RSS
Обеспечение непрерывности обеспечения it безопасности
Одновременное обеспечение непрерывности бизнес-процессов и информационной безопасности в финансовой организации - задача далеко не простая. Тем не менее для ее решения достаточно следовать нескольким достаточно простым принципам, которые подойдут для любой финансовой организации.
В настоящее время, к сожалению, не все руководители финансовых организаций осознают в полной мере актуальность проблемы, которая заключается в нахождении компромисса между защищенностью организации и влиянием защиты на внутриорганизационные бизнес-процессы. Однако важность ее решения трудно переоценить. С одной стороны, в случае если приоритет отдается удобству ведения бизнеса, могут произойти нежелательные инциденты, которые будут иметь для этого бизнеса весьма плачевные последствия, с другой - нельзя и чрезмерно увлекаться безопасностью, поскольку все-таки она реализуется для нужд бизнеса, а не наоборот.
Все угрозы в сфере информационной безопасности для организации можно подразделить на две категории: внутренние и внешние. Внешние исходят извне организации, например от тех, кто пытается перехватить ее электронную почтовую корреспонденцию. Именно внешние угрозы, как правило, являются приоритетом в плане защиты для большинства организаций в мире. Но, как правило, защита от них, расположенная, условно говоря, на внешнем периметре организации, мало затрагивает ее внутренние бизнес-процессы, и поэтому вряд ли следует всерьез рассматривать пути минимизации таких рисков, как остановка бизнес-процессов, средствами защиты организации от внешних угроз.
Однако есть и другая категория угроз - это те, которые исходят от самих сотрудников организации. Главная из них - это, конечно, угроза утечек информации за пределы организации. Утечки могут быть как следствием стечения обстоятельств или халатности персонала, так и результатом целенаправленных действий имеющих доступ к конфиденциальной информации сотрудников-инсайдеров. Защитой от них многие организации почему-то пренебрегают, хотя инсайдер может принести намного больше вреда, чем, например, хакер, взломавший корпоративный сайт. Давно известно, что в 6 случаях из 10 для банкротства организации достаточно утечки всего лишь 20% ее коммерческих секретов.
Сегодня наиболее заметно влияющей на непрерывность бизнеса является защита от внутренних угроз. Для предотвращения утечек информации недостаточно контроля только на "входе-выходе" информации в организации и требуется контроль внутренних информационных потоков, поэтому это может повлиять и на внутренние бизнес-процессы.
Технические аспекты
В последние годы для защиты от утечек информации в организациях используются специальные системы, называемые DLP-системами (от англ. Data Leak Prevention - предотвращение утечек данных). Под DLP-системой понимают программный комплекс, который позволяет анализировать потоки данных, "пересекающие" периметр защищаемой информационной системы, и предотвращать утечки конфиденциальных сведений из нее.
Существует много различных типов DLP-систем, однако с точки зрения обеспечения непрерывности бизнес-процессов наиболее интересна типология, основанная на поведении системы при распознавании конфиденциальных данных в перехваченном ею трафике. По данному критерию все DLP-системы можно подразделить на два больших класса: системы с активным контролем трафика, или блокирующие, и системы с пассивным контролем трафика, или неблокирующие. Как видно из названий этих классов DLP-систем, отличаются они тем, что первые при обнаружении закрытых данных могут блокировать их дальнейшее движение, в то время как вторые такой возможностью не обладают.
Ряд экспертов сегодня ставят под сомнение целесообразность отнесения систем с пассивным контролем трафика к DLP-решениям по причине отсутствия возможности предотвращения утечки, которая заложена в названии DLP. Однако практика показывает, что неблокирующие системы являются эффективным средством борьбы с систематическими утечками, которые вызваны злым умыслом виновного в них сотрудника или просто отсутствием у него даже базовых знаний в области информационной безопасности. Системы с активным контролем эффективны также в борьбе со случайными утечками информации, однако именно такие системы представляют собой наибольшую угрозу для внутрикорпоративных бизнес-процессов, которые могут быть остановлены по причине блокировки информации. К сожалению, современные технологии и методики разработки программного обеспечения не позволяют получать абсолютно надежные программные продукты, и в работе современных DLP-систем всегда присутствует определенный процент ложно распознанных утечек. Усугубляется это внутренней сложностью DLP-системы, в которой используются разнообразные алгоритмы поиска для обнаружения в перехваченном трафике конфиденциальных данных. Сложность является одним из тех факторов, которые способствуют повышению возможности некорректного срабатывания блокировки и связанного с ней риска остановки бизнес-процессов.
