ОБЗОР

Успешное управление предприятием зависит от умения координировать средства внутреннего контроля, а также от доступности, конфиденциальности и целостности корпоративной информации. Репутация компании, защищенность бренда и результаты финансовой деятельности организации полностью зависят от качества защиты бизнес-процессов и их соответствия растущему числу законов и постановлений. Сеть играет принципиально важную роль в достижении указанных целей, поскольку она затрагивает практически все аспекты деятельности организации и связывает между собой бизнес-процессы. Прежняя модель безопасности сети на основе периметра становится все менее подходящей для управления рисками сетевой безопасности. Поэтому необходим комплексный системный подход, который должен быть интегрированным, совместным и адаптивным; кроме того, этот подход должен упростить механизм управления рисками информационной безопасности и обеспечить соответствие нормативным документам.

ЗАДАЧА

С одной стороны, подавляющее большинство государственных и частных организаций в настоящее время все больше зависит от автоматизированных бизнес-процессов. Информационные системы и сети, поддерживающие эти процессы, теперь рассматриваются как стратегический корпоративный ресурс, который оценивается исходя из общей стратегии и целей предприятия, фиксированного уровня инвестирования и ресурсов, а также новых рисков информационной безопасности, которыми необходимо управлять. В статье «ИТ-управление: Руководство для директоров» Алан Калдер считает, что «управление предприятием и управление информационными технологиями становится единым процессом, поэтому руководителям на всех уровнях в организациях любого масштаба очень важно понимать, как информационные технологии могут способствовать развитию деловых отношений и - что еще более важно - как лучше работать с рисками сетевой безопасности» (http://www.itgovernance.co.uk, Alan Calder, “IT Governance: Guidelines for Directors”).

С другой стороны, организации испытывают повышенное давление со стороны правительств и отдельных лиц, заинтересованных вопросами надлежащего использования информации, в особенности частной и финансовой. В результате всем современным организациям необходимо соответствовать растущему числу законов и постановлений, так как руководящие органы и общественность предпринимают надлежащие действия, направленные на обеспечение целевого использования и защиты как корпоративной, так и частной информации. Например, организациям в Европе приходится сталкиваться с общественными обвинителями и законодателями, которые как на государственном, так и на общеевропейском уровне хорошо разбираются в законах и штрафных санкциях, число которых постоянно растет, включая следующие:

• Директива Европейского Союза о защите данных, 1995 г. (The EU Data Protection Directive of 1995)
• Директива Европейского Союза о конфиденциальности и электронных средствах связи, 2002 г. (The EU Directive on Privacy and Electronic Communications 2002)
• Европейское законодательство о правах человека (European Human Rights Legislation)
• Закон о свободе информации (Freedom of Information legislation)
• Договор Европейского Совета о преступлениях с использованием современной вычислительной и электронной техники, 2001 г. (The Council of Europe's Convention on Cybercrime of 2001)

Предприятия мирового масштаба должны в полной мере подчиняться этим законам. Кроме того, предприятиям, зарегистрированным или действующим в Соединенных Штатах, часто требуется подчиняться закону Сарбейнса-Оксли (Sarbanes-Oxley), а также другим законам, таким как закон Грэмма-Лича-Блили (Gramm-Leach-Bliley), закон HIPPA или законопроект California's Senate Bill 1386, принятый сенатом штата Калифорния. Более того, каждое финансовое учреждение в мире попадает под действие требований к производственным рискам. Организации, действующие на Среднем Востоке или в Африке, как правило, подчиняются местным нормам корпоративного управления, постановлениям о защите данных и соблюдении конфиденциальности, однако для выхода на западный рынок им необходимо следовать соответствующим нормам и требованиям к защите информации. Также существуют важные соображения по защите информации для всех инстанций в области действия законодательства и коммерческих требований, начиная от требований местных властей по защите информации и заканчивая законами о компьютерных преступлениях, законами об «отмывании» денег, законами о спаме, постановлениями об электронной коммерции и стандартом PCI (Payment Card Industry Standard).

