Строительная инженерия. Промышленная безопасность. Защищать сети, серверы, компьютеры или б

Главная страница :: Инфраструктура

На дорогах саратова установят фотофиксаторы Оперативное sms информирование о тревожных событиях Новые безгалогенные кабели для промышленных систем видеонаблюдения Законопроект об обеспечении безопасности уреждений системы образования Мосты "вооружат" охраной и видеонаблюдением В городке для строителей на уренгойской грэс установят видеонаблюдение Trassir activedome+ управляет поворотными камерами без оператора! Таксисты против видеонаблюдения в их автомобилях Большой брат совсем спятил! "шпионы" на улицах вмешиваются в ход событий мягкая мебель

Системы видеонаблюдения TRASSIR внесли свой вклад в повышение безопасности киноиндустрии. Специалисты торгово-монтажной компании «СиБиГрад» установили оборудование TRASSIR в трех мультиплексных кинотеатрах Москвы и Подмосковья, принадлежащих компании «Центрфильм» - «Космос», «Высота» и «Центрфильм в Мытищах».

Для проекта была выбрана популярная система TRASSIR Silen, позволяющая отображать видео с гарантированной скоростью 25 к/сек, а записывать со скоростью 6 кадров в секунду с синхронным звуком по каждому каналу. Благодаря сжатию видео промышленным кодеком H.264 и аудио в формате Ogg Vorbis, система TRASSIR Silen позволяет вести запись в архив с максимальной продолжительностью и высокой детализацией. Установленная система отслеживает ситуацию в ресторанах, кафе и барах кинотеатров, в игровых и развлекательных зонах, где необходима постоянная запись в хорошем качестве (полный кадр), а также в кинозалах для предотвращения «пиратских» записей, где важно непрерывное отслеживание ситуации оператором. Особенностью данного проекта является хранение информации в архивах записей более двух месяцев.

Установка оборудования видеонаблюдения, как сообщается, позволила решить весь спектр задач, стоящих перед службой безопасности кинокомпании.

Сообщения о тех или иных инцидентах с безопасностью в информационных системах постепенно стали такой же рутиной, как криминальные сводки или сведения о ДТП. Кражи баз данных или ноутбуков с чувствительной информацией, распределенные DOS-атаки на сети из Интернета с использованием объединенных в единую систему зомбированных компьютеров (бот-сетей), захват злоумышленниками контроля над сайтами, появление сайтов-двойников, на которых доверчивые граждане выкладывают номера своих кредитных карточек… Список можно продолжать - то, что в нем перечислено, никого уже особо не удивляет и даже не возмущает. Такая у нас жизнь в век информации и информационных технологий…

Преступления в информационной сфере неизбежны, как и в любой другой, поскольку при их совершении возможно быстрое получение существенной выгоды. Но всегда ли эти преступления и происшествия - следствие только корысти? Нет ли тут вины, вольной или невольной, того, кто украденной информацией владел или должен был ее защищать? Попробуем разобраться.

В Уголовном кодексе еще в 1996 г. появилась глава 28 «Преступления в сфере компьютерной информации», по признакам статей которой возбуждаются уголовные дела и выносятся обвинительные приговоры. Почему-то это мало кого пугает, и правонарушений становится все больше.

Сейчас основные механизмы обеспечения информационной безопасности в автоматизированной системе или локальной вычислительной сети известны любому прилежному школьнику. Межсетевое экранирование, антивирусная защита, аутентификация, идентификация и управление доступом - без этого невозможно построить ни одну надежную информационную систему. Там, где организована эффективная работа службы информационной безопасности, имеются соответствующие специалисты, понимание руководства и деньги, к перечисленным механизмам добавляются системы обнаружения и предупреждения вторжений, анализа (мониторинга) защищенности, корреляции событий безопасности, противодействия спаму, построения частных виртуальных сетей и шифрования информации в незащищенных каналах связи, контроля за устройствами ввода-вывода и т. п. - различного рода охранных средств и систем на рынке достаточно много, и все они имеют свою потребительскую нишу. Вопрос лишь в том, по каким критериям и для чего эти отнюдь не дешевые системы и средства выбирались, какова их основная функция? Что является отправной точкой для построения системы информационной безопасности?

Исходные точки для построения системы ИБ. Каковы они?

