ГОСТ Р ИСО/МЭК 17799:2005 «Информационная технологии. Практические правила управлении информационной безопасностью»
Рассмотрим теперь содержание стандарта ИСО/МЭК 17799 . Во введении указывается, что «информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации». Таким образом, можно говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с точки зрения экономического эффекта.
Указываются три группы факторов, которые необходимо учитывать при формировании требований в области информационной безопасное™:
- - оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
- - юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
- - специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации. После того как определены требования, идет этап выбора и
внедрения мероприятий по управлению информационной безопасностыо, которые обеспечат снижение рисков до приемлемого уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации, эффекта от снижения рисков и возможных убытков в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий приводится в стандарте, но отмечается, что он может быть дополнен или сформирован самостоятельно исходя из потребностей организации.
Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.
Следующий раздел затрагивает организационные вопросы, связанные с обеспечением информационной безопасности. Стандарт рекомендует создавать управляющие советы (с участием высшего руководства компании) для утверждения политики безопасности, назначения ответственных лиц, распределения обязанностей и координации внедрения мероприятий но управлению информационной безопасностью в организации. Также должен быть описан процесс получения разрешений на использование в организации средств обработки информации (в т. ч. нового программного обеспечения и аппаратуры), чтобы это нс привело к возникновению проблем с безопасностью. Требуется определить и порядок взаимодействия с другими организациями по вопросам информационной безопасности, проведения консультаций с «внешними» специалистами, независимой проверки (аудита) информационной безопасности.
При предоставлении доступа к информационным системам специалистам сторонних организаций необходимо особое внимание уделить вопросам безопасности. Должна быть проведена оценка рисков, связанных с разными типами доступа (физическим или логическим, г. е. удаленным) таких специалистов к различным ресурсам организации. Необходимость предоставления доступа должна быть обоснована, а в договоры со сторонними лицами и организациями должны быть включены требования, касающиеся соблюдения политики безопасности. Аналогичным образом предлагается поступать и в случае привлечения сторонних организаций к обработке информации (аутсорсинга).
Следующий раздел стандарта посвящен вопросам классификации и управления активами. Для обеспечения информационной безопасности организации необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация активов:
- - информационные (базы данных и файлы данных, системная документация и т. д.);
- - программное обеспечение (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
- - физические акгивы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
- - услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).
Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость и степень ее защиты. При этом можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого предлагается разработать и внедрить процедуру маркировки при обработке информации. Для каждого уровня классификации следует определять процедуры маркировки, для того чтобы учесть следующие типы обработки информации:
- - копирование;
- - хранение;
- - передачу по почте, факсом и электронной почтой;
- - передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
- - уничтожение.
Раздел 6 рассматривает вопросы безопасности, связанные с персоналом. Стандартом определяется, чтобы обязанности по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры, и проводился их мониторинг в течение всего периода работы сотрудника. В частности, при приеме в постоянный штат рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность сотрудников, нарушивших политику и процедуры безопасности организации. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы.
Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски. Кроме того, должен быть определен порядок информирования о нарушениях информационной безопасности, с которым необходимо ознакомить персонал. Аналогичная процедура должна задействоваться в случаях сбоев программного обеспечения. Подобные инциденты требуется регистрировать и проводить их анализ для выявления повторяющихся проблем.
Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что «средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия». Кроме организации контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа посетителей. Необходимо также обеспечивать безопасность оборудования (включая и то, что используется вне организации), чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.
С целью минимизации риска неавгоризованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации рекомендуется внедрить политику «чистого стола» в отношении бумажных документов и сменных носителей данных, а также политику «чистого экрана» в отношении средств обработки информации. Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.
Название раздела 8 - «Управление передачей данных и операционной деятельностью». В нем требуется, чтобы были установлены обязанности и процедуры, связанные с функционированием всех средств обработки информации. Например, должны контролироваться изменения конфигурации в средствах и системах обработки информации. Требуется реализовать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей.
Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения (ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.
Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации. Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт.
Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих. Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие и перспективные планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы.
Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые «черви», «троянские кони» и логические бомбы. Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.
Должен быть определен порядок проведения вспомогательных операций, к которым относится резервное копирование программного обеспечения и данных, регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.
Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры требуется внедрение средств контроля безопасности и защита подключенных сервисов от неавторизованного доступа.
Особое внимание уделяется вопросам безопасное™ носителей информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок использования сменных носителей компьютерной информации (порядок контроля содержимого, хранения, уничтожения и т. д.). Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать.
С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться.
Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству. В частности, должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем. Следует уделять внимание защите целостности информации, опубликованной электронным способом, например, информации на Web-сайте. Также необходим соответствующий формализованный процесс авторизации, прежде чем такая информация будет сделана общедоступной.
Следующий раздел стандарта посвящен вопросам контроля доступа. В нем требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных требований.
При использовании парольной аутентификации необходимо осуществлять контроль в отношении паролей пользователей. В частности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями (принудительная смена пароля после первого входа в систему и т. д.).
Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлинности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации. Также должна контролироваться безопасность использования сетевых служб.
Многие сетевые и вычислительные устройства имеют встроенные средства удаленной диагностики и управления. Меры обеспечения безопасности должны распространяться и на эти средства.
В случае, когда сети используются совместно несколькими организациями, должны быть определены требования политики контроля доступа, учитывающие это обстоятельство. Также может потребоваться внедрение дополнительных мероприятий по управлению информационной безопасностью, чтобы ограничивать возможности пользователей по подсоединению.
На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам. Это относится к идентификации и аутентификации терминалов и пользователей. Рекомендуется, чтобы все пользователи имели уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества. Использование системных утилит должно быть ограничено и тщательным образом контролироваться.
Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия (если такое событие оценивается как вероятное). При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.
Терминалы, обслуживающие системы высокого риска, при размещении их в легкодоступных местах должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.
На уровне приложений также необходимо применять меры обеспечения информационной безопасности. В частности, это может быть ограничение доступа для определенных категорий пользователей. Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой.
Для обнаружения отклонения от требований политики контроля доступа и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы. Результаты мониторинга следует регулярно анализировать. Журнал аудита может использоваться для расследования инцидентов, поэтому достаточно важной является правильная установка (синхронизация) компьютерных часов.
При использовании переносных устройств, например, ноутбуков, необходимо принимать специальные меры противодействия компромегации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.
Десятый раздел стандарта называегся «Разработка и обслуживание систем». Уже на этапе разработки информационных систем необходимо обеспечить учет требований безопасности. А в процессе эксплуатации системы требуется предотвращать потери, модификацию или неправильное использование пользовательских данных. Для этого в прикладных системах рекомендуется предусмотрегь подтверждение корректности ввода и вывода данных, контроль обработки данных в системе, аугентификацию сообщений, протоколирование действий пользователя.
Для обеспечения конфиденциальности, целостности и аутентификации данных могут быть использованы крипгофафические средства защиты.
Важную роль в процессе защиты информации ифает обеспечение целостности программного обеспечения. Чтобы свести к минимуму повреждения информационных систем, следует строго контролировать внедрение изменений. Периодически возникает необходимость внести изменения в операционные системы. В этих случаях необходимо провести анализ и протестировать прикладные системы с целью обеспечения уверенности в том, что не оказывается никакого неблагоприятного воздействия на их функционирование и безопасность. Насколько возможно, готовые пакеты программ рекомендуется использовать без внесения изменений.
Связанным вопросом является противодействие «троянским» программам и использованию скрытых каналов утечки. Одним из методов противодействия является использование про]раммного обеспечения, полученного от доверенных поставщиков, и контроль целостности системы.
В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо предусмотреть меры по контролю качества и правильности выполненных работ.
Следующий раздел стандарта посвящен вопросам управления непрерывностью бизнеса. На начальном этапе предполагается идентифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т. п.). При этом нужно провести оценку последствий, после чего разработать планы восстановления. Адекватность планов должна быть подтверждена тестированием, а сами они должны периодически пересматриваться, чтобы учитывать происходящие в системе изменения.
Заключительный раздел посвящен вопросам соответствия требованиям. В первую очередь, эго касается соответствия системы и порядка ее эксплуатации требованиям законодательства. Сюда относятся вопросы соблюдения авторского права (в том числе, на программное обеспечение), защиты персональной информации (сотрудников, клиентов), предотвращения нецелевого использования средств обработки информации. При использовании криптографических средств защиты информации, они должны соответствовать действующему законодательству. Также должна быть досконально проработана процедура сбора доказательств па случай судебных разбирательств, связанных с инцидентами в области безопасности информационной системы.
Сами информационные системы должны соответствовать политике безопасности организации и используемым стандартам. Безопасность информационных систем необходимо регулярно анализировать и оценивать. В то же время требуется соблюдать меры безопасности и при проведении аудита безопасности, чтобы это не привело к нежелательным последствиям (например, сбой критически важного сервера из-за проведения проверки).
Подводя итог можно отметить, что в стандарте рассмотрен широкий круг вопросов, связанных с обеспечением безопасности информационных систем, и по ряду направлений даются практические рекомендации.
- В качестве примера можно назвать пароли для входа «под принуждением». Если пользователь вводит такой пароль, система отображает процессобычного входа пользователя, после чего имитируется сбой, чтобы нарушители не смогли получить доступ к данным.
С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.
В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:
Информация (в области обработки информации) - любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.
Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.
Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.
Правовая основа
В декабре 2017 года в России принята Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.
Доктрина - концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.
Определение информационной безопасности
Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.
Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.
Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.
Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.
В инфографике использованы данные собственного «СёрчИнформ».
В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров - юридических лиц, которым принадлежат определенные данные.
Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.
Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.
Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых - нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.
Три основных вопроса ИБ-концепции для любой организации
Что защищать?
Какие виды угроз превалируют: внешние или внутренние?
Как защищать, какими методами и средствами?
Система ИБ
Система информационной безопасности для компании - юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.
Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:
- статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
- динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.
Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.
Доступность - это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.
Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.
Равные свойства ИБ имеют разную ценность для пользователей, отсюда - две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр - доступность.
Дайджест информационной безопасности
Объекты защиты в концепциях ИБ
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
- информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
- права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
- система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
- система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).
Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.
Категории и носители информации
Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:
- информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
- сведения в открытом доступе;
- общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
- опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.
Информация из первой группы имеет два режима охраны. Государственная тайна , согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных - непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, - Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Конфиденциальная информация - более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера» . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:
- на информационное самоопределение;
- на доступ к личным персональным данным и внесение в них изменений;
- на блокирование персональных данных и доступа к ним;
- на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
- на возмещение причиненного ущерба.
Право на закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:
- печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
- сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
- средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
- документы всех типов: личные, служебные, государственные;
- программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
- электронные носители информации, которые обрабатывают данные в автоматическом порядке.
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты - это документы, правила, мероприятия, формальные - это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
Формальные средства защиты
Широкий диапазон технических средств ИБ-защиты включает:
Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.
Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.
Программные средства - это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат и : первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые - обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.
К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.
Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.
В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.
В 2018 году вышел первый релиз . Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.
Неформальные средства защиты
Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.
- Нормативные средства
В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный - ISO/IEC 27000. Стандарт создавали две организации:
- ISO - Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
- IEC - Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения
Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.
Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.
По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный - концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, - положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.
Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.
- Организационные и административные меры
В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
- Морально-этические меры
Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.
В условиях современного информационного общества вопросы информационной безопасности составляют особо важную часть правового регулирования общественных отношений. Не вызывает сомнения тот факт, что на обеспечение информационной безопасности направлены как меры публичного воздействия, так и действия частных субъектов – участников информационных правоотношений . Кроме того, информационная безопасность является институтом, важность которого подчеркивается значительным количеством и разнообразием правоотношений в сфере обеспечения информационной безопасности личности, общества и государства. Однако именно подобное разнообразие становится причиной проблем в толковании и применении механизмов информационной безопасности.
Возрастание роли информации, информационных ресурсов и технологий становится стратегическим, что выводит вопросы информационной безопасности на первый план в системе обеспечения национальной безопасности, безопасности государства, общества и личности. Являясь частью национальной безопасности, информационная безопасность оказывает существенное влияние на состояние защищенности интересов Российской Федерации в экономической, международной, общественной, федеральной, оборонной и других сферах жизни общества .
Однако нельзя забывать, что институт информационной безопасности в силу своей природы направлен на поиск эффективных механизмов защиты прав и свобод личности в информационной сфере. Активная вовлеченность граждан в информационные правоотношения обусловливает повышенное внимание не только к сфере защиты их персональных данных в онлайн-сфере, но и в целом к безопасному использованию технологий при каждодневном взаимодействии .
Для оперативного разрешения возникающих проблем и пробелов правового регулирования появляются новые нормативно-правовые источники и, соответственно, новые механизмы обеспечения информационной безопасности. В частности, в качестве одной из основных мер применяется совершенствование безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности. Данная мера реализуется посредством повышения уровня защищенности государственных, корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности. Тенденция к приоритизации информационной безопасности систем прослеживается не только в России, но и в зарубежных странах. Представляется, что обеспечение безопасности объектов критической информационной инфраструктуры и информационных систем является недостаточным для реализации прав и законных интересов личности в информационной сфере. Обеспечение безопасности несовершеннолетних, предоставление доступа к информации, реализация прав на свободу слова и тайну связи не охватывается сферой действия мер методологической и технологической направленности и требует иных принципов, иного регулирования и иной терминологии, позволяющей достоверно отделить интересы личности, общества и государства в информационной сфере.
Дискуссия о содержании термина "информационная безопасность личности" сопутствует обсуждениям более общего и широкого понятия "информационная безопасность" и его отличий от термина "кибербезопасность". Кроме того, в настоящее время среди исследователей нет единства в определении круга объектов и отношений, регламентируемых институтом информационной безопасности.
Относительно соотношения терминов "кибербезопасность" и "информационная безопасность" стоит упомянуть подход, согласно которому предлагается использовать термин "кибербезопасность" в отношении всех процессов создания, функционирования и эволюции объектов, функционирующих с участием программируемых средств с целью выявления источников опасности, которые могут нанести им ущерб, и формирования нормативных актов, регламентирующих термины, требования, правила, рекомендации и методики, выполнение которых должно гарантировать защищенность киберобъектов от всех известных и изученных источников киберопасности.
Также в российской юридической науке существует вполне обоснованная теория, что термин "информационная безопасность" в настоящее время некорректен в силу отсутствия всеобъемлющего определения информации и ее свойств. Вместо него предлагается использовать термин "информационная защищенность", описываемый как защита конфиденциальности, целостности и доступности информации .
Однако существующие в настоящее время нормативные правовые источники позволяют не согласиться с такой концепцией, так как информационная безопасность регламентируется уже как самостоятельный институт, поэтому дальнейшее развитие терминологии представляется возможным внутри данного института или синхронно с ним в рамках отрасли информационного права. Более того, в рамках настоящей статьи защита информации также рассматривается как частный случай обеспечения информационной безопасности, так как последняя относится не только к ликвидации угроз информации, но и к сфере обеспечения более общих интересов личности, общества и государства.
Относительно классификации отношений, входящих в сферу регламентации информационной безопасности, в научной литературе встречается подход, согласно которому информационная безопасность подразделяется на информационную безопасность в социальной среде, нацеленную на поддержание адекватного объективной картине мира общественного сознания, и информационную безопасность в технической сфере, направленную в свою очередь на предотвращение воздействия на различные технические средства . Такая классификация представляется неполной, так как не учитывает сферу реализации гражданином своих прав в информационной среде, ограничивая социальную составляющую информационной безопасности только сферой правового регулирования деятельности СМИ.
Кроме того, существует классификация, согласно которой информационная безопасность может быть разделена на два самостоятельных направления: безопасность информации и безопасность от информации. Под безопасностью информации подразумевается защита информации, а под безопасностью от информации – защита от опасной информации . Данный подход также является недостаточно универсальным, поскольку не отражает полный спектр информационных правоотношений.
Первой работой по классификации информационных отношений в рамках правового обеспечения информационной безопасности стала работа В.Н. Лопатина – Концепция развития законодательства в сфере обеспечения информационной безопасности, принятая в Государственной Думе 2-го созыва , которая получила дальнейшее развитие как в работах этого автора, так и при принятии соответствующих законов (например, Федерального закона от 29 декабря 2010 г. N 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию").
В данной связи представляется более предпочтительным выделение трех аспектов информационной безопасности: информационно-технического (развитие информационной инфраструктуры, средств передачи, обработки, хранения информации, методов защиты информации и пр.); организационно-правового (управление информационными ресурсами, повышение эффективности их использования, развитие информационных услуг, регуляция процессов в информационной сфере и пр.); психолого-педагогического (формирование духовно-нравственных ценностей, развитие личностных функций саморегуляции и пр.) . Подобная классификация позволяет в полной мере отразить подходы, заложенные в текущем законодательстве Российской Федерации в сфере обеспечения информационной безопасности личности, общества и государства.
Доктрина информационной безопасности Российской Федерации 2016 г. является, как указано в ст. 1, системой "официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере" , согласно которым, как представляется, впоследствии строится система нормативного правового регулирования информационной безопасности в России.
Доктрина, как указано в ст. 5, основывается на положениях Стратегии национальной безопасности Российской Федерации , а также иных стратегических документов, к которым можно причислить также Стратегию научно-технологического развития Российской Федерации , многочисленные соглашения между Российской Федерацией и иными странами о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности , а также ряд указов Президента РФ . Совокупность данных актов и соответствующих федеральных законов позволяет сделать вывод о существовании подробной регламентации института информационной безопасности личности, определения его взаимосвязи с информационной безопасностью государства и общества.
Однако более детальный анализ указанных источников позволяет выделить ряд противоречий. Так, Доктрина информационной безопасности Российской Федерации ставит потребности личности на первое место при перечислении национальных интересов Российской Федерации в информационной сфере, что дает основания говорить о первоочередном характере защиты прав и интересов личности. Кроме того, информационная безопасность Российской Федерации основывается в первую очередь на состоянии защищенности личности, "…при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан".
Однако в то же время, например, в ст. 6 Стратегии национальной безопасности Российской Федерации содержатся положения, определяющие иную приоритетность: "Национальная безопасность включает в себя оборону страны и все виды безопасности, предусмотренные Конституцией РФ и законодательством РФ, прежде всего государственную, общественную, информационную, экологическую, экономическую, транспортную, энергетическую безопасность, безопасность личности".
Подобные несоответствия встречаются также в положениях государственной программы Российской Федерации "Информационное общество (2011 – 2020 годы)" , определяющей Доктрину информационной безопасности Российской Федерации в качестве документа, приоритизирующего стратегическое сдерживание и предотвращение военных конфликтов, которые могут возникнуть в результате применения информационных технологий, вместо обеспечения защиты прав и интересов граждан в информационной сфере. С учетом этого информационная безопасность рассматривается в рамках данной программы как качественная характеристика построения технологических систем и сетей, что представляется излишне узким толкованием данного института. Обеспечение безопасности функционирования информационно-телекоммуникационной инфраструктуры и телекоммуникационных систем хоть и является необходимым инструментарием для обеспечения информационной безопасности личности, общества и государства, однако нетождественно ему.
Еще большие противоречия в определении содержания института информационной безопасности личности можно обнаружить при анализе более специальных нормативных документов. С одной стороны, Соглашение об обеспечении информационной безопасности в рамках общих таможенных процессов в государствах – членах Евразийского экономического сообщества не содержит никаких отсылок или упоминаний прав и интересов личности или граждан. Данный документ регламентирует исключительно аспекты определения режима передаваемой электронными сообщениями информации, такие, как защита от вирусов, от несанкционированного доступа к средствам вычислительной техники и телекоммуникационному оборудованию, обеспечение сетевой безопасности, анализ защищенности систем и т.д.
С другой стороны, Соглашения между Правительством Российской Федерации и Правительством Южно-Африканской Республики, Правительством Федеративной Республики Бразилии, Правительством Китайской Народной Республики, а также Соглашение о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности прямо устанавливают в тексте, что международное сотрудничество между сторонами по вопросам обеспечения информационной безопасности строится на признании принципа баланса между обеспечением безопасности и соблюдением прав человека в области использования информационно-коммуникационных технологий, а также на признании роли информационной безопасности в обеспечении прав и основных свобод человека и гражданина.
Очевидно, что на уровне международно-правового сотрудничества вопросы разграничения информационной безопасности в целом, информационной безопасности государства, а также информационной безопасности личности решены недостаточно. Кроме того, проблемы детальной регламентации можно выявить при анализе текущего информационного законодательства.
Так, Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" , являющийся базовым в информационно-правовой сфере, не содержит какой-либо регламентации информационной безопасности личности. Положения, касающиеся отдельных аспектов регулирования информационной безопасности, относятся к обеспечению безопасности Российской Федерации при создании и эксплуатации информационных систем, защите информации данных систем, выполнению организационных и технических мер по обеспечению безопасности персональных данных. Очевидно, что указанные положения имеют также сугубо технико-методологическую направленность и определяют отдельные меры по предоставлению или ограничению доступа к отдельным видам информации. Кроме того, в законе не содержится определение информационной безопасности или же отсылки к иным актам, содержащим такое определение. Однако, помимо указанных выше сфер технической регламентации информационной безопасности, законом проводится отсылка к отдельному институту информационной безопасности детей, имеющему уже более широкое толкование, поскольку защита детей проводится в целях предотвращения вреда их здоровью и моральному развитию .
Будет справедливым вывод о том, что в современных нормативных правовых актах не содержится достаточной регламентации института информационной безопасности личности, а также критериев его разграничения с информационной безопасностью в общем широком значении, употребляемом в основополагающих стратегических документах. Более того, некоторые российские исследователи толкуют такой стратегический документ как Доктрину информационной безопасности в качестве инструмента для "незамедлительного и постоянного противодействия деструктивной деятельности иностранных элементов в информационной сфере" , что также не позволяет в полной мере определить место личности в системе мер обеспечения информационной безопасности. Представляется, что необходимо создать четкий терминологический аппарат для корректного регулирования различных отношений. Например, используя указанную выше классификацию, ввести в оборот термин "информационно-техническая безопасность" или, наоборот, нормативно закрепить внутри института информационной безопасности понятие кибербезопасности.
