Інформаційна безпека: проблеми підготовки фахівців
Минулого місяця в рамках конференції «Інформаційна безпека Росії в умовах глобального інформаційного суспільства» в Державній Думі пройшли слухання, учасники яких практично були єдині в одному: проблеми інформаційної безпеки в Росії приділяється недостатньо уваги. У зв'язку з цим цікавий погляд на проблему захисту інформації інструктора навчальної програми спільного проекту американської компанії MIS Training Institute і Навчального центру «Мікроінформ», провідного спеціаліста в області організації менеджменту інформаційної безпеки Чарлза Паска (Charles Pask).
ьогодні інформація - це найважливіша частина активів будь-якої компанії. Ефективний контроль над цими активами, їх захист від несанкціонованого доступу, розкрадання і будь-якого іншого не передбаченого регламентом використання набуває для компаній, так і для всієї світової спільноти одне з першорядних значень.
Сучасний бізнес активно підтримує розвиток технологій «відкритих мереж», що забезпечують оперативний доступ до інформації і різних сервісів в будь-який час і в будь-якому місці. Для реалізації цих підходів широко використовуються різні сучасні Інтернет-технології, WAP-технології, IVR (Interactive Voice Response), VPN (Virtual Private Networks) і ін. Однак більшість користувачів цих послуг не дуже добре уявляє собі, наскільки при цьому забезпечено захист інформації, циркулює по каналах зв'язку і зберігається в базах даних. Існує деяка суперечність між необхідністю забезпечення вільного і оперативного доступу до необхідної інформації і її захистом від несанкціонованого доступу.
Російський світ бізнесу не є винятком. Він швидко розвивається, щодня з'являється багато нових компаній. Важливе місце в становленні та успіху бізнесу компаній займає використання сучасних засобів інформаційних технологій. Одна з проблем при цьому полягає в тому, що більшість інформаційних систем спочатку розроблялися лише для використання всередині компанії. Вони не були розраховані на те, щоб стати відкритими для зовнішнього світу. Вже одне це є джерелом серйозних проблем.
Широке використання ІТ-технологій породжує безліч питань, пов'язаних із забезпеченням інформаційної безпеки. При цьому однією з серйозних проблем є усвідомлення вищим керівництвом компаній наявності небезпек, що виникають внаслідок застосування зазначених технологій, а також того факту, що керівник несе персональну відповідальність за забезпечення безпеки.
В останні роки при вирішенні проблем інформаційної безпеки основна увага приділялася використанню різних технологічних рішень на програмному та апаратному рівнях. У той же час результати аналізу ситуації багатьма експертами з інформаційної безпеки переконливо показують, що технологічні рішення дозволяють забезпечити захист лише від деяких небезпек. Багато що тут залежить від людського фактора, від участі конкретних співробітників компаній в процесах обміну інформацією, від використання ресурсів інформаційних систем. Навіть з поверхового аналізу загальноприйнятих світових стандартів з інформаційної безпеки видно, що близько 75% коштів і методів захисту інформації орієнтовані на участь в цьому персоналу компаній.
Далеко не всі організації проводять навчання своїх співробітників з метою підвищення їх знань в області інформаційної безпеки. У більшості організацій подібні заходи просто не передбачені бюджетом. У той же час найчастіше основну небезпеку для організації представляють випадкові або навмисні дії персоналу. В даному випадку поняття «персонал» включає всіх штатних співробітників і сумісників, субпідрядників і третіх осіб, що виконують обробку даних або працюють з інформацією від імені організації.
Кен Шоретт (Ken M. Shaurette), старший радник з інформаційної безпеки компаній American Security Partners і MERIST, стверджує: «Неможливо вирішити проблеми безпеки за допомогою одних тільки технологій. Всі аспекти успішної та ефективної системи безпеки залежать від людей і процесів ... До тих пір поки питання інформаційної безпеки не стануть частиною культури, природним умовою ведення бізнесу і виконання службових обов'язків, наша критично важлива ІТ-інфраструктура залишиться в значній мірі вразливою ».
Кен Катлер (Ken Cutler), керуючий директор Інституту інформаційної безпеки (Information Security Institute), стверджує: «Панацеї від усіх проблем інформаційної безпеки не існує». У той же час в більшості компаній все ще вважають, що може бути просте і швидке вирішення цих проблем. Але це не так.
Щодо недавнє опитування професіоналів індустрії інформаційної безпеки дозволив сформулювати наступні основні проблеми:
- Недостатня компетентність персоналу, відповідального за питання інформаційної безпеки в компанії; абсолютно незадовільний ставлення до навчання співробітників компанії.