Применимы ли эти абстрактные угрозы именно к конкретному предприятию? Что может заинтересовать хакера в вашем публичном сайте, что он будет искать за периметром сети и зачем ему вообще за этот периметр лезть? Какую информацию могут получить инсайдеры, и что они с ней будут делать? Не получив ответов на эти вопросы, говорить об эффективности принятых мер защиты бесполезно. Ваши специалисты защитили серверы и рабочие станции от несанкционированного проникновения изнутри и снаружи? А зачем? Владельцу бизнеса это надо? Велик ли ущерб, если инцидент произойдет? Какова вероятность реализации угрозы?

Очевидный ответ - угрозы в информационной сфере в целом, активность хакеров, возможные действия инсайдеров (работников собственной организации или предприятия, превышающих свои права и полномочия при обращении с информацией в ущерб ее законному обладателю) - на самом деле не дает ясной картины.

Примерно тот же алгоритм должен быть для любой другой системы безопасности, информационной в том числе. Однако на практике решение о закупке и установке соответствующего продукта принимается безотносительно к оценке риска, величине ущерба, результатам сравнения стоимости защищаемого актива и внедрения нового защитного механизма. Почему?

Первая приходящая в голову аналогия - защита личного автомобиля. Предположим, на рынке появилась новая система, позволяющая обнаружить вашу машину в любой точке мира и практически не поддающаяся блокированию злоумышленниками. Можно, конечно, прыгнуть за руль и поехать ее, эту систему, срочно ставить. Но, наверное, сначала вы выясните, сколько она стоит, сравните с аналогами, посмотрите рейтинг угоняемых машин, оцените реальную стоимость и привлекательность вашего авто для угонщиков, и только после этого будете решать, приобретать вам новую «игрушку» или нет.

Коммерческая же стоимость - это стоимость информации при выводе ее на рынок. Готовы ли платить за вашу базу данных клиентов конкуренты, и если да, то сколько? Есть ли покупатель на персональные данные, с которыми вы работаете? Только получив внятные ответы на все эти вопросы, можно говорить о целесообразности их защиты, допустимой ее стоимости и обоснованности принятых мер.

Чаще всего проблема заключается именно в неумении выделить защищаемые информационные активы и оценить их стоимость - как внутреннюю, для самой компании, так и внешнюю, коммерческую. Здесь под внутренней стоимостью понимается совокупность стоимости создания ресурса, его восстановления (актуализации) в случае уничтожения или несанкционированной модификации, упущенной выгоды при потере доступа к ресурсу (например, простое интернет-магазина при падении базы данных или блокировании сайта), имиджевых потерь от дефейсинга сайта и остановки операций с клиентами, иных факторов, связанных с деятельностью владельца ресурса, для которых можно определить денежный эквивалент.

Третий фактор, существенно влияющий на реализацию мер безопасности, - давление со стороны компаний, которые поставляют продукты, решения и услуги на рынке. Всем им очень выгодно продать дорогой софт на дорогом железе, обосновывая выбор результатами различных исследований, сравнительных тестов и рекомендациями производителей оборудования и программного обеспечения. Не отрицая значимости подобных выводов и рекомендаций, ибо сам постоянно обращаюсь к ним, задам вопрос - имеют ли они отношение конкретно к вам? И способны ли вы это оценить?

Другой причиной реализации тех или иных мер безопасности является, как ни странно, мода. Да-да, мода, так или иначе, есть на все - одежду, автомобили, места отдыха. И на средства безопасности тоже. Конкурент отремонтировал офис и поставил систему контроля управления доступа - новую, красивую, дорогую, с пластиковыми турникетами и RFID-картами. А мы что, хуже? Поставим и мы! А зачем? Вы собираетесь постоянно контролировать прибытие-убытие? Реально разграничите доступ по зонам здания и помещениям? Сопряжете с подсистемой идентификации и управления доступом информационной системы? Нет? Тогда и ставить ее незачем, это выброшенные деньги за автоматизацию функции, с которой легко справятся обыкновенные охранники. Для систем информационной безопасности аналогичная ситуация. Все бросились защищать себя от спама. Недешевая, кстати, задача. Можно, конечно, традиционным способом (кто ввел традицию, думаю, понятно) прикинуть гипотетическое количество незапрошенных писем в день, время на их чтение каждым сотрудником, стоимость «человеко-часов», перемножить все это на количество работников и рабочих дней и… - ужаснуться. Действительно, «итого» будет впечатляющим. Но все это имеет смысл, если вы уверены, что спама действительно очень много, его чтение действительно отнимает много рабочего времени, а работники действительно не гуляют по Интернету в рабочее время, не переписываются по пустякам между собой, а используют компьютер только для ударного труда на благо работодателя. Если все это не так, дорогой и сложный в настройке и поддержке антиспам будет стрельбой из пушки по воробьям. Не проще ли для начала поднять бесплатный прокси-сервер и проанализировать хотя бы в течение месяца бюджеты пользователей при работе в глобальной сети?

