|
Читайте также: |
Для решения задачи защиты от сетевых атак необходима концепция, определяющая объекты защиты, цели, задачи и основные принципы защиты, а также состав и последовательность работ по предупреждению и выявлению атак и реагированию на них.
Достаточно простым и эффективным подходом к обеспечению защиты внешнего периметра, который хотелось бы порекомендовать, является обращение к публикуемому институтом SANS списку (http://www.sans.org/topten.htm) десяти уязвимостей (Top Ten List), чаще всего подвергающихся атакам. (Данный список содержит описание уязвимостей, которыми более чем в 80% случаев пользуются хакеры, предпринимающие сетевые атаки, и способов их ликвидации.) Большинство хакеров не утруждают себя поиском уникальных уязвимостей конкретных хостов. Вместо этого, располагая небольшим арсеналом средств для осуществления атак, они просто сканируют сети, надеясь найти одну из известных им уязвимостей. Современные сетевые сканеры способны обнаруживать эти уязвимости. Выявление и ликвидация таких уязвимостей может существенно затруднить жизнь современным взломщикам сетей. Им придется прибегать к новым более изощренным способам взлома, пополнять свой арсенал атакующих средств, разрабатывая новые методы и средства. Это значительно сузит круг возможных взломщиков и уменьшит общее количество предпринимаемых ими атак.
В настоящее время список наиболее часто атакуемых уязвимостей расширен и включает порядка 20 уязвимостей (http:/www.sans.org/top20.htm).
Конечно, предложенный подход не отличается полнотой и не в состоянии обеспечить защиту от многих видов сетевых атак. Комплексная концепция защиты сети от внешних атак предполагает проведение следующих мероприятий:
– разработку политики контроля сетевого доступа;
– анализ рисков и уязвимостей, использование положительного опыта и существующих решений по обеспечению безопасности;
– создание инфраструктуры (назначение ответственных, распределение ролей и т.п.);
– проектирование системы защиты, определение требований, предъявляемых к установленным средствам и механизмам защиты;
– выделение ресурсов, ранжирование выбранных контрмер по степени важности и реализация приоритетных;
– проведение аудита и периодического тестирования эффективности принятых контрмер;
– формирование и сопровождение системы выявления атак и реагирования на них.
Приложение 1
Исследование состояния информационной безопасности в мире
Введение
Это первое исследование, посвященное вопросам состояния информационной безопасности (ИБ), предпринятое KPMG (Российский член KPMG International, Швейцарская ассоциация, перевод 2002 г.). Спонсорами исследования выступили компании Check Point, Symantec, RSA и InfoSecurity Magazine.
Исследование проходило в начале 2002 г. Результаты распределены по следующим регионам: Европа, включая Ближний Восток и Африку (ЕМЕА), Азиатско-Тихоокеанский регион и Американский континент. Такое распределение облегчает сравнение на региональном уровне.
В ходе исследования было проведено 641 телефонное интервью с руководящими работниками, отвечающими за информационную безопасность в организациях из основных секторов экономики (см. табл. П1.1).
Таблица П1.1. Число участников исследования
| Респонденты | % |
| Директора службы информационных технологий (ИТ) | |
| ИТ-менеджеры | |
| Сотрудники службы информационной безопасности | |
| Кураторы ИТ (Chief Information Officer - CIO) | |
| Начальники службы информационной безопасности | |
| Директора/начальники операционной службы | |
| Руководители отделов системного сопровождения/администраторы сетей | |
| Другие |
Исследование охватывало крупные организации, объем продаж которых (или аналогичный показатель для организаций государственного сектора) превышаеТ50 млн. долл.
Данные о размере организаций представлены в табл. П1.2 и П1.3.
Таблица П1.2. Количество сотрудников в организации
| Число сотрудников | % |
| <100 | |
| 101-500 | |
| 501-1000 | |
| 1001-5000 | |
| 5001-10000 | |
| 10001-50000 | |
| 50001-100000 | |
| 100001+ |
Таблица П1.3 Оборот организации
| Оборот, млн. долларов | % |
| 50-100 | |
| 101-500 | |
| 501-1000 | |
| 1000-5000 | |
| 5000+ |
Получена представительная выборка организаций из основных коммерческих и государственных секторов, результаты сгруппированы для облегчения сравнения по следующими критериям (табл. П1.4):
– • финансовый сектор;
– • промышленность и торговля;
– • коммуникации и сфера услуг;
– • государственный сектор и инфраструктура.