Цена защиты
Защита имеет свою цену, которая должна быть ниже цены утечки информации, только в таком случае защита будет являться целесообразной. Однако в понятие цены защиты необходимо включать не только стоимость DLP-системы, но и возможные убытки из-за каждой остановки бизнес-процесса. Оценка стоимости таких убытков и сопоставление получившейся суммы с суммой убытков от возможных утечек информации и должны стать основным критерием, по которому финансовая организация должна делать выбор между блокирующей и неблокирующей DLP-системами.
В случае если в организации имеются документы (хотя бы один), случайная утечка которых способна поставить под угрозу весь бизнес, то необходимо приобретать блокирующую DLP-систему и вводить соответствующие "драконовские" меры безопасности. Однако, как показывает практика, информация, обычно интересующая инсайдеров, в финансовых организациях является очень динамичной, т.е. устаревает уже через несколько дней или даже часов после ее "слива", поэтому случайные утечки не представляют собой серьезной угрозы для деятельности организации в отличие от утечек систематического характера. Как уже говорилось выше, с ними вполне справляются и системы с пассивным контролем трафика, которые позволяют выявлять инсайдеров, передающих закрытые корпоративные документы третьим лицам.
Для оценки стоимости защиты организации с помощью блокирующей DLP-системы следует протестировать систему непосредственно в самой организации, чтобы получить представление о том, насколько высока вероятность ложного распознавания информации как конфиденциальной и блокировки внутренних бизнес-процессов вследствие этого. Безусловно, такое тестирование будет достаточно трудоемким, однако современные средства виртуализации, такие, например, как VMWare, позволяют реализовывать тестовые задачи без вовлечения в процесс тестирования реальных рабочих станций, экономя таким образом время как проводящих тестирования специалистов, так и всех остальных.
Важно отметить, что задача осложняется из-за отсутствия бесплатных испытательных версий у многих поставщиков DLP-решений с активным контролем трафика. Данные решения требуют длительного и дорогостоящего внедрения с привлечением специалистов компании - производителя DLP-системы, в то время как решения с пассивным контролем трафика часто предлагаются в виде бесплатных пробных версий и могут быть установлены специалистами организации либо дистанционно. Стоимость внедрения и связанные с ней сложности также нужно включить в стоимость владения DLP-системой для организации. Нельзя также забывать о том, что процесс внедрения будет отчасти мешать отдельным сотрудникам выполнять свои рабочие обязанности и может служить причиной временной остановки бизнес-процессов.
Необходимо помнить и о проблемах совместимости DLP-системы с другими приложениями корпоративного уровня, которые уже присутствуют в ИТ-инфраструктуре организации на момент внедрения системы защиты от утечек данных. Данные проблемы тоже могут вызвать некорректную работу блокирующей DLP-системы, что в свою очередь может стать причиной остановки бизнес-процессов. К сожалению, выявить подобные проблемы без тестирования в "полевых" условиях фактически невозможно, поскольку смоделировать особенности корпоративной среды организации, определяемые спектром установленного в ней корпоративного программного обеспечения, чрезвычайно сложно даже с помощью средств виртуализации.
Безусловно, в некотором роде гибкость DLP-системы, безопасной для организации с точки зрения остановки бизнес-процессов, тоже способствует увеличению затрат на защиту, так как для мониторинга и анализа трафика потребуется больше специалистов по информационной безопасности, чтобы обеспечить оперативное реагирование на инциденты, связанные с нарушениями корпоративных политик информационной безопасности. Впрочем, если сравнить стоимость остановки бизнес-процесса со среднемесячным окладом специалиста по информационной безопасности, становится понятным, что для подавляющего большинства финансовых организаций использование DLP-системы с пассивным контролем трафика все равно остается наиболее привлекательным вариантом.
Заключение
Подводя итоги, хочется еще раз отметить, что ключевую роль в нахождении компромисса между непрерывностью бизнес-процессов и обеспечением информационной безопасности в финансовых организациях играет выбор DLP-системы, которая будет внедрена в данной организации. При этом необходимо учитывать как принцип ее работы, так и практические возможности ее интеграции в существующую ИТ-инфраструктуру. И хотя учесть все нюансы действительно сложно, важно проявить максимальную внимательность при изучении DLP-системы перед ее внедрением на соответствие требованию обеспечения непрерывности бизнес-процессов.
