• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. Экс-президента Франции Саркози признали виновным в коррупции и приговорили к тюремному заключению
  2. «Будет готов за три-четыре месяца». Частные дома с «завода» — сколько они стоят и как выглядят
  3. В Витебске увольняют Владимира Мартова — реаниматолога, который первым в Беларуси честно говорил о ковиде
  4. Латушко ответил жене Макея: Глубина лицемерия и неспособность видеть правду и ложь просто зашкаливает
  5. «Меня потом знатно полили шампанским!» Первая белоруска с COVID-19 — о том, как прожила «коронавирусный год»
  6. «Подошел мужчина в одежде рыбака». Как судили пенсионерок, задержанных на выходе из электрички
  7. С 1 марта заработал обновленный КоАП. Новшества затронут почти всех белорусов
  8. Минское «Динамо» начинает первый за четыре года плей-офф. Чего ждать от «зубров»
  9. «Желающих помочь белорусам в их „хлопотном дельце“ много». Чем заняты «Народные посольства» за границей
  10. «Личная инфляция»: лекарства и отдельные продукты в феврале подешевели, но в целом цены растут
  11. Витеблянину с онкозаболеванием за насилие над милиционерами дали 3,5 года колонии
  12. «Первый водитель приехал в 5.20 утра». Слухи о «письмах счастья» за техосмотр привели к безумным очередям
  13. «Тут мы ощущаем жизнь». Как семья горожан обрела счастье в глухой деревне и открыла там бизнес
  14. С 2 марта снова дорожает автомобильное топливо
  15. Водители жаловались, что после поездки по М-10 не могут отмыть машины. Вот что рассказали дорожники
  16. «Думал, что это простуда. Оказалось, нужна пересадка сердца». История Вячеслава, пережившего трансплантацию
  17. «Жесточайшим образом останавливать». Чиновники взялись за аптеки, которые подняли цены из-за НДС
  18. Получающих зарплату «в конвертах» планируют привлекать по «административке»
  19. Лукашенко — главе КГК: Необходимо ввести ответственность и для тех, кто берет в конвертах деньги
  20. Наказание за зарплаты «в конвертах», ответ Латушко жене Макея, звание сына Лукашенко — все за вчера
  21. Горбачев: Я не раз говорил, что Союз можно было сохранить
  22. В Новогрудке кто-то расстрелял из пневматики собаку. Пес умер, волонтеры обратились в милицию
  23. «Проверяли даже на близнецах». В метро запустили оплату проезда по лицу. Как это работает
  24. Читаете канал «Советская Белоруссия»? Говорим с его автором (нет, это не то же самое, что газета)
  25. Беларусбанк вводит лимиты по некоторым операциям с банковскими карточками
  26. Минчанка из списка Forbes отсидела 20 суток и рассказала о «консервативном патриархате» в Жодино
  27. Виктор Лукашенко получил звание генерал-майора запаса. Предыдущее его известное звание — капитан
  28. В Беларуси ввели очередные пенсионные изменения. Что это означает для трудящихся
  29. Убийца 79 белорусов, сжег пять деревень. Вспоминаем о Буром — в память о нем в Польше проводятся марши
  30. Чиновники обновили базу тунеядцев. С мая с иждивенцев будут брать по полным тарифам за отопление и газ


Владимир Артамонов | Фото: IT.TUT.BYИнформационные технологии медленно, но верно проникают во все сферы нашей жизни, а значит, возрастают требования к защищенности ИТ-систем, сохранности и безопасности данных. В этом году компания «Белсек» и Владимир Артамонов, эксперт в сфере информационной безопасности (ИБ) международного класса, провели ряд специализированных семинаров по данное тематике.

По заверениям организаторов, семинары собрали множество положительных откликов. IT.TUT.BY решил пообщаться с экспертами в области информационной безопасности с глазу на глаз.
 
– Скажите, насколько вообще интересна белорусским предприятиям и специалистам тема ИТ-безопасности? Как прошли ваши семинары?

Александр Василевский, директор СООО «Белсек»: Решение о проведении семинара было очевидным для нас. Опыт общения с предприятиями и организациями показывал информационный «вакуум» по данной тематике. На приглашения об участии в семинарах откликнулось большое количество организаций и предприятий – практически все банки, крупные предприятия, мобильные операторы, частные компании. Решение о приглашении ведущим семинаров Артамонова Владимира Афанасьевича было логичным, т.к. Владимир Афанасьевич является одним из ведущих специалистов республики в области информационной безопасности, имеющим обширный практический опыт. Также, необходимо отметить тот факт, что Владимир Афанасьевич является нашим научным консультантом по ряду выполняемых проектов.