Таблица П1.4. Области деятельности предприятий
| Финансовый сектор | Промышленность и торговля | Коммуникации и сфера услуг | Государственный сектор и инфраструктура | ||||
| Кредитные организации | 15% | Добывающая промышленность | 2% | Общественное питание и гостиничное хозяйство | 3% | Строительство | 5% |
| Страхование | 7% | Машиностроение | 12% | ИТ | 4% | Коммунальные услуги | 5% |
| Химическая промышленность | 3% | Телекоммуникации | 3% | Транспорт | 8% | ||
| Розничная торговля | 4% | Профессиональные услуги | 10% | Государственный сектор | 7% | ||
| Оптовая торговля | 5% | СМИ | 7% |
Респонденты отвечали на следующий вопрос: с какой наиболее существенной, с их точки зрения, проблемой в области ИБ сталкиваются организации? Полученные ответы перечислены в табл. П1.5.
Таблица П1.5. Ответы респондентов
| Проблемы в области ИБ | % |
| Инциденты с компьютерными вирусами | |
| Атаки со стороны хакеров | |
| Контроль удаленного доступа | |
| Безопасность при работе с Internet | |
| Нарушение конфиденциальности личной информации | |
| Недостаточный уровень обучения пользователей | |
| Безопасность систем электронной коммерции В2В | |
| Мошенничество со стороны сотрудников | |
| Похищение или повреждение данных/информации | |
| Прочее |
Нарушения системы ИБ
Респондентов спросили, пострадали ли в прошлом году от нарушений системы ИБ их организации, и если да, то какой финансовый ущерб они понесли, сколько в результате было потеряно человеко-дней (см. табл. П1.6).
Таблица П1.6. Нарушения системы ИБ
| Виды инцидентов | Число организаций, сообщивших о нарушениях | Доля пострадавших от нарушений, % | Среднее число потерянных дней за год | Средний размер убытков за год, тыс. долл. США | Наибольший зарегистрированный убыток за год, млн. долл. США |
| Инциденты с компьютерными вирусами | |||||
| Хищение оборудования ИТ | |||||
| Проникновение через электронную почту (например, посредством спама) | 0,2 | ||||
| Утрата программного обеспечения | |||||
| Атаки, направленные на сбой систем при обслуживании клиентов | 0,5 | ||||
| Взлом сайта | 0,2 | ||||
| Критичный системный сбой | |||||
| Утрата документов организации (на бумажных носителях) | 0,2 | ||||
| Утрата конфиденциальных данных | 1,5 | ||||
| Подмена исходных данных и результата | 0,1 |
Комментарий KPMG
Доля не зарегистрированных, не оцененных с точки зрения величины принесенного ущерба или неточно оцененных нарушений велика. И это беспокоит, поскольку заставляет предположить, что реальные цифры нарушений и убытков могут быть еще выше (например, в отношении вирусов 19% организаций не знают, сколько было потерянно времени, 42% не представляют себе размеров финансовых потерь). В тех случаях, когда организации не определяют размер издержек, связанных с нарушениями системы ИБ, они также не могут рассчитать, окупают ли себя ранее принятые ими защитные меры.
Профилактика лучше, чем лечение. В среднем прямой ущерб, понесенный каждой организацией, составляет 108 000 долл. Кроме того, существуют косвенные издержки, связанные с простоем и уменьшением производительности персонала, а также с необходимостью совершенствования системы информационной безопасности после конкретного нарушения (что обычно гораздо дороже, чем создание системы ИБ). Если добавить к этому ущерб репутации в результате неполадок в системе ИБ, то общий размер последствий может оказаться огромным. В итоге дешевле и менее болезненно осуществить эффективное инвестирование в предупреждение нарушения, нежели устранять ущерб после происшествия (см. табл. П1.7).
