Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Пример решения: Законодательные акты и их реализация с помощью программных продуктов LANDesk

Наличие большого числа законодательных актов, посвященных вопросам защиты информации, и необходимость учитывать последствия их несоблюдения, привело к тому, что проблема исполнения законодательства стала предметом обсуждения в компаниях на уровне высшего менеджмента, включая уровень совета директоров или правления. Согласно исследованиям «Эрнст энд Янг» в 2005 году стремление к соблюдению законодательных и иных требований стало ключевым стимулом к обеспечению информационной безопасности.

Казалось бы, такое внимание, уделяемое информационной безопасности, должно способствовать улучшению ситуации с обеспечением информационной безопасности в каждой отдельно взятой компании и к интеграции службы информационной безопасности в общую структуру компании. Но, к сожалению, этого не происходит. Очень многие компании в России до сих пор не могут определиться: должна ли служба информационной безопасности быть самостоятельной, или должна подчиняться службе информационных технологий, должна ли в принципе существовать отдельная служба ИБ, или достаточно просто выделить одного-двух специалистов.

В подобной ситуации необходимость соблюдения всевозможных нормативных требований является скорее отвлекающим фактором, нежели катализатором перехода к стратегическому ориентированию информационной безопасности в контексте деятельности компании.

В настоящее время государством ведется активная работа по гармонизации различных нормативных документов, посвященных защите информации. В данной задаче задействованы как государственные, так и коммерческие организации, которые в своей работе опираются на мировой опыт.

Одними из самых востребованных стандартов в России являются ISO 17799, 27001 и 15408. Ряд российских компаний уже прошли сертификацию по ISO 17799, в настоящее время готовятся к принятию русские версии стандартов ISO 17799 и 27001. ISO 15408 введен в 2004 году, но государственного реестра профилей защиты пока не существует.

За последнее время наиболее заметными событиями в области документов по информационной безопасности являются выход стандарта СТО БР ИББС–1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» Центрального Банка России и Федерального Закона №152-ФЗ «О персональных данных». Не вызывает сомнения, что в скором будущем стандарт Банка России может стать обязательным для всех организаций кредитно-финансовой сферы.

Выступая в качестве регулятора рынка информационной безопасности, государство в первую очередь выдвигает требования по защите государственной тайны. Исполнение данных требований обеспечивается системой сертификаций средств защиты и лицензированием деятельности организаций, предоставляющих услуги по защите данных. Компании и частные лица самостоятельно определяют необходимый уровень защиты принадлежащей им информации, используя нормативные документы в качестве рекомендаций и ориентиров. Разработчики систем сертифицируют свои продукты на соответствие требованиям руководящих документов для того, чтобы завоевать доверие на рынке. Так программное обеспечение LAN Desk в настоящий момент проходит сертификацию на отсутствие недекларированных возможностей, а также по «общим критериям».

Российские компании, заинтересованные в повышении эффективности своей работы и снижении издержек, ориентируясь на мировой опыт, используют или планируют использовать в своей работе методологии ITIL и Cobit. Данные методологии хорошо себя зарекомендовали как эффективные руководства для организации ИТ-процессов (ITIL) и контроля соответствия ИТ-процессов требованиям бизнеса (Cobit).

Фактически, ITIL и Cobit — это сборники лучших практик, позволяющих ИТ службе перейти от традиционного обеспечения работоспособности ресурсов к предоставлению заказчикам сервисов определенного уровня. Конечно, внедряя ITIL или Cobit, можно самостоятельно разработать все необходимые документы, политики и процедуры, а затем внедрить их в работу компании. Однако этот путь достаточно долог и трудоемок, при этом существует множество программных продуктов, позволяющих автоматизировать данный процесс. 

Одним из таких эффективных программных продуктов позволяющих внедрить процессы ITIL является LANDesk Service Desk. Данный продукт отвечает функциональным требованиям совместимости с ITIL, поскольку дает «сквозное» решение, модули которого охватывают все вопросы управления ИТ-службой предприятия (управление сервисами, поддержка пользователей, управление сетями и системами). Интеграция с другими решениями LANDesk по управлению рабочими станциями является базой для обеспечения высокого уровня поддержки пользователей.

