Консалтинг в информационной безопасности

Критерии выбора консалтинговой компании для анализа защиты информационной системы.

Аналитики отвечают на все вопросы не потому, что

знают ответы, а потому что их об этом спрашивают.

С. Кириенко

По данным Information Security Magazine, на конец 1999 г. коммерческие операции в Internet осуществляло около 50% американских компаний, при этом совокупный годовой оборот электронной коммерции исчисляется уже сотнями миллиардов долларов. Кроме того, Internet и другие сети общего пользования все чаще используют для организации взаимодействия подразделений одной компании между собой и партнерами и клиентами (сети Extranet) — это существенно дешевле, чем арендовать выделенный канал связи.

Решение о начале операций через Internet означает для компании необходимость перехода на новые платформы и технологии для обеспечения таких операций. Для эффективной организации электронной коммерции и построения сетей Extranet большинству компаний требуется коренная перестройка вычислительной системы с целью приведения ее в соответствие с современными стандартами и технологиями межкорпоративного взаимодействия. Для тех, кто отвечает за информационную безопасность, решение о подключении корпоративной сети компании к Internet или о межкорпоративной интеграции знаменует собой начало совершенно новой эры, так как с этого момента их функции и ответственность резко возрастают.

Вместе с несомненными выгодами от ведения бизнеса через Internet или организации сети Extranet компания получает проблему защиты своей конфиденциальной информации от внешних злоумышленников и конкурентов. По информации уже упоминавшегося Information Security Magazine, по сравнению с 1998 г. в 1999 г. число вторжений в корпоративные системы возросло вдвое, причем атакам извне подверглось 23% компаний. Отметим, что проблема защиты от внутренних угроз, задача обеспечения надежности работы и вопрос контроля целостности ресурсов существуют независимо от внешних связей корпоративной сети. С интеграцией автоматизированных систем компании в Internet или другие сети общего пользования их актуальность только возрастает.

Служба обеспечения информационной безопасности (ОИБ) должна участвовать в работах по созданию корпоративной системы с начала ее проектирования до момента ввода в эксплуатацию. Вместе с тем, уже работающую систему необходимо периодически обследовать на предмет выявления новых слабостей и рисков. Пренебрежение безопасностью корпоративных систем и надежда «на авось» неминуемо приводят к крупным финансовым потерям от реализации внутренних или внешних угроз. По оценкам и данным опросов, проведенных SANS Institute, убыток только от одной атаки на корпоративную систему для банковского и IT-секторов экономики США (где безопасности уделяется особое внимание) составляет в среднем около 500 тыс. долларов.

К сожалению, в отношении российского бизнеса детальная статистика ущерба от атак злоумышленников недоступна. Но в целом состояние дел в информационной безопасности российских компаний во многом зависит от понимания высшим руководством конкретной компании реальности угроз корпоративной системе и уделяемого обеспечению защиты информации внимания (впрочем, данный тезис справедлив в отношении не только к российским компаниям и организациям). В этой связи большое значение приобретает умение администраторов информационной безопасности донести остроту проблемы до руководства.

Крупные государственные и коммерческие структуры обычно уделяют довольно большое внимание обеспечению информационной защиты, особенно если нарушение политики безопасности может привести к существенным моральным или материальным потерям или даже к нарушению функционирования целых отраслей экономики.

В отличие от крупных коммерческих компаний, где широко используются западные новинки, внедрение передовых технологий защиты информации в государственных структурах часто сдерживается требованиями нормативных актов, предписывающих применять только сертифицированную в России продукцию. Процесс сертификации часто оказывается очень длительным, кроме того, лишь немногие западные продукты могут быть сертифицированы по формальным признакам (например, реализация указанных в ГОСТе отечественных криптографических алгоритмов). В результате современные информационные технологии применяются достаточно широко, тогда как средства их защиты используются в ограниченном объеме, хотя и предлагаются на западном рынке.

Что касается мелких и средних компаний, то, как уже говорилось, состояние их информационной безопасности целиком зависит от понимания руководством важности защиты информации. Обычно такое понимание появляется только после инцидента, связанного или с кражей конфиденциальной информации, или с нарушением работы информационной системы компании.