Таблица П1.7. Модель KPMG
Вовлечение высшего руководства
Для постановки правильных целей в области ИБ, способствующих деятельности организации и ее развитию без ущерба, необходимо непосредственное участие ее высшего руководства. Руководство должно обеспечить функцию безопасности надлежащим уровнем инвестирования и ресурсов, а также оценивать ее эффективность.
Респондентам был задан ряд вопросов, ответы на которые позволили составить мнение о степени внимания руководства к проблемам ИБ. Например, о бюджетах службы ИБ, уровне соблюдения требований ИБ и осведомленности о них высшего руководства организаций.
Респондентов спросили, какая часть от общего бюджета ИТ была потрачена на ИБ в прошлом году и увеличится или уменьшится эта доля в следующем году.
В результате удалось установить, что в среднем на безопасность ИТ было израсходовано 2,6 млн. долл., из них около 10,1% бюджета ИТ пришлось на ИБ (на финансовый сектор - 11,6%, на промышленность и торговлю - 8,3%, на коммуникации и сферу услуг - 11,6%, на госсектор и инфраструктуру - 8,7%) - см. табл. П1.8.
Таблица П1.8. Бюджет на ИБ
| % от бюджета ИТ | Потрачено на ИБ, % |
| 1-5 | |
| 5-10 | |
| 10-15 | |
| 15-20 | |
| 20-25 | |
| 25-30 | |
| 30-35 | |
| 35-40 | |
| 40-45 | |
| 45-50 |
На вопрос о том, какие изменения возможны в бюджете в следующем году, 63% респондентов ответили, что он, вероятно, возрастет, а 10% - что уменьшится. Те, кто полагал, что бюджет возрастет, в среднем оценили этот рост в 19%.
Комментарий KPMG
В условиях замедления темпов экономического роста появляется соблазн уменьшить расходы на ИБ в рамках общего сокращения издержек. Однако тот факт, что большинство организаций рассчитывает на увеличение бюджетов на ИБ в следующем году, показывает, насколько за последние несколько лет возросло внимание к управлению информационными рисками. Это отчасти объясняется повышенным интересом к вопросам ИБ в связи с последними террористическими актами, а также значительным повышением требований со стороны регламентирующих органов и деловых партнеров. Обстоятельства подтверждают необходимость и своевременность увеличения затрат на ИБ, так как инциденты, связанные с нарушением ИБ, становятся более частыми и более обременительными в финансовом отношении.
Степень вовлечения высшего руководства
Следующий вопрос респондентам формулировался так: кто и на каком уровне отвечает за информационную безопасность в их организациях?
Оказалось, что почти в половине организаций ответственность за информационную безопасность была определена на уровне Совета директоров. Такое положение характерно в основном для организаций финансового сектора (см. табл. П1.9).
Таблица П1.9. Степень вовлечения руководства
| Направление деятельности организации | Степень вовлечения, % |
| Финансовый сектор | |
| Промышленность и торговля | |
| Коммуникации и сфера услуг | |
| Госсектор и инфраструктура |
В 53% случаев ответственность за поддержание ИБ находится в пределах функции ИТ и возложена на директора/менеджера отдела ИТ или на руководителя отдела системного обеспечения.
В четырех организациях сказали, что за ИБ никто конкретно не отвечает!
Комментарий KPMG
Несмотря на участившиеся случаи упоминания в прессе громких нарушений систем ИБ, многие организации все еще рассматривают информационную безопасность как технический вопрос «битов и байтов», который относится к компетенции специалистов по технологиям. Однако причиной многих типичных нарушений системы ИБ является не технология, а люди. Пользователи небрежно относятся к хранению паролей, забывают корректно настроить параметры безопасности в эксплуатируемых системах. Без понимания высшим руководством важности информационной безопасности последняя будет оставаться техническим вопросом и не получит достаточного обеспечения ресурсами и соответствующего отношения, что необходимо для эффективной минимизации рисков.
