Сьогодні багато компаній стикаються з великим числом законодавчих і галузевих норм, регулюючих ті або інші аспекти IT-безпеки. Найвідоміші з них: стандарт Нацбанку по IT-безпеці, угода Basel II, закон «Про персональні дані», Акт Сарбаніса-Окслі, Директиви Євросоюзу про приватні дані і захист даних. Кожен з цих документів пред'являє свої вимоги до системи IT-безпеки і IT-інфраструктурі підприємства, а недотримання правил, встановлених такими актами, може призвести до серйозних проблемам. Відповідно, перед керівниками стоїть нелегке завдання - як найефективніше реалізувати положення регулюючих норм і підвищити тим самим конкурентоспроможність своєї організації.

У сучасних організаціях проблема забезпечення сумісності із нормативними актами вже перетворилася на загрозу ефективному функціонуванню компанії. Причиною тому постійна зміна, посилювання і розширення державного і галузевого регулювання, внаслідок чого бізнес деколи не встигає за вимогами, що пред'являються до нього. Таким чином, виникає поняття «Нормативні ризики», які згідно з опитуванню організації Economist Intelligence Unit з'являються є найнеприємнішою проблемою менеджерів по управлінню ризиками у всьому світі (рис. 1.1).

Рис. 1.1 _ Барометр категорій ризику

Природа нормативних ризиків досить складна. Вона, перш за все, виявляється в штрафах, що безпосередньо призначаються регулюючим органом за невиконання певних вимог. Проте найчастіше справа до цього не доходить. Компаніям все ж таки доводиться відволікати цінні ресурси з найбільш важливих напрямів, щоб реалізувати проекти по забезпеченню сумісності з нормативними актами. Тут насамперед страждають бюджети наукових досліджень, інноваційних і інвестиційних проектів. До того ж в законопокірних країнах бізнес може стати менш конкурентоздатним із-за дуже важкого нормативного тягаря. Іншими словами, у вищих виконавчих осіб є серйозні підстави турбуватися про те, щоб компанія дійсно підвищила свою конкурентоспроможність, реалізовуючи положення нормативних актів, а не опинилася в менш вигідних умовах в порівнянні з конкурентами, які по географічних або іншим причинам можуть проігнорувати вимоги регулюючих органів (рис. 1.2).

Рис. 1.2 _ Негативні наслідки нормативних ризиків

Не дивлячись на надзвичайну актуальність проблем забезпечення сумісності з державними і галузевими актами у всьому світі, Україна вважається за країну з досить м'яким нормативним тягарем. Проте держава і регулюючі органи роблять все більш сильний вплив на різні аспекти IT-безопасности і IT-инфраструктуры організацій. По-перше, до України приходять міжнародні вимоги таких угод, як Basel II. По-друге, федеральні інститути приймають власні нормативні акти. Наприклад, стандарт по IT-безпеці від Нацбанку або законопроект «Про персональні дані» в Верховній Раді. По-третє, багато українських компаній самі виходять на міжнародні ринки (наприклад, шляхом IPO - первинного розміщення цінних паперів на фондовому ринку) і стикаються з Актом Сарбаніса-Окслі і Директивами Євросоюзу. Розглянемо ці нормативні акти докладніше.

Одним з найбільш важливих інтернаціональних законів є угода Basel II («Міжнародна конвергенція вимірювання капіталу і стандартів капіталу: нові підходи»), яка пред'являє цілий ряд вимог до національних банківських систем і самих кредитно-фінансових організацій. Саме цей закон як «хворий мозоль» згадували практично всі респонденти дослідження Economist Intelligence Unit, що представляли банківський сектор.

Угода Basel II набуде чинності в більшості країн, що входять до складу ОЕСР (Організації економічного співробітництва і розвитку), до кінця 2007 року.

