Обзор подготовлен	При поддержке

Алексей Нурлыбаев: Руководство компаний пребывает в «счастливом» неведении относительно реального уровня угроз

О специфике построения систем защиты информации в компаниях малого и среднего бизнеса рассказал Алексей Нурлыбаев, технический директор компании «ИнфоТехЗащита»

CNews: Какие важные события произошли на рынке защиты информации за последнее время? Какие тенденции были определяющими на рынке в 2004 г., на ваш взгляд?

Алексей Нурлыбаев: Я хочу отметить тенденцию, которая непосредственно влияет на бизнес нашей компании, а именно рост числа компаний, осуществляющих аутсорсинг функций отдела информационной безопасности. Поручение такого деликатного вопроса, как защита конфиденциальной информации сторонней организации, является непростым решением.

Как правило, на аутсорсинг отдаются не все задачи по информационной безопасности и, конечно, у клиента всегда есть персонал, который тщательно контролирует со своей стороны процесс, который строится в первую очередь на доверии. Здесь большую роль играют рекомендации партнеров, а клиентов, пришедших «с улицы» раньше у нас практически не было. Однако в 2004 г. ситуация изменилась и у нас появились клиенты, узнавшие о нас из рекламы и принявшие решения о сотрудничестве после общения с нашими специалистами и пробных аудитов информационной безопасности, которые мы обычно проводим. Наиболее востребованными услугами являются проведение регулярных аудитов систем безопасности, установка специализированных продуктов для решения различных задач, обучение персонала, а также участие в расследовании инцидентов.

CNews: Многие специалисты отмечают, что переход к комплексным решениям в сфере ИБ практически совершился. Насколько выросло число таких проектов?

Алексей Нурлыбаев: Так как специфика деятельности нашей компании подразумевает в первую очередь выполнение комплексных проектов, мне тяжело сделать такую оценку. Однако, в силу того, что мы работаем в секторе малого и среднего бизнеса, где осознание необходимости защищать конфиденциальную информацию ещё не завершёно, зачастую к нам обращаются клиенты, желающие приобрести отдельный продукт или провести ограниченный объём работ. При этом мы всегда даем в случае необходимости консультацию по всем существующим в их случае угрозам безопасности информации, которые они не приняли во внимание.

В рамках такой консультации наши специалисты обычно посещают офис клиента и проводят бесплатный предварительный аудит. В отличие от штатных сотрудников по защите информации или системных администраторов, наши специалисты не связаны личными отношениями с сотрудниками клиента, что позволяет получить объективную картину. Обычно это приводит к более чёткому пониманию клиентом существующих угроз, и в ряде случаев проект становится действительно комплексным. За последнее время процент таких случаев стабильно растет, что свидетельствует об увеличении числа компаний в секторе SMB, заинтересованных в качественных и полных решениях по защите информации.

CNews: Их вашей практики, какое внимание уделяют отечественные организации политике безопасности, а так же различным организационным мерам в сфере ИБ?

Алексей Нурлыбаев: В секторе SMB административно-организационные мероприятия по информационной безопасности проводятся во многих компаниях, однако чаще всего это объявления и рекомендации для пользователей. Грамотно разработать политику безопасности могут только квалифицированные специалисты с большим опытом подобной работы. Политика безопасности должна описывать общую идеологию работы с конфиденциальной информацией в организации — правила работы, полномочия и ответственность сотрудников. Конкретный порядок работы описывается в инструкции для сотрудников по работе с конфиденциальной информацией. По сути это как закон и разъяснения к нему ‑ важно, чтобы помимо теоретической части была и практическая.

Политика безопасности в крупных организациях обычно состоит из нескольких документов: политика работы с паролями, политика работы в сети и т.д. Такое разбиение не очень эффективно для средних и малых компаний, для которых достаточно одного общего, но качественного документа.

Необходимо понимать, что политика безопасности является мощным инструментом управления конфиденциальной информацией, и нельзя во всех организациях вводить одну и ту же типовую политику, как это часто происходит. Мы подходим к каждому клиенту индивидуально, принимая во внимание множество факторов, которые могут оказать влияние.