Кроме того, определение «узких мест» в информационной защите и последствий нарушения системы ИБ требует координации со стороны высшего руководства, в том числе принятия на себя части ответственности. Поиск виноватого, в свою очередь, приводит к сокрытию проблем до возникновения более серьезных нарушений в системе ИБ, «крайним» за которые становится отдел ИТ.
По степени вовлечения высшего руководства в вопросы ИБ лидирует финансовый сектор, традиционно более серьезно относящийся к данному вопросу, - отчасти из-за предписаний регулирующих органов, отчасти из-за понимания того, что финансовые транзакции нуждаются в большей защите, чем другие типы электронной информации. Однако по мере того, как мир становится все более взаимосвязанным, значительно возрастают риски в отношении всех типов информации и организациям следует уделять внимание ИБ без принуждения к этому со стороны законодательства.
Формальные критерии оценки функционирования системы ИБ
Респондентов спросили, есть ли у них формализованная система оценки эффективности работы системы безопасности.
Выяснилось, что только 35% организаций в настоящее время оценивают эффективность системы безопасности с помощью формализованных критериев.
В финансовом секторе 42% организаций уже пользуются формализованными критериями и еще 17% планируют их вводить, но это очень мало (см. рис. П1.1).
А в вашей организации есть формальные критерии оценки эффективности ИБ?
Рис. П1.1. Организации, использующие критерии эффективности
Комментарий KPMG
Формализованные критерии оценки системы ИБ важны, поскольку позволяют организации отслеживать, насколько успешно работает система ИБ, исходя из конкретных показателей результативности, эффективности и рисков, таких как число нарушений, соблюдение политики в рамках организации, качество работы в зависимости от бюджета и уровни риска. Не имея возможности анализировать эти виды показателей эффективности, нельзя утверждать, что информационные ресурсы компании достаточно защищены. Без четких критериев и ясной отчетности трудно обеспечить надлежащее внимание высшего руководства к вопросам ИБ.
Один участник опроса сказал: «Необходимо, чтобы капиталовложения, которые вы делаете, окупались. Надо обязательно определить количество имевших место нарушений и то, как быстро устранялись их последствия, а также оценить, улучшаются или ухудшаются эти показатели».
Определить оптимальные затраты на ИБ поможет использование формализованных критериев и методик, например сбалансированной карты оценок безопасности.
Американский континент занимает первое место по сбору и оценке параметров эффективности работы систем безопасности (см. рис. П1.2). Возможно, это объясняется тем, что организации в этом регионе традиционно придерживаются формализованного подхода к оценке эффективности менеджмента и применяют этот подход по отношению ко всем сферам управления в организации. Пожалуй, неожиданным является то, что в промышленности и торговле этого региона показатели наихудшие: 60% опрошенных не применяют формализованные критерии. Используют критерии оценки эффективности в финансовом секторе 42%, в сферах коммуникаций и услуг - 43%, в государственном секторе и организациях инфраструктуры - 49% опрошенных.
Рис. П1.2. Использование оценок эффективности ИБ
Комментарий KPMG
Мониторинг позволяет организации идентифицировать проблемные участки, а затем осуществить необходимые усовершенствования, задействовав финансовые ресурсы и персонал.
Изменение эффективности работы системы ИБ
У респондентов спросили, какие критерии в их организациях служат для оценки эффективности систем ИБ.
Было установлено, что среди организаций, применяющих формализованный подход к оценке эффективности работы системы ИБ, приняты критерии, приведенные в табл. ШЛО.
Таблица П1.10. Критерии оценки эффективности системы ИБ
| Критерии оценки | Эффективность, % |
| Корпоративные стандарты контроля собственной разработки | |
| Замечания аудиторов | |
| Стандарты лучшей мировой практики (например, BS 7799/ISO 17799) | |
| Число инцидентов в области безопасности | |
| Финансовые потери в результате инцидентов | |
| Расходы на ИБ | |
| Эффективность в достижении поставленных целей |
Комментарий KPMG
Среди немногих организаций, оценивающих эффективность работы системы безопасности посредством формализованных критериев, почти нет таких, которые обращались бы к комплексной методологии, объединяющей различные подходы. Лишь совсем незначительное число из них работают с экономическими показателями, такими как оценка снижения издержек и повышения эффективности.