Даний нормативний акт вимагає від фінансових інститутів розрахувати кредитні, ринкові і операційні ризики з метою забезпечення резервного капіталу, достатнього для покриття таких рисок. Хоча в угоді безпосередньо не мовиться про заходи забезпечення IT-безпеки і взагалі про IT-инфраструктуре банків, операційний ризик визначається документом як «прямі або непрямі збитки унаслідок неадекватних або незадовільних внутрішніх процесів, дій персоналу і систем, або зовнішніх подій». Таким чином, погрози IT-безпеки входять до складу операційних ризиків, а внутрішні атаки (крадіжка конфіденційних даних, халатність співробітників) чітко вказані в законі. Крім того, в угоді Basel II особлива увага приділяється ризикам, пов'язаним з втратою репутації, що є прямим наслідком успішного просочування інформації.

У Європейському союзі існують закони, що обмежують бізнес при побудові корпоративної IT-инфраструктуры. Основним нормативним актом є Директива про захист даних (Data Protection Directive), прийнята в 1995 році і визначаюча основні принципи захисту персональної інформації, що ідентифікується (Personal Identifiable Information). Ця директива розширює норми по захисту приватної інформації, які діють в ОЕСР з 1980 року і розповсюджуються на держави-члени Євросоюзу. До найбільш значущих положень належить «Принцип забезпечення безпеки № 11», що вимагає, щоб «персональні дані були захищені розумними засобами безпеки від таких погроз, як несанкціонований доступ, втрата, знищення, використання, зміна і розголошування даних». Директива про захист даних також розрізняє декілька типів персональної інформації, наприклад медичні або фінансові відомості. Для них, зважаючи на особливу важливість, вводяться додаткові заходи безпеки.

Ще одним нормативним актом, що вимагає інвестицій з боку бізнесу, є Директива про збереження даних (Data Retention Directive), затверджена в кінці 2005 року. Відповідно до Директиви всі компанії (в основному в секторі телекомунікацій) повинні архівувати і зберігати протягом одного року всі дані, передавані по електронних каналах зв'язку. Під дію закону потрапляють переговори по мобільних і дротяних телефонах, обмін документами факсом, а також будь-який обмін інформацією в Інтернеті (перш за все, електронні листи).

Таким чином, якщо українська компанія планує вихід на європейський ринок, їй окрім всього іншого слід оцінити об'єм додаткових інвестицій, необхідних для забезпечення сумісності з вказаними директивами.

Український бізнес поступово стає все більш регульованим. Поки компанії стикаються лише з декількома вітчизняними нормативними актами, а деякі фірми, представлені на міжнародній арені, вимушені задовольняти ще і національним законам і директивам тих країн, в яких вони працюють.

Для того, щоб ефективно управляти нормативними ризиками і досягти сумісності з регулюючими вимогами без зниження конкурентоспроможності організації, необхідно дотримуватися певної стратегії.

Перш за все, на думку експертів компанії Gartner, підприємствам треба упроваджувати ті інформаційні рішення, які дозволяють задовольнити вимогам відразу декількох законів і покрити відразу декілька підрозділів компанії. При цьому фірмі не слід робити ставку на «продукти-затички», що дозволяють задовольнити якомусь вузькому набору вимог єдиного нормативного акту. Інакше Gartner прогнозує, що вже до 2007 року витрати на забезпечення сумісності для компанії, що зробила ставку на такі «проекти-затички», можуть зрости в 10 разів.

Іноді жорсткі терміни дійсно підштовхують керівників до реалізації подібних проектів, проте в цьому випадку, очевидно, підприємство втрачає всі довгострокові бонуси, які можна було б отримати при впровадженні стратегічно розумних рішень. Іншими словами, компаніям, які на самому початку процесу досягнення сумісності з нормативними актами не думають про майбутнє, через три-чотири роки доведеться розплачуватися за свою легковажність.

