Хронологически увязывая этот короткий экскурс в историю информационной безопасности (ИБ) с пятнадцатилетним юбилеем еженедельника PC Week/RE, попробую не оглядываться на очевидную догадку о том, что зародилась ИБ, вероятнее всего, лишь мигом позже рождения самой информации, т. е. в незапамятные времена, начать с времен, более актуальных для юбиляра.
Русскоязычный вариант PC Week появился тогда, когда в нашей стране персональные компьютеры (ПК) начали потихоньку прирастать числом, что очень логично: если переводить дословно, то это «Неделя персонального компьютера». Пользователи ПК (а поначалу это были люди все сплошь продвинутые в вычислительной технике и в программировании) стали активно сочинять для них программы и еще активнее обмениваться ими, потому как с ПО для персоналок был дефицит — даже в так называемых развитых странах. В среде творческих людей, к которым относятся и компьютерщики (почитайте хотя бы цитаты на bash.org.ru), всегда есть место шутки.
Антивирусы
С шуток начались и первые компьютерные вирусы. Распространялись они на пятидюймовых флоппи дисках емкостью 360 Кб, и поначалу вызывали у владельцев зараженных ПК улыбки. Меж тем ряды пользователей компьютеров множились, и как водится, в них появились представители самых разных срезов социума, в том числе и с криминальными наклонностями. И теперь уже встречи с вирусами начали вызывать досаду: приходилось непродуктивно тратить время на удаление непомерно растиражированных и просто неудачных «шуток» . Затем досада смешалась с опасениями за работоспособность компьютеров, поскольку на смену вирусам-шуткам пришли вирусы-разрушители, а на компьютерах тем временем накапливалось все больше ценных данных, и с их помощью решались все более важные задачи. Появилась необходимость защищать их от злонамеренных посягательств, и из рядов все тех же первых энтузиастов-пользователей ПК выдвинулись энтузиасты-создатели первых антивирусов. Они писали программы-утилиты, умеющие обнаруживать, а главное удалять вирусы из компьютера. Основная же задача современных антивирусных систем — не допустить заражения.
Межсетевые экраны
Насладившись персональностью своих электронных помощников, люди начали наделять ПК коммуникативными способностями — стали набирать популярность вычислительные сети. Для вирусов открылась скоростная магистраль, по которой они и покатились мощным потоком. И катились они до той поры, пока не были изобретены межсетевые экраны, фильтрующие пакеты в сетях на разных уровнях взаимодействия открытых систем — сетевом, транспортном, прикладном.
Системы обнаружения и предотвращения вторжений
Но тут резво шагнул вперед Интернет, объединивший разрозненные локальные вычислительные сети в единую мировую Сеть. Чтобы укрепить защиту локальных сетей от стихии Интернета, на помощь межсетевым экранам двинули системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS). Они в состоянии обнаруживать и блокировать активность вредоносных программных кодов, встраиваемых злоумышленниками в те пакеты, которым межсетевые экраны обязаны разрешать проходить внутрь сети — межсетевой экран, все-таки не глухой брандмауэр, как его часто изображают, а ворота на некую территорию, через которые пропускают тех, кто трудится там.
Виртуальные частные сети
Интернет дал возможность объединять сетевые фрагменты, разделенные большими расстояниями. Чтобы воспользоваться этой возможностью, потребовалось придумать средства защиты данных при их передаче по открытым каналам связи. Так появились виртуальные частные сети (Virtual Private Network, VPN). VPN представляют собой средства криптозащиты информации, взаимодействующие между собой по специальным сетевым протоколам, действующим на разных сетевых уровнях. VPN очень пригодились и тогда, когда беспроводная связь покрыла заметную часть освоенного людьми пространства, компьютеры стали размером с ладонь, а люди захотели подключаться к своим информационным системам и к Интернету, не только сидя за рабочими столами.
Системы защиты от утечек данных
После того как была налажена защита локальных сетей от внешних атак по периметру, и пользователи остались довольны результатом, на первый план выступили угрозы, исходящие изнутри периметра. Следует сказать, что от некоторых внутрипериметровых атак мы умели защищаться и ранее, используя для этого уже существующие средства, например, системы IDS/IPS. Но плохая осведомленность о правилах соблюдения ИБ у домашних и корпоративных пользователей информационных технологий, ведущая к неумышленным утечкам информации, и злонамеренные действия инсайдеров, нацеленные на кражи данных, потребовали развития специализированного функционала и выделения его (кстати, это было сделано совсем недавно) в новый класс систем защиты информации — защиту от утечек данных (Data Loss (Leak) Prevention, DLP). Они позволяют присваивать разноформатной информации различные атрибуты конфиденциальности и контролировать обращение с нею, оперативно реагируя на отступления от заданных для этого правил. Благодаря этому DLP-системы в состоянии перекрывать утечки данных по электронной почте, через печатающие устройства, сменные носители информации, беспроводные локальные сетевые соединения, ftp-каналы, системы мгновенного обмена сообщениями, веб-почту и социальные сети.
Системы управления инцидентами и событиями ИБ
Как видим, защита компьютерной информации прошла за последние лет тридцать путь от простейших антивирусов до многих сложных специализированных систем. Каждая из них требует управления, генерирует свои информационные потоки, за которыми обязаны следить специалисты службы ИБ. При этом некоторые из выдаваемых ИБ-системами сообщений требуют оперативной реакции. Для консолидации, корреляции и анализа результатов их работы придуманы системы управления инцидентами и событиями ИБ (Security Information and Event Management, SIEM). Их задача — преодолеть распределенность и неструктурированность информации, которую генерируют ИБ-системы. С их помощью можно собрать все ИБ-данные, доступные в ИТ-инфраструктуре, охваченной системой SIEM, проанализировать их, выявить отклонения от установленных норм и уведомить об этом. Важным свойством SIEM является архивация и хранение накапливаемых и обработанных ИБ-данных.
