимо обращать особое внимание, так как именно эта категория сотрудников зачастую имеет неограниченные возможности доступа к внутренним и внешним ресурсам корпоративной сети.
Это означает, что при желании и необходимой квалификации такие «доверенные лица» могут совершить любые действия, противоречащие интересам компании. Что может ими двигать? Мотивы разнообразны: от подкупа конкурентами до желания предоставить другу или родственнику бесплатный доступ к сетевым ресурсам.
Еще одним мотивом может являться месть, причем не стоит недооценивать масштабы вреда, который может нанести организации «раздосадованный» сисадмин. Они могут быть поистине разрушительными. Кроме банальной продажи информации конкурирующим организациям, «неуловимые мстители» могут прибегать к таким изощренным приемам, как закладка «логической бомбы» с такими целями, как последующее вымогательство или создание ложных доказательств виновности сотрудника или даже руководителя.
Как избежать атаки изнутри? Возможный ответ: не обижать, ценить и уважать. Один из способов борьбы с «информационными диверсиями» состоит в том, что критически важным специалистам с высоким уровнем доступа можно предоставлять соответствующий уровень заработной платы, различные схемы отсроченных или условных выплат, предоставление кредитов под низкие проценты и т.п. Тем меньше будет вероятность перехода ценного сотрудника в другие, в том числе конкурирующие структуры.
Использование принципа «альтернативной карьеры» позволит избежать стремления многих специалистов к нездоровому стремлению продвинуться путем интриг и манипуляций ресурсами компании. Компенсация затрат на обучение и повышение квалификации, системы вознаграждений и премирования также являются средством для долгосрочного закрепления в штате и повышения лояльности сотрудников.
Немаловажен и стиль поведения и общения руководства с подчиненными, которые часто в той или иной степени подсознательно копируют эти модели и переносят их на свое отношение, как к коллегам, так и к компании. Так что хорошо подумайте, прежде чем назвать своего секретаря «дурой». А вдруг она захочет вам доказать, что это не так? И эти доказательства могут принять различную форму, проявляясь, в том числе, как нарушения информационной безопасности.
Кроме психологических и социальных факторов повышенное внимание при разработке системы информационной безопасности, конечно, необходимо уделить и такому организационному фактору, как структура и функции внешней и внутренней защиты компании. Сложность систем и неправильно применяемые принципы дублирования и контроля безопасности тоже могут стать слабыми местами внутренней защиты.
Как это ни парадоксально, часто не только охрана объекта является источником «эксцессов», но и охрана от охраны, а точнее от ее злоупотребления своими полномочиями. При этом нужно помнить, что в целях предотвращения опасности несанкционированного доступа и утечки информации, под особым контролем должны находиться помещения повышенной важности: комнаты для переговоров, кабинет руководителя, серверные и т.д.
Сотрудникам, обладающим доступом к засекреченной информации тоже необходимо соблюдать определенную осторожность. Все любят получать подарки. Вот только не все знают, что подарки могут служить самой настоящей угрозой благополучию компании. Вмонтировать «жучок» в зажигалку или статуэтку, подаренные партнеру на Новый год, - проще простого.
Именно поэтому для организации, заботящейся о своей безопасности, крайне важным является наличие защиты от установки в помещении разнообразных технических средств, предназначенных для противоправного негласного получения информации. Обеспечение надежного пропускного режима поможет избежать вноса и выноса носителей информации, начиная от простого диска, заканчивая сложным аудио- и видеооборудованием.
Не стоит и говорить, что эффективное обеспечение безопасности организации невозможно без систематической проверки ведения внутреннего документооборота, а также хранения и уничтожения документации.
Один из способов сделать корпоративную базу данных информацией, охраняемой законом, — издать по компании приказ о том, что эта база данных является коммерческой тайной, и ознакомить с ним всех сотрудников под расписку. Решение о том, как именно хранить информацию и считать ли ее коммерческой тайной, должен принимать сам владелец информации.
Конечно, подобными вопросами должны заниматься грамотные специалисты. При каких обстоятельствах действия, направленные на защиту компании, не являются противоправными? Какие границы не рекомендуется переходить в области управления системой информационной безопасностью?
На эти вопросы должна знать ответы юридическая служба организации, на которую возлагается правовое обеспечение. Основной ее задачей в данном вопросе является изучение и практическое применение доступных положений гражданского и уголовного права в информационной сфере. Такая деятельность предполагает тесное взаимодействие юристов организации со службами безопасности и кадров.
Разработка должностных инструкций, контрактов, правил и положений также входит в сферу компетенции юридического отдела компании и играет крайне важную роль. При необходимости на юристов возлагается защита интересов компании, и ее работников в суде или в иных правоохранительных органах.
В конце 2000 г. международный институт стандартов International Organization of Standardization (ISO) разработал и выпустил международный стандарт менеджмента безопасности ISO 17799.
Его создание стало одной из первых удачных попыток комплексного решения задач, связанных с проблемой защиты информации.
400 уголовных дел, связанных с нарушением статей Уголовного кодекса о преступлениях в области информационных технологий, которые возбуждаются в Росси ежегодно, еще не предел. Число дел растет, как снежный ком, с каждым годом, однако только лишь разработка должностных инструкций, и компетенция юридического отдела компании, несмотря на важную роль в обеспечении информационной безопасности, не спасут.
В борьбе против нарушений информационной безопасности и ее негативных последствий – от материальных потерь до угрозы жизни и здоровью, большое значение имеет и учет техногенного фактора, и компетентность сотрудников в этих вопросах.