Естественно, созданием политики безопасности и инструкций по работе с конфиденциальной информацией дело не ограничивается. Своим клиентам мы предлагаем комплекс услуг, позволяющий эффективно использовать и совершенствовать разработанные для них организационно-административные документы. Среди предлагаемых услуг особо можно выделить обучение сотрудников, которое нужно проводить в соответствии с их правами и обязанностями, определёнными политикой безопасности.

CNews: Из вашего опыта, каков уровень защиты российских компаний? Какие основные ошибки допускаются при построении систем защиты информации?

Алексей Нурлыбаев: Чаще всего уровень защиты очень низкий. Обычно усилий ИТ-отдела компаний SMB-сектора хватает только на пароли в Windows. И это неудивительно, ведь не каждая компания может найти и содержать в штате специалиста по информационной безопасности.

Основной ошибкой, как и раньше, являются попытки обеспечить защиту силами собственных системных администраторов, которые, обладая некоторыми начальными знаниями в области информационной безопасности, пытаются решить задачу, просто купив и установив программное обеспечение. Ни грамотная настройка программного и аппаратного обеспечения, ни разработка политики безопасности обычно не производятся. Руководство компании пребывает в «счастливом» неведении относительно реального уровня угроз, а это ещё более опасно. Например, сотрудники начинают защищать документы MS Office встроенной парольной системой, передавать по электронной почте важную документацию, полагая при этом, что информация надёжно защищена.

CNews: С какими проблемами в сфере ИБ чаше всего сталкиваются российские компании? Какие продукты и услуги сегодня наиболее востребованы?

Алексей Нурлыбаев: Если под проблемами понимать угрозы, то, конечно, на первом месте у наших клиентов стоит несанкционированный доступ к конфиденциальной информации. Наиболее востребованным решением здесь являются системы шифрования «на лету» DriveCrypt, позволяющие шифровать жесткий диск целиком, вместе с операционной системой. В этом случае невозможно не только получить доступ к конфиденциальной информации, но и узнать, какая операционная система и приложения установлены на компьютере.

Значительное количество запросов к нам связано с комплексом работ, начинающимся с анализа архитектуры сети предприятия и завершающимся реализацией и сопровождением комплексного проекта по защите информации.

CNews: Почему, на ваш взгляд, несмотря на то, что внутренние угрозы значительно опаснее внешних, многие отечественные компании продолжают пренебрегать средствами защиты от внутренних нарушений?

Алексей Нурлыбаев: Нельзя однозначно утверждать, что внутренние угрозы значительно опаснее внешних. Тем не менее, у внутренних угроз есть свои особенности. Например, у внутреннего нарушителя есть обширные возможности социальной инженерии: подсмотреть пароль, договориться со службой безопасности и т.д. Однако, ущерб, а в нашем случае мы оцениваем опасность именно по степени возможного материального ущерба, оценивается в каждом конкретном случае, после составления модели угроз, нарушителя и оценки рисков.

Исходя из нашего опыта, можно заключить, что угрозы информационной безопасности вообще — как внешние, так и внутренние — для многих руководителей являются чем-то гипотетическим. И, как следствие, деньги во что-то непонятное вкладывать не очень хочется. Зато когда «гром грянет» и появится реальный ущерб, компании в срочном порядке начинают искать пути решения подобных проблем в будущем.

Если бы каждый руководитель мог ознакомиться с написанным специалистом отчётом о рисках реализации различных угроз безопасности информации в своей организации, он бы тут же озаботился проблемой информационной безопасности.

Внешние угрозы гораздо лучше популяризованы — каждую неделю мы читаем в СМИ очередную историю о взломе серверов. В то же время ущерб, связанный с внутренними нарушителями, редко придается огласке, поэтому многие компании вообще не подозревают о существовании такой опасности.

В части решений по защите от внутренних угроз наша компания предлагает своим клиентам различные системы мониторинга работы пользователей на компьютерах, а также системы контроля копирования на сменные носители.