Контроль и регистрация инцидентов в области ИБ
Далее респонденты отвечали на вопрос о том, ведется ли формальная регистрация инцидентов, связанных с нарушением ИБ. Полученный результат отражен на рис. П1.3.
Рис. П1.3. Регистрация инцидентов ИБ
Комментарий KPMG
Только 34% респондентов проводят формальную регистрацию инцидентов в области ИБ. Остальные организации не имеют информации о числе инцидентов и, соответственно, не могут судить о величине понесенного ими ущерба. Статистика контроля и регулирования происшествий образует ядро оценки эффективности работы системы ИБ, и на ее основе должны формироваться требования к дальнейшему совершенствованию этой системы. Незнание того, что фактически происходит внутри организации, ведет к неверной расстановке приоритетов и, возможно, к неэффективному расходованию средств.
Меры воздействия на нарушителей ИБ
Респондентов спросили, принимают ли они формальные меры против нарушителей системы безопасности: дисциплинарные наказания собственных сотрудников или судебное преследование внешних нарушителей. В табл. П1.11 показаны результаты опроса.
Таблица П1.11. Процент применения мер против нарушителей системы безопасности
| Меры | Азиатско-Тихоокеанский регион, % | Европа, Ближний Восток и Африка, % | Американский континент, % |
| Против внутренних нарушителей | |||
| Против внешних нарушителей |
Комментарий KPMG
Бездействие в отношении злоумышленников укрепляет их в мысли, что нарушения системы ИБ незначительные и не влекут за собой наказания. Это способствует продолжающемуся увеличению числа людей, пытающихся взламывать корпоративные системы или осуществлять несанкционированный доступ к ним. Они надеются, что вероятность их поимки весьма низка, а наказание будет минимальным или вовсе не последует.
Результаты исследования показывают, что организации принимают меры скорее против собственных сотрудников, нежели против внешних нарушителей. Возможно, это отчасти обусловлено опасением нанести урон репутации организации в результате оглашения факта нарушения системы ИБ - гораздо легче приструнить сотрудника, не слишком привлекая к этому общественное внимание.
Еще одна причина, по которой организации неохотно идут на преследование нарушителей, заключается в трудности их идентификации и сбора доказательств, которые можно было бы предъявить в суде. Зачастую при происшествии приоритетом является не поиск доказательств, а восстановление функционирования систем. К тому же не исключено, что доказательства факта нарушения окажутся уничтоженными.
Программа внедрения ИБ
Программа внедрения ИБ является комплексом мероприятий и видов деятельноc ти, которые обеспечивают реализацию стратегии информационной безопасности Респондентам был задан ряд вопросов, относящихся к квалификации и опыт) сотрудников в области ИБ, а также к организации этих ресурсов и управлении: ими.
Численность персонала службы ИБ
Респондентов спросили, какое количество сотрудников выполняют обязанности связанные с ИБ.
Из полученных ответов следует, что численность персонала, занятого в службе ИБ, приблизительно пропорциональна размеру организации (в расчет принималась общая численность сотрудников и объем продаж в организации) - см табл. П1.12 и П1.13.
Таблица П1.12. Численность персонала в службе ИБ
| Общая численность сотрудников, чел. | Средняя численность штата службы ИБ, чел. |
| <1000 | 4,89 |
| 1001-10000 | 9,38 |
| 10 001-50000 | 20,76 |
| >50000 | 39,21 |
Таблица П1.13. Штат службы ИБ
| Объем продаж, млн. долл. | Средняя численность штата службы ИБ, чел. |
| 50-100 | 5,5 |
| 101-500 | 10,02 |
| >500 | 20,55 |
При этом были выявлены региональные расхождения, которые невозможно объяснить различием в размерах организаций. В европейских организациях в службах ИБ в среднем занято вдвое меньше персонала, чем в азиатско-тихоокеанских и американских. Персонал служб ИБ организаций госсектора и инфраструктурных отраслей составляет 2/3 персонала службы безопасности всех других секторов.
Неожиданным оказалось и то, что в организациях финансового сектора численность персонала ИБ в среднем не намного больше, чем в других секторах.