Кроме того, подобный узкий подход к пониманию информационной безопасности практически полностью исключает гарантии обеспечения одного из базовых конституционных прав личности – права на информацию, которое, несомненно, входит в круг интересов, защищаемых как информационная безопасность личности. При реализации права на информацию в современных условиях речь идет уже не о максимально широком доступе к информации, а о качественном характере доступа к информации, отвечающей определенным критериям (не просто право на информацию, а право на объективную, достоверную, безопасную информацию) с учетом национальных и культурных традиций России, а также защиты от существующих информационных угроз.
В настоящее время в нормативных правовых актах и российской доктрине не существует однозначной позиции относительного соотношения терминов "информационная безопасность личности" и "информационная безопасность". Отсутствие единого терминологического аппарата приводит к многочисленным проблемам, коллизиям и в конечном итоге к недостаточной правовой защите личности в информационной сфере.
Существующие подходы к толкованию информационной безопасности в узком смысле являются некорректными и не отвечают основополагающим принципам и правам информационного права. В частности, приравнивание института информационной безопасности к реализации мер по защите информации, укреплению национального суверенитета в информационной сфере или обеспечению функционирования информационно-телекоммуникационных систем представляется слишком ограничительным и создающим барьеры для дальнейшего развития всех составных частей информационной безопасности.
Необходимо создание развитого терминологического аппарата в сфере информационной безопасности, который помог бы разграничить безопасность личности от информационной безопасности в целом, прекратить смешение терминов "информационная безопасность", "кибербезопасность" и т.д., а также разрешить проблемы, созданные при переводе иностранных терминов в российских нормативных и доктринальных источниках.
Литература
1. Diehl Eric. Ten Laws for Security / Eric Diehl // Springer International Publishing Switzerland. 2016. ISBN 978-3-319-42641-9.
2. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / В.Н. Лопатин. СПб., 2000. 428 с.
3. Лопатин В.Н. Информационная безопасность России: Автореф. дис. … докт. юрид. наук / В.Н. Лопатин. СПб., 2000.
4. Hongliang C. (2016). Protecting oneself online / C. Hongliang, E. Beaudoin Christopher & H. Traci // Journalism and Mass Communication Quarterly, 93(2), 409 – 429. doi: http://dx.doi.org/10.1177/1077699016640224.
5. Алпеев А.С. Терминология безопасности: кибербезопасность, информационная безопасность / А.С. Алпеев // Вопросы кибербезопасности. 2014. N 5(8).
6. Захаров М.Ю. Информационная безопасность – основополагающий элемент безопасности социального управления / М.Ю. Захаров // Вестник Университета (Государственный университет управления). 2012. N 9-1. С. 112 – 115.
7. Куликова Е.А. Информационная безопасность как залог национальной безопасности / Е.А. Куликова // Сборники конференций НИЦ "Социосфера". 2015. N 58. С. 76 – 79.
8. Лызь Н.А. Информационно-психологическая безопасность в системах безопасности человека и информационной безопасности государства / Н.А. Лызь, Г.Е. Веселов, А.Е. Лызь // Известия ЮФУ. Технические науки. 2014. N 8(157). С. 58 – 66.
9. Лопатин В.Н. Концепция развития законодательства в сфере обеспечения информационной безопасности / В.Н. Лопатин. М.: Издание Государственной Думы РФ, 1998. 159 с.
Распоряжение Правительства Российской Федерации от 4 июля 2017 г. N 1424-р "О подписании Соглашения между Правительством Российской Федерации и Правительством Южно-Африканской Республики о сотрудничестве в области обеспечения международной информационной безопасности" // Официальный интернет-портал правовой информации (www.pravo.gov.ru), 06.07.2017 (N 0001201707060020); распоряжение Правительства Российской Федерации от 15 ноября 2013 г. N 2120-р "О подписании Соглашения о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности" // Собрание законодательства Российской Федерации. 2013. N 47. Ст. 6135; распоряжение Правительства Российской Федерации от 13 мая 2010 г. N 721-р "О подписании Соглашения между Правительством Российской Федерации и Правительством Федеративной Республики Бразилия о сотрудничестве в области обеспечения международной информационной и коммуникационной безопасности" // Собрание законодательства Российской Федерации. 2010. N 21. Ст. 2628.
Указ Президента Российской Федерации от 22 мая 2015 г. N 260 "О некоторых вопросах информационной безопасности Российской Федерации" // Собрание законодательства Российской Федерации. 2015. N 21. Ст. 3092; Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" // Собрание законодательства Российской Федерации. 2008. N 12. Ст. 1110.
Постановление Правительства Российской Федерации от 15 апреля 2014 г. N 313 "Об утверждении государственной программы Российской Федерации "Информационное общество (2011 – 2020 годы)" // Собрание законодательства Российской Федерации. 2014. N 18 (часть II). Ст. 2159.
Распоряжение Правительства Российской Федерации от 12 ноября 2010 г. N 1976-р "О подписании Соглашения об обеспечении информационной безопасности в рамках общих таможенных процессов в государствах – членах Евразийского экономического сообщества" // Собрание законодательства Российской Федерации. 2010. N 47. Ст. 6182.
«Глобальное исследование по вопросам информационной безопасности. Перспективы на 2014 год» (The Global State of Information Security® Survey 2014) - это всемирное исследование, проведенное фирмой PwC и журналами CIO и CSO. Опрос проводился в режиме «онлайн» с 1 февраля по 1 апреля 2013 года. Приглашения принять участие в исследовании были направлены по электронной почте читателям журналов CIO и CSO, а также клиентам PwC во всех регионах мира. В основе результатов, рассматриваемых в настоящем отчете, лежат ответы более чем 9 600 респондентов из 115 стран: руководителей компаний, финансовых директоров, директоров по информационной безопасности, директоров информационных служб, руководителей служб безопасности, вице-президентов и директоров по вопросам ИТ и информационной безопасности. Тридцать шесть процентов респондентов представляли Северную Америку, 26% - Европу, 21% - Азиатско-Тихоокеанский регион, 16% - Южную Америку и 2% - Ближний Восток и Африку. Допустимая погрешность составляет менее одного процента. Все цифры и графические данные, приведенные в настоящем отчете, основаны на результатах опроса (если иное не указано отдельно).
Суть проблемы
Стратегии безопасности, которые традиционно были основаны на соблюдении нормативно-правовых требований и ограничивались лишь «защитой периметра», не успевают за растущим уровнем рисков в данной области.
К чему это ведет? Сегодня компании зачастую используют устаревшие стратегии безопасности, которые неспособны эффективно противостоять искушенным мошенникам, имеющим доступ к технологиям будущего.
Злоумышленники применяют изощренные методы, чтобы проникнуть через устаревшую защиту периметра безопасности, и наносят точечные «удары», которые очень непросто отследить. Многие из них прибегают к надежным методам «фишинга», с помощью которых незаконным способом получают необходимую информацию от топ-менеджеров компаний. Ситуация также усугубляется тем, что потенциальные объекты хакерских атак - партнеры, поставщики, клиенты и прочие стороны - оперируют все большими объемами информации с помощью взаимосвязанных цифровых каналов.
В совокупности все эти факторы делают вопрос обеспечения информационной безопасности все более сложным и актуальным. Сегодня информационная безопасность превратилась в отдельную дисциплину, которая требует применения передовых технологий и процессов, навыков защиты от взлома системы безопасности, а также исключительной поддержки со стороны высшего руководства компаний. Основным требованием нового подхода является понимание того, что сегодня практически нельзя избежать хакерских атак и что обеспечение безопасности всех данных на одинаково высоком уровне не представляется возможным.
Глобальное исследование состояния информационной безопасности и перспектив её развития на 2014 год проводилось с целью анализа и оценки методов, применяемых международными организациями для борьбы с опытными и ловкими мошенниками. В этом году исследование показало, что руководители в большей степени начинают осознавать важность информационной защиты. Они обращают внимание на необходимость финансирования усиления мер безопасности и считают, что в их компаниях должны быть существенно улучшены инструменты, процессы и стратегии информационной защиты.
Впрочем, хотя компании и повышают стандарты безопасности, мошенники все равно опережают их. Опрос, проведенный в этом году, показывает, что количество инцидентов в сфере безопасности увеличилось на 25% за прошедшие 12 месяцев. При этом затраты, связанные с нарушениями систем безопасности, в среднем выросли на 18%.
Результаты опроса также демонстрируют, что многие организации не применяют технологии, которые позволили бы им выявлять уязвимые звенья общих систем и отслеживать угрозы безопасности, не помогают определить и защитить ключевые активы, а также оценить риски с точки зрения бизнес-целей компании. Для многих компаний вопрос безопасности не является основным компонентом стратегии бизнеса, определяемым генеральным директором и советом директоров, получающим достойное финансирование.
Проще говоря, немногие организации сегодня могут успешно справляться с растущими рисками. Еще меньшее число компаний готово к решению проблем, с которыми им придется столкнуться в будущем.
Гэри Лавленд, руководитель практики PwC, уверен: «Нельзя бороться с новыми угрозами с помощью старых методов. Нам нужна новая модель информационной безопасности, основанная на осознании потенциальных угроз, понимании того, что включают в себя имеющиеся у компании активы, а также на знании мотивов злоумышленников и целей, которые они ставят перед собой».
Такая новая модель информационной безопасности построена на принципе «знание - сила». Помните об этом.
Подробное обсуждение вопроса
Принципы ведения бизнеса меняют свой облик под влиянием процесса универсализации цифровых технологий.
Сегодня компании демонстрируют все большую взаимную связь, интеграцию и зависимость друг от друга. Они применяют технологии и популярные решения в области коммуникации, которые позволяют им обмениваться небывалыми объемами информации с клиентами, поставщиками услуг и товаров, партнерами и сотрудниками. Используя столь сложные технологические решения, организации выполняют свои коммерческие задачи с небывалым успехом и оперативностью.
Между тем сформировавшаяся в мире бизнеса экосистема также подвергает компании риску, отдавая их во власть мошенников, которые стремятся нанести ущерб или даже уничтожить их бизнес с помощью тех же самых технологий. Это привело к тому, что угрозы безопасности превратились в существенный коммерческий риск, о котором необходимо помнить международным компаниям.
На рынке продолжает доминировать привычный подход к управлению стратегией информационной безопасности, который основан на принципе реагирования на возникшую проблему и переносе ответственности за обеспечение безопасности на подразделения ИТ.
Сегодня такой подход перестает быть эффективным, поскольку не может обеспечить необходимый уровень защиты.
Опасность, которую в нынешних условиях представляют риски нарушения безопасности, требует от организаций рассматривать подобные угрозы в качестве проблем, способных нанести существенный ущерб деятельности компании, и решать их в рамках системы управления рисками организации. Обеспечение абсолютной защиты всех без исключения данных больше не представляется возможным.
Отталкиваясь от этого утверждения, мы спросили у представителей бизнеса, сотрудников служб безопасности и директоров по вопросам информационных технологий о том, как они решают первоочередные вопросы информационной безопасности, а также насколько точно соответствуют общим целям бизнеса меры обеспечения конфиденциальности и безопасности информации. Результаты глобального исследования состояния информационной безопасности и перспектив её развития на 2014 год показывают, что большинство директоров различных международных компаний уверены в эффективности методов информационной защиты, применяемых в их компаниях.