- Непорозуміння керівниками компаній прямій залежності успіху бізнесу від інформаційної безпеки. Вони усвідомлюють необхідність фізичної безпеки, але не передбачають наслідків низького рівня забезпечення інформаційної безпеки.
- Відсутність постійної уваги до питань інформаційної безпеки: при виникненні проблем вносяться деякі корективи, але процес усунення джерела проблеми не доводиться до кінця, що не виключає її повторення в майбутньому.
- Ставка робиться головним чином на міжмережеві екрани.
- Відсутність уявлення про те, скільки коштують інформація і репутація.
- Поширена думка, що проблеми зникнуть, якщо їх ігнорувати.
Опитування учасників різних форумів і конференцій з інформаційної безпеки в 2001 році показав, що найбільш нагальними питаннями для обговорення були наступні:
- Недостатність оцінок ризиків.
- Недостатня інформованість в області безпеки.
- Недостатність формалізованої класифікації інформації.
- Недостатнє забезпечення безперервності функціонування бізнесу в критичних ситуаціях.
Сьогодні першорядне роль в системі забезпечення інформаційної безпеки повинна відводитися питань навчання персоналу. Аллан Сміт (Allan R. Smith), президент компанії RISK Management стверджує: «Механічний міжмережевий екран сам по собі - не вирішення проблеми. Я постійно говорю: інформаційна безпека - це позиція. Якщо організація не віддана ідеї просвітництва своїх співробітників, як кадрових, так і тимчасових, то, на жаль, вона може виявитися на місці злочину в якості жертви. Інформаційна безпека починається з навчання і існує тільки завдяки твердо зайнятої позиції ».
В даний час можливість пройти підготовку за найсучаснішими курсам проблематики інформаційної безпеки з'явилася і в Росії. Американська компанія MIS Training Institute - провідний навчальний центр з підготовки фахівців в області інформаційної безпеки і російська компанія «Мікроінформ» об'єднали свої зусилля для того, щоб запропонувати російському ІТ-ринку сертифіковані програми підготовки та керівників, і технічних фахівців в області інформаційної безпеки. Тематика навчання для керівників включає питання стратегії і політики інформаційної безпеки, законодавчі аспекти проблеми, питання інформованості персоналу в області інформаційної безпеки, а також мережеву безпеку. Для технічних фахівців читаються більш докладні практичні курси, мета яких полягає в підвищенні їх кваліфікації в галузі захисту мереж, безпеки використання можливостей Інтернету, WAP-технологій тощо
Пропоновані курси об'єднані в дві сертифікаційні програми. Перша програма - «Управління інформаційною безпекою організації» - призначена для керівників служб інформаційної безпеки компаній, консультантів та аналітиків в області захисту інформації. Друга - «Захист периметра мережі» - орієнтована на технічних фахівців з проектування систем інформаційного захисту, адміністраторів мереж, які вирішують проблеми забезпечення безпеки периметра мережі. Обидві програми складаються з чотирьох курсів тривалістю 2-3 дні кожен. По завершенні кожного курсу слухачі отримують відповідне свідоцтво MIS Training Institute. Прослухавши все чотири курси, вони отримують кваліфікаційний сертифікат MIS Training Institute, який підтверджує рівень знань фахівця за обраною програмою.
Представники понад 25 російських організацій взяли участь в перших курсах запропонованих програм підготовки фахівців. Слухачами стали співробітники організації банківського сектора - «Сбербанк», «Альфа-Банк», «Дельтабанк», промисловості - «Газпром», «Связьтранснефть», «GM-АвтоВАЗ», «Норільський Нікель», а також зарубіжних компаній - KPMG, Ernst and Young, Xerox, Philip Morris. Таке представництво демонструє серйозність підходу цих великих компаній до проблем забезпечення інформаційної безпеки.
Деякі найбільш поширені на курсах питання звучали приблизно так: які у нас повинні бути політики безпеки, як слід розробити і представити менеджменту компанії стратегію безпеки, як показати створення доданої вартості, як простіше домогтися бажаного результату, як правильно обгрунтувати виділення необхідних коштів для вирішення проблем інформаційної безпеки?
Професіонал в області інформаційної безпеки повинен знати відповіді на ці та багато інших питань. Дуже хороша відправна точка - стандарти ISO 17799 та BS7799. Вони забезпечують розумний базовий підхід до інформаційної безпеки і повинні служити основою для подальшого розвитку. Я часто повторюю, що «плагіат - це перший крок до оригінальної думки», і використання цих стандартів - економічно дуже ефективний спосіб почати формування вашої програми інформаційної безпеки. Крім того, багато російських організації починають розробляти власні політики і стандарти, що відповідають конкретним умовам функціонування їх організації. Слухачі семінарів MIS Training Institute, крім засвоєння програм курсів, мають можливість зустрітися з близькими по духу професіоналами, налагодити і розвинути відносини з колегами. Це, в свою чергу, полегшує обмін ідеями і документацією, які не зважають на комерційною таємницею і не є секретними для конкурентів.