Комментарий KPMG
Численность персонала в службах ИБ выступает показателем того, какое значение организация придает вопросам безопасности. Эта численность должна определяться исходя из задач, поставленных перед службой ИБ. А масштаб задач зависит от размера организации, от наличия или отсутствия крупных изменений в системах ИТ и в деятельности организации и от степени интенсивности развития самой системы безопасности.
Квалификация персонала службы ИБ
Респондентам было предложено перечислить, какие квалификационные удостоверения (сертификаты) в области ИБ они имеют.
Оказалось, что 73% сотрудников вообще не имеют никаких формальных сертификатов, подтверждающих их квалификацию в вопросах обеспечения информационной безопасности.
Комментарий KPMG
Самое большое число сотрудников службы ИБ, имеющих удостоверение «Сертифицированный специалист по безопасности информационных систем» (CISSP), отмечено на Американском континенте. Этот сертификат стал выдаваться раньше всего в США, где он был изначально разработан. Такая сертификация постепенно получает распространение в Азиатско-Тихоокеанском регионе и Европе. В целом установлено, что среди ответственных за информационную безопасность лишь немногие имеют соответствующее квалификационное удостоверение (см. табл. П1.14).
Таблица П1.14. Сертификация службы ИБ
| Квалификационное удостоверение | В среднем, % | Азиатско-Тихоокеанский регион, % | Европа, Ближний Восток и Африка, % | Американский континент, % |
| CISSP | ||||
| Университетский диплом по специальности «Информационная безопасность» | ||||
| Сертификация производителя или поставщика средств защиты | ||||
| Прочие документы |
Респондентов попросили указать, сколько лет работают в области ИБ те, кто за нее отвечает.
Результаты приведены в табл. П1.15.
Таблица П1.15. Стаж работы в области ИБ
| Регион | Год или меньше | 2-5 лет | 6-10 лет | >10 лет |
| Азиатско-Тихоокеанский регион, % | ||||
| Европа, Ближний Восток и Африка, % | ||||
| Американский континент, % |
Комментарий KPMG
Формальная сертификация углубляет и расширяет знания, но их нужно применять на практике, подкрепляя опытом работы. Большинство руководящих сотрудников по ИБ не имеет ни длительного опыта, ни соответствующих сертификаций или квалификаций. Возможно, это объясняется сравнительной молодостью профессии как таковой и связанным с этим дефицитом опытных специалистов, которые могли бы занять руководящие должности.
Независимость службы информационной безопасности от ИТ
Затем респонденты отвечали, является ли служба ИБ выделенной структурой в организации, управляемой независимо от службы ИТ (см. рис. П1.4).
Выяснилось, что в финансовом секторе больше организаций, в которых эти две службы управляются раздельно: 45% против 29% в промышленности и торговле.
Большинство организаций в Азиатско-Тихоокеанском регионе рассматривают безопасность информации как функции ИТ, причем 77% осуществляют совместное управление ИБ и безопасностью ИТ (в Европе, на Ближнем Востоке и в Африке таких организаций 59%, на Американском континенте - 55%).
Комментарий KPMG
Целенаправленные усилия компаний в деле дальнейшего повышения эффективности ИТ должны привести к разумным затратам на информационную безопасность.
Политика в области ИБ
Политики ИБ, соответствующие стандарты и правила безопасности определяют перечень целей и требований ИБ, которые необходимо довести до сотрудников.
Рис. П1.4. Место службы ИБ в организации
Был задан ряд вопросов, относящихся к сфере и границам применения политик, стандартов и правил.
Респондентов спросили, утверждена ли политика ИБ Советом директоров.
Было установлено (см. рис. П1.5), что в большинстве организаций в Европе, на Ближнем Востоке и в Африке политика утверждена или находится в процессе утверждения на этом уровне, а в большинстве организаций Азиатско-Тихоокеанского региона - нет. Кроме того, оказалось, что более чем в половине организаций
Дата добавления: 2015-09-02; просмотров: 39 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Пример использования Symantec IDS | | | Тенденции развития 2 страница |