Владимир Артамонов: Что касается непосредственно семинаров - они проходили очень живо, в формате активного диалога. По итогам 4 мероприятий мы с коллегами единодушно пришли к выводу, что тематика информационной безопасности чрезвычайно актуальна для предприятий и организация, работающих во всех сферах экономики.

– Владимир Афанасьевич, как бы вы определили компьютерную безопасность – что это в вашем понимании, насколько она пересекается с информационной безопасностью?

Владимир Артамонов: Обычно я всегда начинаю свои выступления тезисом, что информационная безопасность – это не продукт, а процесс. Требовательный, непрерывный процесс, который сопровождает системы информационных технологий всё время их жизненного цикла – от момента создания и до момента окончания её функционирования.

Второй тезис – абсолютно безопасных систем не бывает. Как сказал великий импрессионист Сальвадор Дали, «Не бойся достичь совершенства – тебе его всё равно никогда не достичь». Так и в этом вопросе: уровень безопасности не является статичным. Идёт вечная борьба «снаряда и брони» – под бронёй мы понимаем системы защиты, а снаряд – это нарушитель.

И третий момент – информационная безопасность – это процесс управления информационными рисками. Управление направлено на то, чтобы снизить уровень рисков или привести их к приемлемому уровню. Компьютерная безопасность - это только методы, с помощью которых можно уменьшить риски, и только в одном из направлений информационной безопасности – компьютерных сетях.

– А каковы мировые тенденции вы бы отметили в этой области?

Владимир Артамонов: Мы как государство не стоим на обочине прогресса и тот мировой опыт, который воплощён в международных стандартах в области информационной безопасности, достаточно быстро находит отклик у нас на уровне национальных стандартов. На сегодняшний день у нас существует более 20-ти подобных национальных стандартов.

Опыт проведения наших семинаров открыл одну любопытную деталь: целенаправленного, единого подхода, который бы базировался на использовании международного опыта и данных стандартов, нет как такового! Я полагаю, что не более 25% специалистов знакомы с состоянием дел в области стандартизации по вопросам информационной безопасности да и по вопросам ИТ в целом. Поэтому, в практической деятельности большинство изобретает велосипед.

– А какие службы представляют эти специалисты? Существуют ли выделенные отделы по ИБ или хотя бы отдельные специалисты по безопасности, или такие вопросы решают в основном администраторы, начальники ИТ-служб?

Владимир Артамонов: Этот вопрос в наших диалогах со специалистами был одним из самых интересных. В каждой организации – по-разному. Существуют международные рекомендации и стандарты, которые предписывают, что служба информационной безопасности должна быть подчинена напрямую высшему руководству организации. Безопасность всегда вносит дополнительные ограничения, дополнительные хлопоты, которые не всегда отдельным специалистам хочется выполнять. И политика безопасности в организации должна предусматривать довольно серьёзные обязанности, ограничения, ответственность сотрудников – от рядового до высшего руководства.

– Какие вы видите основные проблемы в Беларуси, связанные с компьютерной и информационной безопасностью?

Александр Василевский: Большой проблемой является отсутствие на многих предприятиях комплексного подхода к вопросам информационной безопасности – решаются локальные задачи по принципу «пока гром не грянет мужик не перекрестится». Но, как все мы прекрасно знаем, предупреждение проблем является более эффективным, чем устранение возникающих последствий.

Владимир Артамонов: Проблемой является обоснование и планирование затрат на информационную безопасность. Зачастую, службы безопасности не могут достаточно четко обосновать и убедить руководство в целесообразности тех или иных расходов на ИТ-безопасность.

Есть некоторые пробелы в законодательстве, в экономических вопросах. Например в отличие от, скажем, затрат на противопожарную безопасность, которые можно отнести на себестоимость продукции, затраты на ИБ, к сожалению, могут идти только в счёт прибыли – и это краеугольный камень.

К тому же, сейчас многое зависит от принятия нового закона "Об информатизации и защите информации" – это фундаментальный документ, который многое поставит на свои места. В законодательстве хватает пробелов относительно вопросов, связанных с информационной безопасностью.

Из менталитета руководителей отмечу непонимание остроты этих процессов при управлении современным предприятием. Дело в том, что малое количество инцендентов, связанных с нарушением информационной безопасности, афишируется – они замалчиваются для того, чтобы организации не теряли имидж, поэтому в СМИ мы очень многого не видим.

Александр Василевский: Мы общались с представителями компетентных органов и они озвучили статистику, что практически 95% случаев с информационной безопасностью не всплывают наружу: руководство предприятия не хочет «выносить cор из избы» и пытается разобраться внутренними средствами... Часто квалификация специалистов не позволяет определить случился ли инцедент или же его не было. В случае доступа к информации, которая не была изменена или уничтожена (а «просто» скопирована), для обнаружения компрометации зачастую квалификации специалистов недостаточно. Они не понимают что инцедент случился, и только в случае очевидных последствий инцидент может быть в принципе зафиксирован.

