Контакты
Подписка
МЕНЮ
Контакты
Подписка

Что показал независимый аудит

Что показал независимый аудит

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Что показал независимый аудит

А.С. Марков
В.Л. Цирлов
И.А. Чикалев
эксперты по информационной безопасности

ПРОВЕДЕННЫЙ за последний год аудит ИБ более десятка предприятий торговли в различных регионах страны позволил выявить поразительно однообразные нарушения и проблемы обеспечения ИБ, безотносительно от сферы деятельности организаций - будь то фармацевтическая компания или структура автобизнеса.

Отметим, что весь выполненный аудит был независимым, инициирован руководством предприятия без привлечения служб автоматизации, имел целью проведение комплексного анализа защищенности от угроз утечки и утраты информации, а также выявление злонамеренной деятельности привилегированных инсайдеров и уволившихся сотрудников.

В худших традициях

Выявленные недостатки для наглядности условно сгруппированы по традиционным сегментам ИБ:

    1)законодательная база;

    2)организационные меры;

    3)технические решения;

    4)подготовка персонала;

    5)физическая защита.

1.Вспоминая слова классика о необязательности выполнения "строгих" российских законов, приходится констатировать, что фактически во всех проверенных ПТ отсутствовало представление о лицензируемом виде деятельности по защите конфиденциальной информации (персональных данных) и соответственно не выполнялись требования по ее защите (в том числе при организации доступа через Web-интерфейс). Традиционно на всех предприятиях торговли никак не выражено отношение к агрессивному несоблюдению авторских и имущественных прав на программные средства и, что весьма небезопасно, на средства защиты информации (СЗИ).

2.Проблемы в организационной сфере касаются двух главных аспектов:

  • отсутствие политики безопасности организации, то есть что, зачем и как защищать в ПТ определяется на "коллективно бессознательном" уровне;

  • отсутствие выделенной службы, отвечающей именно за информационную безопасность.

Обязанности по защите информации возлагают на IT-отделы, которые в интересах выполнения бизнес-процессов фактически противостоят требованиям ИБ, а порой усугубляют ситуацию.

3. Как правило, даже на самых успешных ПТ по причине отсутствия системного подхода к защите информации отмечается весь список угроз, связанных с ошибками проектирования, реализации и администрирования сервисов и подсистем КС.

Перечислим типовые недостатки:

  • использование в КС периметровых СЗИ класса SOHO, обычно "пиратских" и неизвестного происхождения;
  • использование собственных систем документооборота и бухучета, передающих информацию в открытом виде или допускающих соединение с базами данных без пароля;
  • конфигурирование подсистем аутентификации в вариантах, позволяющих их скомпрометировать всеми известными способами (взлом, перебор, подбор, съем, перехват, перенаправление);
  • избыточное наличие средств удаленного администрирования, в том числе с неконтролируемой территории (из квартир администраторов!);
  • отсутствие учета копирования информации на мобильные носители (например, флэш-накопители USB);
  • неправильное использование криптографических средств;
  • отсутствие средств контроля уязвимостей, активного аудита и т.д.

Изумляет "местечковость" подхода к ИБ - к примеру, если это город N, то у всех в городе в качестве межсетевого экрана используется, скажем, пиратский Kerio.

4.Уровень подготовки специалистов по защите информации от НСД относительно невысок. В частности, поразило, что подлинным открытием для администраторов КС является продемонстрированная возможность перехвата трафика в Ethernet-сетях, реализованных по switch-технологии! Добавим, что низкая осведомленность конечных пользователей о вопросах ИБ создает благоприятную почву для социальных атак с применением сервисов электронной почты, Интернет-мессенджеров и т.д. 5. При высокопрофессиональной организации физической защиты территории ПТ встречаются ситуации, когда доступ к ключевым компьютерам (например, ПК секретаря) не контролируется или все данные скрытого видеонаблюдения выводятся на компьютер, имеющий незащищенный доступ, - как локальный, так и сетевой.

Неутешительные выводы

Кроме организации физической защиты территории ПТ, характерно наличие множественных угроз конфиденциальности информационных ресурсов и непрерывности бизнес-процессов. КС ПТ часто не способны противостоять известным социальным, локальным (физическим) и типовым сетевым атакам, не говоря уже о DOS-атаках.

Вполне очевидна (в смысле ИБ) зависимость руководителей предприятий торговли от руководителей IT-отделов, а последних - от администраторов, занимающихся мониторингом и удаленным управлением КС ПТ из собственных квартир.

Вызывает озабоченность незащищенность персональных данных. Есть мнение, что в случае некоторых нарушений потенциально возможно привлечение руководителей ПТ к уголовной ответственности и даже арест предприятия.

Хочется верить, что отмеченная безалаберность в вопросах ИБ ПТ будет сходить на нет по мере внедрения в системах ПТ отечественных стандартов 17799-06 и 27001-06, проекты которых обнародованы весной 2006 г. в рамках работы технического комитета по стандартизации ТК-362.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3+4, 2006

Приобрести этот номер или подписаться

Статьи про теме