|
|
  |
Главная страница / Архитектура отрасли Аудит безопасности информационных сетей : информационная безопасность : оценка защищенности : 2КОМСегодня, при нарастающем количестве сетевых атак, в период появления новых, ранее невиданных по степени наносимого ущерба вирусов, каждый руководитель должен задать своим IT-менеджерам и специалистам по информационной безопасности всего один вопрос: «Насколько защищена наша информационная система?» Ответ на него является тем самым «тонким» местом, которого обычно стараются избегать специалисты по безопасности в отчетах руководству, ссылаясь на невозможность оценить реальное состояние собственной системы. Действительно, оценить защищенность информационной системы достаточно сложно, но, как известно, можно. Компания 2КОМ берется доказать всем руководителям, что зачастую они не имеют реального представления о состоянии защищенности IT-структуры компании, а показать истинную картину ее защищенности может только независимый аудит. Cегодня существует целый ряд в основном качественных методов оценки уровня защищенности информационных систем. В России сложилась практика применения экспертных оценок, когда аудитор ограничивается оценкой текущего уровня защищенности и выработкой рекомендаций по его повышению в соответствии с результатами экспертизы и собственными критериями. В общем-то, это нормальная практика, когда компания доверяет мнению эксперта. Компания 2КОМ одна из первых в Москве всерьез занялась вопросами сетевой безопасности, дополнив перечень предоставляемых услуг еще и инструментальным аудитом безопасности, когда реальные системы в реальной среде тестируются на возможность проникновения. О первых результатах проведения независимого аудита рассказывает генеральный директор компании Александр Хенкин. «Перед началом проведения аудита мы выделили следующие основные группы потенциальных пользователей, которым эта услуга может быть интересна: • dial-up – самая многочисленная группа пользователей, однако с ними очень сложно работать. Более того, практически невозможно провести аудит dial-up-пользователя в силу того, что процедура на той скорости должна будет занимать 30–40 минут. За dial-up платит сам пользователь, причем именно за время, то есть ему просто невыгодно пользоваться независимым аудитом в таком виде; • «домашние сети» – у нас более 3,5 тыс. собственных пользователей, подключенных по технологии Ethernet-доступа. Здесь ситуация с проведением аудита более чем благоприятная: есть лояльность пользователя – от него требуется только включить компьютер и никаких ресурсов, оплачиваемых пользователем, не расходуется. Поэтому мы провели в первую очередь именно аудит пользователей домашних сетей; • выделенные линии – подключение в офисах и на предприятиях. Потенциально именно эта группа пользователей должна быть наиболее заинтересована в проведении аудита собственной инфраструктуры, однако практика показала здесь неожиданные результаты. На примере проведения аудита домашних сетей мы смогли получить картину информационемых пользователей достаточно велика, то можно говорить о некоторых закономерностях для данного сегмента рынка интернет-доступа. Естественно, что пришлось сломать некоторые психологические стереотипы – пользователь не всегда понимает, зачем все это нужно. В определенном смысле, убедить «помогли» недавние вирусные атаки на почту, представлявшие действительно реальную опасность для незащищенных должным образом компьютеров. Процесс пошел, и уже сейчас можно говорить о том, что именно в домашних сетях независимый аудит приживется как услуга, имеющая для пользователя большую практическую ценность. У нас сложилось впечатление, что на 90% компьютеров операционная система установлена, что называется, по умолчанию. Это означает, что с момента установки на машину дистрибутива никаких специальных мер защиты не предпринималось – настолько неразумно относится пользователь к собственной безопасности. Зачастую открыты те порты, которые обычному пользователю вообще не нужны, и именно через них может быть реализовано большое количество разнообразных атак. Очень тревожная ситуация с пользователями выделенных каналов. Не побоюсь сказать, состояние безопасности офисных систем, которые мы смогли просканировать извне, просто ужасно. Причем ситуация одинаково плоха и для Windows, и для Unix-машин. В этом смысле все равны. Впечатление создается такое же: как дистрибутив поставили года два назад, так все и стоит по умолчанию, и никаких шагов по безопасности никто не предпринимал. Нас очень беспокоит такое положение вещей: ведь зачастую владельцы компаний, использующих выделенные каналы, просто не знают о столь плачевном состоянии собственных систем. Так сложилось, что «сисадмины» склонны скрывать правду от работодателей, а независимых источников информации на эту тему у руководителя просто нет. В подобной ситуации спасением может быть только проведение независимой экспертизы – аудита безопасности. Это поможет не только выявить существующие проблемы, но и создать, а затем реализовать план действий по их решению. И наши специалисты могут не только поставить «диагноз», но также назначить и провести необходимое «лечение». Мы открыли в Интернете сайт () на котором можно заказать БЕСПЛАТНЫЙ аудит вашей информационной системы, а по результатам аудита мы предложим вам набор решений по защите вашей сети». «Не стреляйте в «сисадмина», он делает то, что умеет»? Итак, аудит безопасности помогает выявить не только технические, но и, исходя из вышесказанного, некоторые административные проблемы. Вопросы квалификации, степени ответственности системных администраторов уже давно тревожат топ-менеджеров. Все претензии руководства к IT-персоналу, обслуживающему сетевую инфраструктуру компании, можно свести к одному: нет рычагов контроля проводимых (не проводимых) работ. Ведь узнать о реальном состоянии системы можно только от самого же системного администй круг, нужно и важно использовать внешний аудит безопасности. Это поможет вовремя диагностировать тревожные симптомы и составить перечень работ, которые IT-персонал будет просто обязан осуществить и отчитаться о выполнении перед руководством. Кого защищает провайдер? Еще один серьезный момент, «всплывший на поверхность» благодаря затронутой «Компанией 2КОМ» теме сканирования выделенных каналов. Московские провайдеры в большинстве своем не готовы пустить независимых экспертов к своим клиентам для оценки состояния безопасности их информационных систем. Это может означать только одно: провайдерам невыгодно показывать клиенту состояние его же системы. Вдруг клиент испугается и увидит, что все плохо, и, соответственно, откажется от услуг доступа? При этом обеспечивать безопасность клиентов сами провайдеры тоже не готовы. Кто же должен позаботиться о безопасности? Совершенно верно: сам клиент. Единственный путь – воспользоваться внешним аудитом, инициируя его именно со стороны клиента. Руководителям есть над чем задуматься: реально защитить себя может только сама компания, не доверяя обещаниям провайдера «решить все проблемы». В ожидании грома Есть очень хорошая русская пословица, образно отражающая ситуацию с безопасностью информационных систем в компаниях. «Пока гром не грянет..», правильно – мужик не перекрестится. Все дело в том, что «гром» в этом случае для компании, а точнее, важных для бизнеса данных и информационных ресурсов, равносилен смерти. Нельзя доводить ситуацию до этой стадии. После проведения аудита информационная система компании становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности и т. д. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для соответствия принятым стандартам. И тогда уже никакой гром не страшен. Главная страница / Архитектура отрасли |