Наступним ключовим елементом ефективної стратегії управління нормативними ризиками, на думку Economist Intelligence Unit, є завчасна реакція на зміну законодавства. Компанії повинні, по-перше, вести постійний діалог з регулюючими органами, щоб краще розуміти вимоги існуючих актів і заздалегідь уявляти собі, в якому напрямі законодавці планують розширювати і посилювати регулювання. По-друге, підприємства можуть істотно заощадити, якщо скористаються передовим досвідом і упровадять останні методики в свою IT-інфраструктуру, не чекаючи, поки вони будуть закріплені законодавчо. В результаті регулюючий орган не почне зводити нові вимоги в ранг обов'язкової норми і, отже, позбудеться можливості накласти штраф у разі порушень.

Таким чином, організаціям слід обдумано підходити до питання управління нормативними ризиками. Держава і регулюючі органи поступово «закручують гайки», ухвалюючи нові закони і акти, що регламентують ті або інші аспекти IT-безреки. Причому все указує на те, що узятий курс на розширення і посилювання нормативних вимог збережеться. У цих умовах підвищити свою конкурентоспроможність зможуть тільки компанії, які слідують ефективній стратегії.

Створення єдиної платформи для управління нормативними ризиками є першочерговим завданням кожної фірми, що стикається з декількома нормативними актами одночасно. З погляду стратегії це дає величезну перевагу, оскільки дозволяє на одному і тому ж плацдармі забезпечити сумісність, наприклад, з Актом Сарбаніса-окслі, угодою Basel II і стандартом ІТ-безпеки від Нацбанку України. Додатково єдина нормативна платформа практично гарантує, що компанія буде готова до нових версій законодавчих актів, які часто надають жорсткіше і ширше попередніх. Більш того, попутно організація може вирішити такі питання, як підвищення ефективності управління своєю ІТ-інфраструктурою, забезпечення внутрішньої і зовнішньої ІТ-безпеки і захисту інформаційних активів. Як сама нормативна платформа повинне виступати комплексне інформаційне рішення, ядро якого автоматично реалізує найскладніші і поширеніші нормативні вимоги (зберігання корпоративної кореспонденції, ведення розширених журналів для аудиту, захист фінансових і інших записів від спотворення, фальсифікації, крадіжки і так далі). При цьому додаткові модулі і супровідні послуги допомагають легко підстроїти це рішення під деякі специфічні особливості конкретного законодавчого акту.

З міжнародними і іноземними законодавчими актами українські компанії стикаються, коли виходять на закордонні ринки. Досвід реалізації проектів по забезпеченню сумісності з різними нормами показує, що бізнес часто виграє в результаті таких проектів. Наприклад, відповідність Акту Сарбаніса-окслі дозволяє зробити організацію більш конкурентоздатної за рахунок підвищення прозорості всіх внутрішніх операцій, ухвалення ефективніших рішень на основі гарантованої достовірної інформації, а також запобігання корпоративним шахрайствам. Окрім цього набору бонусів фірма отримує серйозний плюс у сфері відношення з інвесторами, клієнтами і партнерами, оскільки мати справу з прозорою і ефективно керованою організацією набагато приємніше, ніж із закритою і незрозуміло як функціонуючою фірмою. Іншими словами, в крупних компаніях корпораціях має сенс реалізовувати положення іноземних, наприклад, американських законодавчих актів не тому, що це вимушена міра, а тому, що це вигідно самій компанії. Це певною мірою відповідає ефективній стратегії, що має на увазі використання передового досвіду і останніх методик завчасно. Думаю, саме через це такі закони, як Акт Сарбаніса-окслі, виходять далеко за рамки своєї країни і реалізуються в компаніях по всьому світу.

1.2 Поняття інформаційної безпеки комп'ютерних систем

Як показали результати аудиту стану безпеки інформації, які проводила «Лабораторія Інформаційних Систем» на декількох підприємствах, керівництво компаній не завжди має уявлення про види і ступінь погроз для своїх ІС, так само як і про їх наслідки. Рідко хто| розуміє, як забезпечити цю саму ІБ. На деяких підприємствах ІС починала створюватися в часи, коли всі знали, що «локальна мережа - це п'ять комп'ютерів, щоб з дискетами не ходити» і «в цій мережі щось зрозуміти може тільки наш «гуру». В результаті безпека інформації залежить винятково від чесності персоналу або пильності охорони на прохідній.