Для организации защиты информации или проведения аудита существующей автоматизированной системы необходим штат высококвалифицированных специалистов в области информационной безопасности. Это может быть очень дорого и невыгодно для организации, особенно небольшой. Для проведения обследований и аудита целесообразно привлекать сторонние консалтинговые компании, так как они имеют большой опыт и штат профессионалов в области обеспечения и контроля состояния информационной безопасности.

В предполагаемой статье мы рассмотрим, какие виды услуг предлагают консалтинговые компании, и оценим их с точки зрения полезности для достижения целей, стоящих перед отделом информационной безопасности.

ПРЕОДОЛЕНИЕ ЗАЩИТЫ

Тест на преодоление защиты (Penetration Test) заключается в попытке обойти принятую в корпоративной сети систему безопасности. При этом консультант выступает в роли злоумышленника (внутреннего или внешнего), задача которого — скомпрометировать корпоративную систему, получить конфиденциальные данные или нарушить функционирование системы. Для того чтобы компания получила наибольшую пользу от этой услуги, о проведении атаки должен знать лишь ограниченный круг лиц в организации — в основном высшее руководство.

Основными целями предпринимаемой попытки преодоления защиты являются констатация и доказательство возможности взлома системы, а также выявление реакции на атаку персонала (как администраторов, так и рядовых пользователей). Успешная реализация атаки — действенное средство доказать руководству компании необходимость увеличения затрат на обеспечение информационной безопасности, особенно если в результате успешного взлома консультанту удалось незаконно получить какую-либо конфиденциальную информацию руководства. Кроме того, тест на преодоление защиты является хорошим способом проверить соблюдение персоналом принятой политики безопасности, например правил хранения и смены пароля.

Перед проведением теста заказчику следует обязательно договориться с консультантом о том, какие атаки можно проводить до конца, а какие следует только обозначить как принципиально выполнимые и ограничиться получением подробных инструкций по их реализации. Например, если атака на систему позволяет полностью вывести из строя центральный сервер базы данных, то нецелесообразность ее практической реализации представляется очевидной — убытки от такого тестирования будут слишком велики. Если же в результате атаки возможно раскрытие конфиденциальной информации или получение прав администратора системы, то такую атаку реализовать весьма полезно, так как она показывает уязвимость исследуемой системы, не нанося ей существенного ущерба. Необходимо также помнить, что ответственность за возможный ущерб при успешной реализации атаки полностью ложится на заказчика тестирования, т. е. на саму компанию.

Недостатком данного метода является отсутствие в результате целостной картины состояния информационной безопасности: заказчик лишь получает информацию о том, что исследуемая система уязвима. Проведение определенной атаки не позволяет выявить весь набор уязвимых и слабых мест системы и тем более не дает никаких рекомендаций по повышению уровня защищенности.

Со своей стороны консультант обязательно должен разъяснить персоналу заказчика, что попытка преодоления защиты в конечном итоге имеет целью обеспечение безопасной работы в автоматизированной системе, и лучше, чтобы принципиальную уязвимость выявил специалист в области информационной безопасности, чем злоумышленник. Иначе эксперт рискует сформировать отрицательное отношение к себе и консалтинговой компании со стороны персонала. Таким образом, знание психологии и умение общаться с людьми — отнюдь не бесполезные навыки для консультанта в области информационной безопасности.

АУДИТ

Под аудитом (Audit) подразумевается оценка текущего состояния компьютерной системы на соответствие некоему стандарту или предъявляемым требованиям.

Стандарты могут быть внутрикорпоративными или общими (как правительственными, так и коммерческими). Одна из главных трудностей при проведении данного типа работ — правильный выбор стандарта, на соответствие которому будет проверяться автоматизированная система. В настоящее время существует несколько таких стандартов (например, руководящий документ Гостехкомиссии «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» или британский стандарт BS7799). В общем случае стандарт, по которому проводится аудит, должен содержать требования к нормативно-правовой базе, к системам разграничения доступа, контроля целостности, криптографической защиты информации, а также к механизмам физической защиты компонентов автоматизированной системы. Кроме того, стандарт должен включать требования по обеспечению непрерывности защиты, например требования к порядку и периодичности пересмотра правил категоризации информации или привилегий пользователей.

В большинстве случаев аудит требуется, когда автоматизированная система предназначена для обработки конфиденциальной или секретной информации. Для каждой категории информации стандартами определяется нижняя граница уровня безопасности автоматизированной системы.

