СообЧа > Безопасность > Создание отдела информационной безопасности, или строим забор своими руками

 

Создание отдела информационной безопасности, или строим забор своими руками

Безмалый В.Ф.
www.zahist.narod.ru
Безмалая Елена
http://bezmalaya.narod.ru

Вы можете нанять тысячу специалистов в области информационной безопасности и не добиться результата, если ваши сотрудники не осознают ее необходимость. Нужно, чтобы ваши специалисты в области информационных технологий понимали необходимость введения мер безопасности. Без этого понимания ни одна из указанных в статье рекомендаций вам не поможет.

Приведем некоторые примеры, произошедшие в 2005 году:

  • ·Financial Times сообщила об аресте французской полицией Ли Ли, 22-летней китайской студентки, по обвинению в промышленном шпионаже во время работы в компании Valeo, известном производителе автомобильного оборудования. В ее квартире были обнаружены три компьютера и два жестких диска, на которых содержалась информация о продуктах Valeo. Обвинение утверждает, что среди этих данных есть конфиденциальные сведения о новых проектах Valeo, которые еще не успели выйти на рынок.
  • ·CNNMoney, отделение компании Time Warner, сообщило, что медиа-конгломерат Time Warner "потерял" резервный ленточный носитель, содержащий конфиденциальную информацию о 600 тыс. сотрудников компании. События развивались по уже известному сценарию. Компания-подрядчик, уже несколько лет отвечающая за транспортировку и хранение резервных носителей Time Warner, потеряла ленточный носитель где-то по пути к хранилищу. На утерянной пленке находились приватные сведения о бывших и нынешних сотрудниках медиа-конгломерата; данных о клиентах компании там не было. Следует также отметить, что хотя информация на ленточном носителе находилась в сжатом виде, все-таки данные не были зашифрованы.
  • ·Сотрудники Bank of America потеряли "небольшое" число магнитных носителей, содержащих подробную финансовую информацию о правительственных служащих и созданных с целью резервного копирования. Магнитные носители исчезли во время транспортировки в центр хранения резервных записей. Потерянные данные представляют собой сведения о клиентах и счетах правительственной программы SmartPay. В программе участвует 2,1 млн. человек, а общий объем транзакций за год превышает 21 млрд. долларов. Пропавшие магнитные носители содержали финансовую информацию об 1,2 млн. клиентов. Другими словами, данные о более чем половине всех участников программы могут стать достоянием гласности или быть использованы в корыстных целях, а счета этих клиентов могут быть скомпрометированы.
  • ·Cотрудники call-центра в городе Пьюн (Pune), Индия, были арестованы за электронную кражу 350 тыс. долларов со счетов американских клиентов Citibank.

  В небольших фирмах, а зачастую и в больших, работу по поддержанию информационной безопасности пытаются возложить на ИТ - специалистов (администраторов компьютерных сетей). Это в корне неправильно. Если эту работу ведет системный администратор, то кто контролирует администратора? Как быть, если ворует сам администратор? Или еще хуже - взяли его молодого, зеленого, и бултых в лужу.

  Выплывет - выплывет, а не выплывет - другого возьмем. Все дело в том, что на системном администраторе и так лежит много обязанностей и добавлять ему еще и работу по безопасности - значит сознательно идти на невыполнение части порученных ему работ. Именно поэтому и создаются отделы информационной безопасности. В данной статье мы постараемся рассмотреть два важных вопроса:

1. Обоснование необходимости создания отдела информационной безопасности.
2. Подбор персонала для обеспечения безопасности.

Обоснование необходимости создания отдела информационной безопасности

Зачем надо защищаться?

  Ответов на этот вопрос может быть великое множество. Все зависит от профиля компании. Для одних главной задачей является предотвращение утечки информации к конкурентам. Другие считаю необходимым уделять внимание целостности информации. Если для банка необходимо обеспечить достоверность платежных поручений, чтобы злоумышленник не мог внести изменения в платежное поручение, то для других компаний первоочередной является задача безотказной работы информационных систем (например, для провайдеров Интернет).