Уверенность в эффективности применяемых методов обеспечения безопасности
Как бы удивительно это ни звучало, но сегодня, в эпоху роста и видоизменения рисков, директора по-прежнему полностью уверены в эффективности систем и мер информационной защиты, действующих в их организациях. Семьдесят четыре процента респондентов из различных стран мира утверждают, что принимают эффективные меры по обеспечению безопасности (рис. 1). Наиболее оптимистично смотрит на проблему информационной безопасности высшее руководство компаний. Так, 84% генеральных директоров утверждают, что уверены в надежности своих программ безопасности, так же как и 78% директоров по информационной безопасности, которые несут прямую ответственность за обеспечение сохранности данных. Среди руководящих сотрудников наименьшую уверенность в надежности систем информационной безопасности испытывают финансовые директора. Данные по различным регионам показывают, что респонденты из Южной Америки (81%) и Азии (76%) наиболее уверены в эффективности своих систем безопасности.
Рисунок 1. Уверенность в эффективности программ безопасности (достаточно уверен или полностью уверен
Другим примером уверенности руководителей в системах безопасности может стать их мнение о том, насколько эффективно корпоративная программа безопасности выстроена с учетом общего бюджета расходов и стратегии бизнеса. В данном отношении респонденты проявляют не меньше оптимизма. Более 80% опрошенных уверены в том, что затраты на системы безопасности и соответствующая корпоративная политика соответствуют поставленным бизнес-задачам (за последний год уверенность в эффективности этих двух направлений лишь выросла). Столь высокий уровень уверенности говорит о том, что респонденты считают вопросы безопасности неотъемлемой частью своей бизнес-стратегии и признают их возможное влияние на конечную прибыль компании.
Респонденты также весьма оптимистично оценивают собственные стратегии безопасности и способность своих компаний к упреждающему применению таких стратегических инициатив. Мы попросили респондентов рассказать о том, как они оценивают собственный подход к вопросам обеспечения безопасности. Ответы показывают, что сейчас участники опроса дают себе более высокую оценку, чем это было год или два назад.
Участников, которые сообщили о наличии в их компании эффективной стратегии и о готовности компаний к упреждающим действиям в связи с угрозами, мы называем «фаворитами» в «забеге безопасности», поскольку они демонстрируют два основных лидерских качества. В этом году 50% респондентов заявили, что их компании обладают качествами «фаворита» в сфере безопасности. Это на 17% больше, чем в прошлом году (рис. 2). Около четверти опрошенных (26%) говорят о наличии в их организациях надежных стратегий, которые при этом не обязательно способствуют успешному претворению плана в жизнь. Таких респондентов мы назвали «стратегами». Компании, которые эффективно реализуют задуманное, но при этом не имеют столь эффективной стратегии, мы назвали «тактиками». На тактиков приходится 13% всех участников нашего исследования. Еще одну группу респондентов мы назвали «спасателями». Спасатели, на долю которых приходится 11% опрошенных, не имеют принятой стратегии и обычно лишь реагируют на возникшие угрозы.
Рисунок 2. Как респонденты характеризуют свой подход к обеспечению информационной безопасности
ействительно ли «фавориты» являются лидерами в вопросах обеспечения безопасности?
Самооценка собственной эффективности по понятным причинам бывает предвзятой. Потому мы решили подробно проанализировать полученные сведения, для чего сформулировали ряд требований, которым должны соответствовать настоящие лидеры, при этом мы основывались на полученных от респондентов фактических данных, а не на результатах их собственной самооценки. Для того чтобы подтвердить свой статус лидера, респондентам было необходимо:
- иметь общую стратегию в области информационной безопасности;
- иметь в штате директора по информационной безопасности (или равнозначного сотрудника), который отчитывается перед высшим руководством компании (то есть генеральным директором, финансовым директором, операционным директором, директором по рискам или юрисконсультом);
- выполнить оценку и анализ эффективности имеющейся в компании системы информационной безопасности за прошедший год;
- иметь четкое представление о том, какого рода инциденты в области информационной безопасности имели место в прошедшем году.
Анализ респондентов с учетом вышеописанных требований показал, что те, кого мы назвали фаворитами, не всегда реально лидируют в сфере информационной безопасности. Применение этих критериев позволило установить, что лишь 17% всех респондентов являются реальными лидерами в области обеспечения информационной безопасности (рис. 3). Нам также удалось выяснить, что по сравнению с «фаворитами» реальные лидеры способны обнаружить большее число нарушений безопасности, они лучше разбираются в различных типах нарушений и их причинах, а также несут меньшие финансовые потери в результате таких нарушений.
Рисунок 3. «Фавориты» и реальные лидеры
Больше всего реальных лидеров было обнаружено в Азиатско-Тихоокеанском регионе (28%) и в Северной Америке (26%), немногим меньше - в Европе (24%) и Южной Америке (21%), Ближний Восток и Африка (1%) замыкают этот список. Наиболее «продвинутыми» с точки зрения состояния информационной безопасности отраслями стали технологический сектор (16%), сектор финансовых услуг (11%), а также розничная торговля и производство потребительских товаров (9%).
Есть еще одна причина для оптимизма: бюджеты на обеспечение информационной безопасности растут.
Многие респонденты высоко оценивают собственную компетенцию в отношении методов обеспечения информационной безопасности, при этом лица, ответственные за корпоративные бюджеты, также весьма оптимистично смотрят на состояние систем безопасности. Возможно, они понимают, что сегодня, в условиях повышенного риска, проблемы безопасности требуют дополнительных инвестиций. Как бы то ни было, существенный рост финансирования систем информационной безопасности является хорошим знаком для служб безопасности. Несмотря на существенные различия таких бюджетов в зависимости от отрасли и размера компании, в целом, по оценке респондентов, объем средств, выделенных на обеспечение информационной безопасности в этом году, в среднем составил 4,3 млн долл. США, что на 51% больше, чем это было в 2012 году. Тем не менее, несмотря на такой рост, бюджет функций информационной безопасности составляет лишь 3,8% от общих затрат на информационные технологии в этом году, что говорит об относительно невысоком уровне инвестирования.
Что же ждет нас в будущем? Прогнозы также полны оптимизма. Почти половина всех респондентов (49%, что на 4% больше, чем в прошлом году) утверждают, что уровень затрат на обеспечение безопасности в течение следующих 12 месяцев увеличится. По данным опроса, 66% респондентов из Южной Америки и 60% представителей Азиатско-Тихоокеанского региона ожидают, что инвестиции в информационную безопасность будут расти. В Северной Америке лишь 38% участников опроса прогнозируют рост финансирования систем безопасности, что делает данный регион самым «скупым» на затраты в этом направлении.
Современные проблемы - устаревшие решения
Сегодня уже невозможно игнорировать шквал сообщений о том, что за последний год злоумышленники стали более изобретательными в вопросах взлома систем безопасности и все чаще добиваются достижения своих целей. Учитывая тот факт, что журналисты порой злоупотребляют сенсационностью заголовков новостей, чтобы привлечь читателей на сайты своих изданий, вполне разумно будет усомниться в точности сообщений о хакерских атаках.
Результаты данного исследования частично подтверждают обоснованность шумихи вокруг увеличивающего числа инцидентов в сфере информационной безопасности.
В любом случае с фактами не поспоришь, а они говорят о том, что число инцидентов в области информационной безопасности растет. (Под инцидентом в области информационной безопасности мы понимаем любое происшествие негативного характера, которое в той или иной мере угрожает компьютерной безопасности.) Участники опроса сообщили о том, что число обнаруженных инцидентов увеличилось на 25% по сравнению с прошлым годом (рис. 4). Похоже, эти данные оправдывают броские заголовки в прессе об увеличении числа угроз информационной безопасности. С другой стороны, рост числа обнаруженных инцидентов также может говорить о том, что организации более эффективно отслеживают возможные нарушения.
Рисунок 4. Среднее количество инцидентов в сфере информационной безопасности, произошедших за последние 12 месяцев
Марк Лобел, партнер PwC, утверждает: «Число инцидентов увеличивается не только из-за роста рисков, но также и вследствие того, что некоторые компании инвестируют в новые технологии, которые помогают более эффективно обнаруживать такие инциденты. С этой точки зрения увеличение числа выявленных инцидентов в области информационной безопасности можно рассматривать как положительный сдвиг».
При этом число респондентов, которым неизвестно точное число инцидентов, год от года продолжает расти, достигнув на сегодняшний день отметки в 18%. Похоже, это несколько противоречит утверждению о том, что компании все более эффективно выявляют случаи нарушения своей информационной защиты. Это, скорее, указывает на то, что старые методы обеспечения безопасности могут быть неэффективными или же просто не действуют. Рост числа инцидентов параллельно с увеличением объемов данных, передаваемых в электронном формате, приводит нас к очевидному выводу: уровень потерь информации становится все выше. В этом году 24% респондентов сообщили об утрате данных в результате инцидентов в области информационной безопасности, что на 16% больше, чем в 2012 году.
Углубленный анализ типов скомпрометированной информации позволяет прийти к весьма интересным выводам. Список таких данных возглавляет документация по персоналу (35%) и клиентские файлы (31%) (рис. 5). Каждый год участники опроса сообщают нам, что данные о сотрудниках и клиентах являются для них наиболее ценной информацией.
Рисунок 5. Последствия инцидентов в области информационной безопасности
Поэтому было бы логичным предположить, что защита именно этих видов данных должна стать приоритетом для служб информационной безопасности. Тем не менее тот факт, что данные о клиентах и сотрудниках компаний наиболее часто становятся объектом кражи, говорит нам о том, что текущие меры защиты информации являются неэффективными или же неверно ориентированы на возникающие риски.
Общий объем убытков
Вполне логичным представляется то, что по мере увеличения количества инцидентов в сфере безопасности будут расти и финансовые затраты. Так и происходит на практике. Мы установили, что средний уровень финансовых убытков, связанных с инцидентами в области информационной безопасности, за прошлый год вырос на 18%.
Шейн Симс, директор PwC, говорит: «В целом уровень затрат и степень сложности мер реагирования на инциденты увеличиваются. В число общих затрат входит стоимость проведения расследований, расходы на анализ бизнес-рисков и обнаружение инцидентов, стоимость отправки уведомлений клиентам, потребителям и в регулирующие органы, а также расходы на судопроизводство. Помимо этого, у компаний возникают затраты на устранение последствий инцидента, поскольку под угрозу попадает все больше информации в рамках различных юрисдикций, а системы контроля безопасности просто не поспевают за непрерывными изменениями в мире информационной безопасности».
Дальнейший анализ полученных данных показал, что наиболее существенный рост финансовых затрат отмечен в компаниях респондентов, которые сообщили об ущербе на крупные суммы в результате инцидентов в сфере безопасности. Конкретный пример: число респондентов, сообщивших об убытках в размере 10 млн долл. США и более, увеличилось на 51%% за период с 2011 года. Мы ожидали, что отрасли, которые традиционно принимали предупредительные меры и инвестировали в информационную безопасность, понесут меньшие убытки. Впрочем, как ни странно, на деле всё оказалось иначе. В число отраслей, которые понесли убытки в объеме 10 млн долл. США и более, вошли фармацевтический сектор (20%), сектор финансовых услуг (9%) и технологический сектор (9%).