Р.Идов
Компания SearchInform
В настоящее время, к сожалению, не все руководители финансовых организаций осознают в полной мере актуальность проблемы, которая заключается в нахождении компромисса между защищенностью организации и влиянием защиты на внутриорганизационные бизнес-процессы. Однако важность ее решения трудно переоценить. С одной стороны, в случае если приоритет отдается удобству ведения бизнеса, могут произойти нежелательные инциденты, которые будут иметь для этого бизнеса весьма плачевные последствия, с другой - нельзя и чрезмерно увлекаться безопасностью, поскольку все-таки она реализуется для нужд бизнеса, а не наоборот.
Все угрозы в сфере информационной безопасности для организации можно подразделить на две категории: внутренние и внешние. Внешние исходят извне организации, например от тех, кто пытается перехватить ее электронную почтовую корреспонденцию. Именно внешние угрозы, как правило, являются приоритетом в плане защиты для большинства организаций в мире. Но, как правило, защита от них, расположенная, условно говоря, на внешнем периметре организации, мало затрагивает ее внутренние бизнес-процессы, и поэтому вряд ли следует всерьез рассматривать пути минимизации таких рисков, как остановка бизнес-процессов, средствами защиты организации от внешних угроз.
Однако есть и другая категория угроз - это те, которые исходят от самих сотрудников организации. Главная из них - это, конечно, угроза утечек информации за пределы организации. Утечки могут быть как следствием стечения обстоятельств или халатности персонала, так и результатом целенаправленных действий имеющих доступ к конфиденциальной информации сотрудников-инсайдеров. Защитой от них многие организации почему-то пренебрегают, хотя инсайдер может принести намного больше вреда, чем, например, хакер, взломавший корпоративный сайт. Давно известно, что в 6 случаях из 10 для банкротства организации достаточно утечки всего лишь 20% ее коммерческих секретов.
Сегодня наиболее заметно влияющей на непрерывность бизнеса является защита от внутренних угроз. Для предотвращения утечек информации недостаточно контроля только на "входе-выходе" информации в организации и требуется контроль внутренних информационных потоков, поэтому это может повлиять и на внутренние бизнес-процессы.
Технические аспекты
В последние годы для защиты от утечек информации в организациях используются специальные системы, называемые DLP-системами (от англ. Data Leak Prevention - предотвращение утечек данных). Под DLP-системой понимают программный комплекс, который позволяет анализировать потоки данных, "пересекающие" периметр защищаемой информационной системы, и предотвращать утечки конфиденциальных сведений из нее.
Существует много различных типов DLP-систем, однако с точки зрения обеспечения непрерывности бизнес-процессов наиболее интересна типология, основанная на поведении системы при распознавании конфиденциальных данных в перехваченном ею трафике. По данному критерию все DLP-системы можно подразделить на два больших класса: системы с активным контролем трафика, или блокирующие, и системы с пассивным контролем трафика, или неблокирующие. Как видно из названий этих классов DLP-систем, отличаются они тем, что первые при обнаружении закрытых данных могут блокировать их дальнейшее движение, в то время как вторые такой возможностью не обладают.
Ряд экспертов сегодня ставят под сомнение целесообразность отнесения систем с пассивным контролем трафика к DLP-решениям по причине отсутствия возможности предотвращения утечки, которая заложена в названии DLP. Однако практика показывает, что неблокирующие системы являются эффективным средством борьбы с систематическими утечками, которые вызваны злым умыслом виновного в них сотрудника или просто отсутствием у него даже базовых знаний в области информационной безопасности. Системы с активным контролем эффективны также в борьбе со случайными утечками информации, однако именно такие системы представляют собой наибольшую угрозу для внутрикорпоративных бизнес-процессов, которые могут быть остановлены по причине блокировки информации. К сожалению, современные технологии и методики разработки программного обеспечения не позволяют получать абсолютно надежные программные продукты, и в работе современных DLP-систем всегда присутствует определенный процент ложно распознанных утечек. Усугубляется это внутренней сложностью DLP-системы, в которой используются разнообразные алгоритмы поиска для обнаружения в перехваченном трафике конфиденциальных данных. Сложность является одним из тех факторов, которые способствуют повышению возможности некорректного срабатывания блокировки и связанного с ней риска остановки бизнес-процессов.