Под влиянием этих внутренних и внешних принудительных факторов задача ИТ-управления в организации становится особенно актуальной, поскольку высшее руководство сосредотачивает внимание на проблеме согласования информационных систем и сетей со стратегией предприятия, одновременно управляя новыми рисками, связанными с угрозами конфиденциальности, целостности и доступности бизнес-процессов и информации.* Но исторически сложилось так, что подход к управлению рисками, касающимися информации и сетевой безопасности, был разбит на ряд подходов, реализуемых несколькими подразделениями и отделами организации, что приводит к удвоению усилий и дублированию технологий. Очевидно, что эти разные подходы несовместимы, усилия удваиваются, а системы контроля накладываются, противоречат или подрывают работу друг друга. Задачи оценки и создания отчетов также разбиваются на фрагменты, в результате чего руководство не имеет представления об эффективности управления рисками сетевой безопасности, равно как и о появляющихся нормативных требованиях.** Не удивительно, что, согласно Forrester Research, организации в настоящее время находятся в процессе поиска формализованного непротиворечивого подхода к управлению информационными рисками и контролю соответствия нормативным требованиям во всей организации.***

РЕШЕНИЕ

Очевидно, что оптимальным решением задачи управления рисками информационной безопасности и контроля соответствия нормативным требований является применение системного и комплексного подхода, основывающегося на лучших в отрасли методах и удовлетворяющего общегосударственным нормам корпоративного управления, который, в частности, не противоречил бы требованиям комитета The Committee of Sponsoring Organizations of the Treadway Commission's (COSO). Отправной точкой является создание единого, гибкого и полномасштабного механизма контроля, в рамках которого будет осуществляться соблюдение всех требований сетевой безопасности и соответствия. Данный подход, по словам Дж. Л. Баяк (J.L. Bayuk), «позволяет установить правильное соотношение рисков в масштабе предприятия и усилий по соблюдению соответствия, а также снизить расходы, связанные с операциями аудита ИТ, поскольку в случае корректно построенного предприятием механизма контроля аудиторским организациям требуется тратить гораздо меньше времени и ресурсов на оценку рисков».**** Таким образом, большое число организаций по всему миру в настоящее время осваивают данный системный подход.

По словам Калдера (Calder), «существует два общепризнанных и широко применяемых механизма контроля. Первый – CobiT (Control Objectives for Information and Related Technologies) был разработан институтом IT Governance Institute в США. Второй - ISO17799 (поддерживается стандартом ISO27001) был разработан Международной организацией по стандартизации и применяется во всем мире. CobiT больше ориентирован на процессы, тогда как ISO17799 определяет оптимальные средства управления безопасностью информацией. Оба механизма представляют собой хорошую основу для разработки организационной архитектуры для согласованного и экономичного управления рисками и контроля соответствия нормативным требованиям сетевой безопасности, стандарта PCI, директив о защите данных и права конфиденциальности, а также всех прочих действующих норм корпоративного управления и внутреннего контроля. Оба механизма - CobiT и ISO17799 - позволяют организациям применять установленные передовые методы для упрощения и объединения ИТ-процессов и внутренних средств контроля. Несмотря на то, что на практике применяется CobiT, ISO17799 жизненно необходим, поскольку он является признанным на международном уровне и предоставляет законченные средства контроля безопасности информации». (http://www.itgovernance.co.uk/page.bs7799)