В среднем один инцидент обходится компании в 531 долл. США (рис. 6). Респонденты, которых мы включили в число лидеров по информационной безопасности, сообщают о самой низкой стоимости одного инцидента (421 долл. США в среднем), что неудивительно. Весьма неожиданным для нас стало то, что компании, относящие себя к числу «фаворитов», тратят 635 долл. США на один инцидент в области информационной безопасности - почти столько же, сколько тратят «спасатели», которые, по собственной оценке, наименее подготовлены к реализации эффективной программы защиты от информационных угроз. Все это ставит под сомнение реальную эффективность компаний, входящих в категорию «фаворитов».
Рисунок 6. Средние затраты на один инцидент в области информационной безопасности
Инсайдеры, сторонние лица и хакеры
Как мы уже отмечали, заголовки новостей не всегда справедливо отражают актуальные риски. Хотя различные резонансные инциденты (например, случаи искусного взлома защитных барьеров, относимые к числу целенаправленных устойчивых угроз) искушают других злоумышленников, подталкивая их к попытке повторить успешный опыт преодоления защитных систем, на практике такие преступления совершаются редко.
На самом деле реальность куда более прозаична. Большинство респондентов считают, что причиной инцидентов, связанных с нарушением безопасности, являются обычные «инсайдеры», такие как сотрудники (31%) и бывшие сотрудники компаний (27%) (рис. 7). Многие организации полагают, что угроза, которую представляют инсайдеры, может быть даже еще опаснее, чем об этом говорится в резонансных новостях. При этом частотность инсайдерских инцидентов невелика.
Рисунок 7. Вероятные источники угрозы инцидентов
Учитывая широкую распространенность рисков, связанных с персоналом, у нас вызывает удивление неготовность многих компаний противостоять довольно обычным внутренним угрозам. Отдельный обзор под названием «Исследование уровня киберпреступности в США» за 2013 год, в спонсировании которого принимала участие фирма PwC, показал, что треть респондентов из США не имеют плана реагирования на инсайдерские инциденты . Впрочем, даже среди тех, у кого есть план на случай возникновения инсайдерской угрозы, лишь 18% считают его высокоэффективным.
Майкл А. Мэйсон, директор по безопасности компании Verizon Communications, утверждает: «На мой взгляд, сегодня вероятность инсайдерской угрозы существенно выросла по сравнению с прошлыми периодами». Он добавляет, что компания Verizon считает инсайдерами всех лиц, имеющих доступ к корпоративным данным: «Помните, что инсайдерский инцидент вовсе не означает попытку некоего "жулика" взломать вашу систему защиты. Такие инциденты, например, возникают, когда обычный сотрудник проявляет особое рвение и работает с нарушением условий безопасности. Наши проблемы в большей степени проистекают из человеческого, а не технического фактора».
Джон Хант, руководящий сотрудник PwC, отмечает: «Одна из причин того, что компании не имеют действенных планов защиты от внутренних угроз, заключается в том, что они сами предоставляют многим типам инсайдеров, например партнерам или поставщикам, право доступа в пределах периметра сети, поскольку такие инсайдеры пользуются определенным доверием. Бизнесу пора понять, что доверие к консультантам не должно быть безграничным».
Говоря о внешних факторах риска, важно отметить, что некоторые стороны, представляющие наибольшую угрозу, в частности хакеры, на практике оправдывают свой потенциал риска. Вот доказательство: 32% участников опроса связывают возникновение инцидентов в области информационной безопасности с хакерскими атаками (это на 27% больше, чем в прошлом году).
Не стоит забывать и об инцидентах, получивших широкий общественный резонанс. Речь идет, в частности, о попытках правительств иностранных государств получить нужную им информацию с помощью целенаправленных устойчивых атак. По мнению участников опроса, на долю инцидентов с участием иностранных государств приходится лишь 4% всех установленных случаев нарушения периметра информационной безопасности.
Для крупных компаний, таких как Verizon, этот аспект не представляет существенной угрозы. Майкл Мэйсон уверен, что «опасаться целенаправленных устойчивых угроз - в каком-то смысле все равно, что бояться подхватить простуду, работая со штаммами вируса сибирской язвы».
Несмотря на то что риск возникновения целенаправленных устойчивых угроз невелик, для многих крупных организаций крайне важно следить за стремительными изменениями в области кибермошенничества. Это хорошо понимает руководство компании Cablevision Systems Corporation, оператора мультисервисных каналов связи, предоставляющего услуги доступа к кабельному телевидению и сети Интернет, а также выпускающего ежедневное печатное издание.
Дженнифер Лав, старший вице-президент по вопросам безопасности компании, рассказывает: «Как и многие другие операторы мультисервисных каналов связи, мы внимательно отслеживаем публикуемые отчеты, сообщающие о росте числа обнаруженных угроз, связанных с деятельностью киберпреступников и иностранных государств, особенно если такие угрозы нацелены на электроэнергетические и коммуникационные компании. Мы получаем информацию из разных источников, в том числе отраслевых и государственных. На ее основании мы определяем имеющиеся риски и принимаем решения о дальнейших мерах».
Слабая защита от сильного противника
Для того чтобы успешно бороться с актуальными рисками, компаниям необходимо разработать действенную стратегию и внимательно следить за наиболее уязвимыми участками информационной экосистемы и за стремительно развивающимися угрозами. В основе принимаемых мер и инвестиционных решений должно лежать четкое представление об информационных активах, о рисках, угрожающих информационной экосистеме, и ее уязвимых местах. Все решения в данной области необходимо оценивать в контексте осуществляемой компанией деятельности.
Многим для этого нужно научиться мыслить по-новому и перестроить систему планирования. Именно поэтому вовсе не удивительно, что многие участники опроса говорят об отсутствии в их компаниях надежных технологий и процессов, которые могли бы обеспечить должный уровень понимания актуальных рисков. К примеру, 52% опрошенных не применяют инструменты поведенческого мониторинга и контроля. При этом 46% респондентов не прибегают к использованию информации о системах безопасности или технологий по управлению событиями. Несмотря на то что инструменты для управления активами играют крайне важную роль при обеспечении безопасности информационных активов, 39% опрошенных не применяют такие средства. Даже стандартные технологии, необходимые для защиты особо секретной информации, используются не столь широко, как хотелось бы. Особенно стоит отметить, что 42% участников исследования не применяют инструменты для предотвращения потери данных.
По мере увеличения объемов данных и активизации обмена информацией с партнерами, поставщиками, подрядчиками и клиентами, компаниям следует все более внимательно отслеживать риски, связанные с предоставлением корпоративных данных третьим лицам. Бизнесу также необходимо убедиться в том, что такие третьи стороны полностью соответствуют требованиям к безопасности информации или даже превосходят их.
Нас весьма беспокоит, что в США многие респонденты не имеют политик и инструментов, необходимых для оценки третьих лиц с точки зрения рисков безопасности (информация получена по результатам отдельного исследования, в финансировании которого принимала участие фирма PwC) . Например, лишь 20% опрошенных утверждают, что проводят оценку информационной безопасности третьих лиц, с которыми они могут обмениваться данными или которым они предоставляют доступ к своей сети, чаще одного раза в год. При этом 22% опрошенных говорят, что не проводят вовсе никакой оценки третьих лиц, а 35% проверяют третьи стороны на предмет безопасности лишь раз в год или реже.
Только 22% опрошенных утверждают, что создают планы реагирования на различные инциденты, связанные с партнерами по цепочке поставок, при этом 52% респондентов вообще не составляют такие планы.
Как уже говорилось, резкий рост числа рисков и изменение их характера требуют от компаний четкого понимания того, что в нынешних условиях нецелесообразно - или даже невозможно - обеспечить одинаковый уровень защиты для всех видов информации, как это было до недавнего времени. Новая модель информационной безопасности требует от бизнеса четко определять действительно значимую информацию и уделять ей повышенное внимание.
Вполне очевидно, что характер такой информации будет зависеть от особенностей конкретных компаний и отраслей. В число таких «драгоценных» активов может входить интеллектуальная собственность, включающая проектную документацию по продуктам, маркетинговые планы, информацию, которой обменивается руководство, а также стратегии бизнеса. Впрочем, данную категорию можно расширить до пределов любой информации, которая в случае ее кражи или потери может нанести бизнесу существенный вред.
Сегодня на долю таких нематериальных активов, как интеллектуальная собственность, приходится 80% всей стоимости, создаваемой фирмами, входящими в индекс S&P 500 (по данным Ocean Tomo, банка интеллектуальной собственности™) . Чем выше стоимость интеллектуальной собственности, тем больше она привлекает киберпреступников.
Результаты данного исследования показывают, что, несмотря на увеличение стоимости интеллектуальной собственности и усугубление потенциальных последствий ее утраты, многие респонденты недостаточно эффективно определяют и защищают свою информацию, имеющую особую ценность. К примеру, лишь 17% опрошенных распределяют информацию по категориям конфиденциальности в зависимости от ее коммерческой ценности, и только 20% применяют отдельные процедуры, направленные на обеспечение защиты интеллектуальной собственности (рис. 8). Двадцать шесть процентов участников опроса проводят инвентаризацию активов и применяют процедуры управления активами. Результаты опроса показывают, что в некоторых отраслях активность применения политики, направленной на защиту интеллектуальной собственности, фактически снижается.
Рисунок 8. Наличие политики по охране интеллектуальной собственности и коммерческой тайны
Еще одним ключевым риском в области защиты данных является применение мобильных устройств (смартфонов и планшетов), а также использование личных портативных устройств на работе. Хотя тенденция к использованию мобильных устройств для обмена информацией и передачи данных активно развивается, политика компаний в данной области существенно отстает от растущих темпов распространения смартфонов и планшетов. Участники опроса утверждают, что за последний год компании не сильно продвинулись вперед в вопросе внедрения программ безопасности в отношении использования мобильных устройств. Отмечается, что в некоторых случаях масштабы деятельности в данном направлении вообще сокращаются (рис. 9). Например, лишь 42% опрошенных отметили, что в их компаниях имеется стратегия по обеспечению информационной безопасности мобильных устройств. Только 39% утверждают, что в их организациях применяется программное обеспечение для управления мобильными устройствами - важный инструмент, предназначенный для автоматического коллективного администрирования смартфонов.
Рисунок 9. Меры по контролю рисков нарушения безопасности, связанных с использованием мобильных устройств
Облачные технологии, которые присутствуют на рынке уже более десяти лет, стали широко распространенной - если не повсеместной - практикой для обмена корпоративными данными.
Почти половина респондентов (47%) используют те или иные аспекты облачных технологий, что на 24% больше, чем в прошлом году. Среди тех, кто применяет в работе облачные технологии, 59% сообщили о повышении эффективности систем безопасности.
Сучетом вышесказанного весьма удивительно видеть, что многие компании не уделяют должного внимания возможным негативным последствиям применения облачных технологий. К примеру, среди всех участников опроса, использующих такие технологии, лишь 18% сообщили о наличии в их организациях официальной политики, регулирующей применение облачных вычислений.