Але ситуація змінилася, функції доступу, записи і передачі даних тепер забезпечені «інтуїтивно зрозумілими інтерфейсами». А використовувані при цьому пристрої малі і мобільні.

У реальності існує два види погроз інформаційній безпеці:

- зовнішня - несанкціонований доступ з мережі Інтернет; зняття інформації з кабельних систем (ЛВС і електроживлення) за допомогою технічних засобів; запис розмов на відстані крізь стіни (вікна, двері) і т. д.;

- внутрішня - несанкціонований доступ в приміщення; несанкціонований і невиборчий доступ до даних|всередині корпоративної мережі; можливість запису інформації на переносні пристрої (флеш накопичувачі , CD і DVD-диски і тому подібне), пересилка фотознімків паперових носіїв і екранів моніторів за допомогою мобільних телефонів; програмні віруси і «троянські» програми, не контрольована електронна пошта і так далі.

Для захисту від зовнішнього несанкціонованого доступу є| перевірені сертифіковані програмні і програмно-апаратні засоби. При грамотному налаштуванні і супроводі вони достатньо ефективно протистоять зовнішнім вторгненням. А ось боротьба з несанкціонованим доступом усередині підприємства - це більшою мірою питання політика керівництва у сфері інформаційної безпеки. Тут потрібне продумане розділення доступу до інформації, випуск адміністративних інструкцій (з обов'язковим ознайомленням з цими документами всього персоналу підприємства). Необхідне застосування спеціальних програмно-апаратних комплексів і засобів, антивірусних програм. ІТ-служби повинні адекватно настроїти політику безпеки в операційних системах і корпоративних застосуваннях. Природно, надійний результат може забезпечити лише робота з легальним програмним забезпеченням. Необхідна наявність служби або співробітника, відповідального за інформаційну безпеку.

Підводячи підсумок, можна сказати, що система інформаційної безпеки - це саме СИСТЕМА, що вимагає розуміння, планування і адекватних витрат для нормального і успішного функціонування будь-якого бізнесу і виробництва. Зараз питання ІБ регулюється законодавчо. Для державних підприємств вимоги по забезпеченню інформаційної безпеки є обов'язковими для виконання. Для комерційних організацій ці вимоги носять рекомендаційний характер.

1.3 Оцінка захищеності популярних програмних продуктів

У грудні 2007 року був проведений тест за допомогою Vсirus Bulletin, який виявив низьку якість антивірусних програм.

Російські антивіруси провалили тест дослідницької лабораторії Virus Bulletin - Vb100. Незадовільні результати показали як антивірус "Лабораторії Касперського", так і "Доктор Веб". Також не пройшли тест розробки Sophos і ряду інших виробників. Якнайкращі результати показали продукти Symantec, ESET, Agnitum і F-secure. В цілому ж експерти Virus Bulletin оцінили якість сучасних засобів захисту як украй низьке, повідомляє сайт Cnews.

Грудневий тест Virus Bulletin продемонстрував низький рівень якості сучасних антивірусних продуктів. З тих, що 32 брали участь в тесті Vb100 продуктів успішно витримали випробування лише 17, причому найпопулярніші російські антивіруси - "Антивірус Касперського" і "Доктор Веб" - також опинилися в числі аутсайдерів. Але якщо продукт "Лабораторії Касперського" пропустив всього лише один вірус, то антивірус "Доктор Веб" не виявив 11 шкідливих програм, при цьому допустившись два помилкові спрацьовування.

