Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Что показал независимый аудит

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Что показал независимый аудит

А.С. Марков
В.Л. Цирлов
И.А. Чикалев
эксперты по информационной безопасности

ПРОВЕДЕННЫЙ за последний год аудит ИБ более десятка предприятий торговли в различных регионах страны позволил выявить поразительно однообразные нарушения и проблемы обеспечения ИБ, безотносительно от сферы деятельности организаций - будь то фармацевтическая компания или структура автобизнеса.

Отметим, что весь выполненный аудит был независимым, инициирован руководством предприятия без привлечения служб автоматизации, имел целью проведение комплексного анализа защищенности от угроз утечки и утраты информации, а также выявление злонамеренной деятельности привилегированных инсайдеров и уволившихся сотрудников.

В худших традициях

Выявленные недостатки для наглядности условно сгруппированы по традиционным сегментам ИБ:

    1)законодательная база;

    2)организационные меры;

    3)технические решения;

    4)подготовка персонала;

    5)физическая защита.

1.Вспоминая слова классика о необязательности выполнения "строгих" российских законов, приходится констатировать, что фактически во всех проверенных ПТ отсутствовало представление о лицензируемом виде деятельности по защите конфиденциальной информации (персональных данных) и соответственно не выполнялись требования по ее защите (в том числе при организации доступа через Web-интерфейс). Традиционно на всех предприятиях торговли никак не выражено отношение к агрессивному несоблюдению авторских и имущественных прав на программные средства и, что весьма небезопасно, на средства защиты информации (СЗИ).

2.Проблемы в организационной сфере касаются двух главных аспектов:

  • отсутствие политики безопасности организации, то есть что, зачем и как защищать в ПТ определяется на "коллективно бессознательном" уровне;

  • отсутствие выделенной службы, отвечающей именно за информационную безопасность.

Обязанности по защите информации возлагают на IT-отделы, которые в интересах выполнения бизнес-процессов фактически противостоят требованиям ИБ, а порой усугубляют ситуацию.

3. Как правило, даже на самых успешных ПТ по причине отсутствия системного подхода к защите информации отмечается весь список угроз, связанных с ошибками проектирования, реализации и администрирования сервисов и подсистем КС.

Перечислим типовые недостатки:

  • использование в КС периметровых СЗИ класса SOHO, обычно "пиратских" и неизвестного происхождения;
  • использование собственных систем документооборота и бухучета, передающих информацию в открытом виде или допускающих соединение с базами данных без пароля;
  • конфигурирование подсистем аутентификации в вариантах, позволяющих их скомпрометировать всеми известными способами (взлом, перебор, подбор, съем, перехват, перенаправление);
  • избыточное наличие средств удаленного администрирования, в том числе с неконтролируемой территории (из квартир администраторов!);
  • отсутствие учета копирования информации на мобильные носители (например, флэш-накопители USB);
  • неправильное использование криптографических средств;
  • отсутствие средств контроля уязвимостей, активного аудита и т.д.

Изумляет "местечковость" подхода к ИБ - к примеру, если это город N, то у всех в городе в качестве межсетевого экрана используется, скажем, пиратский Kerio.

4.Уровень подготовки специалистов по защите информации от НСД относительно невысок. В частности, поразило, что подлинным открытием для администраторов КС является продемонстрированная возможность перехвата трафика в Ethernet-сетях, реализованных по switch-технологии! Добавим, что низкая осведомленность конечных пользователей о вопросах ИБ создает благоприятную почву для социальных атак с применением сервисов электронной почты, Интернет-мессенджеров и т.д. 5. При высокопрофессиональной организации физической защиты территории ПТ встречаются ситуации, когда доступ к ключевым компьютерам (например, ПК секретаря) не контролируется или все данные скрытого видеонаблюдения выводятся на компьютер, имеющий незащищенный доступ, - как локальный, так и сетевой.

Неутешительные выводы

Кроме организации физической защиты территории ПТ, характерно наличие множественных угроз конфиденциальности информационных ресурсов и непрерывности бизнес-процессов. КС ПТ часто не способны противостоять известным социальным, локальным (физическим) и типовым сетевым атакам, не говоря уже о DOS-атаках.

Вполне очевидна (в смысле ИБ) зависимость руководителей предприятий торговли от руководителей IT-отделов, а последних - от администраторов, занимающихся мониторингом и удаленным управлением КС ПТ из собственных квартир.

Вызывает озабоченность незащищенность персональных данных. Есть мнение, что в случае некоторых нарушений потенциально возможно привлечение руководителей ПТ к уголовной ответственности и даже арест предприятия.

Хочется верить, что отмеченная безалаберность в вопросах ИБ ПТ будет сходить на нет по мере внедрения в системах ПТ отечественных стандартов 17799-06 и 27001-06, проекты которых обнародованы весной 2006 г. в рамках работы технического комитета по стандартизации ТК-362.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3+4, 2006
Посещений: 7758

Статьи по теме


  Автор
Марков А. С.

Марков А. С.

Генеральный директор ЗАО "НПО "Эшелон", доцент кафедры "Информационная безопасность" МГТУ им.Н.Э.Баумана, CISSP

Всего статей:  6


  Автор
 

Цирлов В. Л.

эксперт по информационной безопасности

Всего статей:  6


  Автор
Чикалев И. А.

Чикалев И. А.

эксперт,к.т.н.,с.н.с.

Всего статей:  5

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.