Джошуа МакКиббен, директор PwC, говорит: «Отсутствие в организациях политики по регулированию использования облачных технологий является существенной угрозой безопасности бизнеса. Увеличение объемов передаваемых данных, а также рост масштабов применения мобильных устройств приводит к более интенсивному использованию облачных технологий, которое может привести к потенциальным злоупотреблениям со стороны персонала. В то же время компаниям важно следить за тем, чтобы сторонние поставщики услуг в сфере облачных вычислений соблюдали установленные требования к безопасности».
Как уже отмечалось, целенаправленным устойчивым угрозам уделяется неоправданно большое внимание в прессе, в результате чего число компаний, которые с повышенной серьезностью относятся к таким угрозам, может увеличиваться. К примеру, 54% опрошенных утверждают, что в их организациях внедрены технологии, обеспечивающие управление процессом обнаружения таких рисков и помогающие защититься от них. В число отраслей, компании которых применяют решения по противодействию целенаправленным устойчивым угрозам, входит аэрокосмическая и оборонная отрасль (61%), государственный сектор (58%) и фармацевтическая отрасль (58%).
В «Исследовании уровня киберпреступности в США» за 2013 год говорится о том, что инструменты по противодействию целенаправленным устойчивым угрозам обычно включают в себя анализ с целью выявления вредоносного ПО, отслеживание исходящего трафика, поиск неавторизованного оборудования, получающего доступ к сетям, а также анализ и географический поиск информации по IP-адресам .
Готовимся к встрече с угрозами будущего
Злоумышленники сегодня становятся все опытнее и изощреннее, что позволяет им находить новые уязвимые звенья в системах безопасности компаний. Для того чтобы эффективно справляться с этим риском, организациям необходимо применять передовые знания об информационных активах, системных угрозах и уязвимых местах, планируя инвестиции и необходимые меры для решения проблем в области информационной безопасности. Такие меры следует оценивать с учетом особенностей деятельности, осуществляемой организацией.
Данное исследование показывает, что компании, лидирующие, по нашему мнению, в области информационной безопасности, расширяют свои возможности в этом направлении, внедряя политику и регламенты, благодаря которым вопрос обеспечения безопасности становится одной из главнейших задач бизнеса. Для таких компаний вопросы безопасности выходят за рамки ИТ-проблем. Как же им это удается?
Лидеры в области безопасности стремятся тесно увязать свои стратегии по обеспечению информационной безопасности с потребностями бизнеса, устанавливая стандарты для внешних партнеров, а также в целом переосмысливая фундаментальные принципы безопасности данных (рис. 10). К примеру, 88% лидеров имеют в штате директора, который отвечает за информирование сотрудников предприятия о важности обеспечения информационной безопасности в компании. Другая дальновидная политика предполагает создание межфункциональной группы, которая будет координировать решение проблем в области безопасности и сообщать о них сотрудникам компании. Этот принцип организации систем безопасности применяется в 66% опрошенных организаций.
Рисунок 10. Политика и меры в области информационной безопасности, применяемые участниками опроса (все опрошенные / лидеры)
Джо Ноусэра, руководящий сотрудник PwC, отмечает: «Такая политика показывает, что компании проявляют высокий, невиданный ранее уровень ответственности в отношении информационной безопасности. Эта ответственность подразумевает участие всех директоров и ведущих руководителей в обеспечении успешного выполнения компанией всех задумок и планов, направленных на повышение уровня безопасности. Данная тенденция также подчеркивает необходимость информирования сотрудников и третьих сторон, занимающихся обработкой важной информации, о значимости информационной безопасности».
Дженнифер Лав, старший вице-президент по вопросам безопасности компании Cablevision, говорит: «В нашей компании топ-менеджеры и члены совета директоров с готовностью принимают участие в реализации инициатив в области безопасности. Они хорошо понимают, насколько важную роль играет информационная безопасность, и хотят иметь четкое представление об угрозах, с которыми мы сталкиваемся, и о мерах, принимаемых для защиты уязвимых участков периметра безопасности».
Внедрение политики и необходимых регламентов, а также вовлечение топ-менеджмента в работу над усовершенствованием систем безопасности - это всего лишь начало реальной деятельности. Эффективность принимаемых мер можно оценить, проанализировав применение компаниями технологий, которые обеспечивают внедрение такой политики и регламентов.
Чаще всего именно лидеры применяют инструменты, которые помогают в реальном времени анализировать подозрительную деятельность в рамках сетевого оборудования и приложений. К примеру, 66% лидеров в области информационной безопасности утверждают, что в их компаниях применяются системы защиты информации и управления инцидентами (SIEM). Ровно такое же количество опрошенных (66%) говорит, что им удалось внедрить инструменты корреляции событий, которые объединяют и сопоставляют информацию, полученную разными системами, например системами мониторинга уязвимостей и системами контроля взлома периметра безопасности. Решения, предназначенные для сканирования систем безопасности в поисках уязвимых мест, применяются 71% лидеров. Такие инструменты позволяют проводить оценку сетей и приложений с целью выявления возможных слабых сторон.
Несмотря на то что в данном отчете мы в основном рассматриваем лидеров, которые применяют вышеописанные технологии, также важно отметить, что сегодня, в условиях повышенных рисков безопасности, всем без исключения компаниям следует внимательно рассмотреть возможность применения данных защитных мер.
Другим примером эффективных мер безопасности является информирование сотрудников и организация обучения персонала. Информированность работников является очень важным фактором любой программы безопасности. Шестьдесят процентов опрошенных говорят, что в их компаниях имеются обучающие программы, предназначенные для повышения уровня информированности сотрудников. Поскольку сотрудники зачастую становятся «психологической мишенью» злоумышленников, всем без исключения респондентам следует задуматься о внедрении эффективной программы обучения персонала.
Для того чтобы оценить приоритеты респондентов в отношении подготовки к угрозам будущего, мы проанализировали, какие процессы и технологии защиты компании планируют внедрить в первую очередь в ближайшие 12 месяцев. Особое внимание мы уделяли следующим пяти категориям защитных мер: защита важных активов, обеспечение безопасности инфраструктуры, выявление угроз безопасности, аналитические меры и обеспечение безопасности мобильных устройств.
Сьюзен Модлин, директор по безопасности компании Equifax, международного бюро кредитных историй, рассказывает: «Очень часто деятельность злоумышленников направлена против сотрудников, которые располагают определенными сведениями. Именно поэтому мы проводим обучение сотрудников в виде ролевых игр. Наши программы обучения нацелены на такие группы высокого риска, как сотрудники колл-центра, пользователи с высокими полномочиями и топ-менеджеры. Мы учим персонал компании грамотно противостоять так называемым фишинговым атакам».
Для создания эффективной системы безопасности сегодня компаниям необходимо определить так называемые драгоценные активы, то есть наиболее важные активы компании, и в первую очередь обеспечить их защиту. Двадцать пять процентов респондентов утверждают, что в течение грядущих 12 месяцев они внесут в число приоритетных задач реализацию программы по определению особо важных активов, а 17% - что они оценят приоритетность инструментов по управлению активами (рис. 11). Данные решения являются ключом к пониманию, оценке и эффективному управлению важной корпоративной информацией.
Рисунок 11. Защитные меры, которые пока не применяются, но входят в список приоритетов на ближайший год
Для того чтобы повысить надежность инфраструктуры, практически четверть опрошенных (24%) планируют внедрить стандарты безопасности для внешних партнеров, поставщиков и клиентов. Эта задача становится все более актуальной по мере того, как компании открывают доступ к своим сетям, приложениям и данным для третьих лиц. Более того, применение таких технологий, как виртуализация и облачные вычисления, существенно повысило вероятность угроз, которые могут исходить от инсайдеров, обладающих высокими полномочиями доступа. Таким образом, мониторинг и управление пользователями с высоким уровнем доступа теперь входят в число основных проблем. Исследование показало, что 17% опрошенных планируют внедрить инструменты для управления пользователями с высоким уровнем доступа в течение следующих 12 месяцев.
Остальные приоритеты направлены на технологии, которые помогают лучше понять характер угроз, а также повысить уровень безопасности мобильных устройств. Мы впервые спросили респондентов о том, планируют ли они начать пользоваться абонентскими услугами по обнаружению потенциальных угроз для того, чтобы заручиться поддержкой третьих сторон и получать своевременные предупреждения о рисках и так называемых уязвимостях нулевого дня (уязвимость, используемая злоумышленником в тот же день, когда она была обнаружена, то есть пока способ ее устранения не найден). Многие из участников опроса ответили утвердительно на этот вопрос: 49% респондентов сказали, что в данный момент они применяют такие услуги. При этом 25% тех, кто не использует данные решения, планируют в ближайшие 12 месяц включить их в число своих приоритетных задач.
Компания Equifax в числе своих основных приоритетов называет обеспечение защиты устройств, которыми пользуются сотрудники, с тем чтобы организация, предоставляющая финансовые услуги, могла более эффективно отслеживать основные факторы угроз. Сьюзен Модлин говорит: «Мы анализируем аппаратное оборудование, применяемое сотрудниками, и фактически создаем так называемую песочницу, которая позволяет оградить компьютеры от вирусов и вредоносных программ. Это не только помогает нам бороться с рисками, но также способствует определению типов потенциальных угроз и поиску злоумышленников, планирующих атаки непосредственно против нашей компании».
Принимая во внимание все увеличивающийся интерес к способам обработки больших массивов информации, мы также спросили респондентов о планах их компаний относительно применения аналитических схем в целях повышения общей безопасности. Стратегический подход к данному вопросу становится все более популярным: 20% респондентов сказали, что планируют в будущем пересмотреть приоритетность инструментов информационной безопасности и управления событиями. Столько же опрошенных считают внедрение технологий корреляции событий в системах защиты своей первоочередной задачей.
Пракаш Венката, управляющий директор PwC, уверен: «Такие технологии помогают компаниям обнаружить закономерности и аномалии в деятельности, направленной на изучение компьютерных угроз, с которыми сталкивается бизнес. Обладая этими знаниями, руководители смогут предвидеть изменения в характере киберугроз, нависших над их организациями, и оперативно реагировать на них».
Еще одной актуальной проблемой является безопасность мобильных устройств. Практически четверть всех участников исследования сообщили о своих планах повысить приоритетность шифрования смартфонов, внедрить решения по управлению мобильными устройствами, а также реализовать стратегию использования персональных устройств в корпоративных сетях.
Прошедший год показал, что обмен информацией об угрозах безопасности, даже между конкурирующими компаниями, стал мощным инструментом противодействия рискам. Мы считаем, что сотрудничество помогает бизнесу быстрее адаптироваться к изменениям рыночной конъюнктуры. Пятое ежегодное исследование PwC Digital IQ5 помогло выявить, что фирмы, в которых топ-менеджмент готов к сотрудничеству, успешно интегрируют стратегию и информационные технологии. Такой подход весьма часто способствует повышению эффективности бизнеса.
Мы захотели узнать, как респонденты, многим из которых приходится работать в крайне конкурентных условиях, смотрят на возможность сотрудничества с другими игроками рынка в целях повышения уровня безопасности и обмена знаниями о потенциальных угрозах. Многие организации осознают, что у такого сотрудничества есть свои плюсы. Результаты опроса показали, что половина опрошенных сотрудничают с другими участниками рынка, а среди лидеров в области безопасности этот показатель достигает 82%.
