Алексей Доля
Дата: 15.03.2005
Все фото статьи Илья Давидович Медведовский, 32 года, к.т.н., является известным экспертом по информационной безопасности, автором серии книг «Атака на Интернет» и автором более 40 статей в различных печатных изданиях (BYTE/Россия, LAN, Открытые Системы, ИнфоБизнес, Системы безопасности). В 1998 — 2000 годах являлся ведущим раздела «IT Security» в журналах «BYTE/Россия» (издательство «Питер») и «Системы безопасности» (издательство «Гротек»). Автор учебных курсов «Практическое применение международного стандарта безопасности ISO 17799» и «Анализ рисков информационных систем». Ведущий разработчик системы анализа и управления рисками информационной системы компании ГРИФ и системы разработки и управления политикой безопасности информационной системой компании КОНДОР. В настоящее время является директором петербургской компании Digital Security.
В своем интервью Илья Медведовский рассказывает об аудите IT-безопасности, сертификации, стандарте ISO 17799, тестах на проникновение, разработке политики IT-безопасности и оценке рисков. Также Илья Медведовский делится своими взглядами на современный рынок аудиторских и консалтинговых услуг в сфере IT-безопасности, отмечает его специфику и делает прогноз на будущее.
Илья Медведовский, эксперт по IT-безопасности и директор компании Digital Security
Алексей Доля: Вы не могли бы немного рассказать о самой компании Digital Security?
Илья Медведовский: Digital Security — консалтинговая компания, лидер российского рынка аналитических средств управления информационной безопасностью. Руководствуясь кодексом аудитора, компания специализируется на консалтинговых услугах по аудиту информационной безопасности, разработке эффективной системы управления ИБ, подготовке к сертификации по ISO 17799, не занимаясь разработкой и поставкой средств защиты. На основе многолетнего опыта проведения аудита информационной безопасности Digital Security разработала линейку программных продуктов, и на сегодняшний день является ведущим российским разработчиком специализированного ПО анализа информационных рисков и управления политики безопасности в соответствии с ISO 17799.
Алексей Доля: Давайте подробнее остановимся на аудите IT-безопасности. Каковы задачи аудита IT-безопасности?
Илья Медведовский: Основные задачи аудита IT-безопасности состоят в нахождении всего спектра уязвимостей (как технологического, так и организационного плана) в информационной системе компании, комплексной оценке актуальных угроз информационной безопасности на основе обнаруженных уязвимостей, оценке ущерба по существующим видам ценной информации и получении финансовых оценок рисков реализации угроз. На выходе аудита происходит разработка комплекса мер по повышению существующего уровня защищенности и снижению уровня информационных рисков. Важным вопросом являются критерии проведения аудита и применяемые нами методики. Для оценки системы управления информационной безопасности сейчас принято применять стандарт ISO 17799, где мы являемся признанными экспертами. При проведении аудита информационной безопасности мы применяем собственную методику, которая практически совпадает с методикой проведения аудита информационной безопасности Агентства Национальной Безопасности США (АНБ). При построении модели угроз и проведении анализа информационных рисков мы применяем критерии OCTAVE, методологии анализа информационных рисков ГРИФ и Microsoft. Тесты на проникновение мы проводим по собственной оригинальной методике, созданной на основе методик OSSTM (Open-Source Security Testing Methodology) и NIST.
Алексей Доля: С какой целью организациям следует проводить аудит своих систем IT-безопасности?
Илья Медведовский: Одна из основных проблем компаний на сегодняшний день состоит в отсутствии понимания ценности информации, обрабатываемой в информационной системе. Не стоит забывать, что мы защищаем именно информацию, а не нечто абстрактное. Это приводит к тому, что даже если система обеспечения информационной безопасности в той или иной степени существует, она слабо связана с ценностью защищаемой информации. В связи с этим одни и те же меры защиты применяются для информации стоимостью 100 и 1000000 долларов. Поэтому одной из важнейших задач аудита является оценка существующих бизнес процессов и определение ущерба (стоимости) по всем видам ценной информации, обрабатываемой в системе. Другая проблема, которую помогает решить аудит, состоит в том, что специалисты крупных компаний не имеют возможностей, времени и, зачастую, достаточных навыков для самостоятельного проведения всего сложнейшего комплекса технологических и организационных проверок информационной системы. И не будем забывать, что именно сторонний аудит позволяет владельцу компании непредвзято взглянуть на существующее состояние дел в компании области ИБ и получить наглядное представление о существующих проблемах с безопасностью и возможных финансовых потерях. Следующей важнейшей задачей, для выполнения которой необходимо проводить аудит, является анализ информационных рисков и определение эффективности затрат на обеспечение ИБ. Без понимания стоимости информации, объема затрат на ИБ, существующего уровня информационных рисков — невозможно эффективно управлять безопасностью информационной системы. Также, не будем забывать, что большинством стандартов рекомендует проведение регулярного (ежегодного) стороннего аудита ИБ — это также необходимо для определения и проведения должной корректировки уровня оперативной готовности служб обеспечения ИБ.