LANDesk Service Desk рассчитан на объединение оперативного управления заявками на обслуживание, основанного на ролевом принципе расстановки приоритетов, и автоматизацию действий, выдачи заданий, определения уровня обслуживания и их эскалации. LANDesk Service Desk обеспечивает эффективную обработку инцидентов за счет интеллектуального интерфейса службы поддержки, а также автоматизированного контроля уровня обслуживания на любом этапе жизненного цикла инцидентов. Непосредственный доступ к информации в режиме реального времени и мощная статистическая отчетность дает менеджерам возможность постоянно контролировать результативность сервисных функций.

В дополнение к SLA и OLA (соглашение об уровне услуг) ITIL, как и другие стандарты, вводит понятия политик ИБ, планов и рабочих (операционных) инструкций. Фактически, работа службы ИТ становится более прозрачна и понятна для бизнес-подразделений, так как переводится на язык денег, который бизнес очень хорошо понимает. С другой стороны, просто выделив деньги на внедрение какой-либо системы, трудно ожидать положительного результата. Как минимум, для того, чтобы система приносила пользу, она должна быть увязана с бизнес-процессами компании.

Помочь в этом может новый продукт компании — LANDesk Process Manager. Это инструмент, позволяющий описать документооборот организации, т.е. автоматизировать представление бизнес-процессов компании, а также оперативно вносить в них изменения. Открытая архитектура с использованием веб-сервисов обеспечивает интеграцию с разнообразными приложениями, а интерфейсы с электронной почтой и различными базами данных позволяют конечным пользователям работать с бизнес-процессами. В его состав также входят интуитивно понятные графические инструменты для моделирования, конфигурирования и аудита процессов, генерации отчетов и их анализа.

Новый продукт может использоваться совместно с другими решениями LANDesk по управлению системами и безопасностью, а также доступен в автономном варианте. Его применение поможет компаниям достичь соответствия требованиям нормативных актов, таких как Sarbanes-Oxley, HIPAA и др. При этом с его помощью руководство предприятия получает контроль доступа к данным, а также возможность задавать критерии предоставления доступа и отслеживать движение информации внутри компании. На базе этой информации можно принимать управленческие решения не только в области бизнеса, но и в области ИБ и ИТ, так как их процессы также могут быть описаны в LANDesk Process Manager.

По данным Gartner, «Выигрыш в производительности в результате автоматизации рутинных задач и документооборота, а также от системного усовершенствования процессов, которые ранее не были автоматизированы, варьируется от 15 до 150 процентов» (Gartner’s Position on Business Process Management, 2006. Research document ID Number: G00136533, Gartner, Inc. (16, February, 2006). В отчете Gartner также отмечается, что «Только совершенные процессы дают организациям возможность выстоять при конкурентном давлении и продемонстрировать свое соответствие нормативным актам. Только совершенное и адаптивное управление процессами может обеспечить оперативность, необходимую для реагирования на изменяющиеся условия».

IT Governance Institute вкладывает в понятие «управление» набор действий и обязанностей руководства компании по определению стратегического направления ИТ и ИБ, обеспечению достижения выбранных целей, управлению рисками и эффективному использованию ресурсов организации.

Осмысленное управление информационной безопасностью позволяет создать корпоративную систему обеспечения ИБ, соответствующую требованиям бизнеса, управлять рисками и оптимизировать инвестиции в ИБ. Создание системы управления ИБ предусматривает в первую очередь определение ролей и обязанностей соответствующих служб и разработку корпоративных политик, стандартов и процедур. Успех создания подобной системы определяется наличием следующих ключевых факторов:

• Поддержка высшего руководства компании;
• Понимание менеджментом инициатив, связанных с ИБ;
• Планирование создания системы обеспечения ИБ до внедрения технологий;
• Ответственность руководителей всех уровней за реализацию и мониторинг исполнения инициатив ИБ.

Важную роль в процессе управления играет специализированное программное обеспечение, позволяющее получать оперативные данные о состоянии дел в области ИБ. Без него крайне сложно построить эффективную систему управления крайне сложно, так как специалистам придется тратить время на решение таких тактических задач, как отслеживание и установка обновлений безопасности, антивирусного ПО, конфигурирование средств защиты, в общем, на все то, что принято называть рутинными операциями.