Кто и как может сформулировать требования к ИБ?

Основная тема прошедшего года - кража персональных данных и ноутбуков с ними в западных странах, в первую очередь в США. Все бросились защищать эти «персданные», упустив при этом маленький нюанс, - наиболее значимой частью украденных данных были номера кредитных карточек и карт социального страхования, получив которые, действительно можно обогатиться в кратчайшие сроки. Плюс колоссальные имиджевые потери. Плюс угроза уголовного преследования в случае скрытия факта утечки. Согласитесь, весомый аргумент в пользу усиления защиты. А у вас в базе персональных данных есть что-нибудь, чем можно поживиться? Кто на нее польстится, и кто купит украденное? И за сколько? Если знаете - надо защищать, но защищать уже основательно. Если нет - можно ограничиться минимальным набором мер, предписанных законом, и принять риски разглашения и административных санкций регуляторов.

Формировать требования к информационной безопасности должны две разные группы персонала. И совершенно по-разному.

Чего не надо делать и как не надо, мы выяснили. Теперь самое «простое» - как надо?

Необходима процедура управления учетными записями, идентификацией и доступом. Как минимум, следует установить политику парольной защиты, принудительно ее реализовать, выполнив соответствующие настройки программных средств, и довести до пользователей.

Первая - собственно специалисты по информационной безопасности. Есть некие механизмы защиты, назовем их базовыми, без которых ни одна информационная система не сможет устойчиво функционировать. Должны быть выполнены настройки безопасности в операционных системах и приложениях, активном сетевом оборудовании. Здесь чаще всего достаточно просто выполнить рекомендации производителей. Необходима антивирусная защита - с лицензиями на программы, позволяющими правильно ее конфигурировать, в соответствии с политикой производителя обновлять, анализировать вирусную активность, защищенность узлов сети и источники проникновения выявленного вредоносного контента. Ни в коем случае управление антивирусным ПО не должно отдаваться на откуп конечным пользователям и администраторам сети и приложений. Это самостоятельная область управления безопасностью, и за нее должен отвечать конкретный исполнитель.

Должно быть организовано управление обновлениями. Причем не бездумная установка всех патчей производителя сразу после их появления, а с предварительной оценкой применимости, целесообразности и, в идеале, с тестированием обновленного ПО и оценкой работоспособности системы после обновления. Необходимые патчи должны устанавливаться у всех, автоматически и принудительно, с выявлением непропатченных узлов сети и принятием мер к их приведению в соответствие с принятой в компании политикой безопасности.

Не обойтись без межсетевого экранирования, коль скоро вам нужен Интернет - в качестве транспорта, источника информации и способа доступа клиентов (покупателей, контрагентов) к вашим информационным ресурсам.

Вторая группа специалистов компании, формирующая требования к безопасности, - владельцы бизнес-процессов. Предвижу вздох разочарования читателя. Владельцы эти ничего в информационной безопасности не понимают, не хотят понимать и имеют на это право. Стремление вовлечь их в процесс обеспечения ИБ они воспринимают как попытку переложить на их плечи груз проблем некомпетентного персонала службы безопасности и информационных технологий. Знакомо… Тем не менее, без владельца бизнес-процесса ни его ценность, ни требования к защите и разграничению доступа не определить. Если это будет происходить в ИТ- или ИБ-подразделении, ничего хорошего ожидать не приходится.

Специалисты по ИБ должны отслеживать тенденции в сфере безопасности, появление и изменение направленности угроз, анализировать их и, в зависимости от распределения полномочий и ответственности, принимать меры к противодействию самостоятельно или информировать вторую группу специалистов.