Алексей Доля: Вы не могли бы дать рекомендации, в каких случаях организациям выгодно проводить аудит IT-безопасности своими силами, а когда — следует обратиться к компании-профессионалу?
Илья Медведовский: Проводить аудит собственными силами крайне сложно; аудит по определению должен проводиться третей стороной. В крупных компаниях существуют свои службы внутреннего аудита, однако правило регулярного аудита третей стороной в любом случае остается в силе, и помимо внутреннего аудита такие компании проходят регулярный внешний аудит безопасности. То есть, проведение аудита своими силами не означает отсутствия необходимости проведения внешнего аудита третей стороной.
Алексей Доля: Возможно, существуют ситуации, в которых целесообразно сочетать эти подходы? Например, что-то делать силами своих сотрудников, а на каких-то этапах консультироваться с профессионалами?
Илья Медведовский: Безусловно. В крупных компаниях хорошей практикой на сегодняшний день является наделение службы ИБ компании контрольно-ревизионными функциями с элементами мониторинга и функцией расследования инцидентов. То есть, в случае применения такой модели сотрудники службы ИБ являются по своей сути внутренними аудиторами. Над ними существует служба внутреннего аудита, которая должна регулярно проводить контроль над их деятельностью. И отдельно, независимо над ними (хорошей практикой, которая рекомендуется всеми международными стандартами), стоит внешний аудитор. Внешний аудитор в зависимости от ситуации может наделяться как функциями аудитора-консультанта, так и функциями жесткой независимой проверки.
Алексей Доля: Сколько стоит провести аудит IT-безопасности, и как долго он длится?
Илья Медведовский: Это зависит от размера компании и сложности информационной системы. Обычно аудит — это прерогатива крупных компаний. В этом случае время проведения аудита исчисляется месяцами работы, и нижняя ценовая планка составляет несколько десятков тысяч долларов.
Алексей Доля: Ваша компания также проводит тесты на проникновение. Что собой представляют эти тесты, для чего нужны? Подобные тесты не являются частью аудита IT-безопасности?
Илья Медведовский: Да, действительно мы активно занимаемся проведением тестов на проникновение. Тест на проникновение обычно входит в полный аудит IT-безопасности. Но мы, видя заинтересованность рынка в подобной услуге, несколько лет назад выделили ее именно как отдельную услугу. Тест на проникновение позволяет обнаружить уязвимости в защите корпоративной сети и, если это возможно и соответствует желанию заказчика, осуществить показательный взлом. В процессе теста на проникновение мы, согласно заданной и согласованной с заказчиком модели, имитируем действия хакера, которые он будет предпринимать при осуществлении внешнего проникновения из сети Интернет. На выходе теста на проникновения заказчик получает отчет с комплексом рекомендаций по закрытию обнаруженных уязвимостей.
Алексей Доля: Чем ваши тесты на проникновение отличаются от работы автоматических сканеров уязвимостей?