  Основная причина, по которой тормозится обеспечение информационной безопасности - это недостаток понимания со стороны руководства ввиду непонимания вопроса. Хорошо, если руководитель является специалистом в области информационных технологий. А если нет? Необходимо обеспечить соответствие между различными системами информационной защиты и их аналогами из мира физической защиты. Это обусловлено тем, что мир физической безопасности интуитивно понятен любому человеку, в том числе и руководителям фирмы. Дело в том, что специалисты по информационной безопасности и руководство компании, как правило, говорят на разных языках. Первые оперируют техническими понятиями, вторые - экономическими.

  Как правило, если речь заходит о средствах защиты информации, все сразу вспоминают межсетевые экраны и антивирусные программы. Но это не панацея. Какую бы хорошую программу Вы не купили, все равно потребуется человек, который будет ее обслуживать. Нет ничего хуже, чем великолепное антивирусное программное обеспечение, которое содержит старые антивирусные базы. Ведь руководство уверено, что антивирусная защита существует, но ввиду быстрого его устаревания, его ценность равна нулю. То же касается и межсетевых экранов. Каждое программное обеспечение, относящееся к защите, нуждается в поддержке. Не трудно посчитать, что содержание отдела защиты информации из трех человек обойдется компании намного дешевле возможных убытков.
Следует смириться с тем, что данный отдел никогда не будет приносить явную прибыль, однако его назначение - уменьшить возможные убытки.

  По сравнению с физической безопасностью - компьютерная безопасность ориентирована на киберпространство, где все должно быть определено только при помощи нулей и единиц. Это приводит к непониманию со стороны руководства в необходимости применения адекватных мер защиты. Чтобы обосновать приобретение средств защиты, необходимо показать их назначение простым и понятным языком.

  Итак, Вы смогли объяснить руководству необходимость применения средств защиты. Что выбирать? Универсальных рецептов здесь не существует, можно привести только общие рекомендации. Для более полного расчета стоимости ущерба следует обратиться к [1].

Угрозы утечки конфиденциальной информации

  Миграция специалистов, особенно имевших дело с конфиденциальной информацией, - основной и трудно контролируемый канал утечки информации. По опыту зарубежных стран и после увольнения сотрудника (по крайней мере в течение года) внимание к его дальнейшей деятельности не должно ослабевать [3].

  Вторым по значимости каналом утечки конфиденциальной информации являются всевозможные публикации в печати, депонированные рукописи, монографии, отчеты. Не следует упускать из виду также устные доклады и выступления сотрудников.

  Особым каналом утраты интеллектуальной собственности, или, по крайней мере, ее коммерческой ценности являются совместные работы с другими фирмами, контакты с клиентами и инвесторами, где особое место занимают переговоры.

  Угрозы сохранности коммерческой тайны могут быть внешними и внутренними. Внешние угрозы возникают вследствие непосредственной деятельности недобросовестных конкурентов, преступных элементов, из-за неумелой постановки взаимоотношений фирмы с представителями государственных структур, общественных организаций, средств массовой информации, а внутренние - инициируются персоналом предприятия.

  Действия извне могут быть направлены на пассивные носители информации и выражаться, например, в следующем:

  • попытки похищения документов или снятия копий с документов, дискет;
  • снятие информации, возникающей в тракте передачи в процессе коммуникаций;
  • уничтожение информации или повреждение ее носителей;
  • случайное или преднамеренное доведение до сведения конкурентов документов или материалов, содержащих вашу коммерческую тайну.

  Внутренние угрозы представляют наибольшую опасность для вновь сформированных и не устоявшихся коллективов, где не успели сложиться традиции поддержания высокой репутации предприятия, однако внимание своевременному вскрытию этих угроз должно уделяться повсеместно.

  По оценкам психологов, до 25 % всех служащих фирм, стремясь зарабатывать средства любыми способами и любой ценой зачастую в ущерб интересам своей фирмы, ожидают удобного случая для разглашения коммерческих секретов, их продажи.

Режим конфиденциальности

  Обеспечение сохранения конфиденциальной коммерческой информации требует соблюдения следующих условий:

  • определение (выявление) сведений, составляющих коммерческую тайну предприятия;
  • разработка порядка их охраны;
  • обеспечение соблюдения этого порядка;
  • организационно-юридическая защита коммерческой тайны реализуется путем установления на предприятии режима конфиденциальности.

