В рамках выставки «ВКСС 2002» учебный центр компании «Информзащита» провел семинар «Безопасность ведомственных и корпоративных компьютерных сетей». На нем рассматривались актуальные вопросы построения защищенной сетевой инфраструктуры, лицензирования и сертификации деятельности по защите информации, а также варианты нейтрализации угроз информационной безопасности.
Заместитель директора центра по учебно-методической работе Дмитрий Ершов обратил внимание участников семинара на ряд особенностей обеспечения безопасности в ведомственных и корпоративных сетях. Сложная топология, территориальная распределенность, разнородность технических и программных средств, многофункциональность их элементов обуславливают появление множества уязвимостей на всех уровнях сетевой инфраструктуры. Задача защиты корпоративных ИТ-ресурсов осложнена недостаточными возможностями штатных средств безопасности операционных систем, СУБД и приложений. Огромное значение приобретает человеческий фактор.
«Сегодня большинство компаний располагают наборами средств защиты информации, — говорит заместитель директора по маркетингу центра «Информзащита» Алексей Лукацкий. — Но статистика свидетельствует, что число инцидентов в области ИТ-безопасности ежегодно удваивается». Почти все случаи поимки злоумышленника с поличным связаны с применением организационных процедур, повышающих эффективность реагирования на вторжение, либо самостоятельно разработанных программных средств (расширяющих функциональность используемых решений).
Многие современные системы обнаружения атак достаточно эффективно выявляют факт нападения, но почти ни одна из них не дает рекомендаций, что делать в этом случае. Поэтому необходимо разработать и утвердить регламент, описывающий действия операторов при обнаружении атак. Обработка инцидентов и реагирование на них, как утверждает докладчик, — очень сложная процедура, реализовать которую может только специальная служба.
Как считает Ершов, методологически суть защиты корпоративных сетей заключается в управлении рисками. Цель этого управления — снижение рисков. Поэтому защита ИТ-ресурсов должна представлять собой не использование какого-то продукта или совокупности средств и мер защиты, а непрерывный процесс. Необходимо, чтобы он был основан на четких продуманных правилах и регламентах, соответствующих единой политике обеспечения безопасности.
Менеджер управления информационными рисками компании KPMG Андрей Дроздов подчеркнул, что процесс управления ИТ-безопасностью необходимо сертифицировать на соответствие международным стандартам. KPMG предлагает на отечественном рынке услуги предварительной оценки и диагностики систем управления ИТ-рисками, сертификационного аудита, а также последующей поддержки сертификата на соответствие международному стандарту ISO 17799.
При наличии такого сертификата российская фирма получает дополнительные конкурентные преимущества. Он позволяет продемонстрировать деловым партнерам, инвесторам и клиентам, что в компании реализована эффективная система обеспечения конфиденциальности, целостности и надежности информации.