Информационная безопасность в современных системах управления организацией (на примере гостиничного комплекса «АвтоДом»)

       Наталья Храмцовская, ведущий  специалист компании ЭОС по  управлению документацией, уверена,  что ситуация в России примерно  такая же, как и в остальном  мире: «Системы и средства защиты  совершенствуются по мере роста угроз; постепенно осознается, что одними техническими средствами безопасность не обеспечить – необходим подбор кадров и работа с ними, а также комплекс организационных мер».

       Свое понимание ситуации с  безопасностью систем управления  данными озвучил и Максим Галимов, директор по перспективным исследованиям компании Directum: «ECM-система снижает риски за счет того, что, во-первых, обеспечивает защищенное хранение документа, во-вторых, предлагает проводить большую часть совместной работы над документом без вынесения его за пределы защищенной среды. Если культура согласования, обмена документами в электронном виде в рамках ECM-системы принимается организацией, то безопасность документооборота существенно повышается». По его мнению, люди в подавляющем большинстве недооценивают риски, пренебрегая ими. Наработки компании в этой области дают повод считать, что эффект от внедрения ЕСМ-системы в финансовом выражении сравним с эффектом, полученным от оптимизации процессов. «Риск утечки информации документа и его доступности нежелательным лицам хоть и не самый существенный в нашем списке, но довольно ощутимый», – полагает эксперт.

       В России отношение к секретности  информации всегда было на  самом высоком уровне. И сегодня  заказчики уделяют значительное  внимание вопросам безопасности конфиденциальных данных, однако им не хватает знаний и умений в использовании имеющихся технологических и программных средств. «В техническом плане современные СЭД обычно достаточно хорошо защищены. Однако далеко не все организации принимают надлежащие кадровые и организационные меры, и в результате становятся возможными как действия инсайдеров, так и неумышленные нарушения системы ИБ» – констатирует Наталья Храмцовская.

       Александр Бейдер полагает, что  для большинства заказчиков вполне достаточно имеющихся решений: «Современные ECM-системы предусматривают решения класса IRM либо как встроенные сервисы (например, Open Text), либо как интегрируемые в основную платформу внешние модули, в том числе третьих производителей. Подобный подход предусматривают Microsoft, ЕМС, Oracle, а также ряд других компаний». В настройках систем IRM/DRM можно установить ряд ограничений и запретов, в частности, на копирование конфиденциальных документов, работу с ними вне системы, пересылку или печать, а также управлять доступом к ним. Однако любая система защиты должна быть равноценна охраняемой информации, поэтому перед их внедрением целесообразно произвести аудит рисков, связанных с утечками данных.

     С тем, что технические возможности  СЭД способствуют поддержке конфиденциальности документации, соглашается Сергей Курьянов, директор по развитию DocsVision. Однако не все СЭД разработаны на основе достаточно гибких принципов управления безопасностью: «Все это работало бы замечательно, если бы базовым подходом к управлению доступом во многих СЭД не была бы дискреционная модель управления доступом (требующая прямого или наследуемого указания прав доступа каждого пользователя по отношению к каждому документу). Дискреционная модель унаследована СЭД из операционных систем, управляющих с ее помощью доступом к разделяемым папкам и файлам. Дискреционная безопасность недостаточно управляема, в ней очень трудно формулировать и поддерживать политики доступа, особенно контекстные. Поэтому очень часто ее просто не используют совсем, ссылаясь как раз на то, что риск кражи документа очень низкий». По мнению эксперта, в разработке более защищенных СЭД следует использовать подход на основе мандатной безопасности, рекомендуемый стандартом MoReq. Эта модель управления доступом соотносит уровень конфиденциальности документа с уровнем допуска сотрудника. Она дает преимущества в управлении, облегчает использование СЭД.

     Еще более перспективной моделью  управления, по мнению специалиста, является ролевая модель. Эта контекстно-ориентированная модель позволяет формулировать более гибкие политики доступа к информации. Эксперт заключает, что симбиоз различных моделей может дать наиболее защищенную систему безопасности информации: «Сочетание мандатной и ролевой моделей управления доступом, а также журналирование действий пользователя позволяет строить и управлять политиками безопасности, которые не мешают людям работать с документами, но сильно сужают возможности несанкционированного доступа».