САМОЗАЩИЩАЮЩАЯСЯ СЕТЬ CISCO

Самозащищающаяся сеть Cisco - это первая линия корпоративной защиты, поскольку она является основой всех данных, приложений и бизнес-процессов. По данным института IT Governance institute широко распространенными элементами общей структуры контроля организации являются: средства контроля уровня организации, средства контроля приложений и общие средства контроля (средства контроля, внедренные в ИТ-услуги, образуют общие средства контроля). В частности, общие средства контроля ИТ ориентированы на логический доступ, управление внесениями изменений, резервирование и восстановление. Средства контроля сетевой безопасности являются частью этого механизма и «необходимы для обеспечения функционирования средств контроля приложений, которые зависят от автоматизированных процессов… [и] все в большей мере дополняют средства контроля приложений и бизнес-процессов». Например, «некоторые требования по контролю бизнес-процессов, такие как обеспечение доступности системы, могут быть удовлетворены только в результате приведения в действие общих средств контроля ИТ». Если средства контроля сетевой безопасности не реализованы или ненадежны, это может привести к возрастанию риска нарушения конфиденциальности, целостности и доступности данных, приложений и жизненно важных бизнес-процессов. Средства контроля сетевой безопасности обеспечивают основу для высокоуровневого контроля приложений и бизнес-процессов и «являются основополагающими, поскольку они поддерживают функционирование средств контроля приложений, применимы ко всем информационным системам, поддерживают возможность безопасной и бесперебойной работы и позволяют снизить риски, препятствующие достижению целей предприятия.*****

Являясь первой линией корпоративной защиты, самозащищающаяся сеть Cisco представляет собой основную составляющую стратегии организаций по управлению рисками информационной безопасности, поскольку она предоставляет комплексный системный подход к проблеме сетевой безопасности, поддерживающий общепризнанные в отрасли архитектуру управления и передовые методики. Этот подход позволяет организациям усовершенствовать механизм управления рисками сетевой безопасности и обеспечить их соответствие нормативным документам. Например:

Контроль доступа

Способность предотвращения некорректного и несанкционированного использования сети на основе политики безопасности чрезвычайно важна для обеспечения защиты доступа к данным, приложениям и жизненно важным бизнес-процессам организации. Системы доверия и управления идентификацией Cisco предоставляют организациям возможность эффективного и безопасного управления доступом, позволяя определять кто, что, когда, откуда и каким образом может получить доступ к сети. Например, стратегия по контролю доступом в сеть Cisco Network Admission Control усиливает инфраструктуру сети, сокращая ущерб от возможных от угроз и атак. Использование Cisco Network Admission Control позволяет организациям повысить эффективность совместной работы средств контроля для обеспечения полного соответствия подключающихся к сети пользователей и устройств установленным политикам безопасности. Это позволяет предотвратить некорректное и несанкционированное использование сети и защитить данные, приложения и жизненно важные бизнес-процессы, необходимые для работы современных организаций.

Защищенное взаимодействие

В условиях современной рыночной экономики распространение защищенных бизнес-приложений и процессов на малых предприятиях, внешних сотрудников, клиентов или поставщиков крайне необходимо и позволяет повысить деловую активность организации и снизить расходы по эксплуатации. Но также необходимы и средства жесткого контроля, позволяющие обеспечить конфиденциальность, целостность и доступность данных, приложений и жизненно важных бизнес-процессов. С целью поддержки этих деловых стратегий и повышения производительности защищенные сетевые соединения могут быть расширены для обеспечения взаимодействия территориально распределенных офисов компаний или удаленных и мобильных пользователей с центральным офисом предприятия, а также вовлечения клиентов, поставщиков или других деловых партнеров в процесс электронного обмена данными, оформления заказов, отправки продукции и выставления счетов. Для решения этих задач самозащищающаяся сеть Cisco предоставляет широкий спектр возможностей для организаций любого масштаба, позволяющих устанавливать защищенные соединения для распространения данных, приложений и жизненно важных бизнес-процессов, включая IP-коммуникации, что повышает эффективность при совместной работе и производительность.