  Основанием для возникновения конфиденциальных отношений между сотрудником предприятия и самим предприятием, представленным в лице его руководства, является трудовой договор или контракт. Такие отношения называются отношениями по контракту.

  В систематизированном виде названные выше рекомендации излагаются в "Инструкции для персонала предприятий". В случае нарушения взятых на себя обязательств сотрудник предприятия может быть подвергнут административному взысканию, вплоть до увольнения. Положение о том, что разглашение работником коммерческой тайны предприятия или нарушение установленного порядка ее защиты является основанием для увольнения работника как утратившего доверие предпринимателя целесообразно подчеркнуть в трудовом контракте.

  Важно особо подчеркнуть, что существенным элементом экономической безопасности является юридически грамотное оформление отношений как между предприятиями, так и между предприятием (предпринимателем) и его работниками, отражающее взаимные права, обязанности и ответственность.

Первоочередные действия по созданию правовых основ защиты информации внутри предприятия

  Создавая технические и организационные системы защиты информации, необходимо помнить, что без создания правовых основ вашей деятельности в области защиты конфиденциальной информации они окажутся неэффективными. Необходимо иметь в качестве помощника опытного юриста.

  Так как всякая деятельность любого предприятия должна быть юридически оформлена, одной из первоочередных задач по защите коммерческой тайны предприятия является разработка соответствующих нормативных документов, регламентирующих деятельность всех звеньев предприятия в этом направлении. И прежде всего необходимо зарегистрировать право на коммерческую тайну в Уставе предприятия.

  Примерное содержание такого дополнения в Устав может быть следующим:
1. "Предприятие определяет состав, объем и порядок защиты сведений, составляющих коммерческую тайну и имеет право требовать от сотрудников соблюдения установленных правил ее сохранности. Предприятие и его сотрудники обязаны обеспечить сохранность коммерческой тайны, а также информации, охраняемой патентным, лицензионным и авторскими правами".
2. Необходимо разработать "Перечень сведений, составляющих коммерческую тайну предприятия и основные требования к сотрудникам по ее защите", а также "Перечень сведений, которые не должны разглашаться посторонним лицам в целях личной безопасности сотрудников фирмы".

  Оба эти документа необходимо официальным приказом или распоряжением под расписку довести до сотрудников фирмы.

  Следующим необходимым документом является "Договор-обязательство о сохранении коммерческой тайны и другой служебной информации", который необходимо подготовить и предложить подписать каждому сотруднику. Это может быть как отдельный документ, так и специальный раздел в контракте о найме на работу. Зарубежная практика предусматривает после подписания вручение второго экземпляра договору сотруднику фирмы [3].

  Вместе с тем следует учитывать, что использование договоров о неразглашении коммерческой тайны - вовсе не самостоятельная мера по ее защите.

  Весьма принципиальным представляется также отражение вопросов защиты коммерческой тайны в контракте, заключаемом с руководителем фирмы при его найме, назначении или избрании на должность.

  Поэтому в контракте руководителя предприятия целесообразно отразить следующее:
1. Необходимо обязать его строго хранить коммерческую тайну предприятия и не использовать ее для занятия любой деятельностью в ущерб предприятию;
2. Следует подчеркнуть, что руководитель предприятия несет персональную ответственность за создание необходимых условий для обеспечения сохранности коммерческой тайны предприятия;
3. Как и члены трудового коллектива, руководитель предприятия должен быть предупрежден, что нарушение им требований в части организации защиты коммерческой тайны и порядка ее защиты может повлечь расторжение контракта, а также уголовную, административную, гражданско-правовую и иную ответственность в соответствии с действующим законодательством.

  Наличие вышеперечисленных документов даст возможность говорить о наличии на предприятии юридически закрепленного порядка защиты коммерческой информации.

Подбор персонала для обеспечения информационной безопасности

  Существует два пути создания отдела информационной безопасности. Первый - создание отдела информационной безопасности за счет подготовки, реорганизации и перераспределения ИТ - специалистов. Так для отражения вирусной атаки можно привлечь собственных программистов, но в этом случае их основная работа окажется невыполненной. И неизвестно, что обойдется дешевле, взять новый отдел или дергать своих сотрудников. "Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак". (Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America) [2].