Илья Медведовский: Типовым заблуждением является сравнение тестов на проникновение, которые проводятся квалифицированными аналитиками, с запуском автоматизированного сканера. Подобное сравнение совершенно не уместно: это все равно, что сравнивать принятие таблетки обезболивающего с работой врача-анестезиолога. Сканер может помочь только в тривиальных случаях, когда, что называется, «дыры» налицо. Такая ситуация в реальных тестах на проникновение встречается крайне редко. Сканер способен дать не более чем черновой срез существующего состояния системы и, часто, может просто ввести в заблуждение, указывая на наличие уязвимостей, которые на самом деле в данной ситуации не возможно «проэксплойтить». Тест на проникновение в корпоративную сеть, в отличие от сканера, занимает не менее месяца работы пары квалифицированных хакеров-аналитиков: от них требуется провести полный анализ всех деталей исследуемого объекта, учесть человеческий фактор, выбрать подходящий сценарий атаки, разработать уникальное в каждом случае ПО для попытки осуществления доступа в систему. Все вышесказанное не означает, что сканеры не нужны. Конечно, сканеры являются необходимым элементом в системе управления ИБ, но только строго в рамках возложенных на них задач. Сканеры — это далеко не панацея от атак; при таком подходе (когда целиком полагаются на сканер) они могут только ввести в заблуждение и дать ложную уверенность или ложное беспокойство относительно уровня защищенности. Задача сканеров принципиально другая: их необходимо регулярно применять в больших сетях для отслеживания возможных изменений и новых дыр в прикладном и системном ПО.
Алексей Доля: Что является объектом проникновения? Сеть компании? Сайт? Как проходит само тестирование?
Илья Медведовский: Корпоративная сеть по внешнему периметру IP-адресов, и/или сайт. Или отдельно сайт. Сейчас появилась еще одна специфика проведения тестов на проникновение — это атака внутренних пользователей системы путем применения технологии реверсивных троянов. Это прогрессивная технология взлома, которая, используя как уязвимости клиентского ПО рабочих станций пользователей, так и напрямую почтовой рассылкой, позволяет осуществить проникновение в защищенные приватные сети. Эта технология по сути дела уничтожила концепцию защиты от атак из Интернет путем защиты только внешнего периметра и вынудила защищать как каждое рабочее место пользователя, так и применять комплекс защитных мер верхнего уровня в соответствии с ISO 17799. Что касается методологии проведения тестов на проникновение, то она общеизвестна. Выбираются объекты исследования; задается модель нарушителя (включая его возможности); оговаривается режим работы (Black Box или White Box) и уровень информированности заказчика (режим Black Hat или White Hat). В случае Black Hat о факте проведения работы не знает никто кроме руководителей службы ИБ, при этом задача полностью имитировать действия злоумышленника, действующего максимально незаметно, не оставляя следов. В этом случае удается проверить уровень оперативной готовности сетевых администраторов и администраторов ИБ. В случае White Hat никаких мер по скрытию атакующих действий не применяется — основная задача здесь — обнаружить возможные уязвимости и оценить возможность проникновения в систему.
Алексей Доля: Вы считаете, что компании не в силах проводить тесты на проникновение своими силами?
Илья Медведовский: Для чего нужен сторонний аудит? Для проверки третей стороной. Этим все сказано. Невозможно самому себя проверять — это нонсенс. Хороший администратор и так пытается создать систему, максимально защищенную от внешнего проникновения. Вопрос — как он будет сам себя проверять, если он и так все знает про систему? Кроме того, в процессе тестов на проникновение требуется написание собственных эксплойтов — по нашему опыту крайне мало специалистов, которые, даже имея на руках описание уязвимости, реально могут написать рабочий эксплойт — этими знаниями не должен обладать даже превосходный системный администратор. И последний аргумент. Владелец компании хочет и должен иметь стороннюю оценку защищенности сети его компании. Это его бизнес и он хочет иметь дополнительные гарантии его безопасности.
Алексей Доля: Сколько стоит провести тесты на проникновение? Как быстро вы их проводите?
Илья Медведовский: Обычно тест на проникновение занимает порядка 25 рабочих дней и нижняя ценовая планка здесь находится в районе 5000 долл.
Алексей Доля: Вы проводите сертификацию по стандарту ISO 17799. Вы не могли бы объяснить, что это за стандарт, и каков его статус в России?
Илья Медведовский: О стандарте ISO 17799 на сегодняшний день сказано много. И не только сказано. В республике Беларусь принят ГОСТ 17799; в Молдове более 2 лет банки проходят аудит Национального Банка Молдовы на соответствие ISO 17799; в России ГОСТ 17799 вероятнее всего появится уже в конце 2005; 1 декабря 2004 года ЦБ РФ принял стандарт по ИБ в банковской сфере, в том числе на основе требований ISO 17799. Со спецификой стандарта ИСО 17799 можно достаточно подробно ознакомиться на нашем корпоративном сайте: http://www.dsec.ru/services/iso17799cert.php. Если говорить кратко, то ISO 17799 — это тот цемент, который связывает различные компоненты средств информационной защиты — это тот каркас, который позволяет надежно и прозрачно управлять системой обеспечения информационной безопасности уровня корпорации.