Предотвращение угроз

В настоящее время угрозы, нацеленные на информационные системы и сети, - это не только вирусы, оказывающие воздействие на отдельные компьютеры пользователей и автономные системы. Современные атаки постепенно становятся более изощренными, опасными и быстрыми и способны за короткий промежуток времени воздействовать на целый ряд компьютеров или систем. В данной ситуации крайне необходимы средства жесткого контроля, обеспечивающие адаптивное обнаружение и предотвращение нарушений безопасности по всей сети. Самозащищающаяся сеть Cisco предоставляет эту возможность. В частности, программа-агент Cisco Security Agent и серверное программное обеспечение в сочетании с технологиями предотвращения сетевых вторжений предоставляет данный уровень контроля. Эти объединенные средства предоставляют возможности адаптивной комплексной защиты от новых и наиболее опасных атак, обеспечивая защиту данных, приложений и жизненно важных бизнес-процессов, необходимых для работы современных организаций.

Управление угрозами и создание отчетов

Механизм централизованного управления и создания отчетов об инцидентах сетевой безопасности в разнородных ИТ-средах крайне необходим для обнаружения угроз до оказания ими существенного разрушительного воздействия на жизненно важные бизнес-процессы и предоставления удобных сводных отчетов, отражающих информацию об угрозе и корректирующие действия. Для удовлетворения этих требований система Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) предоставляет единый подход к проблеме управления сетевой безопасностью и создания отчетов в неоднородных ИТ-средах, позволяющий организациям повысить эффективность использования сети и устройств защиты. Являясь ключевым элементом управления безопасностью жизненного цикла, система Cisco MARS предоставляет организациям возможность обнаружения, управления и отражения угроз безопасности. Данная система позволяет повысить рентабельность организации без увеличения инвестиций в существующую сеть и систему безопасности за счет обеспечения совместной работы средств защиты для непрерывного контроля устройств разных вендоров. Кроме того, данная система обеспечивает поддержку соответствия политикам безопасности и может быть включена в состав архитектуры, позволяющей соответствовать нормативным документам.

Защищенная инфраструктура и управление изменениями

Для обеспечения эффективного управления рисками сетевой безопасности инфраструктура сети организации должна быть построена с помощью компонентов с интегрированными функциями защиты, соответствующими установленным требованиям; при этом сами компоненты должны поддерживать возможности централизованного управления изменениями и аудита, как для проводных, так и беспроводных сетей. Это основание самозащищающейся сети Cisco. Например, базовые компоненты инфраструктуры Cisco включают в себя интегрированные функции обнаружения вторжений и контроля доступа и позволяют выполнить развертывание по всей сети и ввод в эксплуатацию средств контроля безопасности. Кроме того, серверы централизованного управления и система безопасности позволяют определять, распределять и задействовать конфигурации сети и механизм управления изменениями, что исключает возможность выполнения несанкционированных действий. Объединение этих возможностей гарантирует эффективное развертывание необходимых средств контроля безопасности по всей сети для защиты данных, приложений и жизненно важных бизнес-процессов, необходимых для работы современных организаций.

Отказоустойчивость и доступность сети организации

Обеспечение отказоустойчивости и доступности сети крайне необходимо для поддержки работы приложений и бизнес-процессов во всей инфраструктуре организации. Организациям любого масштаба Cisco предлагает широкий спектр возможностей для реализации стратегий по усилению средств контроля работоспособности сети через обеспечение повышенной отказоустойчивости сети и приложений при одновременном снижении расходов по эксплуатации. Например, система Cisco Configuration Assurance обеспечивает организации возможностями и средствами контроля для систематической проверки сети. Система Cisco Configuration Assurance обеспечивает повышенную защиту и доступность сети организации, а также ее соответствие необходимым нормам и требованиям руководства ИТ.