CNews: Последний год наблюдался повышенный интерес к решениям по мониторингу трафика на предмет как целевого использования, так и утечки конфиденциальных данных, а так же всевозможным продуктам по контролю рабочего времени сотрудников. Насколько актуальна данная проблема сегодня, и как решают ее компании?

Алексей Нурлыбаев: Действительно, упомянутая проблема сегодня достаточно актуальна. Контроль трафика и мониторинг активности сотрудников позволяет значительно повысить эффективность их работы и минимизировать риски утечки информации. Контроль рабочего времени наиболее эффективно осуществляется с помощью систем контроля и управления доступом. СКУД позволяет существенно повысить дисциплину в организациях SMB-сектора, что положительно влияет и на информационную безопасность в целом. Мы обязательно предлагаем своим клиентам выбрать систему, наиболее подходящую ему по функциональности и стоимости.

Сетевой трафик удобнее всего контролировать на шлюзе между внутренней сетью и интернетом. Программное обеспечение такого рода ведёт журнал посещений сайтов, который впоследствии анализируется, после чего генерируется отчёт по посещению сайтов сотрудниками.

Мониторинг работы пользователя в операционной системе выполняется обычно так: на рабочую станцию ставится «агент», собирающий необходимые данные и регулярно пересылающий их на сервер, где эти данные анализируются. На выходе тоже получаем отчёт.

Контроль рабочего времени ведётся с помощью СКУД с использованием аппаратных идентификаторов. Это могут быть смарт-карты, брелки, «таблетки», браслеты и т.п. При входе или выходе из офиса необходимо поднести к считывателю около двери свой идентификатор, иначе замок не откроется. Таким образом, на сервере сохраняется информация обо всех входах/выходах сотрудников, на основании которой может быть сгенерирован отчёт.

Кстати, эти же идентификаторы можно использовать и для авторизации при входе в операционную систему, а также в других приложениях. Мы предлагаем такие решения, которые при сравнительно небольшой стоимости позволяют оснастить предприятие на уровне, который раньше был недоступен компаниям в секторе SMB.

CNews: Какие интересные проекты в сфере ИБ были реализованы «ИнфоТехЗащитой» за последнее время?

Алексей Нурлыбаев: Конечно, наиболее интересными являются комплексные проекты с множеством составных частей. В частности, недавно мы завершили реализацию системы комплексной защиты информации на предприятии со 120 рабочими местами. Система включает в себя шифрование дисков, контроль и управление доступом на компьютеры и в помещения, защиту от несанкционированного копирования, мониторинг действий пользователей и некоторые другие элементы. Особое внимание было уделено административно-организационным мероприятиям: разработаны политика безопасности и ряд инструкций по работе с сетевыми приложениями, паролями, почтовыми клиентами и т.д.

Сейчас система функционирует в полном объёме и уже начинает приносить свои плоды. Было выявлено несколько злоумышленников, к ним были применены меры административного воздействия.

CNews: Какие планы по стратегическому развитию стоят перед компанией на ближайший год?

Алексей Нурлыбаев: Мы постоянно готовим и предлагаем своим клиентам новые решения и продукты, позволяющие реализовывать разные по функциям и стоимости проекты. Как уже отмечалось, основными нашими клиентами являются компании SMB-сектора, для которых важным критерием является стоимость решений, возможность поэтапного ввода без строгих ограничений по срокам и ряд других факторов, которые зависят от специфики деятельности. Поэтому мы используем индивидуальный подход и предлагаем клиентам разные варианты, не привязываясь при этом к конкретным продуктам или технологиям. Что лучше—решает сам клиент, проанализировав информацию, которую мы ему предоставляем.

Также мы увеличиваем присутствие в государственном секторе, где ведём работу с крупными промышленными предприятиями. Несмотря на масштабы производства, такие предприятия по оснащенности компьютерной техникой часто могут быть сопоставлены с SMB-предприятиями.

В ближайшее время мы планируем предложить своим клиентам ряд новых продуктов и услуг, не имеющих на сегодняшний день аналогов на российском рынке.

CNews: Спасибо.