Проведение аудита полезно также после построения автоматизированной системы и ее подсистемы безопасности на этапе приемки в эксплуатацию для оценки степени соблюдения предъявляемых к ней требований. Следует отметить, что аудит автоматизированной системы рекомендуется проводить периодически (например, раз в год), так как состояние любой системы изменяется с течением времени, и к моменту очередного аудита оно может не иметь ничего общего с тем, что было зафиксировано при предыдущем аудите.

В ходе аудита эксперты по формальным критериям стандарта оценивают, в какой мере данный компонент или процесс удовлетворяет приведенным в стандарте требованиям, одновременно формируя список уязвимых мест автоматизированной системы. Отчет об аудите содержит оценку соответствия системы данному стандарту, но не содержит рекомендаций и предложений по устранению выявленных уязвимых мест и повышению уровня защищенности.

ОБСЛЕДОВАНИЕ

Обследование (оценка, Assessment) автоматизированной системы — наиболее сложный и полезный вид работ по консалтингу в информационной безопасности. В рамках этой работы эксперты проводят комплексную оценку автоматизированной системы с учетом ее особенностей. Такая оценка включает анализ информационных потоков аппаратного и программного обеспечения, сетевой инфраструктуры, методов управления и администрирования компонентов.

Даже этот начальный этап обследования оказывается очень полезен для большинства клиентов, так как порой клиент не имеет обобщенной и структурированной информации о своей автоматизированной системе и представляет ее как разрозненную совокупность отдельных подсистем. После сбора и упорядочивания информации специалисты консалтинговой компании проводят анализ состояния информационной безопасности, состоящий из нескольких этапов:

• анализ существующей организационной структуры обеспечения информационной безопасности, в том числе анализ функций службы обеспечения информационной безопасности (ОИБ), взаимоотношений подразделений по вопросам обеспечения защиты информации, вопросов подчиненности и структуры службы ОИБ;
• анализ существующей нормативно-правовой базы информационной безопасности автоматизированной системы, в том числе оценка принятой политики безопасности, организационно-распорядительных документов, положений и инструкций по обеспечению защиты информации, а также анализ их соответствия существующим законодательным и нормативным актам;
• анализ мер технической защиты информации, в том числе анализ существующих мер и средств технической защиты информации, а также порядка их применения, рассмотрение и анализ используемых заказчиком средств разграничения доступа и защиты от несанкционированного доступа (в частности, при работе с Internet), антивирусных средств, межсетевых экранов, защиты с помощью паролей, системы обнаружения вторжений, криптографических средств защиты информации, методов контроля целостности. Кроме того, эксперты анализируют порядок использования встроенных механизмов защиты компонентов автоматизированной системы и оценивают достаточность мер и правильность использования средств технической защиты информации;
• выявление угроз безопасности (как внутренних, так и внешних) и существующих уязвимых мест в компонентах системы, а также оценка рисков. Эксперты ранжируют угрозы по вероятности их возникновения в данной автоматизированной системе и мере возможного ущерба от реализации угроз. В результате они составляют список наиболее опасных угроз безопасности, перечень и описание уязвимых мест компонентов, включая описание их источников (модель нарушителя) и механизмов их реализации;
• выработка рекомендаций по доработке существующей системы защиты информации компании. Рекомендации могут касаться совершенствования организационно-штатной структуры, доработки и создания нормативных документов, положений и инструкций по обеспечению информационной безопасности. Кроме того, эксперты могут дать рекомендации по применению штатных средств защиты компонентов, а также по использованию дополнительных систем защиты информации и методов контроля и аудита состояния информационной безопасности.

Таким образом, обследование автоматизированных систем позволяет не только оценить степень уязвимости, но и укрепить подсистему информационной безопасности для защиты от угроз, исходящих как извне, так и изнутри, а также управлять рисками и минимизировать возможные потери.

КАК ВЫБРАТЬ КОНСАЛТИНГОВУЮ КОМПАНИЮ

К кому обратиться, если вы, наконец, решили, что вашей компании или организации необходимы консалтинговые услуги в области информационной безопасности; кого предпочесть, чтобы ваш заказ был качественно выполнен, а итогом работы был не только отчет в виде списка уязвимых мест, полученного автоматическими сканерами безопасности, наподобие SATAN?