Пример от Equifax: по словам Сьюзен Модлин, компания Equifax «принимает участие в деятельности Центра анализа информации о финансовых услугах и обмена такой информацией». Она убеждена: «Для нашей компании это крайне важно, поскольку многие государственные учреждения также принимают участие в работе этого Центра, что позволяет нам заранее получать информацию о возникающих угрозах». Equifax также участвует в работе нескольких других отраслевых групп и взаимодействует с аналогичными предприятиями.
Двадцать восемь процентов опрошенных в числе основных причин, по которым они отказываются от сотрудничества, называют обеспокоенность в связи с увеличением числа уязвимостей периметра безопасности, боязнь того, что конкуренты воспользуются полученной информацией в своих интересах, а также прямое недоверие своим конкурентам (рис. 12). Наконец, 22% респондентов не знают о том, сотрудничает ли их организация с другими участниками рынка.
Рисунок 12. Причины отсутствия сотрудничества по вопросам безопасности
Что препятствует развитию систем безопасности?
Хотя большинство лиц, заинтересованных в укреплении систем безопасности, и согласны с тем, что необходимо принимать меры по усилению информационной защиты, они до сих пор не могут прийти к общему пониманию того, какие меры необходимы для преодоления существующих барьеров.
Мы попросили участников исследования назвать самые существенные препятствия, которые мешают им повысить уровень информационной безопасности в их компаниях. В итоге мы получили множество противоречивых мнений, причем в некоторых случаях респонденты пытались найти виноватых вместо того, чтобы проанализировать реальные причины.
В целом участники опроса отметили, что в число наиболее существенных препятствий входит недостаток капитального финансирования, отсутствие четкого понимания того, какое влияние на состояние информационной безопасности окажут будущие потребности бизнеса, недостаток целеустремленных лидерских идей, а также отсутствие эффективной стратегии безопасности (рис. 13).
Рисунок 13. Основные препятствия на пути к созданию эффективной системы безопасности
Тенденция роста бюджетов на обеспечение безопасности в этом году может привести к решению проблем с финансированием. При этом вызывает беспокойство, что такие ключевые вопросы, как понимание принципов безопасности, приведение их в соответствие с будущими потребностями бизнеса, а также обеспечение эффективности стратегий безопасности, по-прежнему входят в число ключевых проблем. Респонденты также весьма часто называют высшее руководство, особенно генеральных директоров, в качестве основного препятствия на пути к повышению уровня безопасности.
Но кого же тогда винят во всем генеральные директора? Любопытно отметить, что генеральные директора в основном называли главным препятствием самих себя. Финансовые директора называли генеральных директоров в качестве основного барьера для развития информационной безопасности. За гендиректорами в этом списке следовали директора по информационным технологиям, информационной безопасности и общей безопасности. По мнению директоров по информационной безопасности, несущих прямую ответственность за системы информационной защиты, список основных препятствий возглавляет недостаточное финансирование (как капитальное, так и операционное), второе место занимает недостаток компетенций и технического опыта у специалистов компании. Директора по информационным технологиям считают, что развитию систем защиты информации мешает отсутствие эффективной стратегии и общей концепции развития, а также недостаток лидерского участия генеральных директоров и руководителей, отвечающих за обеспечение безопасности.
Дэвид Берг, руководящий сотрудник PwC., уверен: «Отсутствие четкого понимания всей картины препятствий, стоящих на пути к построению эффективной системы безопасности, отчасти показывает, что бизнес не вполне готов к ведению адекватного диалога по вопросам информационной защиты. Такой диалог помогает сотрудникам, руководителям и третьим лицам понять свои функции в рамках систем информационной безопасности, а также осознать ключевые приоритеты и наиболее опасные риски. Для того чтобы достигнуть устойчивого понимания принципов безопасности, компаниям также потребуется заручиться полной поддержкой высшего руководства, в том числе генерального директора и совета директоров. Обсуждение проблем безопасности должно иметь непрерывный характер».
Мировая гонка в области кибербезопасности
В течение нескольких лет Азиатско-Тихоокеанский регион был лидером по инвестициям в развитие технологий и процессов обеспечения безопасности, а также по расходованию средств на эти цели. В результате данный регион оторвался от остальных в вопросах разработки и внедрения эффективных программ защиты информации (рис. 14).
Рисунок 14. Меры по обеспечению безопасности в разбивке по регионам
а данный момент этот регион продолжает лидировать в сфере информационной безопасности. Фактически 28% компаний, которых мы считаем лидерами, представляют Азиатско-Тихоокеанский регион, а это лишь 21% от общего числа участников исследования.
Южная Америка стремится догнать Азиатско-Тихоокеанский регион, лидирующий в области информационной защиты. Впервые за все время Южная Америка оказалась близка к лидерству по объемам инвестиций в системы информационной безопасности, политике в этой сфере и характеру принимаемых защитных мер. Этот континент занимает ведущее положение по многим аспектам, включая уровень затрат на цели безопасности и количество штатных директоров по информационной безопасности, ответственных за контроль защитных систем. По многим другим аспектам Южная Америка не отстает от своего азиатско-тихоокеанского соперника.
И тем не менее Азиатско-Тихоокеанский регион продолжает занимать уверенные позиции в вопросах бюджета на безопасность и передовых методов работы. Европа и Северная Америка, в свою очередь, во многом отстают от своих соперников, в том числе в таких областях, как введение должности директора по информационной безопасности, внедрение политики по резервному копированию и восстановлению данных (обеспечению непрерывности бизнеса), а также сотрудничество с другими игроками рынка. Северная Америка демонстрирует успехи в ряде областей, добившись от третьих сторон соответствия установленным требованиям политики конфиденциальности, обеспечив высокий уровень информированности сотрудников и организовав обучение персонала по вопросам безопасности. Вместе с тем этот регион продолжает отставать по многим другим показателям.
Азиатско-Тихоокеанский регион: по-прежнему в лидерах
Азиатско-Тихоокеанский регион продолжает занимать лидирующее положение по таким показателям, как бюджет на безопасность и методы работы. Инвестиции в укрепление систем безопасности также остаются на высоком уровне: ередний объем бюджетов на безопасность увеличился на 85% за прошедший год. Азиатско-Тихоокеанский регион также продемонстрировал самый высокий показатель доли бюджета на информационную безопасность от общих затрат на информационные технологии - 4,3%. Респонденты рисуют вполне радужную картину будущих затрат на обеспечение информационной безопасности: 60% опрошенных утверждают, что бюджет на защиту данных в их компаниях будет увеличен в течение следующих 12 месяцев. Вместе с тем, средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос на 28% за прошедший год.
Азиатско-Тихоокеанский регион имеет равные с Южной Америкой позиции по ключевым направлениям политики, таким как: наличие в штате должности директора по информационной безопасности в целях контроля программы защиты данных. Регион также отличается стремлением к применению новых прогрессивных мер безопасности, среди которых назначение директора, отвечающего за информирование персонала о важности информационной безопасности (69%), и сотрудничество с другими игроками рынка в целях повышения уровня безопасности (59%). В регионе, если сравнивать его с Южной Америкой, по всей вероятности, будут внедрены технологии, направленные на обнаружение фактов взлома систем защиты (67%), и будут созданы системы для сбора, передачи и хранения всех персональных данных (60%).
Вместе с тем динамика ежегодных изменений показывает, что в Азиатско-Тихоокеанском регионе отмечается замедление в области внедрения некоторых направлений политики и технологий обеспечения безопасности. Например, число респондентов, которые ответили, что у них существует политика в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации, за последний год сократилось. При этом другие основные направления политики, такие как обучение сотрудников и процедуры защиты интеллектуальной собственности, фактически не развиваются.
На долю Китая в этом исследовании приходится 33% респондентов из Азиатско-Тихоокеанского региона, за Китаем следуют Индия (31%) и Япония (17%). По большинству показателей Китай значительно опережает другие страны в развитии практики и политики в области обеспечения безопасности. Например, 60% респондентов в Китае используют инструменты поведенческого мониторинга и контроля, 73% осуществляют централизованное хранение пользовательских данных, а 72% используют сканеры для выявления уязвимых мест - по всем указанным показателям Китай опережает другие страны. Шестьдесят два процента (62%) респондентов в Китае применяют технологии, обеспечивающие защиту и обнаружение целенаправленных устойчивых угроз, а 66% внедрили технологии защиты информации и управления событиями - все эти показатели выше, чем в других странах. Более того, ни одна из стран не внедрила политику по безопасности мобильных устройств, по использованию личных портативных устройств на работе и по использованию социальных сетей на более высоком уровне, чем Китай. Например, 71% респондентов в Китае имеют политику по использованию персональных устройств в корпоративных сетях, тогда как в США таких респондентов оказалось 64%, а в Индии - 54%. По сравнению c Китаем Индия демонстрирует убедительные достижения в сфере реализации программ и политики безопасности, но отстает от Китая почти по всем показателям.
Южная Америка: новый лидер с юга
Южная Америка демонстрирует значительные достижения по уровню расходов на обеспечение безопасности, внедрению политики и технологий в этой сфере. По многим показателям данный регион сопоставим с Азиатско-Тихоокеанским регионом, а иногда и опережает его.
Например, бюджеты на информационную безопасность за последний год резко увеличились - на 69%, а 66% респондентов в Южной Америке отмечают, что расходы на безопасность возрастут в течение последующих 12 месяцев. Бюджеты на обеспечение безопасности составляют 4,1% от общих расходов на информационные технологии, при этом более высокий показатель отмечен только в Азиатско-Тихоокеанском регионе. Респонденты в Южной Америке активнее приглашают на работу директоров по информационной безопасности (75%) и следуют политике в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (58%). Этот континент является лидером в области сотрудничества (66%) и поддерживает тесные связи с Азиатско-Тихоокеанским регионом в сфере реализации прогрессивных направлений политики безопасности, таких как наличие в штате организации директора, отвечающего за информирование сотрудников о важности информационной безопасности (68%). Средний уровень финансовых убытков, связанных с инцидентами в сфере информационной безопасности, вырос незначительно (на 4%) по сравнению с прошлым годом.
Доля респондентов из Бразилии оказалась самой большой в Южной Америке (48% от общего числа), затем следует Мексика (30%) и Аргентина (21%). Бразилия является лидером по ряду показателей, например в категории поведенческого мониторинга и контроля (57%), а также использования сканеров для выявления уязвимых мест в системах и сетях (63%), но в целом она отстает от Китая и США.
Южная Америка продемонстрировала некоторые слабые стороны. Например, доля респондентов, которые отметили, что в их организации существует политика обучения персонала в сфере информационной безопасности, оказалась сравнительно небольшой (54%), как и доля тех, кто ведет учет регионов, где осуществляется сбор, передача и хранение персональных данных (53%).
Европа: отставание в области финансирования и мер защиты
UB отличие от других регионов, в Европе за последний год инвестиции в информационную безопасность немного сократились (3%), и этот континент продолжает отставать в реализации важнейших мер по обеспечению информационной безопасности.
