Що вибрати?

Універсальних рецептів отут немає. Все залежить від тих цілей, які ставить перед собою керівник організації або Ит-Відділу. Можна привести тільки деякі загальні рекомендації. По-перше, витрати на забезпечення інформаційної безпеки не повинні перевищувати вартість об'єкта, що захищається, або величину збитку, що може виникнути внаслідок атаки на захет объект, що. Основна проблема - правильно оцінити можливу вартість такого збитку.

Залежно від масштабу компанії можна виділити три основних класи мереж:

  • IECO (International Enterprise Central Office) - центральна мережа міжнародної розподіленої компанії, що може нараховувати сотні й тисячі вузлів;
  • ROBO (Regional Office / Branch Office) - мережа регіональної філії, що нараховує кілька десятків або сотень вузлів;
  • SOHO (Small Office / Home Office), - мережі невеликих філій або домашні (мобільні) комп'ютери, що підключаються до центральної мережі.

Можна також виділити три основних сценарії забезпечення інформаційної безпеки для цих класів мереж, що розрізняються різними вимогами по забезпеченню захисту інформації.

При першому сценарії мінімальний рівень захищеності забезпечується за рахунок можливостей, убудованих у мережне встаткування, що встановлено на периметрі мережі (наприклад, у маршрутизаторах). Залежно від масштабів захет сети, що, ці можливості (захист від підміни адрес, мінімальна фільтрація трафика, доступ до встаткування по паролі й т.д.) реалізуються в магістральних маршрутизаторах - наприклад, Cisco 7500 або Nortel BCN, маршрутизаторах регіональних підрозділів - наприклад, Cisco 2500 або Nortel ASN, і маршрутизаторах вилученого доступу - наприклад, Cisco 1600 або 3Com OfficeConnect. Більших додаткових фінансових витрат цей сценарій не вимагає.

Другий сценарій, що забезпечує середній рівень захищеності, реалізується вже за допомогою додатково придбаних засобів захисту, до яких можуть бути віднесені нескладні межсетевые екрани, системи виявлення атак і т.п. У центральній мережі може бути встановлений межсетевой екран (наприклад, CheckPoint Firewall-1), на маршрутизаторах можуть бути настроєні найпростіші захисні функції, що забезпечують першу лінію оборони (списки контролю доступу й виявлення деяких атак), весь вхідний трафик перевіряється на наявність вірусів і т.д. Регіональні офіси можуть захищатися більше простими моделями межсетевых екранів. При відсутності в регіонах кваліфікованих фахівців рекомендується встановлювати програмно-апаратні комплекси, керовані централізовано й не потребуючої складної процедури уведення в експлуатацію (наприклад, CheckPoint VPN-1 Appliance на базі Nokia IP330).

Третій сценарій, що дозволяє досягти максимального рівня захищеності, призначений для серверів e-Commerce, Internet-банків і т.д. У цьому сценарії застосовуються високоефективні й багатофункціональні межсетевые екрани, сервери аутентификации, системи виявлення атак і системи аналізу захищеності. Для захисту центрального офісу можуть бути застосовані кластерные комплекси межсетевых екранів, що забезпечують отказоустойчивость і високу доступність мережних ресурсів (наприклад, CheckPoint VPN-1 Appliance на базі Nokia IP650 або CheckPoint VPN-1 з High Availability Module). Також у кластер можуть бути встановлені системи виявлення атак (наприклад, RealSecure Appliance).

Для виявлення уразливих місць, які можуть бути використані для реалізації атак, можуть бути застосовані системи аналізу захищеності (наприклад, сімейство SAFE-suite компанії Internet Security Systems). Аутентификация зовнішніх і внутрішніх користувачів здійснюється за допомогою серверів аутентификации (наприклад, CiscoSecure ACS). Ну й, нарешті, доступ домашніх (мобільних) користувачів до ресурсів центральної й регіональної мереж забезпечується по захищеному VPN-З'єднанню. Віртуальні приватні мережі (Virtual Private Network - VPN) також використовуються для забезпечення захищеної взаємодії центрального й регіонального офісів. Функції VPN можуть бути реалізовані як за допомогою межсетевых екранів (наприклад, CheckPoint VPN-1), так і за допомогою спеціальних засобів побудови VPN.

Здавалося б, після того як засобу захисту придбані, всі проблеми знімаються. Однак це не так: придбання засобів захисту - це тільки верхівка айсберга. Мало придбати захисну систему, саме головне - правильно неї впровадити, настроїти й експлуатувати. Тому фінансові витрати тільки на придбанні СЗИ не кінчаються.

Необхідно заздалегідь закласти в бюджет такі позиції, як відновлення програмного забезпечення, підтримку з боку виробника або постачальника й навчання персоналу правилам експлуатації придбаних засобів. Без відповідного відновлення система захисту згодом перестане бути актуальної й не зможе відслідковувати нові й витончені способи несанкціонованого доступу в мережу компанії.

Авторизоване навчання й підтримка допоможуть швидко ввести систему захисту в експлуатацію й настроїти її на технологію обробки інформації, прийняту в організації. Зразкова вартість відновлення становить біля 15-20% вартості програмного забезпечення. Вартість річної підтримки з боку виробника, що, як правило, уже містить у собі відновлення ПО, становить біля 20-30% вартості системи захисту. Таким чином, щороку потрібно витрачати не менш 20-30% вартості ПО на продовження технічної підтримки засобів захисту інформації.

Стандартний набір засобів комплексного захисту інформації в складі сучасної ИС звичайно містить наступні компоненти:

  • засоби забезпечення надійного зберігання інформації з використанням технології захисту на файловому рівні (File Encryption System - FES);
  • засоби авторизації й розмежування доступу до інформаційних ресурсів, а також захист від несанкціонованого доступу до інформації з використанням систем біометричної авторизації й технології токенов ( смарт-карти, touch-memory, ключі для USB-Портів і т.п.);
  • засобу захисту від зовнішніх погроз при підключенні до загальнодоступних мереж зв'язку (Internet), а також засобу керування доступом з Internet з використанням технології межсетевых екранів (Firewall) і змістовної фільтрації (Content Inspection);
  • засобу захисту від вірусів з використанням спеціалізованих комплексів антивірусної профілактики;
  • засоби забезпечення конфіденційності, цілісності, доступності й дійсності інформації, переданої по відкритих каналах зв'язку з використанням технології захищених віртуальних приватних мереж (VPN);
  • засоби забезпечення активного дослідження захищеності інформаційних ресурсів з використанням технології виявлення атак (Intrusion Detection);
  • засоби забезпечення централізованого керування системою інформаційної безпеки відповідно до погодженої й затвердженою "Політики безпеки компанії".

Залежно від масштабу діяльності компанії методи й засоби забезпечення ИБ можуть розрізнятися, але будь-який кваліфікований CIO або фахівець IT-Служби скаже, що будь-яка проблема в області ИБ не вирішується односторонньо - завжди потрібно комплексний, інтегральний підхід.

Придбання й підтримка засобів захисту - це не марна витрата фінансових засобів. Це інвестиції, які при правильному вкладенні окупляться з лишком і дозволять вивести бізнес на бажаний рівень!