Сейчас в моду входят системы усиленной аутентификации, с использованием внешних носителей ключевой информации (смарт-карт, токенов и т. п.), цифровых сертификатов, одноразовых паролей и других средств. Нужно ли это вашей компании? Что конкретно? Какие бизнес-задачи будет решать система усиленной аутентификации? Чтобы ответить на все эти вопросы, надо сначала выявить и оценить риски, связанные с использованием системы «логин - пароль». Главная ее проблема в том, что надежный пароль - длиной 10–12 знаков и более, случайно подобранных, использующих служебные символы и разные регистры, пользователь не запомнит. Значит, запишет - на стикере (смотри дисплей), клавиатуре (смотри обратную сторону) или где-то еще, рядом с компьютером. Запомнит пользователь только пароль достаточно простой, построенный на ассоциациях и имеющий для пользователя конкретный смысл, - имя, дата, географическое название и т. п., их сочетание. Такой пароль легко подобрать, используя нехитрые специальные программы или методы социальной инженерии. Кроме того, пароль можно перехватить при передаче по незащищенному каналу связи, и, скажем, надежную систему удаленного доступа к информационным ресурсам с его использованием построить нельзя в принципе. Выявив проблемы парольного доступа, необходимо оценить, приемлемы ли для вас риски, связанные с его недостатками. Если нет и имеются ресурсы, доступ к которым должен быть надежным, а ущерб от кражи или модификации информации велик (для одних это миллион денежных единиц, для других - десяток тысяч), значит, систему надо менять на более безопасную и стойкую к взлому. Обратите внимание - к проблеме доступа к персональному компьютеру или серверу эти вопросы никакого отношения не имеют, все определяется ценностью информации и тем бизнес-процессом, в котором она используется.

Кого и с какими правами допускать к базе данных товаров? Считать ли потенциальным злоумышленником администратора базы? Надо ли организовывать логирование обращений к базе и их анализ? Кому такой анализ доверить? По каким правилам его вести? Без ответов на эти вопросы строить систему защиты бессмысленно. А ответить на них ни в службе автоматизации, ни в службе безопасности не смогут. И снова мы возвращаемся к выявлению и анализу рисков, без которого, повторяю, принятие мер по защите информации может стать пустой тратой денег.

Как правильно увидеть бизнес-проблемы и связать их с информационными технологиями?

Взять на себя ответственность за поиск адекватных мер защиты, выбор того или иного конкретного средства безопасности должна, безусловно, специализированная служба информационной безопасности в тесном взаимодействии с ИТ-подразделением.

Но инвентаризация - это не просто составление реестра с указанием тех или иных приложений и серверов, на которых они расположены. Проблема гораздо сложнее и объемнее. В качестве варианта можно рассмотреть следующий (таблица 1).

Итак, мы договорились, что построение системы обеспечения информационной безопасности (СОИБ) должно определяться безопасностью основных бизнес-процессов организации или предприятия. Первый шаг на пути к этому - инвентаризация информационных ресурсов. Не имея полной картины того, что надо защищать и от кого (чего), построить внятную СОИБ невозможно.

Первая, самая простая часть - выявление и описание приложений и/или серверов. Выполнить эту работу проще всего ИТ-департаменту, который организует обслуживание всех систем. Если на предприятии есть несколько структурных подразделений, отвечающих за эксплуатацию информационных подсистем и приложений (например за бизнес-приложения, автоматизированные системы управления технологическими процессами, системы охраны, сигнализации и видеонаблюдения), в формировании исходных данных для перечня все они должны принять участие. На данном этапе определяются собственно приложение (сервер), его адрес в сети, администратор (администраторы) приложения.

Как составить такой перечень?

Степень критичности ресурса определяется исходя из трех основных критериев безопасности - требований к доступности, целостности и конфиденциальности, причем чаще всего именно в этой последовательности. Учитывая, что дать количественную оценку этих показателей, скорее всего, не удастся, могут использоваться качественные параметры, с соответствующими весами (таблица 2). Степень критичности определяется по сумме баллов, и в зависимости от результата ресурсу присваивается соответствующий рейтинг (таблица 3).

Затем определяется владелец ресурса. Практика показывает, что при видимой простоте процедуры результаты могут быть самыми неожиданными. Строго говоря, владелец - это заказчик того или иного приложения. Но в процессе развития организации, ее структурных изменений владелец может смениться, а может оказаться и так, что на период проведения инвентаризации у ресурса вообще не будет конкретного владельца. Например, кто является владельцем ERP-системы предприятия? Иногда целесообразно определить одного из руководителей предприятия ответственным за ресурс в целом, а для каждого самостоятельного сегмента (подсистемы) - своего ответственного. Для той же ERP-системы ответственным за систему в целом будет один из заместителей генерального директора (вице-президент), а для каждого модуля - свой функциональный руководитель (для HR, финансовой отчетности, заказов и поставок и т. д., в зависимости от функциональности). Утверждение владельцев ресурсов - область компетенции высшего менеджмента предприятия. Если есть комитет по автоматизации и информатизации или аналогичный коллегиальный орган, решающий вопросы развития информационной системы, комитет по информационной безопасности или аналогичные по сути структуры, вопрос может решаться в их рамках. Если нет - эскалироваться до топ-менеджера, компетентного принимать решение по данному вопросу. Кстати, международные стандарты управления информационными технологиями и безопасностью в том числе безоговорочно требуют наличия подобных органов из числа топ-менеджеров.