Центры оперативного управления ИБ
Следующим этапом укрепления ИБ стали центры оперативного управления ИБ (Security Operation Center, SOC). Их задача — централизация управления всем парком средств обеспечения ИБ в целях выявления ИБ-инцидентов и подготовки к эффективной реакции на них, с тем чтобы минимизировать ущерб и время восстановления от их последствий. SOC может ежесекундно обрабатывать десятки тысяч ИБ-событий, поступающих из разных источников контролируемой ИТ-инфраструктуры, формируя на выходе список из нескольких наиболее важных (в понимании тех, кто эксплуатирует SOC) инцидентов, на которые прежде всего должен реагировать ИБ-администратор. Неотъемлемым компонентом SOC является система SIEM. Однако не менее важную роль играет и его документационная составляющая, в которую входят модели нарушителя и угроз, категоризация ИБ-событий и их привязка к бизнес-рискам в соответствии с перечнем активов и их владельцев, описание процесса и ролей управления инцидентами, процедуры обнаружения, анализа и реагирования на инциденты, политика мониторинга и управления ИБ-событиями инцидентами.
Контроль доступа
В том или ином виде любая операционная среда и прикладная информационно-вычислительная система (в том числе и упомянутые выше системы защиты информации) имеет свои персональные средства защиты от несанкционированного доступа (НСД), реализуемые на основе идентификации, аутентификации и авторизации пользователей. Но поскольку обеспечение ИБ превратилось в сложный процесс, обеспечиваемый целым комплексом ИБ-систем, то и функции защиты от НСД делегируются теперь специализированным централизованным системам управления идентификационными данными и доступом пользователей (Identity and Access Management System, IAMS), решающим задачи консолидации и автоматизации управления доступом пользователей к информационно-вычислительным ресурсам. С помощью систем IAMS после предъявления единого для всех приложений идентификатора и подтверждения его подлинности через аутентификацию пользователь на основании учетной записи и авторизуется для исполнения в информационной среде назначенной ему в соответствии с корпоративными политиками безопасности бизнес-роли (или ролей). Внедрение таких систем тоже предполагает проведение большой подготовительной организационной работы, связанной с поддержкой и контролем доступа по ролевой модели пользователей. Развертывание IAMS считается высокоприоритетной задачей при построении корпоративной информационной среды.
Регулятивные требования и ИБ
Наряду с правилами (политиками), регламентирующими организацию ИБ в соответствии с тем, как понимает ИБ и какое значение ей придает хозяин данного конкретного бизнеса, для предприятий и компаний всех категорий действуют к тому же и внешние правила организации ИБ. Они определяются национальными и международными законами, нормами и стандартами. Среди важнейших регулятивных документов, имеющих отношение к ИБ, следует отметить международные и национальные стандарты управления ИБ — ISO 15408, ISO 17799; стандарты аудита информационных систем и информационной безопасности — COBIT, SAC, COSO, Payment Card Industry Data Security Standard (PCI DSS); законодательные акты, регулирующие информационные потоки в компании — Basel II, Sarbanes — Oxley Act (SOX) и Health Insurance Portability and Accountability Act (HIPPA). Для предприятий нашей страны особое значение в последнее время приобрели закон «О персональных данных» (относящийся практически к любой структуре в государстве), а также стандарты СТО БР ИББС (актуальный для финансово-кредитных организаций) и PCI DSS (распространяющийся на операторов международных платежных систем Visa и MasterCard). Чтобы упростить выполнение самых насущных требований внешних регуляторов, разработчики средств защиты информации встраивают в свои ИБ-продукты шаблоны, позволяющие автоматизировать процесс настройки средств защиты в соответствии с теми нормативными требованиями, в выполнении которых заинтересованы заказчики.
Главные итоги и перспективы развития ИБ
Отрадно поделиться данными отчета аналитической компании CSI, согласно которым средние потери компаний от кибер-преступлений в мире во второй половине завершающегося десятилетия уменьшились в разы по сравнению с потерями первой половины десятилетия. Аналитики связывают это с повышением среднего уровня защищенности информации благодаря росту качества средств обеспечения ИБ и осведомленности компьютерных пользователей в области защиты информации. Однако не следует забывать, что даже самым лучшим образом организованная защита не в состоянии гарантировать полную безопасность информации. Ведь, расходуя ежегодно по 2—3 млрд. долл. только на программные средства обеспечения ИБ, законопослушное население мира потеряло из-за компьютерных преступлений в одном только прошлом году около 600 млрд. долл.
Неутешительно, но, судя по всему, наши расходы на обеспечение ИБ должны только увеличиваться. Это подтверждают прогнозы аналитических компаний. Так, согласно данным IDC ожидаемые темпы роста российского рынка ИБ в 2008- 2013 г.г. составят примерно 16%. Что же качается парадигмы вектора развития ИБ, то эксперты настаивают на активизации процесса смещения фокуса усилий вендоров и интеграторов с обеспечения ИБ наложенными средствами на встраивание их в информационно-вычислительные продукты непосредственно в процессе их разработки. Процесс этот развивается. Так, несколько лет назад вендоры, возглавляющие мировой рынок ИТ, вступили на путь использования технологии поддержки безопасного жизненного цикла разработки своих продуктов. Однако, по мнению экспертов, двигаться в этом направлении непросто, и ощутимых результатов, по оценкам аналитиков, мы в ближайшие несколько лет не увидим.