Необходимо помнить, что технологическое обеспечение информационной безопасности является фундаментальной проблемой бизнеса, а не частной проблемой IT-сферы. Поэтому его эффективность напрямую зависит от уровня взаимодействия всех служб, имеющих отношение к реализации этого обеспечения, а также от разумного сочетания организационных и технических мер защиты.
Одной из причин утечек информации может быть низкий уровень компетентности сотрудников, исполняющих обязанности по обеспечению информационной защиты. О том, что определенные рабочие станции не должны иметь накопителей или интерфейсов, позволяющих записывать информацию на съемные носители, знают даже дети. Меж тем, случаев утечки информации подобным образом предостаточно.
Одна из главных проблем в сфере защиты информационной безопасности - хищение логинов и паролей для входа в платные системы в основном при помощи рассылаемых вирусов типа "троянский конь". Связано это, прежде всего, с экономической ситуацией. Большинство молодых людей идет на взлом кодов для того, чтобы получить бесплатный доступ в Интернет, потому что на платный денег жалко.
Многие, кстати, и не взламывают ничего, а просто фактически воруют карточки с кодами. Так, широко известен случай, когда «специалист», которого детский дом попросил сделать сайт, переоформил на себя договор с провайдером и начал рассылать через этот сайт "трояны" для взлома чужих систем.
Другой пример. Несколько лет назад в адрес восьми зарубежных банков было разослано по электронной почте коммерческое предложение от одного из «ирландских банков». При открытии этого документа происходила установка в сети банка приложения для удаленного администрирования, позволяющего осуществлять полный контроль над системой, в том числе над получением средств из банка.
Специалисты утверждают, что наиболее значимая угроза информационной безопасности компании исходит не столько от злонамеренных пользователей глобальных информационно-телекоммуникационных сетей, сколько от нелояльных работников компании, пользующихся высоким уровнем доверия и известными им слабыми местами информационных ресурсов компании.
В связи с этим необходимо не только повышать лояльность и преданность сотрудников, но и предпринять некоторые системные шаги – например, важно не допускать возникновения монополии на неограниченный доступ к информации со стороны отдельных работников или групп.
Яркой иллюстрацией такой опасности может послужить история, произошедшая на одном из уральских титаново-магниевых комбинатов, выпускающем на экспорт ценную титановую губку.
В процессе ее производства есть тонкий момент - все технологические параметры записываются на специальную электронную карту - «тренд», без которой невозможно продать произведенную продукцию на внешнем рынке. Однажды система записи на тренд перестала работать, и часть продукции комбината оказалась не подлежащей продаже, что нанесло комбинату определенные убытки (к счастью, это обнаружилось довольно быстро — всего через несколько часов).
Расследование инцидента показало, что недавно уволенный с комбината программист, отвечавший за программу записи на тренд, заложил в нее так называемую «логическую бомбу», прекращающую работу программы при определенных условиях. А после увольнения он некоторое время шантажировал руководство комбината, требуя дополнительной оплаты за созданную им программу, хотя по контракту весь произведенный им код являлся собственностью комбината.
Согласно решению суда программист был осужден на 2 года условно, и выплатил штраф в размере 200 МРОТ. История закончилась сравнительно благополучно для предприятия, но могло быть и хуже.
Кроме системного планирования структуры контроля, сегодня одним из основных элементов информационной защиты является использование современных систем контроля доступа, в том числе биометрических; изоляция наиболее чувствительных и уязвимых компонентов системы и ее информационных ресурсов от остальных ресурсов общего пользования; регулярное проведение скрининга информационной системы.
Понятно, что все эти разносторонние меры потребовали унификации и стандартизации, и, в конце 2000 г. международный институт стандартов International Organization of Standardization (ISO) разработал и выпустил международный стандарт менеджмента безопасности ISO 17799, что стало одной из первых удачных попыток комплексного решения задач, связанных с проблемой защиты информации.
Специалисты утверждают, что при условии точного соблюдения требований ISO 17799 вероятность возникновения инцидентов в сфере информационной безопасности минимальна. «Стандарт затрагивает все сферы деятельности организации, имеющие отношение к вопросу о безопасности. Особое внимание уделено разработке, внедрению и поддержке политики безопасности предприятия. Практическая реализация требований стандарта обеспечивает непрерывность бизнес-процессов, а также необходимый уровень планирования и документирования деятельности компании», считает ведущий консультант консалтинговой компании «Контакт-эксперт» М.Г. Круглов.
При этом стандарт давно применяется на западе и потенциальные партнеры за рубежом, скорее всего, ожидают, что российские компании тоже будут соответствовать ему. По мнению Круглова, «налаженное управление информационной безопасностью, основанное на данном стандарте, давно является нормой для развитых стран. Поэтому внедрение международно-признанного стандарта ISO 17799, помимо всего прочего, гарантирует компании ещё и значительное конкурентное преимущество в глазах клиентов и партнеров, в особенности зарубежных».
Кроме того, нельзя забывать и о том, что введение стандарта – один из «глобальных» способов борьбы с информационными преступлениями не только для компании, но и для всей страны. «Не за горами вступление России в ВТО. Одним из требований, предъявляемых нашей стране, является соответствие наиболее значимых в экономике России структур требованиям стандартов семейства ISO, в том числе и стандарта менеджмента безопасности», говорит Круглов.
Вполне вероятно, что внедрение ISO 17799 на российских предприятиях скоро перестанет носить рекомендательный характер и станет непременным условием для выживания на рынке, а также своеобразным «заключительным аккордом» в комплексе разнообразных защитных мер, в построении системы информационной безопасности на предприятии или фирме.