Поэтому компания LANDesk в прошлом году выпустила самостоятельный набор LANDesk Security Suite. Реакция заказчиков показывает, что это было сделано очень своевременно. LANDesk Security Suite позволяет обнаруживать серверы и рабочие станции с необновленным программным обеспечением, действенно контролировать и исправлять настройки безопасности, выявлять и блокировать шпионское программное обеспечение (spyware), управлять антивирусным программным обеспечением и персональным межсетевым экраном. Единая для всех продуктов LANDESK консоль управления облегчает работу с различными компонентами.

Вектор развития LANDesk естественно определяется прежде всего рынком ИТ, а также общей для этого рынка тенденцией к интеграции средств управления системами и решений по информационной безопасности. Одной из таких тенденций является интеграция в одном продукте разных средств защиты, например, многие производители средств защиты от несанкционированного доступа интегрируют в свои продукты антивирусные решения. В новой версии продукта LANDesk Security Suite 8.7, которая вышла в июне, появилась встроенная антивирусная защита LANDeskAntivirus. Но, несмотря на это, в единой консоли сохранена возможность управлять решениями и от других производителей: Symantec, Sophos, McAfee и Trend Micro.

В силу стремительных изменений конъюнктуры и конкурентных требований компании подвергаются различным рискам. В то же время, вопросы информационной безопасности, которые играют исключительно важную роль в управлении рисками организации, практически никогда не решаются настолько оперативно, чтобы учитывать все происходящие изменения. Разрыв между рисками и мерами, направленными на управление ими, продолжает увеличиваться.

Основными, как и прежде, остаются риски и угрозы, связанные с сотрудниками компании. Причем, чем больше компания, чем больше в ее штате сотрудников, используется компьютерная техника, тем тяжелее создать и поддерживать адекватную среду внутренних контролей. Даже, если учитывать, что подавляющее большинство сотрудников, несомненно, порядочны, для нарушения внутреннего периметра безопасности может быть достаточно одного пользователя.

Основными угрозами информационной безопасности по данным отчета об исследовании состояния информационной безопасности, проведенном CSI/FBI за 2006 являются:

• кража компьютеров;
• злоупотребление доступом к корпоративной сети внутренними сотрудниками;
• неавторизованный доступ к конфиденциальной информации;
• мошеннические действия с использованием информационных систем.

Респонденты исследования (313 компаний) сообщили о следующих объемах потерь:

• Неавторизованный доступ к информации — 10,617,000 $;
• Кража ноутбуков и мобильных устройств — 6,642,660 $;
• Кража частной информации — 6,034,000 $;
• Мошеннические действия с использованием информационных систем — 2,556,900 $;
• Злоупотребление доступом к корпоративной сети — 1,849,810 $.

Цифры выглядят внушительно. Нет сомнения, что необходимо предпринимать действенные шаги по предотвращению такого рода потерь.

В соответствии с результатами исследований IDC, предприятия, использующие LANDesk Management Suite 8, экономят в среднем до $1.1 миллиона ежегодно за счет роста производительности труда пользователей ПК, уменьшив время их простоя и снизив потери времени на решение административных задач. В зависимости от размера компании, в расчете на 100 пользователей эта экономия составляет до $22.909.

В начале 2006 года было объявлено о том, что компания LANDesk будет приобретена компанией Avocent, которая является известным поставщиком аппаратных средств для централизованного управления центрами обработки данных. В условиях сделки оговорено, что LANDesk продолжит действовать под собственной торговой маркой как независимое подразделение корпорации Avocent. Слияние с Avocent позволит компаниям выпустить на рынок программно-аппаратное решение с уникальными возможностями по управлению ИТ и ИБ инфраструктурой.

Группа компаний Arbyte, ESP-партнер LANDesk, имеет очень тесные связи с центральным офисом LANDesk. По желанию некоторых российских клиентов компания LANDesk провела доработку своего ПО. В результате пилотных проектов, проведенных Arbyte в некоторых территориальных отделениях Сбербанка РФ, были получены ценные замечания по безопасности и функциональности продуктов LANDesk. После проведения соответствующих доработок на рынке появилась новая версия продукта LANDesk Security Suite 8.7 с качественно иным уровнем безопасности.

Материал подготовлен совместно с ассоциацией профессионалов в области безопасности информационных систем (RISSPA)