Для правильного определения необходимых защитных механизмов необходимо создание модели нарушителя и исходящих от него угроз безопасности. При этом обязательно должны быть учтены не только внешние нарушители - конкуренты, хакеры, криминальные структуры (хотя в последнее время сложно провести границу между этими группами), но и внутренние - инсайдеры, т. е. собственные работники (пользователи системы), превышающие свои права и полномочия. В первую очередь, это администраторы сети и приложений, имеющие максимальные возможности по вмешательству в работу системы и наиболее трудно поддающиеся контролю.

Далее устанавливаются очередность и состав работ по обеспечению информационной безопасности. Все сразу эффективно защитить нельзя вследствие значительного объема аналитической работы по выявлению и оценке рисков, необходимых защитных механизмов и пр. - невозможно одновременно привлечь большое количество ресурсов и денежных средств. Естественно, последовательность выполнения работ должна определяться степенью критичности ресурсов, от более к менее критичным.

От компьютерной безопасности - к безопасности информационной.

Важно отметить, что работа по защите ресурсов должна вестись не последовательно, а параллельно. Если строго следовать процессу «выявление - систематизация - модель нарушителя - модель угроз - выработка мер - подбор решений - внедрение - эксплуатация», может получиться так, что к моменту сдачи защитной подсистемы в эксплуатацию защищать будет уже нечего. Поэтому после инвентаризации необходимо определить минимальные меры, которые целесообразно принять в зависимости от степени критичности ресурсов (таблица 4).

Организуя работу по защите информационных ресурсов, необходимо помнить, что далеко не вся информация сосредоточена в корпоративной информационной системе. Значительная ее часть, так или иначе, находится на бумажных носителях, т. е. в документах, передается по каналам связи (как правило, незащищенным), обсуждается на различного рода рабочих встречах, совещаниях, непосредственно на рабочих местах. Это надо учитывать и при создании вами (или внешней организацией - для вас) модели нарушителя или модели угроз. В конечном счете, мы всегда говорим о безопасности информации, а не информационной системы. Поэтому драконовские меры по управлению доступом, электронными правами и устройствами ввода-вывода могут оказаться абсолютно бесполезными, если документ беспрепятственно (и безучетно) размножается на ксероксе, после прочтения выбрасывается в корзину для бумаг, а не пропускается через шредер. При справедливом и критическом отношении специалистов по безопасности к вопросам защиты от утечки информации по акустическим и виброакустическим каналам и за счет побочных электромагнитных излучений и наводок приходится признать, что устройства несанкционированного съема, в первую очередь речевой информации, доступны, дешевы и предельно просты в эксплуатации. А если на рынке есть предложение, значит, есть и спрос. Видите ли вы среди своих конкурентов и злоумышленников тех, кто способен установить «жучки»? Есть ли у вас информация, которую стоит подобным «киношным» способом добывать? Если да, собственно сетевой и компьютерной безопасностью ограничиваться никак нельзя. Выявление возможных (т. е. применимых к вам) каналов утечки и воздействия на информационную среду на этапе моделирования угроз и нарушителя - такая же необходимая часть создания СОИБ, как и построение межсетевого экранирования или управления учетными записями, а обеспечение безопасности бумажного документооборота не менее важно, чем документооборота электронного.

От информационной безопасности - к безопасности экономической

cio-world.ru

Естественно, самое важное - конечный результат. Им является предотвращение возможных потерь на рынке - задача, которая традиционно относится к безопасности экономической. Любая классификация имеет свои недостатки, и сложившаяся структура системы безопасности из четырех блоков - экономической, информационной, физической (инженерной) и кадровой - также очень условна. Все эти блоки тесно взаимодействуют между собой, четкую границу между ними провести нельзя, а иногда - просто опасно. Это еще один аргумент в пользу централизации служб безопасности в единую структуру и вывода службы информационной безопасности из ведения директора по информационным технологиям.

Главная страница :: Инфраструктура :: Защищать сети, серверы, компьютеры или бизнес?вывоз мусора в Москве | демонтаж в Москве