У число інших відомих продуктів, що не пройшли тест, увійшли розробки Sophos, Avira, CA Home, РС Tools Spyware Doctor і Trend Micro. Якнайгірші результати показав Kingsoft Antivirus, що пропустив 60 вірусів. Лідерами тесту сталі програми Agnitum Outpost, Mcafee Virusscan, Bitdefender Antivirus, Microsoft Forefront, ESET Nod32, F-secure Anti-virus, Symantec Endpoint і дещо інших. В цілому ж результати виявилися незадовільними - як заявив techworld.com Джон Хоєс (John Hawes) з Virus Bulletin, "низька ефективність багатьох продуктів привела нас в стан шоку".

У "Лабораторії Касперського" свою невдачу пояснюють таким чином: "Монітор "Антівіруса Касперського" складки 7.0.0.125, що брала участь в тесті, пропустив W32/autorun!ITW#3 - шкідливий зразок з колекції In-the-wild (ITW), в той же час сканер "Антівіруса Касперського" визначає його як virus Worm.Win32.AutoIt.i". Іншими словами, пояснюють в ЛК, дана шкідлива програма визначається як архів, що самораспаковивающийся, а оскільки опція "Перевіряти інсталяційні пакети" в "Антівірусе Касперського" 7.0 не включена за умовчанням (з міркувань продуктивності ПК), то і шкідливий архів не виявляється монітором програми.

У компанії завірили, що відповідні зміни в існуючі політики безпеки вже внесені, і тепер подібні шкідливі файли детектуватимуться у будь-якому випадку. "Важливо відзначити, що захищеність користувачів, що використовують "Антівірус Касперського" 7.0, не була понижена, оскільки другий рівень комплексного захисту - поведінковий аналізатор, що входить в модуль проактивного захисту, блокує роботу даного шкідливого файлу на самому початку його роботи", - заявили в компанії. У "Доктор Веб" пообіцяли прокоментувати свої результати в тесті Vb100 найближчим часом.

Грудневий тест Vb100 перевіряв якість роботи антивірусів на платформі Windows 2000. Раніше в поточному році продукти були протестовані на SUSE Linux, Windows XP, Windows Vista x64 і Netware 6.5. Якнайкращі результати по всіх тестах показали CAT Quickheal, ESET, Mcafee і Symantec. За наслідками недавно проведеного листопадового Av-comparatives якнайкращий результат (Advanced+) показали продукти "Лабораторії Касперського" і ESET.

A тепер порівняємо різні антивіруси на основі імовірнісної оцінки їх якості.

В даний час немає недоліку в інформації про тестування антивірусів.

Як правило, всі тестування зводяться до оцінки результатів перевірки тих або інших антивірусів на деякому наборі шкідливих програм. Існує немало "колекцій" вірусів, які включають програмні модулі, схожі тільки на віруси, а насправді не здатні нанести якого було шкоди. Найчастіше це програми, які були заражені вірусом, але надалі вірус, що знаходиться в них, був стерилізований, тобто програма була видозмінена і код вірусу вже не отримує управління. Така програма вже не є шкідливим об'єктом, але містить сліди (сигнатури) присутності вірусу. Якщо вона перевіряється антивірусом з примітивними алгоритмами розпізнавання вірусу, наприклад, методом сканування тіла об'єкту, що перевіряється, на наявність якихось сигнатур, то цей "антивірус" видасть переможний клич, і його автор гордитиметься тим, що інший антивірус "пропускає" вірус. Таких прикладів можна привести величезну множину, тому якщо якість колекції не перевірена і не підтверджена незалежними фахівцями, ціна тестування на такій колекції буде не високою. Таким чином, примітивні антивіруси здаватиметься краще за досконаліші антивіруси, що уміють моделювати виконуваний код програми.

- Ще один важливий аспект полягає в тому, наскільки вибраний склад колекції вірусів адекватний існуючій загрозі. Знову ж таки існує величезна безліч колекцій, що складаються з вірусів, вірогідність попадання яких на комп'ютери дорівнює нулю. Доводиться стикатися з результатами "тестування" на колекційних вірусах, що знаходяться тільки у автора антивіруса, який дуже гордий тим, що цей набір вірусів визначає тільки його антивірус і більше ніхто! Реальна цінність такого "антивіруса" також дорівнює нулю.

