19 октября 2012 г.

Светлана Фролова, руководитель службы информационной безопасности компании «Онланта»

На портале Bankir.Ru недавно появилась статья Киры Аккерман «Да все у нас в порядке!», в которой есть такой фрагмент: «Валерия Чернецова прокомментировала, что выведение IT-процессов на аутсорсинг является одной из самых трудных задач, так как высоки риски утечки информации, разглашения банковской тайны и персональных данных клиентов». (Валерия Чернецова, руководитель отдела аналитики рекрутингового портала Superjob.ru).

В этой короткой фразе сформулирована, пожалуй, одна из наиболее распространенных фобий, связанных с ИТ-аутсорсингом – боязнь утечки информации, то есть передачи ее тем, кому ее передавать не положено, или нежелательно.

Действительно, во всем мире утечки ценной информации наносят огромный вред, приводя к потере и репутации, и денег. Искоренить это зло не в состоянии даже самое совершенное законодательство и судебные иски – закрытая информация утекает, как вода сквозь пальцы.

Когда речь заходит об утечках информации, многим руководителям компаний мерещатся толпы зловещих хакеров, осаждающих их сеть с применением изощренных приемов взлома. Да, они действительно есть, их называют внешними злоумышленниками. Насколько они страшны?

Технические аспекты

На самые современные средства взлома всегда находятся такие же современные средства защиты. Соревнование между ними идет непрерывно, и в этой борьбе совершенствуются средства защиты. Это и межсетевые экраны (firewall), и средства предотвращения и обнаружения вторжений, выявляющие не только попытку атаки, но и подозрительную активность, которую лучше остановить. Это и системы логирования, оповещающие администраторов безопасности о необходимости вмешаться. Это и установленные в специальных защищенных помещениях средства защиты речевой информации, обеспечивающие проведение конфиденциальных переговоров. Рынок средств защиты огромен и охватывает даже средства обнаружения и нейтрализации прослушивающих и прочих «ненужных» устройств. Однако на право применять некоторые средства защиты информации нужна соответствующая лицензия, но если ее нет, можно заключить договор с компанией, которая эти работы выполнит. В значительной степени страхи по поводу взлома «извне» излечимы «техническими средствами», но это стоит немалых денег.

Человеческий фактор

Статистика показывает: «извне» информацию крадут только в 5% случаев. К сожалению, человеческая жадность и глупость вечны, как вселенная, поэтому остальные 90–95% случаев утечек информации происходят по вине и при участии сотрудников компаний.

Можно защититься от краж «из жадности» техническими средствами – отключить на компьютерах usb-порты, ограничить доступ к информации средствами операционной системы или специальными программами, установить систему логирования действий пользователей (кто, что и когда читал, печатал, правил) и тому подобное. Можно даже запретить пользоваться мобильными телефонами, чтобы не делали фото с экрана, следить в режиме online за изображением на дисплеях сотрудников и попытками скопировать информацию. Можно многое, но сколько это будет стоить да и поможет ли на 100%? Проще всего украсть информацию администраторам, которые обслуживают системы защиты, и которых мало кто может проконтролировать. Кроме того, кражу могут совершить легально допущенные к обработке информации сотрудники. Есть ли гарантии того, что администраторы, с которыми они, например, вместе курят, «по дружбе» не ослабят для них систему защиты? Да, можно подписать с сотрудниками соглашение о неразглашении, но максимум того, что им грозит за его нарушение – увольнение. Можно, конечно, обратиться в суд, но факт кражи сотрудником нужно доказать. А сделать это очень тяжело.

Если с жадностью можно как-то бороться, то глупость практически непобедима. Сколько раз, в лифте, в курилке, в столовой вы слышали, как сотрудники обсуждают свои рабочие вопросы и проблемы? А что вы обсуждаете дома, по телефону? Что отвечаете на вопрос «как дела»? Часто ли вы оставляете на столе и в принтере важные документы, флэшки? Живой пример из моего опыта: государственная организация, двери кабинета открыты, в коридоре посторонние люди. Сотрудник громогласно спрашивает: «Люда! Этот документ (зачитывает содержание) секретный?». А сколько раз приходилось слышать произносимые вслух пароли!

Идем на аутсорсинг?

Что же происходит, когда организация передает на аутсорсинг обслуживание своей информационной системы или ИТ-инфраструктуру в дата-центр сервис-провайдера? Аутсорсер при работе с информационными системами нескольких заказчиков в полном объеме применяет все упомянутые выше средства защиты информации, причем наиболее современные из них. Для того, чтобы гарантировать заказчикам надежность системы информационной безопасности, сервис-провайдер, как правило, проходит сертификацию на соответствие международному стандарту ISO 27001 и регулярное подтверждение безопасности инфраструктуры прохождением аттестации у лицензиата ФСТЭК, в том числе на защиту персональных данных вплоть да самого высокого класса – К1. Кроме того, ИТ-инфраструктура аутсорсера проходит регулярное сканирование для обнаружения и устранения угроз и уязвимостей.

Но это не все.

Основа бизнеса аутсорсера – доверие клиентов и репутация. По условиям договора аутсорсер несет юридическую и финансовую ответственность за нарушение требований информационной безопасности и утечки информации по вине своих сотрудников. Нормальной практикой работы аутсорсера является контроль и инструктаж сотрудников, а также подписание NDA не только между организациями, но с каждым сотрудником, занятым в обслуживании заказчика. Помимо этого, система может (и должна) быть организована так, чтобы сотрудники аутсорсера не имели доступа к конфиденциальной информации заказчика. Таким образом, благодаря многоступенчатой структуре системы контроля и закрепления ответственности, передача поддержки информационных систем на аутсорсинг существенно снижает риск утечек по вине человеческого фактора.

Существенными факторами здесь является то, что использование технических и программных средств обеспечения информационной безопасности обходится каждому заказчику дешевле, чем при их покупке (а некоторые из них очень дороги), поскольку стоимость «распределяется» между несколькими клиентами. То же самое относится и к рабочему времени специалистов аутсорсера – они обслуживают несколько заказчиков, что позволяет снизить стоимость услуг. Это «традиционные» преимущества аутсорсинга и в рамках этой статьи нет смысла их долго обсуждать. Вывод очевиден: передача сопровождения информационных систем аутсорсеру – разумное и экономичное решение, которое повышает уровень информационной безопасности.

А вот бороться с глупостью все-таки придется самостоятельно.

www.bankir.ru/publikacii/s/it-autorsing-i-utechki-informatsii-strakhi-i-realnost-10002385/