В настоящее время в России для оказания консалтинговых услуг в области информационной безопасности не требуется получения никаких лицензий, и этот вид деятельности специально не регламентирован, поэтому оценивать консалтинговые компании приходится по неформальным признакам. Такими признаками, по нашему мнению, можно считать количество сотрудников, квалификацию персонала, время работы компании на рынке информационной безопасности, наличие и качество методик и инструментов для проведения аналитических работ, а также стоимость работ.

О значимости каждой из этих характеристик для проведения указанных видов консалтинговых работ мы поговорим ниже.

Количество сотрудников. Сегодня каждый человек или группа из двух-трех лиц может организовать компанию и начать обслуживание клиентов, если они чувствуют в себе талант или призвание к аналитической работе в области компьютерной безопасности. Бесспорно, что работы по преодолению системы защиты, особенно с использованием постоянно публикуемых в Internet программ реализации различных атак, могут быть качественно выполнены и небольшой группой специалистов. Примером тому служит деятельность хакеров-одиночек, которые довольно успешно занимаются как нелегальным взломом систем, так и совершенно законным преодолением систем защиты информации по контракту с компаниями и организациями, пожелавшими стать их добровольными жертвами.

При проведении аудита требование к числу сотрудников несколько ужесточается. Современные стандарты построения безопасных систем и формирования политики безопасности насчитывают сотни страниц (например, немецкий стандарт BSI содержит свыше 1000 стр., а знаменитые Common Criteria — около 650 стр.). Поэтому небольшому числу специалистов может быть трудно даже формально оценить степень соответствия состояния информационной системы содержащимся в стандарте требованиям. Количество и состав группы аудиторов для проведения экспертизы данной информационной системы должны зависеть от стандарта или требований, на соответствие которым проводится аудит.

Например, для проведения аудита автоматизированной системы на соответствие требованиям Гостехкомиссии по классу 1Б в группу аудиторов должен обязательно входить специалист в области криптографии, а при проверке на соответствие более низким классам его наличие не обязательно, так как требований по криптографической защите информации в них не выдвигается. С другой стороны, при проведении аудита на соответствие британскому стандарту BS7799 требуется более подробный анализ организационных мероприятий по защите информации, что обуславливает различия в команде аудиторов при проведении разных типов аудита. Численность аудиторов должна соответствовать числу функциональных разделов используемого стандарта.

При обследовании сложной системы наличие лишь небольшого числа сотрудников должно вызывать определенные сомнения в качестве и разумных сроках проведения работ и предоставления отчетных материалов. В современных информационных технологиях разнообразие методов, схем и принципов обеспечения информационной безопасности очень велико. В составе проводящей обследование группы консультантов должны быть, по крайней мере, специалисты по безопасности операционных систем, СУБД, средств телекоммуникаций, прикладных систем, эксперты в области физической защиты компонентов автоматизированной системы, организации межсетевых экранов, средств защиты от несанкционированного доступа, антивирусных программ, систем криптографической защиты информации и построения VPN, средств обнаружения вторжений. Иными словами, у компании-консультанта должен быть штат профессиональных высококвалифицированных экспертов в области информационной безопасности для каждого из компонентов автоматизированной системы заказчика.

Квалификация сотрудников. Требуемую квалификацию сотрудников для проведения Penetration Test оценить очень трудно. Успех взлома защиты во многом зависит от того, какое внимание компания уделяет безопасности информации. Например, для преодоления системы безопасности той компании, где используется почтовая система sendmail устаревшей версии и чей штат службы информационной безопасности состоит из одного специалиста, по совместительству системного администратора, программиста, ремонтника оргтехники, в свободное время обучающего персонал, часто бывает достаточно применить давно написанный сценарий, раздобыть который можно на множестве сайтов в Internet. В данном случае взлом системы защиты может выполнить любой так называемый script-kiddie, т. е. тот, кто использует разработанные другими механизмы проникновения в систему. Если же компания-заказчик уделяет пристальное внимание обеспечению информационной безопасности и видимых сразу уязвимых мест не имеет, то сотрудникам компании-консультанта приходится проводить довольно сложные изыскательские работы, требующие высокой квалификации взломщика. В этом случае нужно обратить внимание на репутацию таких специалистов в мире компьютерной безопасности, в частности на их принадлежность к хорошо известным хакерским сообществам (например, своеобразной мерой профессионализма хакера может служить наличие имен взломщиков в списках ФБР «Most wanted»).

