В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
А.С. Марков
В.Л. Цирлов
И.А. Чикалев
эксперты по информационной безопасности
ПРОВЕДЕННЫЙ за последний год аудит ИБ более десятка предприятий торговли в различных регионах страны позволил выявить поразительно однообразные нарушения и проблемы обеспечения ИБ, безотносительно от сферы деятельности организаций - будь то фармацевтическая компания или структура автобизнеса.
Отметим, что весь выполненный аудит был независимым, инициирован руководством предприятия без привлечения служб автоматизации, имел целью проведение комплексного анализа защищенности от угроз утечки и утраты информации, а также выявление злонамеренной деятельности привилегированных инсайдеров и уволившихся сотрудников.
В худших традициях
Выявленные недостатки для наглядности условно сгруппированы по традиционным сегментам ИБ:
1)законодательная база;
2)организационные меры;
3)технические решения;
4)подготовка персонала;
5)физическая защита.
2.Проблемы в организационной сфере касаются двух главных аспектов:
Обязанности по защите информации возлагают на IT-отделы, которые в интересах выполнения бизнес-процессов фактически противостоят требованиям ИБ, а порой усугубляют ситуацию.
3. Как правило, даже на самых успешных ПТ по причине отсутствия системного подхода к защите информации отмечается весь список угроз, связанных с ошибками проектирования, реализации и администрирования сервисов и подсистем КС.
Перечислим типовые недостатки:
Изумляет "местечковость" подхода к ИБ - к примеру, если это город N, то у всех в городе в качестве межсетевого экрана используется, скажем, пиратский Kerio.
4.Уровень подготовки специалистов по защите информации от НСД относительно невысок. В частности, поразило, что подлинным открытием для администраторов КС является продемонстрированная возможность перехвата трафика в Ethernet-сетях, реализованных по switch-технологии! Добавим, что низкая осведомленность конечных пользователей о вопросах ИБ создает благоприятную почву для социальных атак с применением сервисов электронной почты, Интернет-мессенджеров и т.д. 5. При высокопрофессиональной организации физической защиты территории ПТ встречаются ситуации, когда доступ к ключевым компьютерам (например, ПК секретаря) не контролируется или все данные скрытого видеонаблюдения выводятся на компьютер, имеющий незащищенный доступ, - как локальный, так и сетевой.
Неутешительные выводы
Кроме организации физической защиты территории ПТ, характерно наличие множественных угроз конфиденциальности информационных ресурсов и непрерывности бизнес-процессов. КС ПТ часто не способны противостоять известным социальным, локальным (физическим) и типовым сетевым атакам, не говоря уже о DOS-атаках.
Вполне очевидна (в смысле ИБ) зависимость руководителей предприятий торговли от руководителей IT-отделов, а последних - от администраторов, занимающихся мониторингом и удаленным управлением КС ПТ из собственных квартир.
Вызывает озабоченность незащищенность персональных данных. Есть мнение, что в случае некоторых нарушений потенциально возможно привлечение руководителей ПТ к уголовной ответственности и даже арест предприятия.
Хочется верить, что отмеченная безалаберность в вопросах ИБ ПТ будет сходить на нет по мере внедрения в системах ПТ отечественных стандартов 17799-06 и 27001-06, проекты которых обнародованы весной 2006 г. в рамках работы технического комитета по стандартизации ТК-362.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3+4, 2006