Насправді дійсна цінність антивіруса полягає в його здатності запобігти атакам шкідливих об'єктів, які реально і зараз загрожують Вашому комп'ютеру. На жаль, всі існуючі методи тестування антивірусів такої оцінки дати не можуть!

Нижче пропонується методика оцінки якості антивірусів, яка заснована на обчисленні вірогідності антивіруса, протистояти атакам шкідливих об'єктам, які реально загрожували комп'ютерній системі. Чисельне значення такої оцінки можна розрахувати по формулі:

Pav = (Nvir - Nbad) / Nvir

Де:

Pav - Імовірнісна оцінка якості антивіруса, чим вона ближче до одиниці, тим краще антивірус.

Nvir - Загальне число зафіксованих шкідливих об'єктів на даному комп'ютері (організації).

Nbad - Число шкідливих об'єктів, які антивірус у момент атаки не виявив.

Таблиця 1.1 містить розрахунки показника надійності (остання колонка) різних антивірусів. Як початкові дані були використані результати перевірки реакції різних антивірусів на шкідливі об'єкти, з якими реально зіткнувся автор цієї публікації в період з січня 2006 по липень 2007. Загальне число зафіксованих шкідливих об'єктів було 51. Розрахункові показники надійності різних антивірусів приведені в таблиці 1.1 об'єктів. Найбільшою мірою об'єктивність результату таких перевірок залежить від наступних аспектів:

* Доступність колекції вірусів або її складу авторам антивірусів

* Якість колекції вірусів

* Адекватність набору вірусів реальній вірусній загрозі

Таблиця 1.1 _ Показники надійності антивірусів

Висновки

При проектуванні системи важливо ще до її матеріального відтворення оцінити її по найбільш пріоритетних критеріях, які диктуються завданнями, що покладаються на неї. Проблеми виникали при виборі людини (експерта), яка б змогла як скласти самі критерії, так і розставити їх пріоритетність. Ще складнішим виявлялося завдання об'єктивної оцінки систем, бо думка кожного з нас часто суб'єктивно.

Література

1. Голдовский И., Безопасность платежей в Интернете

2. Письмо Билла Гейтса о новых взглядах Microsoft на вопросы обеспечения информационной безопасности

3. Смирнов С., "Краденое -- со скидкой", портал "Права человека в России", 28 февраля 2003 г.

4. Банковской тайны в России больше не существует.

5. Смирнов С., Кочева О., Приватность в российском Интернете

6. Середа С., О необходимости защиты прав потребителя в сфере информационных технологий.

7. Gartner Recommends Against Microsoft IIS

8. Web Server Survey

9. Follow-up on IIS6 and Apache Security (part 1, part 2)

10. Результаты исследования опубликованы на веб-узле BSA по адресу www.bsa.org/idcstudy . Информацию об исследовании на русском языке можно найти в бюллетене Представительства Microsoft в России и СНГ «Влияние уровня компьютерного пиратства на развитие мировой экономики. По материалам исследования компании IDC», специальный выпуск, 2003 г.

11. CyberManiac, Теоретические основы крэкинга.

12. Полаженко С., Вариант определения понятий защищённости и безопасности программных продуктов

13. Середа С., Программно-аппаратные системы защиты программного обеспечения

14. Компьютерная преступность и информационная безопасность / Под общ. ред. А.П. Леонова. -- Мн.: АРИЛ, 2000. -- 552 с.-- (Библиотека журнала «Управление защитой информации»).

15. Новичков А., Сардарян Р. Анализ рынка средств защиты от копирования и взлома программных средств

16. Конкурс компании Microsoft на лучшее литературное произведение о честно купленном программном обеспечении.

17. www.securitylab.ru

18. www.serv-u.com

19. www.proftpd.org

20. www.securityfocus.com