  Фактически, нельзя оценить урон, который может быть нанесен в результате хакерских атак. Многие, и авторы этой статьи в их числе, считают, что нельзя отвлекать ИТ - персонал от решения его задач для решения задач безопасности, потому что решение бизнес задач поставит задачи обеспечения безопасности на дальний план. Ведь основное в компании - получать прибыль, а не безопасность ради безопасности.

  Поиск талантливых профессионалов по безопасности может быть весьма трудным, а переподготовка имеющихся кадров в области информационных технологий, новичков в области безопасности, весьма долгой и дорогостоящей. Возможен еще один вариант - привлечение внешних компаний для решения проблем безопасности. Но в этом случае вы должны будете избрать ту компанию, которой вам придется доверить все свои секреты.

  Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом на таких специалистов и предложением очень велик.

  Какие же можно дать рекомендации?
1. Вам самим нужно понять для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают.
2. Будьте готовы, что квалифицированная помощь стоит дорого.
3. Индустрия безопасности - очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии. Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.
4. Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.

  Итак, вы получили специалистов. Что делать дальше?

  После того, как вы нашли хороших работников, вы должны их удержать. Инструменты, признание и высокий уровень оплаты - вот основные факторы успеха

Инструменты

  Использование передовых инструментов, самых новых технологий позволит им чувствовать себя уверенно. Среди самых желанных "игрушек" для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов).

Эффективная мотивация

  Для привлечения кандидатов в качестве дополнительных стимулов предложите оплату переподготовки, сертификации и участия в конференциях. Специалисты по безопасности "расцветают" от признания заслуг и, наоборот, потерять интерес к работе, если они не чувствуют поддержку руководства. Это важно учитывать в вопросах мотивации всех работников компании, работающих, но в случае с отделом Ит-безопасности и подавно : ведь эти людям Вы доверяете бдить "секрет фирмы". Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ- безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности).

Бюджет на ИТ-безопасность

  Следует помнить о разумном подходе при формировании бюджета на ИТ- безопасность. Если "секрет фирмы" стоит 10 тысяч долларов, то неразумно покупать систему безопасности за 100 тысяч.

Основной инструмент признания - высокая оплата труда

  Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне.
Если вы по тем или иным причинам не желаете или не можете искать специалистов на стороне - обратите внимание на собственный персонал. Наиболее подходящие кандидаты - сетевые администраторы. Они обладают хорошими техническими знаниями и некоторыми познаниями в области безопасности. Подумайте о возможной переподготовке. Учтите, что кандидаты для переподготовки должны быть добровольцами. Нельзя заставить заниматься безопасностью из-под палки. При отборе кандидатов обращайте внимание на наличие навыков межличностного общения. Основное в работе сотрудника информационной безопасности - умение общаться с людьми. Когда вы определите круг кандидатов, обучите их, они должны получить подготовку по общим вопросам безопасности, а затем по более узким. Существует несколько способов подготовки.

Предложите сертификационные курсы

  Несмотря на то, что большинство экспертов в области информационной безопасности считают, что сертификация не столь необходима как навыки и опыт, наличие сертификата по окончании курсов поднимает престиж курсов в глазах обучаемых и заставляет их относиться серьезнее к процессу обучения.

Постарайтесь, чтобы поставщики проводили обучение

  Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Но такие курсы стоят очень дорого.

Будьте в курсе событий

  Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов как www.bezpeka.com (Украина), www.securitylab.ru (Россия), www.bugtraq.ru (Россия), www.citforum.ru (Россия), http://www.security.ukrnet.net (Украина), http://uks.dol.ru (Россия), www.dstszi.gov.ua (Украина, сайт ДСТСЗИ СБУ) и многие-многие другие.

Узнайте больше

1. А. В. Лукацкий "Информационная безопасность, как обосновать" (www.infosec.ru/press/pub/p61.htm)
2. Журнал "Директор ИС" №12 2002 г. (www.osp.ru)
3. Практика защиты коммерческой тайны в США / СП "Крокус-Интернациональ". - М., 1990.

 



Рейтинг@Mail.ru Rambler's Top100 Яндекс цитирования

Спасибо, что посетили наш сайт.
Copyright © 2000-2008 Сообщество Чайников
Контактная информация  О проекте