У всіх організаціях, представники яких відвідували семінари MIS Training Institute, йде процес модернізації або створення нових політик інформаційної безпеки. Паралельно всі ці організації вивчають елементи, необхідні для реалізації ефективних стратегій інформаційної безпеки, програми підвищення інформованості, методи оцінки ризику, архітектури безпеки, стандарти і освіту в галузі безпеки. Всі вони сьогодні усвідомлюють необхідність інформувати персонал про його обов'язки. Вони стикаються з тими ж складними завданнями, що і їхні колеги в інших країнах. Відповідальність за інформаційну безпеку лежить на всьому колективі підприємства, а не тільки на керівника підрозділу інформаційної безпеки і його підлеглих.
Ще одне складне завдання, що стоїть перед російськими організаціями, - забезпечення дотримання законодавства. Російський уряд, з одного боку, прагне сприяти розвитку бізнесу, а з іншого - намагається створити структуру контролю над бізнесом. У цьому Росія не відрізняється від будь-якої іншої європейської країни. Необхідно здійснювати ефективні контроль і керівництво, щоб і економіка країни процвітала, і населення Росії не страждало від компаній, які недбайливо ставляться до своїх активів. Головна проблема полягає в тому, щоб визначити, які існують нормативні акти, які стосуються цієї галузі, і де їх можна отримати.
Микола Самодай з компанії KPMG (Москва) говорить: «У центрі уваги чинного російського законодавства з інформаційної безпеки знаходиться в першу чергу діяльність державних установ або підприємств, при цьому законодавство має на меті забезпечити національну безпеку і захист державної таємниці. Воно також визначає порядок державного ліцензування або сертифікації широкого кола продуктів і послуг, які підпадають під дію зазначених вище нормативних актів. Проте, якщо подивитися ширше, стає зрозуміло, що деякі комерційні організації, які працюють з державними структурами і, як наслідок, збирають або обробляють будь-якого роду інформацію, можуть також розглядатися як державні організації з точки зору нормативних актів з інформаційної безпеки. Це стосується в першу чергу до фінансових установ, таким як банки, страхові компанії, пенсійні фонди тощо
Всі інформаційні технології, використовувані для криптографії (шифрування або дешифрування) повинні сертифікуватися державними органами. Будь-яка діяльність, пов'язана з інформацією, що вважається державною таємницею або є частиною національної безпеки, також повинна ліцензуватися.
Слід зазначити, що в діючих нормативних актах в основному розглядаються технічні моменти інформаційної безпеки, а основні аспекти бізнесу ледь зачіпаються.
Нинішній стан інформаційної безпеки в російській організації, на мій погляд, може бути описано наступним чином:
- менеджмент компанії зазвичай недостатньо розуміє і, отже, навряд чи буде розробляти свої власні правила інформаційної безпеки: політики, стратегії, процедури і т.д .;
- відповідальність за постановку і рішення проблем інформаційної безпеки лежить в основному на персоналі ІТ, а керівники компаній в більшості випадків не вважають це за свій обов'язок;
- персонал ІТ при вирішенні задач інформаційної безпеки керується тільки своїм розумінням проблеми і своїм рівнем підготовки;
- в багатьох випадках існує розрив в контролі за інформаційними ресурсами з боку служб ІТ та інформаційної безпеки.
Не можна, однак, не помітити, що за останні два роки ставлення керівників компаній до проблеми інформаційної безпеки істотно змінилося. Багато компаній зараз працюють над цією проблемою або хотіли б знати про інформаційну безпеку більше ».
Важливо, щоб російський уряд усвідомило необхідність в ясному і доступному законодавстві з питань інформаційної безпеки. А поки сьогодні пошук відповідної законодавчої інформації часто нагадує пошук голки в копиці сіна.
У той же час незнання закону, як відомо, не звільняє від відповідальності, і активно сприяти вирішенню даної проблеми могло б створення Web-сайту, що містить всю необхідну інформацію з проблематики інформаційної безпеки і посилання на законодавство з тієї чи іншої проблеми. На таких Web-сайтах найбільш передові компанії могли б розміщувати свої пропозиції щодо вдосконалення діючих нормативних актів, тим самим сприяючи законодавчим органам в підвищенні ефективності їх діяльності.
КомпьютерПресс 3'2002