| |
Обзор подготовлен |
При поддержке |
|
|
Мишель Мур: Руководство обязано обеспечить эффективность контрольных процедур
В интервью CNews.ru эксперты компании «Эрнст энд Янг» рассказали об аудите систем информационной безопасности, методах и средствах анализа и управления рисками. На вопросы корреспондента ответили Мишель Мур, партнер компании «Эрнст энд Янг», руководитель отдела услуг по информационным технологиям и компьютерной безопасности, и Николай Петров, CISSP, менеджер отдела услуг по информационным технологиям и компьютерной безопасности.
CNews.ru: Какие области, на ваш взгляд, требуют наибольшего внимания со стороны аудитора информационных систем в связи с ужесточившимися требованиями к финансовой отчетности компании?
Мишель Мур: Согласно принятому в 2002 году закону Сарбейнса-Оксли, требования которого распространяются на все компании, котирующиеся на фондовых рынках, независимо от того, образованы ли они в США или в других странах, отчет о системе внутреннего контроля компании должен содержать формулировку ответственности руководства за создание и обеспечение работоспособности соответствующей структуры внутреннего контроля, а также оценку эффективности проводимых процедур. Поскольку информационные технологии играют в современных компаниях лидирующую роль в процессе подготовки финансовой отчетности, необходимо уделять большое внимание аудиту информационных систем и наличию эффективных контрольных процедур. Большая часть из тех проблем, которые должны быть адресованы аудиторам в соответствии с Законом (SOX ст.302 и 404), относится к области общих компьютерных контрольных процедур. Они обусловлены недостаточно полно проработанным дизайном информационных систем или отсутствием ключевых контрольных механизмов и процедур.
CNews.ru: Каковы в этой связи ваши рекомендации руководителям компаний?
Мишель Мур: Анализируя проблему неэффективности контроля, которая означает потенциальную уязвимость компании, мы видим тревожную картину. Большинство выявленных недостатков относится к сфере информационных технологий, и в частности, общих контрольных процедур. Данный факт вызывает озабоченность, поскольку информационные технологии оказывают влияние на различные сферы бизнеса и требуют значительных усилий и финансовых затрат на создание эффективных механизмов контроля.
Руководители компаний должны своевременно планировать работу по оценке контрольных процедур в области информационных технологий с тем, чтобы заложить в бюджет соответствующие меры по исправлению обнаруженных недостатков. Таким образом, необходима четкая координация между работами, выполняемыми в области информационных технологий, и работами в области ведения бизнеса.
CNews.ru: Как избежать избыточности при планировании средств и мер по обеспечению корпоративной информационной безопасности?
Николай Петров: Для этого мы рекомендуем менеджменту компании разработать и утвердить 2 стандарта. Во-первых, стандарт классификации данных по степени конфиденциальности, который описывает собственно принципы их классификации и применяемые категории конфиденциальности. Классификация данных выполняется путем решения двух задач сначала по выявлению имеющихся данных и присвоению им степени конфиденциальности, а затем по формулированию правил обращения с ними. С целью достижения оптимального уровня защиты, вся имеющаяся информация делится на группы, каждой из которых приписан свод правил по обращению с информацией.
Например, информация общедоступная или публичная может передаваться за пределы компании, в том числе в СМИ. Ее разглашение не дает преимущества конкурентам, не может иметь нежелательных последствий для компании, не нарушает требований законодательства и имеющихся договорных обязательств компании. Соответственно, данная информация не требует специальных мер защиты. Тем не менее, она является собственностью компании, которая должна контролировать пути ее разглашения и/или использования. При этом все сотрудники, независимо от наличия производственной потребности, могут иметь к ней доступ. Примерами подобного рода информации могут служить официальные годовые отчеты, маркетинговые брошюры, официальные прайс-листы или опубликованные пресс-релизы.
В группу для внутреннего использования попадает информация, доступ к которой предоставляется только при производственной необходимости. Несанкционированное разглашение этой информации может иметь несущественные отрицательные воздействия на имидж компании или финансовые последствия. В данную категорию входят все виды неклассифицированной информации, например, внутренняя политика, телефонный справочник или организационная структура.
Конфиденциальной считается информация, разглашение которой может привести к снижению конкурентоспособности компании, существенным финансовым потерям, возникновению претензий к компании третьих лиц, нарушению законодательства, а так же оказать заметное отрицательное воздействие на имидж компании. Доступ к этой информации предоставляется только при производственной необходимости, при этом она не может быть передана за пределы компании без разрешения владельца или высшего руководства компании. Примером такой информации служат контракты, отчеты консультантов, отчеты компании до опубликования.
К строго конфиденциальной относится информация, разглашение которой может привести к огромным финансовым потерям, потери конкурентного преимущества и/или серьезно скомпрометировать компанию в глазах общественности. К данной информации имеет доступ узкий круг сотрудников, причем каждый случай доступа должен быть зафиксирован. Эта информация не может быть передана за пределы компании без разрешения высшего руководства компании. Ее примерами являются, например, стратегические планы, ключи шифрования или ноу-хау.