     Сергей  Якимчук, руководитель центра компетенции Microsoft SharePoint компании TerraLink, уверенно заявляет, что у отечественных заказчиков практически отсутствуют требования к соответствию СЭД стандартам информационной безопасности: «Заказчики часто предъявляют требования к протоколам, по которым СЭД взаимодействует с внешними системами, а также к наличию возможности в будущем использовать ЭЦП и криптозащиту. Стандартов же в вопросах защиты от внешнего проникновения, организации защищенного доступа к данным и прочего не требует на нашем рынке практически никто».

       Несмотря на достаточно поверхностное  отношение к проблемам безопасности  данных в СЭД, наблюдаемое у  заказчиков, вендоры подобных систем  не торопятся делать вывод  о невостребованности ИБ-стандартов  на рынке. По мнению Ирины  Кубликовой, директора по маркетингу компании «БОСС-Референт», пользователи уже начинают интересоваться вопросами информационной безопасности СЭД: «Для заказчиков вопрос защищенности данных является весьма актуальным. Такие средства, как шифрование и ЭЦП, уже рассматриваются как само собой разумеющиеся». Кроме того, закон о персональных данных стимулировал пользователей к приведению своих информационных систем в соответствие с новыми требованиями, а производителей – к проведению сертификаций на соответствие требованиям ФСТЭК, считает эксперт. «Сейчас пользователи СЭД, перед которыми стоит задача приведения своих ИС в соответствие требованиям законодательства, обращаются к производителям СЭД за сертификатами на их программные продукты. Разработчики СЭД, в свою очередь прилагают усилия, чтоб подтвердить должный уровень защищенности своих решений получением необходимых сертификатов, и тем самым существенно упростить решение вопроса для клиентов», – заключает она.

       Сергей Курьянов, директор по  развитию DocsVision, замечает, что проблема безопасности в плане сохранения конфиденциальности корпоративного контента при автоматизации бизнес-процессом стоит острее, чем в случае простого хранения документов. Он объясняет это тем, что клиент автоматизирует, в первую очередь, ключевые процессы, такие, как управление договорами, поэтому и требования конфиденциальности по отношению к подобным документам и процессам выше.

       Очевидно, что развитие рынка  информационной безопасности в  СЭД неотделимо от развития  собственно самих СЭД. Эксперты  полагают, что через несколько лет российский рынок придет в соответствие с западным. К тому времени увеличится понимание руководителями предприятий важности процессов управления защитой информации. Появится спрос – появятся и предложение со стороны разработчиков, и специалисты для его реализации. Пока же вопросы ИБ волнуют только крупные корпорации, потому и разработки в этой области носят единичный характер.Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не прекращаются, а имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для успешного противодействия этой тенденции необходима стройная и управляемая система обеспечения безопасности информации (ОБИ).

     Поскольку информация является продуктом информационной системы (ИС), т.е. организационно-упорядоченной совокупности информационных ресурсов, технологических средств, реализующих информационные процессы в традиционном или автоматизированном режимах для удовлетворения информационных потребностей пользователей, то материальными объектами информационной безопасности являются элементы таких ИС:

• потребители и персонал;
• материально-технические средства (МТС) информатизации;
• информационные ресурсы (ИР) с ограниченным доступом.

     Таким образом, под информационной безопасностью далее будем понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности. Здесь важно заметить следующее:

     Объектом  защиты становится не просто информация как некие сведения, а информационный ресурс, т.е. информация на материальных носителях (документы, базы данных, патенты, техническая документация и т.д.), право на доступ к которой юридически закреплено за ее собственником и им же регулируется.

     Информационная безопасность пользователей в отличие от физической обеспечивает защищенность их прав на доступ к ИР для удовлетворения своих информационных потребностей;

     С точки зрения экономической целесообразности защищать следует лишь ту информацию, разглашение (утечка, потеря и т.д.) которой неизбежно приведет к материальному и моральному ущербу.

