Олег Кузьмин, директор департамента информационной безопасности ЗАО "Ай-Теко"   Использование руководством службы безопасности (СБ) предприятия общепринятых взглядов и подходов к информационной безопасности (ИБ) очень часто приводит к распространенным ошибкам, которые, к сожалению, могут сыграть на практике роковую роль в защите ценной конфиденциальной информации и информации, составляющей коммерческую тайну предприятия (КТ). Так, практика сегодняшнего дня показывает, что даже высококлассные профессионалы, работающие в отделах ИБ, не в состоянии предотвратить утечку конфиденциальной информации в связи с незнанием основ организации механизма ее защиты.

 

Предположим, что руководство компании осознало необходимость защиты конфиденциальной информации и сделало для этого первые шаги. Как правило, большим разнообразием такие шаги в разных компаниях не отличаются: создается отдел ИБ, составляется перечень конфиденциальных документов, издается соответствующий приказ генерального директора, от сотрудников берутся подписки о неразглашении. Вот, пожалуй, и все. Однако перечень конфиденциальных документов (как, впрочем, и перечень сведений, составляющих КТ предприятия) - документ весьма условный. Он лишь определяет, сведения какого характера должны подлежать защите, не называя в большинстве случаев конкретные документы с их учетными номерами. Отсутствие профессионального подхода к определению сведений, подлежащих защите; к организации их строгого учета, хранения, выдачи во временное пользование; к проведению действенного контроля за порядком обращения с ними, передачей партнерам, наконец, даже гарантированным их уничтожением, сводит на нет практически все усилия технических специалистов отдела ИБ по защите конфиденциальной информации. Перечисленные выше задачи по организации работы со сведениями конфиденциального характера и сведениями КТ, ведению закрытого делопроизводства возлагаются, как правило, на сотрудников общих отделов, отделов кадров и т.п., не имеющих не только соответствующей профессиональной подготовки, но даже понимания самого процесса работы с важными сведениями. Никакие системы защиты информации, программно-аппаратные сетевые устройства, а также инструкции пользователям и администраторам не помогут защитить то, что в реальности четко не определено и не подлежит контролю.

 

Это справедливо даже если предположить, что шифруется весь трафик внутри корпоративной сети и трафик, уходящий за ее пределы. Информация, как мы знаем, может быть представлена на различных носителях, и покидать пределы предприятия или организации она может не только в электронном виде.

Предположим, что сведения, подлежащие защите, были все же грамотно определены (на практике это встречается довольно редко). Тогда перед отделом ИБ ставится задача защитить их. Однако при этом многие сотрудники отдела ИБ не задумываются, что сведения, ставшие конфиденциальными после утверждения их перечня, могли быть ранее распространены в корпоративной сети и храниться не только у пользователей, которые стали считаться допущенными к работе с конфиденциальными сведениями. В этот момент даже не столь важно то, как они были распространены в сети, а то, что про их распространенность забыли. Может про них не знать и сам пользователь, на компьютере которого они хранятся, поскольку в недавнем времени на этом рабочем месте мог работать другой сотрудник, а сам компьютер мог быть передан и вовсе из другого отдела.

Таким образом, проводя инвентаризацию программного обеспечения (ПО), сотрудники отдела И Б часто забывают провести инвентаризацию информации, доступной пользователям на своих рабочих местах. В лучшем случае производится категорирование информации, обрабатываемой и хранящейся на различных серверах корпоративной сети, но это лишь малая часть работы по выявлению мест хранения конфиденциальной информации. Как правило, сотрудники отдела ИБ забывают и о том, что защищаемая теперь информация могла быть ранее сохранена пользователями на многочисленные энергонезависимые съемные носители, которые зачастую валяются в рабочих кабинетах и помещениях где и как попало...

 

Отдел И Б нередко к разработке организационно-распорядительных документов по вопросам безопасности информации подходит далеко не творчески. В готовые шаблоны просто подставляется необходимая информация, взятая из штатного расписания предприятия. В результате получается "бумажный монстр", который в реальности не приносит никакой пользы. При этом забывают, что шаблоны задают лишь общее направление действия документов, не учитывают специфику каждого конкретного предприятия или организации. Кроме того, документы, созданные по шаблону, не могут работать сами по себе без привязки к должностным обязанностям; сотрудники отдела ИБ на самом деле лишь добавляют себе головной боли на ближайшее будущее, определенное временем появления какого-либо инцидента с информацией.

 

Еще более усложняет ситуацию несогласованность документов, определяющих порядок работы с конфиденциальными сведениями, с организационно-распорядительными документами по вопросам безопасности информации. Кроме того, подобные "шедевры" не способствуют созданию положительного имиджа отдела ИБ среди других сотрудников предприятия или организации.

 

Многие руководители отделов ИБ, защищая корпоративную сеть предприятия, зачастую считают необходимым лишь выполнить то, что стоит у них в плане инвестиций, и переключиться на следующую задачу. Например, защищая периметр сети, обычно озадачиваются лишь выбором межсетевых экранов и схемой их установки. Далее экраны приобретаются (как правило, за счет бюджета отдела И Б) в стандартной комплектации. Предусматривается режим их работы, производятся конфигурирование и настройки (обычно они остаются выполненными по умолчанию). Акт сдачи-приема работ подписан, МСЭ работают, сеть защищена - все, можно переключаться на следующую задачу.

 

Что дальше? Часто наблюдается следующая картина: администратор в отделе ИБ, отвечающий за настройки экранов, не назначается, а сами экраны, установленные в центре обработки данных (ЦОД), никому на хранение не передаются, при этом пароль к консоли экрана известен всем сотрудникам, работающим в ЦОД. Такой подход к решению вопроса защиты сети приводит к тому, что буквально через 2 месяца межсетевые экраны будут защищать корпоративную сеть лишь на 30-40% от своих реальных возможностей, поскольку все, что можно выключить в их настройках, будет выключено с благой целью увеличения пропускной способности сети.

Можно даже не говорить о системах анализа содержимого, предназначенных для блокирования каналов утечки конфиденциальной информации под видом Веб-трафика, или системах анализа почтового трафика. И если их администрированием не занимается сотрудник отдела ИБ, то они просто со временем будут выключены, чтобы не мешали, а трафик в каждом случае будет перенаправлен через обычные функциональные серверы.

 

Еще одна ошибка - отсутствие взаимопонимания между сотрудниками отдела ИБ и сотрудниками отдела ИТ.

Зачастую на предприятии можно встретить не только картину противостояния этих двух отделов, но и откровенно враждебные настроения их сотрудников по отношению друг к другу. Попытки свалить друг на друга максимально возможную ответственность, оставляя за собой лишь функции контроля, приводят в итоге не только к непониманию роли совместного выполнения задач по сохранению конфиденциальной информации и информации, составляющей КТ, но и к созданию серьезных предпосылок к утрате конфиденциальной информации.

Опубликовано: Журнал "Information Security/ Информационная безопасность" №4-2007