100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №46 "Снижение класса защиты ИСПДн приведет к снижению затрат на защиту персональных данных"25.06.2009 12:43 Миф №47 "80% всех нарушителей находятся внутри организации"26.06.2009 13:37 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №46 "Снижение класса защиты ИСПДн приведет к снижению затрат на защиту персональных данных"25.06.2009 12:43
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
В европейской директиве 95/46/ЕС от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» в 17-й статье говорит о том, что защитные меры должны зависеть от природы персональных данных, технологии их обработки, масштаба ущерба для них, а также стоить адекватных денег. Иными словами, чем меньше ущерб субъектам персональных данным, тем ниже должны быть затраты на их защиту. Это логично и является одним из основополагающих принципов построения системы защиты («стоимость системы защиты не должна превышать стоимость защищаемой информации»).
В отечественных документах, определяющих требования по защите информации, этот принцип не просто нарушен, он полностью упущен. Согласно нормативным актам ущерб определяет не субъект ПДн, а оператор ПДн. Но даже в этом случае, информация об ущербе никак не учитывается при выборе средств защиты. В руководящем документе ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», определяющем защитные мероприятия и используемые средства обеспечения информационной безопасности, перечислены эти меры и технологии в привязке к классу информационной системы персональных данных, который в свою очередь вычисляется на основании только двух параметров - категория персональных данных и их объем. Ни слова про ущерб субъектам ПДн. В итоге мы получаем парадоксальную ситуацию - социальная сеть, в которой сотни тысяч пользователей сами раскрывают свои персональные данные и не сильно заботятся об их защищенности, должна выполнять требования более жесткие, чем поликлиника, утечка ПДн пациентов из которой может привести к гораздо более серьезным последствиям.
Но дело даже не в этом. По логике вещей стоимость защитных мер должна расти от низшего класса ИСПДн к высшему, от 4-го к 3-му. В теории это именно так и работает, т.к. к информационным системам персональных данных старших классов предъявляется больше требований по защите, чем к низшим. На практике же стоимость защитных мер меняться практически не будет. Проиллюстрирую это на ряде примеров.
При подключении ИСПДн к сетям общего пользования (например, Интернет) требуется использовать межсетевой экран (МСЭ). Для ИСПДн 3-4 классов рекомендуется использовать МСЭ не ниже пятого класса защищенности, для ИСПДн 2 класса - МСЭ не ниже четвертого класса защищенности, для ИСПДн 1 класса - МСЭ не ниже третьего класса защищенности. Все в принципе логично, если бы не одно «но». В России практически нет МСЭ 5-го класса. А при сертификации существующих экранов все стремятся получить 3-й класс, чтобы увеличить сферу применения своего продукта, не ограничивая ее только сегментом персональных данных. Иными словами, один и тот же продукт будет использоваться и для защиты ИСПДн старших, и для защиты ИСПДн младших классов. Где же экономия?
Возьмем другой тип защитных средств - системы защиты от несанкционированного доступа. К их числу можно отнести такие средства как Secret Net, Аккорд, Панцирь, Броня и т.п. Они тоже практически не дифференцируются в зависимости от класса ИСПДн. Если мы возьмем, например, Secret Net 5.0, то цена решения будет одной и той же и для ИСПДн 4-го класса и для ИСПДн 1-го класса. Аналогичная ситуация и с антивирусами. Если мы выбираем между сертифицированными решениями (а иные использовать мы не можем), то для каждого антивирусного производителя выбор опять ограничивается только одним продуктом, подходящим для любого класса ИСПДн.
И так, практически по каждому типу защитных средств. В итоге мы приходим к тому, что какой бы класс ИСПДн мы себе не выбрали, средства защиты для них будут одними и теми же, а значит уменьшить затраты мы не сможем.
Миф №47 "80% всех нарушителей находятся внутри организации"26.06.2009 13:37
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Это один из самых старых мифов в области информационной безопасности. Я помню, что еще в начале 90-х годов в отечественных статьях приводилась статистика о том, что соотношение внутренних нарушителей к внешним равно 80/20 в пользу первых. Откуда появилась эта статистика уже никто не помнит; возможно, из ежегодного отчета Института компьютерной безопасности и ФБР (ссылка скрыта). И все к ней так «привыкли», что уже даже никто не задумывается, а правда ли это в сегодняшнее время.
PricewaterhouseCoopers и Министерство торговли и индустрии Великобритании, проводя шестой ежегодный опрос британских бизнесменов «Information Security Breaches Survey 2002» выяснили, что в конце 90-х - начале 2000-х годов произошло серьезное изменение бизнес-среды - у компаний появились свои сайты, операции стали все чаще проводиться через Интернет, возросла роль Интернет-коммуникаций, сети стали открытыми для партнеров и клиентов, периметр стал нечетким. Все это привело к коренному изменению картины нападений. Соотношение внутренних и внешних нарушителей стало 34/66 не в пользу внутренних злоумышленников. Похожий результат был отмечен в отчете CBI Cybercrime Survey 2001, где только 25% организаций идентифицировали своих нынешних или бывших сотрудников как основную угрозу компьютерным системам. В том же году отчет «2001 CSI/FBI Computer Crime and Security Survey» зафиксировал, что 70% компаний считают свои Интернет-подключения основной точкой приложения атак и только 31% рассматривают внутренние системы, как приоритетное направление хакерских действий.
Однако, даже это не является фактом и использовать общую статистику тоже не совсем правильно. Очень важно учитывать множество параметров - масштаб бизнеса, уровень использования Интернет-технологий, уровень зрелости компаний, культура безопасности и т.д. Представьте себе небольшой Интернет-магазин. Число его сотрудников не превышает одного человека - больше просто не надо. Могут ли быть у него внутренние угрозы? Будет ли владелец Интернет-магазина воровать у самого себя? Для крупного бизнеса ситуация чуть иная. В частности, согласно отчету ISBS 2002, в крупных компаниях внутренняя угроза проявляется чаще, чем в предприятиях среднего и малого масштаба. Но в любом случае и о соотношении 80/20 говорить не приходится.
Рис. 1. Источник угрозы для предприятий разного масштаба
В 2004-м году ситуация практически не изменилась. Доля внутренних угроз для малого бизнеса осталась неизменной, а внешних упала до 53%. Для среднего бизнеса соотношение внутренних угроз к внешним будет 46/43, а для крупного - 44/38. Последний отчет ISBS 2008 вновь подтвердил, что угроза снаружи для большинства компаний происходит чаще.
Отчет «2009 Data Breach Investigations Report», опубликованный компанией Verizon показал, что ситуация за 5 лет еще больше изменилась, но опять не в пользу внутренних нарушителей. В 74% случаев источников инцидентов с ИБ были внешние причины и только в 20% - внутренние. Еще в 32% источником стали партнеры по бизнесу, имеющие доступ в корпоративную сеть, и к которым можно отнести поставщиков, клиентов и т.п. Надо заметить, что по статистике Verizon, ведущейся с 2004 года, внешняя угроза постепенно спадает - с 91% в 2004 году до 74% в 2008. Внутренняя угроза же растет, но тоже не семимильными шагами - от 13% в 2004-м году до 20% в 2008.
Что мы в итоге видим? Соотношение 80/20 в пользу внутренних угроз не наблюдается уже много лет, а распространенное мнение о том, что большинство угроз исходит изнутри, не соответствует действительности. Хотя, конечно, и сбрасывать их со счетов ни в коем случае не стоит.