Наряду с небольшим сокращением инвестиций на обеспечение безопасности, только 46% респондентов в Европе считают, что уровень расходов на обеспечение безопасности в последующие 12 месяцев возрастет. И если число выявленных инцидентов в сфере безопасности снизилось за последний год на 22%, то средний размер финансовых убытков, вызванных такими инцидентами, повысился на 28%.
Внедрение существенных направлений политики, в том числе в области резервного копирования, восстановления данных и обеспечения бесперебойной деятельности организации (45%), а также в сфере обучения и информирования сотрудников по вопросам информационной безопасности (21%), оказалось в Европе на сравнительно низком уровне. Кроме этого, небольшое число респондентов ответили, что они сотрудничают с другими компаниями (45%) и следуют политике в области мобильной безопасности (38%).
Северная Америка: в отстающих и в лидерах одновременно
Инвестиции в обеспечение безопасности стремительно растут в Северной Америке, как и число выявленных нарушений систем безопасности. И хотя далеко не все ключевые направления политики в области безопасности внедрены, Северная Америка является лидером в ряде важных областей.
Средний размер бюджета на обеспечение безопасности возрос за последний год на 80%, однако перспективный бюджет по расходованию средств в следующем году является наименьшим среди всех регионов: только 17% респондентов в Северной Америке ожидают увеличения расходов в области информационной безопасности в ближайший год. Количество выявленных нарушений системы безопасности возросло на 117% за 2012 год, а средняя сумма финансовых потерь, возникших в результате инцидентов в сфере безопасности, увеличилась на 48%.
Северная Америка является лидером среди других регионов по целому ряду направлений, таких как: наличие общей стратегии в сфере безопасности (81%), введение требования о соблюдении третьими сторонами политики конфиденциальности и неразглашения информации (62%) и обучение персонала по вопросам безопасности (64%). Кроме этого, в регионе высока вероятность учета, сбора, передачи и хранения персональных данных (64%), а также применения технологий обнаружения вторжений (67%).
Среди недостатков отметим следующее: Северная Америка отстает по таким направлениям, как сотрудничество с другими участниками рынка (42%) и наличие в штате компаний директора по информационной безопасности (65%). В Северной Америке меньшее число респондентов проанализировало эффективность мер по обеспечению безопасности в своих компаниях в прошедшем году.
США, на которые приходится 84% североамериканских респондентов, оказались среди лидеров в области стратегий развития облачных технологий (52%), безопасности мобильных устройств (60%), социальных сетей (58%) и использования личных портативных устройств на работе (64%), уступая лишь Китаю в большинстве категорий.
Что это значит для вашего бизнеса
В «Глобальном исследовании по вопросам информационной безопасности. Перспективы на 2014 год» отражается состояние систем информационной безопасности в период неопределенности, когда все замерли в ожидании перемен, но при этом пытаются сохранить существующее положение дел. Респонденты отмечают прогресс в применении современных средств безопасности, с одной стороны, а с другой - уделяют недостаточное внимание таким ключевым стратегиям, как защита прав интеллектуальной собственности. При этом они вновь готовы инвестировать средства в обеспечение безопасности, но не имеют четкого представления о том, как именно следует совершенствовать существующую практику.
Если принять во внимание значительные изменения и проблемы, вызванные появлением всё новых угроз для экосистемы бизнеса, совсем не удивительно, что на вопрос о том, в каком направлении нужно двигаться дальше, нет однозначного ответа.
Одно очевидно: прежние средства защиты уже неэффективны в борьбе с новыми, стремительно возникающими сегодня угрозами. А риски завтрашнего дня представляются в лучшем случае неопределенными, а в худшем - губительными, но в любом случае они потребуют разработки абсолютно новой модели обеспечения информационной безопасности.
Мы предлагаем современный подход к пониманию того, какой может быть модель безопасности, основанная на понимании природы и источников угроз, а также на знании того, какие ресурсы имеются у компании. При наличии такой модели нарушения в области безопасности воспринимаются как чрезвычайно опасный для бизнеса риск, который не всегда можно предотвратить, но которым можно управлять, удерживая его на приемлемом для организации уровне.
Мы назвали такую модель «От осознания - к действию». По сути, такой подход основан на четырех ключевых принципах:
- Обеспечение безопасности - жизненно важная для бизнеса задача. Создание эффективной системы безопасности требует, чтобы вы понимали уровень риска и возможные последствия, связанные с работой в условиях существования интегрированной международной экосистемы бизнеса. Комплексная стратегия безопасности должна стать важнейшим элементом вашей бизнес-модели; безопасность перестала быть всего лишь одной из задач в области ИТ.
- Угрозы для безопасности являются бизнес-рисками. Риски, связанные с безопасностью, следует рассматривать как угрозы для самой организации. Чрезвычайно важно прогнозировать такие угрозы, понимать уязвимые места своей организации, уметь выявлять связанные с ними риски и управлять такими рисками. Необходимо, чтобы поставщики, партнеры и другие третьи лица были ознакомлены с вашей политикой и практикой в области безопасности и были согласны следовать им.
- Защита наиболее важной информации. Для создания эффективной системы безопасности вы должны иметь четкое представление о характере меняющихся угроз и уметь адаптироваться к ним путем определения, какая информация является для вас наиболее ценной. Вы должны знать, где находится эта «драгоценная» информация, кто имеет к ней доступ в любое время, и умело распределять в приоритетном порядке ресурсы вашей организации в целях защиты наиболее ценной информации.
- Преимущества модели «От осознания - к действию».
Применение этой новой модели информационной безопасности предполагает, что в основе любой деятельности и инвестиционных решений должно быть четкое понимание того, что представляют собой имеющиеся в организации информационные ресурсы, какие существуют угрозы для экосистемы бизнеса, какие участки системы наиболее уязвимы, а также каковы результаты мониторинга деятельности организации. Вам необходимо сформировать в своей организации культуру, направленную на обеспечение безопасности, таким образом, чтобы она охватывала всех сотрудников, начиная с высших должностных лиц, принимающих на себя обязательство по обеспечению безопасности, и заканчивая каждым сотрудником и всеми третьими лицами. При этом необходимо сотрудничать с государственными учреждениями и частными компаниями для более эффективного обмена информацией о возникающих угрозах для безопасности.
Мы поможем вам понять последствия применения этого нового подхода к вопросу информационной безопасности и окажем содействие по внедрению принципов, лежащих в основе такого подхода, с учетом индивидуальных потребностей вашего бизнеса и отрасли, а также с учетом угроз, характерных для вашей бизнес-среды. Мы продемонстрируем вам, как можно успешно противостоять сегодняшним угрозам безопасности и эффективно планировать защиту против тех угроз, которые возникнут завтра.
«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.
«Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: Журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.
Ocean Tomo, Ежегодное исследование рыночной стоимости нематериальных активов (Ocean Tomo), апрель 2011 года
Исследование уровня киберпреступности в США» за 2013 год. Спонсоры: журнал CSO, Координационный центр CERT Университета Карнеги-Меллон, Федеральное бюро расследований, PwC и Служба безопасности США, март - апрель 2013 года.
Составляющие информационной безопасности
В общем случае информационную безопасность (ИБ) можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений – производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" .
Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации: это принципиально более широкое понятие, включающее защиту информации, технологий и систем.
Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трех основных составляющих информационной безопасности:
- целостности . Это в первую очередь актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения, а именно: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
- конфиденциальности . Засекреченная информация должна быть доступна только тому, кому она предназначена. Такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
- доступности (готовности). Это возможность за приемлемое время получить требуемую информационную услугу, т.е. данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.
Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать следующие действия:
- несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access – UAA);
- искажение, частичную или полную утрату конфиденциальной информации;
- целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
- отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).
Оценка реальной ситуации сводится в большинстве случаев к ответу на ключевые вопросы, составляющие системную основу для обеспечения информационной безопасности, и в частности надо ли защищаться, от кого и чего следует защищаться, что и как требуется защищать, какие меры обеспечат эффективность защиты, а также оценить предполагаемую стоимость разработки, внедрения, эксплуатации, сопровождения и модернизации систем безопасности.
Первые три вопроса непосредственным образом относятся к проблеме оценки реальных угроз (рис. 7.1) 16]. Ответы на эти вопросы неоднозначны – многое зависит от структуры, области деятельности и целей компании. При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в единую инфраструктуру.
Рис. 7.1.
В едином информационном пространстве государственной структуры или коммерческой фирмы должны быть созданы механизмы и инструмент аутентификации для проверки подлинности пользователя, сообщения и контента. Таким образом, должна быть создана система информационной безопасности, которая включала бы необходимый комплекс мероприятий и технических решений по защите:
- от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;
- несанкционированного доступа к информации путем обнаружения и ликвидации попыток по использованию ресурсов информационного пространства, приводящих к нарушению его целостности;
- разрушения встраиваемых средств защиты с возможностью выявления неправомочности действий пользователей и обслуживающего персонала;
- внедрения программных " вирусов " и "закладок " в программные продукты и технические средства.
Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, так как в процессе модификации КИС неизбежно возникновение нештатных ситуаций незащищенности системы (так называемые "дыры в системе").
Наряду с анализом существующих в компании конкретных средств защиты должна осуществляться разработка политики в области информационной безопасности, включающей совокупность организационно-распорядительных мер и документов, а также методологических и технических решений, являющихся основой для создания инфраструктуры информационной безопасности (рис. 7.2) .
Рис. 7.2.
Следующим этапом по разработке комплексной системы информационной безопасности служит приобретение, установка и настройка средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны (брандмауэры, файерволы), средства анализа защищенности и др. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.
С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимых мест и атак, меняются технология обработки информации, программные и аппаратные средства, а также персонал компании. Поэтому необходимо регулярно пересматривать разработанные организационнораспорядительные документы, проводить обследование ИС или ее подсистем, обучать персонал и обновлять средства защиты.
Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их, чтобы в конечном итоге реализовать на рынке собственный коммерческий продукт. При этом оно порождает специфическую внутреннюю среду, которая формируется усилиями персонала всех структурных подразделений, а также техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.
Корпоративная информация отражает финансово- экономическое состояние предприятия и результаты его деятельности. Примеры подобной информации – это регистрационные и уставные документы, долгосрочные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, сведения о подготовке персонала и сферах применения продуктов деятельности, включая методы и каналы сбыта, технику продаж, заказы, логистику, информацию о поставщиках и партнерах.
Источники корпоративной информации – директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.
Корпоративная среда включает государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия. Информация вне корпоративной среды часто неполна, противоречива, приблизительна, разнородна и неадекватно отражает состояние внешней среды. Примерами внешней информации, выходящей за пределы корпоративной среды, являются состояние рынка (его долговременное и текущее состояние, тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, "происки" конкурентов, последствия политических событий и т.д.
Бо́льшая часть этой информации является открытой, однако в зависимости от особенностей внутренней деятельности и взаимодействия с внешним миром часть информации может быть предназначена "для служебного пользования", т.е. быть "строго конфиденциальной" или "секретной". Такая информация является, как правило, "закрытой" и требует соответствующих мер защиты.
Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.
Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:
- мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
- управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
- – шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
- – сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
- – рабочей станции (Data-in-Use);
- – внутренних каналов почты Microsoft Exchange, Lotus Notes и др.
- – управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных
- – установления проактивной защиты и персональных сетевых экранов;
- – теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.
Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.