     Важнейшими  принципами обеспечения безопасности ИС являются:

• Законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере;
• Непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы;
• Экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации;
• Комплексность использования всего арсенала имеющихся средств защиты во всех подразделениях фирмы и на всех этапах информационного процесса.

     Последнее дает наибольший эффект тогда, когда  все используемые средства, методы и мероприятия объединены в единую управляемую систему информационной безопасности. В этом случае достигается полный охват объектов защиты (персонала, МТС информатизации и ИР) всей совокупностью форм противодействия и защиты на основе правовых, организационных и инженерно-технических мероприятий.

     В зависимости от масштаба и вида деятельности коммерческой организации структура ее СИБ может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующие основным направлениям защиты, должны быть следующие:

• Правовая защита - юридическая служба (юрист, патентовед, рацорг, оценщик интеллектуальной собственности т.п.), взаимодействующая с бухгалтерией и плановым тделом;
• Организационная защита - службы охраны (комендант, контролеры, пожарные и т.п.) и режима (государственной, служебной тайны, конфиденциальной информации и т.п.), взаимодействующие с отделом кадров;
• Инженерно-техническая защита - инженерно-техническая служба (операторы ЭВМ, связисты, криптографы, техники и т.п.), взаимодействующие с функциональными подразделениями фирмы.

     Объединяющим  и координирующим началом всей СИБ  является ее начальник в ранге  заместителя руководителя фирмы  по безопасности, опирающийся в своих  действиях на решения Совета безопасности, объединяющего начальников соответствующих  служб и возглавляемого ответственным руководителем фирмы.

     Функционально СИБ строится в виде перекрывающихся "концентрических" контуров защиты по отношению к внешним угрозам, в центре которых располагается  объект защиты. При этом "внешним" контуром (большего "радиуса") является контур правовой защиты, обеспечивающий законность и правомерность как самого объекта, так и мер по его защите. Далее следует контур организационной защиты, обеспечивающий порядок доступа к объекту, который непосредственно защищается "внутренним" контуром инженерно-технической защиты путем контроля и предотвращения утечки, НСД, модификации и потери информации.

     Такое построение СИБ позволяет существенно  локализовать техническую защиту и  сократить расходы на нее вследствие правовой "селекции" объектов защиты и организации ограниченного доступа к ним.

     Описанный выше процесс по сути является процессом  управления информационной безопасностью  объекта и реализуется системой управления, включающей в себя помимо самого управляемого (защищаемого) объекта, средства контроля за его состоянием, механизм сравнения текущего состояния с требуемым и формирователь управляющих воздействий для локализации и предотвращения ущерба вследствие угроз. Критерием управления в данном случае целесообразно считать минимум информационного ущерба при минимальных затратах на ОБИ, а целью управления - обеспечение требуемого состояния объекта в смысле защищенности.

     Разработка  структуры системы управления информационной безопасностью СУИБ, как и любой  другой системы управления, основывается на трех базовых принципах управления:

     Принцип разомкнутого управления. Заранее сформированные требования реализуются исполнительными  органами СИБ, воздействуя на объект защиты. Достоинством является простота, а недостатком - низкая эффективность  защиты, т.к. трудно заранее предугадать момент воздействия и вид угрозы;

     Принцип компенсации. В контур управления оперативно вводится информация об обнаруженной угрозе, в результате чего исполнительные органы СИБ концентрируют свои усилия на локализации и противодействии конкретной угрозе. Достоинством является более высокая эффективность, а недостатками - трудность правильного обнаружения угрозы и невозможность устранения последствий внутренних угроз.

     Принцип обратной связи. Обнаруживается не сама угроза, а реакция системы на нее и степень нанесенного ущерба. Достоинством является конкретность и точность отработки последствий угроз (экономическая целесообразность), включая и внутренние. Недостатком является запаздывание (инерционность) принимаемых мер, т.к. обнаруживается не предполагаемая угроза, а уже реакция на нее.