– К тому же бытует мнение, что банку легче потерять деньги, чем получить публичный резонанс…

Александр Василевский: Вопрос репутации особенно важен для предприятий кредитно-финансовой сферы, публичных организаций, государственных органов. Им действительно проще решить вопрос, связанный с инцидентом, внутренними средствами, чем придавать его огласке.

– Мировые исследования показывают очень высокий уровень проблем в области информационной безопасности, связанных именно с инсайдерской деятельностью. Как обстоит ситуация с инсайдерством в Беларуси?

Владимир Артамонов: Проблемы есть. На наших семинарах даже шутка ходила, что «системного администратора увольнять надо очень любезно и бережно».

Андрей Мазовка, специалист по ИБ СООО «Белсек»: Выходом является комплекс программно-аппаратных решений и административных мер, направленных на разделение полномочий, чёткая фиксация обязанностей каждого из сотрудников. Зачастую на предприятиях существуют устные договорённости о функциях того или иного специалиста. Эти функции должны быть документированы.

Владимир Артамонов: Да, и ещё один вариант – ведение ролевого управления, когда каждому специалисту отводится отдельная роль. Это военная терминология, такой метод применяется при управлении важными обьектами – например, при запуске ракет, реакторов... То есть в одиночку оператор ничего не может изменить: каждый выполняет свою роль. Один выполнил свою задачу (нажал кнопку), следующий – свою (переключил тумблер) и так далее – в итоге, если последовательность действий корректная, то лишь тогда задача выполняется. Так и в информационной безопасности – если сисадмин имеет право доступа к любой информации то, конечно, система будет особенно уязвима. А если он ограничен в своих возможностях (это ролевое разделение можно организовать с помощью аппаратных и программных средств), то эти вопросы могут быть если не устранены целиком, то по крайней мере риск возникновения деструктивных последствий может быть минимизирован. Это удорожает процедуру обслуживания и управления, но, в общем-то, в итоге это оправдывает себя.

– Насколько рынок ИБ развит в Беларуси?

Владимир Артамонов: Рынок довольно узкий по той простой причине, что на нём есть лицензирование. Государственный центр безопасности информации (ГЦБИ)как орган, наделённый президентом страны полномочиями в сфере регулирования информационной безопасности выдаёт специальные разрешения и лицензии на деятельность, связанную с защитой информации, в том числе это и вопросы аудита.

Александр Василевский | Фото: IT.TUT.BY Александр Василевский: Можно констатировать, что в последнее время всё больше частных предприятий, государственных организаций, банков рассматривает вопрос о необходимости и целесообразности проведения внешнего аудита. Базируясь на результатах независимого аудита планируются дальнейшие мероприятия, направленные на совершенствование систем информационной защиты предприятий.

Приятно, что многие предприятия сейчас рассматривают инвестиции в безопасность не как затраты, а как инвестиции в сохранность своего бизнеса. Те инвестиции, которые позволят бизнесу развиваться без инцидентов, без сбоев в каких-то бизнес-процессах.

– Если говорить об информационной безопасности как многокомпонентном процессе, какие его составляющие по Беларуси выражены сильнее, а какие – слабее? Например, «антивирусы есть везде, а вот с разграничением доступа – проблема».

Владимир Артамонов: Если говорить об уровнях, составляющих ИБ, то они находятся в примерном соответствии с международными рекомендациями.

Первый уровень ИБ – это правовое обеспечение. Мы должны работать в рамках существующего законодательства и существующее законодательство должно поддерживать своими актами обеспечение ИБ.

Второй уровень – это процедурный уровень. Он обеспечивает выработку документов по стратегии и тактике обеспечения информационной безопасности. Это политики безопасности, средства и другие документы по претворению их в жизнь.

Третий уровень – административный. Если не будет всех соответствующих административных мероприятий, то будет трудно обеспечить соответствующий уровень информационной безопасности.

Четвертый уровень – обеспечение физической безопасности. Это подразумевает под собой что помещение, периметр наших зданий должен быть должным образом защищён. Какие бы хитроумные программно-аппаратные системы мы не ставили, если мы не будем закрывать все окна и двери, то придёт обычный нарушитель, откроет системный блок и унесёт винчестер – тогда грош цена нашим средствам по информационной безопасности.