Квалификация сотрудников, проводящих аудит информационной системы, должна, прежде всего, включать в себя знание тех стандартов, на соответствие которым проводится аудит. Кроме того, при проведении работ аудитор не должен полагаться только на ответы персонала на поставленные вопросы. Во-первых, человек из компании-клиента сам может не знать ответа на вопрос, а во-вторых, случайно или намеренно аудитор может быть введен в заблуждение. Поэтому аудитор должен обладать достаточной квалификацией или иметь возможность привлечения необходимого специалиста для проверки соответствия параметров информационной системы выдвигаемым требованиям.

Однако наиболее высокие требования к специалистам предъявляются при проведении обследования автоматизированной системы. Кроме выявления уязвимых мест и проверки на соответствие стандартам от них требуется составление профессиональных рекомендаций по оптимизации, доработке или созданию подсистемы информационной безопасности. А для этого они должны, во-первых, хорошо разбираться в используемых информационных технологиях, а во-вторых, профессионально знать современные методы и средства защиты информации. Поэтому при выборе консалтинговой компании заказчику стоит поинтересоваться наличием профессиональных сертификатов у ее экспертов. Немаловажное значение имеет также наличие грамотных менеджеров проектов, которые способны координировать работу аналитиков и обобщать их отчеты, при этом тесно работая с заказчиком для обеспечения качественного и — главное — полезного для него результата.

Время работы на рынке информационной безопасности и наличие методик. Для проведения Penetration Test время работы компании не имеет, на наш взгляд, определяющего значения. Несмотря на то что основы методов поиска уязвимых мест как в прикладном программном обеспечении, так и в сетевых сервисах и операционных системах разработаны довольно давно, сами информационные технологии и их реализации развиваются весьма стремительно. Из-за желания опередить конкурентов время тестирования продукта сокращается до минимума, в результате он, как правило, содержит много невыявленных уязвимых мест. Однако обнаруженные уязвимые места довольно быстро становятся известны общественности и, соответственно, устраняются производителями.

Группа экспертов-хакеров всегда должна иметь самые последние сведения об имеющихся в используемых системах слабых местах, т. е. постоянно обновляемую базу данных об уязвимых местах и методах их использования. При проведении взлома системы защиты необходимо иметь методику, где описывается порядок действий хакеров, координация их действий между собой и используемые для проведения взлома средства. Однако даже хаотичное проведение Penetration Test способно принести хорошие результаты, если система оказалась слабо защищенной. И лишь при проведении атаки на тщательно охраняемую систему наличие методик проведения этой атаки (включая алгоритмы организации ложных атак, обхода систем обнаружения вторжений и систем регистрации) приобретает критическое значение для успеха взлома.

Если компания предлагает услуги аудита информационных систем, то она должна иметь продолжительный опыт работы на рынке для освоения соответствующих стандартов и завоевать репутацию добросовестного аудитора. Обычно на это уходит не один год. Кроме того, одна из областей аудита — аттестация автоматизированных систем — единственный вид консалтинговых услуг по информационной безопасности в России, где предусмотрен порядок лицензирования. Иными словами, для проведения аттестации автоматизированной системы на соответствие, например, требованиям Гостехкомиссии, компания должна иметь лицензию Гостехкомиссии.

Деятельность аудиторских компаний облегчает наличие многочисленных методик и программных средств автоматизации аудита на соответствие известным стандартам типа BS7799. Ответив на вопросы программной системы аудита, заказчик может автоматически получить отчет о мере соответствия его автоматизированной системы предъявляемым стандартом требованиям. К сожалению, программные средства аудита не могут автоматически выдавать юридически признаваемые аттестаты соответствия, что и сохраняет нишу деятельности для аудиторских компаний. Однако в данном случае вопрос о проверке правдивости ответов клиентов остается открытым, ведь, как часто бывает, заказчик и сам не знает ответа на многие вопросы, касающиеся текущего состояния его информационной системы.

Если консалтинговая компания претендует на проведение обследования информационной системы, то она должна иметь достаточно длительную историю работы на рынке информационной безопасности, так как в этом случае для успеха крайне важен накопленный опыт проведения подобных работ и наличие многократно опробованных методик их проведения. Одинаковых информационных систем не существует, но принципиальные решения по защите, успешно опробованные сотрудниками консалтинговой компании, могут быть тиражированы на другие системы, естественно, с их адаптацией к конкретной информационной системе.