Учет и создание отчетов

В результате ужесточения требований к конфиденциальности данных, доступности сети и обеспечению безопасности возникла необходимость аудита информационной безопасности на соответствие установленным нормам. Cisco Security Auditor предоставляет новые уровни обеспечения безопасности, позволяя эффективно вести учет информации о сетевой инфраструктуре для оценки соответствия ее объектов корпоративным политикам безопасности и лучшим в отрасли методам. Возможности автоматического учета устраняют необходимость ведения учета вручную – процесса, требующего больших затрат в случае крупномасштабных сетей, позволяя существенно сократить время выполнения операций учета. Cisco Security Auditor, также предоставляет рекомендации по усовершенствованию системы защиты и возможности создания отчетов, упрощающие процесс противостояния угрозам сетевой безопасности. Это позволяет эффективно управлять связанными с сетью рисками. Как результат, это эффективный программный продукт, позволяющий обеспечить проверку соответствия нормам защиты сети, работоспособность сети, при этом повышая производительность и возврат инвестиций (ROI).

Служба расширенной поддержки

В настоящее время задача поддержки защищенности сетевой инфраструктуры является как никогда актуальной. Обладая большим опытом, знаниями современных технологий сетевой безопасности и проверенными на практике средствами и методами, группа консультантов службы поддержки Cisco Advanced Services поможет при защите ресурсов организации. Консультанты и специалисты Cisco готовы сотрудничать с организациями с целью планирования, проектирования, внедрения и оптимизации систем обеспечения сетевой безопасности, которые играют важную роль в управлении информационной безопасностью. Кроме группы консультантов службы поддержки, многие партнеры стратегического альянса Cisco предлагают специализированные услуги по защите ресурсов организации.

Единый подход к обеспечению сетевой безопасности

Как было сказано выше, сеть представляет собой первую линию корпоративной обороны, поскольку она является основой всех данных, приложений и бизнес-процессов. При недостаточной защищенности сети возрастает риск нарушения конфиденциальности, целостности и доступности жизненно важных коммерческих систем. Применяемый вплоть до настоящего времени подход к решению проблемы сетевой безопасности уже не позволяет адекватно управлять рисками, с которыми приходится сталкиваться крупным компаниям. Поэтому необходим глобальный подход, который должен быть интегрированным, совместным и адаптивным; кроме того, этот подход должен упростить механизм управления рисками сетевой безопасности и контроля соответствия нормативным документам.

Самозащищающаяся сеть Cisco удовлетворяет этим требованиям за счет комплексного системного подхода к управлению рисками сетевой безопасности, который поддерживает механизмы контроля и передовые методы защиты деятельности предприятия. Этот подход позволяет организациям усовершенствовать механизм управления рисками безопасности и обеспечить их соответствие нормативным документам. Он также позволяет понизить сложность и затраты и одновременно с этим повысить уровень безопасности сети с помощью стандартных процессов (таких как процессы, включенные в CobiT) или за счет удовлетворения базовых требований по контролю на основе таких передовых методик, как ISO17799.

В каждой организации необходимо внимательно учесть требования по контролю сетевой безопасности для конкретных условий, масштаба и сложности сети. Поэтому данный документ не должен рассматриваться как единственный основной источник. Для определения требований к контролю и нормативам ИТ, которым необходимо следовать, организациям рекомендуется обсудить соответствующие подходы с независимыми аудиторами. Более подробную информацию о том, как самозащищающаяся сеть Cisco поможет управлять рисками сетевой безопасности и осуществлять контроль соответствия, см. по адресу: http://www.cisco.com/go/selfdefend

* Governance and the Extended Enterprise: Bridging Business Strategies and IT Strategies, John Wiley & Sons: New Jersey, 2005
** Cass Brewer, "The Tao of Compliance: Unifying Controls over Chaos", (http://www.itcinstitute.com/display.aspx?id=465)
*** Forrester, Trends 2005: Risk and Compliance Management, October 25, 2004
**** J.L Bayuk, "Stepping through the IS Audit", Information Systems Audit and Control Association: 2004
***** IT Control Objectives for Sarbanes-Oxley: The Importance of IT in the Design, Implementation, and Sustainability of Internal Control over Disclosure and Financial Reporting, IT Governance Institute: 2004