До и после
Многие компании создают относительно безопасные сетевые среды, отслеживают мировые тенденции в области средств безопасности и соответствующим образом модернизируют архитектуру сетей. К сожалению, большинство российских фирм живет по принципу «пока гром не грянет, мужик не перекрестится»: бюджет на развитие средств безопасности IT-подразделения получают лишь после того, как возникнет серьезная проблема.
Построению безопасных сетей мешает и внутрикорпоративная неразбериха. Во многих фирмах департаменты безопасности, телекоммуникаций и сервисных приложений действуют несогласованно. Например, автоматизированную банковскую систему, состоящую из сервера и клиентского программного обеспечения, обслуживают специалисты департамента коммуникаций, которые даже не задаются вопросом, как предотвратить нежелательные внешние воздействия на систему, поскольку считают, что их задача сводится к физическому обеспечению связи. А впоследствии приходят сотрудники службы безопасности и сообщают, что система построена неправильно. К сожалению, многие российские компании зачастую не задумываются о том, что перед запуском нового приложения необходимо проанализировать риски или провести IT-аудит, а департамент безопасности должен предложить набор мер по снижению уровня риска, после чего с участием остальных департаментов необходимо обсудить меры и технические решения по нейтрализации или снижению выявленных рисков.
Надо признать, что часто такие мероприятия проводятся в режиме аврала. В результате вместо эффективных средств защиты создается сетевое нагромождение. Одним из основных руководящих документов в области сетевой безопасности является Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании». Кроме того, существуют ГОСТы, а также множество нормативных актов, которыми можно пользоваться при планировании концепции и регламентов сетевой безопасности. Ряд крупных российских компаний уже начал внедрение отраслевых стандартов, возможность которых прописана в вышеуказанном законе. Первопроходцем здесь выступает Центробанк, который ввел такой стандарт для коммерческих банков. Речь идет о СТО БР ИББС-1.2-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», введенном в действие 1 мая 2007 года. В том же направлении движется и «Газпром».
Если еще совсем недавно головной болью российских операторов была защита центров хостинга и коло-кейшена1, то теперь акцент смещается в сторону защиты каналов связи. Спусковым крючком стал ряд атак на крупные российские финансовые учреждения. Канал может быть эффективно защищен только со стороны оператора. Поэтому проекты по внедрению защитных комплексов делятся на две категории – оператор ставит оборудование и предлагает услугу клиенту либо когда клиент сам покупает оборудование и по согласованию с оператором монтирует его на своих каналах.
Построению безопасных сетей мешает и внутрикорпоративная неразбериха. Во многих фирмах департаменты безопасности, телекоммуникаций и сервисных приложений действуют несогласованно. Например, автоматизированную банковскую систему, состоящую из сервера и клиентского программного обеспечения, обслуживают специалисты департамента коммуникаций, которые даже не задаются вопросом, как предотвратить нежелательные внешние воздействия на систему, поскольку считают, что их задача сводится к физическому обеспечению связи. А впоследствии приходят сотрудники службы безопасности и сообщают, что система построена неправильно. К сожалению, многие российские компании зачастую не задумываются о том, что перед запуском нового приложения необходимо проанализировать риски или провести IT-аудит, а департамент безопасности должен предложить набор мер по снижению уровня риска, после чего с участием остальных департаментов необходимо обсудить меры и технические решения по нейтрализации или снижению выявленных рисков.
Надо признать, что часто такие мероприятия проводятся в режиме аврала. В результате вместо эффективных средств защиты создается сетевое нагромождение. Одним из основных руководящих документов в области сетевой безопасности является Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании». Кроме того, существуют ГОСТы, а также множество нормативных актов, которыми можно пользоваться при планировании концепции и регламентов сетевой безопасности. Ряд крупных российских компаний уже начал внедрение отраслевых стандартов, возможность которых прописана в вышеуказанном законе. Первопроходцем здесь выступает Центробанк, который ввел такой стандарт для коммерческих банков. Речь идет о СТО БР ИББС-1.2-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», введенном в действие 1 мая 2007 года. В том же направлении движется и «Газпром».
Если еще совсем недавно головной болью российских операторов была защита центров хостинга и коло-кейшена1, то теперь акцент смещается в сторону защиты каналов связи. Спусковым крючком стал ряд атак на крупные российские финансовые учреждения. Канал может быть эффективно защищен только со стороны оператора. Поэтому проекты по внедрению защитных комплексов делятся на две категории – оператор ставит оборудование и предлагает услугу клиенту либо когда клиент сам покупает оборудование и по согласованию с оператором монтирует его на своих каналах.