Очевидно, что для всех перечисленных групп информации требуются различные способы защиты и обращения. Обычно мы предоставляем рекомендации в области методов защиты классифицированных данных различных категорий, средств защиты при передаче классифицированных данных, маркировки и хранения классифицированной информации, а также касательно порядка уничтожения носителей с классифицированными данными и правил обращения с классифицированной информацией.
Во-вторых, компании необходим стандарт управления рисками документ, определяющий методику оценки рисков с целью определения угроз для информации компании и систем, используемых для ее обработки, хранения и передачи. Стандарт позволяет рассчитать риск реализации этих угроз, а также выработать рекомендации по соответствующим контрмерам и средствам защиты с целью снижения вероятности реализации угрозы например, сократив уязвимые места. Достичь абсолютной безопасности, обеспечивающей защиту от всех угроз, практически невозможно, и такой подход нельзя назвать эффективным. В связи с этим необходим метод, который позволил бы сбалансировать убытки от нарушения безопасности и затраты на внедрение средств контроля. Типичные риски, интересующие клиента, включают, например, утечку конфиденциальных данных, нарушение их целостности, потерю данных, а также нарушение бизнес-процессов.
Необходимо отметить, что наличие данных стандартов в компании необходимо для соответствия требованиям закона Сарбейнса-Оксли.
CNews.ru: Что представляет собой процесс аудита систем информационной безопасности?
Николай Петров: Информационные риски это особая область, требующая постоянного внимания. Такие риски могут включать в себя целенаправленные действия хакеров, имеющих целью получение конкретной информации или нарушение конкретных рабочих процессов предприятия, либо же действия хакеров-любителей, проникающих в системы компании или вызывающих сбои в процессе обработки информации. Также это могут быть действия недовольных сотрудников, направленные на проведение преднамеренных системных атак, например, с целью организации отказов в обслуживании, либо на кражу конфиденциальной информации. Кроме того, под риски подпадают случайные действия пользующихся доверием сотрудников с официальными, но чрезмерными системными правами, в результате которых они получают доступ к конфиденциальной информации или вызывают сбои в рабочих процессах.
Суть аудита состоит в выявлении уязвимых мест в системах защиты, анализе организации, правил и процедур информационной безопасности, а также в разработке плана действий для ликвидации выявленных уязвимых мест. Мы предлагаем подход, уделяющий основное внимание процедурам, связанным с интернетом, внутренней сетью, коммутируемым и беспроводным доступом, а также правилам и процедурам в области ИТ и их общей организации. Такой аудит может быть как разовым, так и проводимым до и после внедрения корпоративных стандартов информационной безопасности и технических средств защиты.
CNews.ru: Какова стоимость аудита систем информационной безопасности и из чего она складывается?
Николай Петров: В консультационных компаниях стоимость любых работ складывается из количества часов сотрудников, необходимых для качественного выполнения проекта, умноженных на часовые ставки. Так как потребности клиентов бывают разные, то и стоимость каждого проекта уникальна. Например, за последние 3 года мы участвовали в десятках работ по тестированию информационных систем клиентов. Это так называемые тесты на проникновение или «ethical hacking», при проведении которых мы оценивали защищенность со стороны пользователя интернета, корпоративной сети, коммутируемых соединений (решения удаленного доступа к корпоративной сети) и беспроводного доступа (Wireless). Стоимость услуг составляла от 15 до 100 тысяч долларов США.
CNews.ru: Какие методы оценки угроз применяются специалистами вашей компании при аудите систем информационной безопасности? Какие инструментальные средства вы используете?
Николай Петров: Наши методики описаны в ряде книг под названием «Секреты Хакеров». Три человека, их написавшие, в прошлом сотрудники американского офиса компании «Эрнст энд Янг»(Стюарт Мак-Клар, Джоел Скембрей, Джордж Курц) . Хотя они и не описали все методы, которые мы используем, информации в указанных книгах вполне достаточно для консультанта в области информационной безопасности. Ведь до публикации такие методики можно было узнать, только посетив специализированный курсы «Эрнст энд Янг» «Extreme hacking», проводимые в США, Европе, ЮАР и Австралии.
Относительно инструментальных средств могу сказать, что в основном они бесплатные (freeware), многие специализированные средства написаны нами самими. Также мы используем коммерческие продукты, например, L0phtCrack, N-Stealth, Phonesweep, Amecisco IKS и т.д.
CNews.ru: Какими факторами руководствуются компании-клиенты при выборе фирмы, предлагающей услуги аудита систем информационной безопасности?
Николай Петров: Во-первых, это репутация. Ведь из-за того, что проекты в области информационной безопасности подразумевают работу с «конфиденциальными данными» клиентов, отсутствие репутации является «камнем преткновения» для получения контрактов на такие услуги. Во-вторых, важно наличие квалифицированного персонала с опытом проведения подобных проектов.
CNews.ru: Спасибо.
|
|