Цена защиты
Защита имеет свою цену, которая должна быть ниже цены утечки информации, только в таком случае защита будет являться целесообразной. Однако в понятие цены защиты необходимо включать не только стоимость DLP-системы, но и возможные убытки из-за каждой остановки бизнес-процесса. Оценка стоимости таких убытков и сопоставление получившейся суммы с суммой убытков от возможных утечек информации и должны стать основным критерием, по которому финансовая организация должна делать выбор между блокирующей и неблокирующей DLP-системами.
В случае если в организации имеются документы (хотя бы один), случайная утечка которых способна поставить под угрозу весь бизнес, то необходимо приобретать блокирующую DLP-систему и вводить соответствующие "драконовские" меры безопасности. Однако, как показывает практика, информация, обычно интересующая инсайдеров, в финансовых организациях является очень динамичной, т.е. устаревает уже через несколько дней или даже часов после ее "слива", поэтому случайные утечки не представляют собой серьезной угрозы для деятельности организации в отличие от утечек систематического характера. Как уже говорилось выше, с ними вполне справляются и системы с пассивным контролем трафика, которые позволяют выявлять инсайдеров, передающих закрытые корпоративные документы третьим лицам.
Для оценки стоимости защиты организации с помощью блокирующей DLP-системы следует протестировать систему непосредственно в самой организации, чтобы получить представление о том, насколько высока вероятность ложного распознавания информации как конфиденциальной и блокировки внутренних бизнес-процессов вследствие этого. Безусловно, такое тестирование будет достаточно трудоемким, однако современные средства виртуализации, такие, например, как VMWare, позволяют реализовывать тестовые задачи без вовлечения в процесс тестирования реальных рабочих станций, экономя таким образом время как проводящих тестирования специалистов, так и всех остальных.
Важно отметить, что задача осложняется из-за отсутствия бесплатных испытательных версий у многих поставщиков DLP-решений с активным контролем трафика. Данные решения требуют длительного и дорогостоящего внедрения с привлечением специалистов компании - производителя DLP-системы, в то время как решения с пассивным контролем трафика часто предлагаются в виде бесплатных пробных версий и могут быть установлены специалистами организации либо дистанционно. Стоимость внедрения и связанные с ней сложности также нужно включить в стоимость владения DLP-системой для организации. Нельзя также забывать о том, что процесс внедрения будет отчасти мешать отдельным сотрудникам выполнять свои рабочие обязанности и может служить причиной временной остановки бизнес-процессов.
Необходимо помнить и о проблемах совместимости DLP-системы с другими приложениями корпоративного уровня, которые уже присутствуют в ИТ-инфраструктуре организации на момент внедрения системы защиты от утечек данных. Данные проблемы тоже могут вызвать некорректную работу блокирующей DLP-системы, что в свою очередь может стать причиной остановки бизнес-процессов. К сожалению, выявить подобные проблемы без тестирования в "полевых" условиях фактически невозможно, поскольку смоделировать особенности корпоративной среды организации, определяемые спектром установленного в ней корпоративного программного обеспечения, чрезвычайно сложно даже с помощью средств виртуализации.
Безусловно, в некотором роде гибкость DLP-системы, безопасной для организации с точки зрения остановки бизнес-процессов, тоже способствует увеличению затрат на защиту, так как для мониторинга и анализа трафика потребуется больше специалистов по информационной безопасности, чтобы обеспечить оперативное реагирование на инциденты, связанные с нарушениями корпоративных политик информационной безопасности. Впрочем, если сравнить стоимость остановки бизнес-процесса со среднемесячным окладом специалиста по информационной безопасности, становится понятным, что для подавляющего большинства финансовых организаций использование DLP-системы с пассивным контролем трафика все равно остается наиболее привлекательным вариантом.
Заключение
Подводя итоги, хочется еще раз отметить, что ключевую роль в нахождении компромисса между непрерывностью бизнес-процессов и обеспечением информационной безопасности в финансовых организациях играет выбор DLP-системы, которая будет внедрена в данной организации. При этом необходимо учитывать как принцип ее работы, так и практические возможности ее интеграции в существующую ИТ-инфраструктуру. И хотя учесть все нюансы действительно сложно, важно проявить максимальную внимательность при изучении DLP-системы перед ее внедрением на соответствие требованию обеспечения непрерывности бизнес-процессов.
Р.Идов
Компания SearchInform
Другие новости по теме:
Сотрудники - самое слабое место в информационной безопасности фирмы Защита информации - как часть системы корпоративной безопасности Аудит информационной безопасности компаний Комплексная информационная защита персональных данных Персональные данные в налоговых органах IT-безопасность: коммерческая тайна как приманка для конкурентов