При выборе консалтинговой компании заказчику необходимо поинтересоваться, какие проекты эта компания выполняла до настоящего времени, и попросить показать отзывы предыдущих заказчиков о выполненных работах. Уважающая себя компания-консультант всегда должна достаточно подробно отвечать на эти вопросы (естественно, не раскрывая конфиденциальную информацию о заказчиках).

Еще до заключения договора на проведение обследования немаловажно получить представление о методиках и инструментах, которыми пользуются консультанты. Отработанная методика проведения работ дает гарантию, что ничего важного в их ходе упущено не будет и ни один аспект информационной безопасности не останется без внимания. Использование качественных коммерческих инструментов (например, средств сканирования безопасности, наподобие ISS Internet Scanner) гарантирует, что в автоматизированной системе будет найдено большинство уязвимых мест, поскольку, в отличие от свободно распространяемых систем тестирования, в коммерческих системах сканирования информация о «дырах» в системах безопасности компонентов компьютерной системы обновляется достаточно оперативно — по мере их нахождения специальными группами экспертов в области информационной безопасности.

До начала проведения работ заказчику необходимо договориться с консалтинговой компанией о форме отчета и основных параметрах его содержания, так как в ответ на один и тот же вопрос одна компания-консультант просто приведет распечатку руководящих документов, другая предоставит обзор средств защиты, и только, возможно, третья решит основные проблемы заказчика.

Стоимость работ. Последний, на наш взгляд, критерий оценки серьезности консалтинговой компании — стоимость проведения работ. Как правило, консалтинговые компании придерживаются одного из двух подходов к ценообразованию и определению состава работ. Во-первых, если заказчик уже имеет фиксированный бюджет на проведение консалтинговых работ, то совместно с компанией-консультантом он определяет, что же именно он может получить за эти деньги (только экспресс-анализ с помощью средств сканирования, например, или полноценное обследование). Во-вторых, и это представляется наиболее разумным, стоимость работ формируется исходя из потребностей заказчика и состава работ, который становится ясным после первоначальных переговоров консалтинговой компании с заказчиком. В противном случае заказчик рискует получить в итоге совсем не то, что ожидал, и расходы на консалтинг окажутся напрасными.

Обычно радость заказчика от того, что предложенная цена обследования оказалась довольно низкой, быстро проходит после получения им отчетных материалов, где, кроме слов о необходимости и важности обеспечения информационной безопасности, содержатся только цитаты из руководящих документов, законов и стандартов, а также псевдонаучные рассуждения на тему информационной безопасности, и ни слова не говорится о фактическом состоянии его автоматизированной системы. Подобная «агитация», конечно, полезна для самообразования в области информационной безопасности, но не имеет ничего общего с реальной потребностью заказчика оценить уровень информационной безопасности его системы и получить практические рекомендации по его повышению. В основном такой подход применяют консалтинговые компании на базе научных учреждений — как гражданских, так и военных, — у сотрудников которых не хватает практического опыта работы по обеспечению и контролю состояния информационной безопасности реальных систем, а также опыта организации взаимодействия различных подразделений компании по защите информации, но зато имеются обширные теоретические познания и научные воззрения, суть которых, как они считают, заказчику будет интересно узнать.

Процесс покупки аналитических и консалтинговых услуг ничем не отличается по своей сути от покупки любого другого товара, например автомобиля. Машину можно купить у перекупщика без гарантий качества, рискуя быть обманутым, и заниматься ремонтом весь оставшийся недолгий век ее жизни, затратив на это сумму, превышающую первоначальную стоимость. Такой путь приобретения машины приемлем для эксперта в автомобилях, который сумеет самостоятельно разобраться что к чему. Обычный же разумный человек предпочтет известную и солидную компанию, которая, пусть даже по большей цене, гарантирует верность его выбора и качество продукта.

В заключение отметим, что в итоге вам решать, по какому пути пойти при выборе консалтинговой компании в области информационной безопасности. И от правильности вашего выбора будет зависеть не только эффективность ваших вложений в компьютерную безопасность, но и успешность вашего бизнеса в целом.

Юрий Самохин — начальник отдела проектов и решений НИП «Информзащита», Дмитрий Шепелявый — заместитель начальника отдела проектов и решений НИП «Информзащита». С ними можно связаться по адресам: yurysam@infosec.ru и shda@infosec.ru, соответственно.