Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Сотруднику службы безопасности, системному администратору или менеджеру, не сумевшим найти способ связать свою инициативу по обеспечению безопасности с корпоративной целью, будет затем трудно оправдать бюджетные требования и выстоять в борьбе с другими инициативами в области информационных технологий. К сожалению, во многих компаниях не удается обозначить безопасность как корпоративную цель. В условиях возрастания количества и изощренности атак в недалеком будущем такие компании могут оказаться легкой добычей при открытии сезона охоты на них.

Сценарий атаки на канадскую плотину, о котором уже было рассказано, может показаться немного надуманным. Однако заглянем в репортаж в Washington Post за 27 августа 2002 года, в котором говорится, что войска США в Афганистане в январе того же года захватили компьютеры Аль-Кайды. В одном из них содержались компьютерная модель плотины и программное обеспечение, позволяющие моделировать ее катастрофическое разрушение при подготовке террористического акта. В ходе расследований, проведенных американскими специалистами, появились свидетельства того, что члены Аль-Кайды проводят время на веб-сайтах, которые содержат программы и команды для переключателей с цифровым управлением, расположенных в сетях электроснабжения, водоснабжения, транспортных сетях и сетях связи, о чем сообщалось также в Post. Атаки на инфраструктуру США вполне возможны, и если они будут успешными, то вызовут общенациональную катастрофу. Об атаке такого вида сообщалось в июне 2001 года, когда хакер пришел из сети, управляемой компанией Chinese Telecom, и преодолел защиту учебной сети, принадлежавшей компании California Independent Systems Operator (Cal-ISO), которая контролирует всю сеть электроснабжения штата. Очевидно, что подобные угрозы реальны.

Действия организации против таких угроз могут потребовать свежего взгляда на имеющиеся у нее политики, процедуры и средства защиты с целью определить их соответствие правилам, установленным для ее отрасли.

Например, соответствуют ли они следующим документам:

1. Стандарт ISO 17799.Впервые опубликованный в 1995 году стандарт BS7799 стал так широко использоваться во многих странах в законодательной практике по информационной безопасности, что был переработан в международный стандарт ISO 17799.

2. Акт Грэма-Лича-Блайли (GLB — Gram Leach Bliiey Act).GLB является федеральным законом, требующим от финансовых учреждений защищать индивидуальную финансовую информацию от утраты и кражи. GLB требует от федеральных органов, регулирующих деятельность финансовых учреждений (таких как Управление контролера денежного обращения, Совет управляющих федеральной резервной системы, Федеральная корпорация страхования депозитов и Управление по надзору за сберегательными ассоциациями) [69] Office of Controller of the Currency (OCC), Board of Governors of the Federal Reserve System, Federal Deposit Insurance Corporation (FD1C) и Office of Thrift Supervision. — Примеч. пер. создания правовых стандартов для защиты этой финансовой информации.

3. Акт о сохранении тайны и защите информации о состоянии здоровья (НIРРА — Health Information Privacy and Protection Act). [70] Автор приводит расшифровку сокращения: Health Insurance Portability and Accountability, для которого подходит сокращение HIPAA и которое я перевел как Акт о пересылке и учете информации о страховании здоровья. Об этом документе говорится выше. — Примеч. пер. HIPPA определяет защиту персональной информации о состоянии здоровья. В нем установлены правила обеспечения безопасности информации о состоянии здоровья, которая передается или хранится в электронном виде. Хотя этот акт находится на стадии разработки, но, вероятно, что черновой вариант останется окончательным. Затем учреждения, на которые он распространяется, должны будут в течение двух или трех лет (в зависимости от своих размеров) его выполнить.

Компания Costa Corp имела хорошие намерения, но ее руководители, борясь с ограниченностью ресурсов и времени и осуществляя другие деловые инициативы, не смогли выяснить угрозы своей организации, научиться, как уменьшить риски, и принять меры по уменьшению этих рисков. Они делегировали вопросы безопасности, устранив должностных лиц, директоров и высшее руководство из процесса принятия решений. Как ранее заметил юрист Дэн Лэнджин, исходя из «принципа благоразумия», должностные лица и директоры не могут полностью делегировать свои обязанности по обеспечению информационной безопасности. Недостаточно просто заявить: «У меня есть отдел, который заботится об обеспечении безопасности».