Следующий уровень – уровень инженерно-физической безопасности, связанный с утечками данных по техническим каналам. Это побочное электромагнитное излучение, перехват информации через вибрацию стёкол, вентиляционные отверстия, через системы электропитания…

Ну и последний, наиболее широкий – это программно-технический уровень обеспечения ИБ. Как видим из деления, процесс комплексный. И ежели мы где-то исключаем один из уровней или допускаем перекос в ту или иную сторону, то наибольшей эффективности системы ИБ мы не достигнем – нужен баланс всех этих структур, только тогда мы получим должный эффект.

Мы в этом плане не являемся отсталой страной (хотя и в передовиках не ходим), у нас все уровни в разных организациях и ведомствах в какой-то мере закрыты. Но мы не всегда поспеваем и можем работать на всех уровнях собственными средствами. Если выработать политики безопасности мы можем, то в части программно-технических средств вопрос сложный: мы пользуемся средствами обеспечения безопасности иностранного производства. Следовательно, должна быть достаточно мощная система сертификации и испытания таких средств.

Работа в этом направлении ведется, но её недостаточно. Особенно остро стоит вопрос применения средств криптографии: и наше законодательство, и законодательства многих стран относят криптографию к продукции особого назначения, как и оружие, ядерные материалы, боеприпасы, наркотические вещества и т.д. Большинство продуктов, поставляемых на наши рынки, это продукты иностранного производства и в основном они используют криптографический материал иностранного производства.

Вопрос пикантный: крупнейший производитель оборудования для обеспечения ИБ – США. Согласно директиве президента США об управлении криптографией в обществе, все ИТ-средства с криптографическими методами подлежат вывозу за пределы таможенных территорий США лишь в том случае, если длина ключа в них не превышает 56 бит. Советский стандарт предусматривает минимум 256-битные ключи.

А по международным рекомендациям средства безопасности должны иметь открытый интерфейс, чтобы в соответствии с национальным законодательством пользователи могли установить в модуль поставщика свой криптоблок, тогда этот вопрос практически и юридически решается, мы можем достичь определённого уровня доверия к продукции... Проблема не только наша – это проблема практически всех стран, кроме, пожалуй, стран НАТО или ЕС, где используются единые системами сертификации.

Вот Россия и Украина, например, смогли добиться от Cisco установки открытого интерфейса в свои продукты, благодаря чему потребители могут пользоваться криптопровайдерами, соответствующими российским стандартам. На Украине сделали дополнительный модуль в обход основного, что снизило производительность. У нас тоже подобная работа идёт, с технической точки зрения встроить криптопровайдер несложно, но, к сожалению, вопросы сертификации у нас решают уполномоченные органы, которые не всегда достаточно быстро и эффективно работают.

– Госорганы обязаны использовать криптографические сервисы, стандартизированные и одобренные ГЦБИ, я правильно понимаю?

Владимир Артамонов: Да, они должны иметь сертификацию, именно так.

– И сколько в Беларуси имеется сертифицированных криптопровайдеров?

Владимир Артамонов: Да даже на примере электронной цифровой подписи, по-моему, 5 или 6 реализаций есть.

– Стоит ли проблема нехватки информации по ИТ-безопасности?

Александр Василевский: В настоящее время существует большое количество учебной, методической литературы, в сети Интернет можно найти материалы по IT безопасности, как правило, англоязычные. Большое количество материалов создает проблему выбора наиболее релевантных источников информации. Специалисты, работающие в сфере IT безопасности, вынуждены постоянно повышать уровень своих знаний, так как информационные технологии развиваются стремительно, практически ежедневно появляются новые угрозы. И лишь от знаний и умений специалистов по информационной безопасности зависит, будет ли в будущем предприятие или организация надежно защищена от угроз. Проанализировав отзывы участников семинаров, мы приняли решение о необходимости проведения еще ряда мероприятий как по теме «Управление информационной безопасностью», так и по практическим аспектам защиты информации, их программа будет опубликована на нашем сайте.

– Что бы вы пожелали на прощание корпоративным, индивидуальным пользователям?

Александр Василевский: Наша компания желает всем читателям IT.TUT.BY безопасного использования информационных технологий.

 

Владимир Артамонов

Действующий член (академик) Международной академии информационных технологий, доктор наук, профессор, эксперт по вопросам информационной безопасности. Принимал участие в проектах, связанных с аудитом и построением систем управления информационной безопасностью для Мингориспокома, аппарата Совета Министров РБ, Березовской ГРЭС, МАЗа и др.

СООО «Белсек»

Компания оказывает услуги по защите информации и информационных ресурсов, обладает лицензией № 01019/0026190, выданной ГЦБИ 23 июля 2007 года.

-15%
-20%
-25%
-20%
-27%
-20%
-33%
-25%
-50%
0072641