Как известно, в России до сих пор нет целостного подхода при проведении аудита, внедрении систем управления идентификации и контроля доступа информсистем. Не всегда защищают и устаревшие межсетевые экраны. Есть проблемы при обмене информацией между регионами. А кто не использует новейшие методики проверки и средства защиты, тот заведомо проигрывает



Во многих западных и российских фирмах аудит информсистем становится частью финансового аудита. Скажем, в банках достоверность отчетности целиком зависит от информбезопасности. Не все банки, компании готовы давать информацию некой внешней организации по аудиту, хотя существует стандарт Хоббит, метод Октейв по анализу рисков и другие.

Увы, порой компания заказывает аудит, не предоставляя подрядчику никакой информации о своей системе (`Черный ящик`). Куда предпочтительнее метод `Белый ящик` - информация предоставляется, полная или частичная...



`Черный` аудит

понемногу сменяется `белым`

По мнению эксперта по информбезопасности компании IBS Ивана Личманова, выступавшего на ежегодном Международном форуме `Охрана и безопасность` в Ленэкспо, опасны как недостаточные, так и избыточные средства защиты. Последние лишь ухудшают информсистему.

Бывает, защита недостаточна и не противодействует угрозам. Опаснее же всего нарушения конфиденциальности, целостности и доступности. Риски могут оценивать количественно, что очень трудоемко и не всегда точно (время простоя сервиса, денежный ущерб), и качественно (высокий, средний, низкий, 5-10-балльная шкала, но так сложнее оценить бюджет информбезопасности).



Все ваши данные

на одной карте

Специалист по информбезопасности компании Шлюмберже (консалтинг нефтегазодобывающей промышленности и информтехнологий, информпартнер Олимпийских игр до 2008 г.) Сергей Никитин полагает, что в корпоративной системе управления удостоверениями идентификация сотрудников фрагментирована и разнесена по нескольким системам, сетевым доменам.

Есть система физического доступа (пропуска и карты), отдел кадров (карточки учета времени) и унаследованные системы терминального доступа к разным приложениям. Основная причина неэффективности работы этой системы - отсутствие целостного подхода...

Сотрудник, устраиваясь на работу, тратит несколько дней на сбор справок, получение пропусков, паролей. То же самое ожидает его при увольнении. При этом несвоевременность поступления информации от одного отдела к другому порой приводит к тому, что уже уволенный сотрудник может воспользоваться паролем и причинить ущерб компании. Возникают потери...

Управление удостоверениями особенно важно, когда в компании работают свыше сотни, тысячи человек. Возможны большие проблемы, если нет смарт-карты, подобной той, что предлагает Шлюмберже. На ней есть фото, ФИО, чип бесконтактного доступа в офисы компании - и смарт-чип с удостоверяющими его сертификатами, позволяющими шифровать информацию и пользоваться правом подписи. Такая концентрация в одной карте весьма удобна.

На рынке все более распространяется и биометрическая аутентификация пользователей - по отпечаткам пальцев, к примеру. Компания Шлюмберже предложила системы выпуска смарт-карт, управления ими, а также паролями. В более современных системах смарт-карт, скажем, криптофлексе и других, возможно интегрировать чип бесконтактного доступа.



`Стелс` против хакеров:

1 : 0 в пользу первых

Генеральный директор НПО `Руснет` Владимир Заборовский выступил с сообщением о сертифицированных межсетевых экранах с использованием технологии `Стелс`.

`Руснет` предлагает свое решение `Стелс` - межсетевые экраны, невидимые в сети. Их нельзя атаковать, легко внедрить в существующую систему. Решения сертифицированы: специализированные сетевые процессоры вообще без адресов, работают как сегменты кабеля.

У `Руснета` в Петербурге около 2 тысяч точек подключения как провайдера. Нельзя управлять таким `устройством`, когда выход его из строя прерывает работу сервиса. Очевидно, что создание вычислительных спецкластеров, очень распространенных в линекс-приложениях, - магистральный путь.



Скрестить удостоверяющие центры разных уровней

По словам гендиректора ЗАО `Удостоверяющий центр` Георгия Афанасьева, при работе госорганов в конкретных округах выяснилось, что ключевая задача при преодолении цифровых барьеров - даже не шифрование данных, а обеспечение легитимной идентификации.

Если сосредоточиться на построении инфраструктуры ЭЦП (электронной цифровой подписи), то причины рассогласования - в несовместимости технологий. Нужно выделить три части информсистемы: прикладное ПО, криптографию и сертификаты ЭЦП.

Несогласованность политики внедрения ЭЦП - это дублирование траты госсредств на параллельное создание десятков ведомственных удостоверяющих центров и выдачу наборов ЭЦП одним и тем же юридическим лицом. В итоге одно ведомство предлагает другому установить у себя то же средство, что установлено у него, чтобы обмениваться данными, но второе ведомство уже потратилось на собственную систему и не желает начинать с нуля. А пользователь обременяется дополнительным `налогом` на приобретение специфичных средств для общения с каждым ведомством...

Причина - принятие ведомственной модели таких центров. Между тем крупные удостоверяющие центры, поддержанные президентской линией власти в округах, работают по иной модели - окружной. Они не продвигают отдельные криптоалгоритмы, работают исключительно с сертификатами ЭЦП. Подход к выбору модели очень важен, потому что если государственные ведомства не договорятся, это отразится на пользователях госуслуг, отчего упадет престиж госсектора в целом.