Алексей Доля: Почему вы проводите сертификацию именно по ISO 17799? Ведь стандартов, охватывающих самые различные аспекты IT-безопасности как целиком, так и по отдельности, очень много.
Илья Медведовский: Сразу же уточню. По аудиторским стандартам одна и та же компания не может и готовить к сертификации, и проводить ее. Мы готовим к сертификации; непосредственно сертификацией занимается наш партнер — известная сертификационная британская компания URS. Что касается ISO 17799 — почему именно он… Потому что на сегодняшний день в Европе и Азии ему де-факто нет альтернативы — это единственный общепринятый стандарт управления информационной безопасностью. И я с гордостью могу сказать, что в России и странах СНГ мы были первые, кто всерьез обратил на него внимание в 2001 году и занялся его широкой популяризацией и продвижением. Сейчас всем очевидно, что у него нет альтернативы и интерес российского бизнеса к стандарту экспоненциально возрастает; 4 года назад ситуация была совсем иная.
Алексей Доля: Для чего, на ваш взгляд, компаниям следует проходить сертификацию по этому стандарту?
Илья Медведовский: После прохождения официальной сертификации компания получает целый комплекс преимуществ. Я всегда на наших популярных учебных курсах по ISO 17799 выделю два класса преимуществ: формальные и неформальные. К неформальным преимуществам я отношу реальное повышение текущего уровня защищенности и управляемости информационной системы — наличие сертификата говорит о зрелом отношении компании к процессам обеспечения и управления ИБ и дает дополнительные внешние гарантии (заверенные аудитором) собственнику компании, что защита его информационных ресурсов находится на должном международном уровне. К формальным можно отнести весь спектр маркетинговых преимуществ, которые получает бизнес после получения сертификата. Это и дополнительный вес в глазах западных партнеров и клиентов (особенно в случае партнеров из Юго-Восточной Азии), что в свою очередь обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками.
Алексей Доля: Как проходит процесс сертификации и в чем он состоит?
Илья Медведовский: Процесс сертификации обычно разбивается на несколько этапов.
1. Подготовка к сертификации. Во-первых, компания должна подготовиться к сертификации. Это можно сделать как самим, так и с привлечением внешних консультантов, специализирующихся на ISO 17799 — например, таких, как наша компания. Вначале консультанты проведут аудит информационной безопасности для оценки уровня соответствия стандарту. Аудит позволит выявить те места, в которых система управления ИБ компании не соответствует стандарту. Затем по окончании аудита консультант вместе с службой ИБ компании разрабатывает комплект необходимых документов, которые требуются (или которых не хватает) согласно стандарту. После чего все положения, указанные в документах, внедряются компанией на практике, в чем консультанту необходимо убедиться, проведя небольшой повторный надзорный аудит. Теперь компания готова начать процедуру официальной сертификации.
2. Сертификация. Вначале официальный сертификатор требует все документы в соответствии с ISO 17799, которыми обладает компания, и проводит опрос соответствия требованиям стандарта (то, что делает наш КОНДОР). Далее, если все документы в норме, и опрос дал положительный результат (в противном случае компании предлагается самой подготовить необходимые документы), аудитор приезжает на объект сертификации, проверяя, действительно реализованы ли на практике все вышеуказанные требования и предъявленные документы. Если очная проверка аудитора дала положительный результат — сертификат выдается. Если нет — компании предлагается исправить обнаруженные по факту недостатки (если они критичны — сертификат не выдается; если нет — выдается с требованием исправить их до следующей проверки). Далее, в том случае, если сертификат выдан, аудитор регулярно приезжает на объект для выполнения ежегодной проверки соответствия стандарту.
Алексей Доля: Сколько стоит прохождение сертификации по стандарту ISO 17799? Это долгий процесс?
Илья Медведовский: Если система полностью готова к сертификации (с чем мы еще не встречались), то сам процесс сертификации — достаточно непродолжительный, и зависит от размера системы. Для крупной компании этот процесс может занять несколько месяцев работы сертификаторов, включая 8 — 10 дней визита на объект. Непосредственная стоимость сертификации (без предварительной подготовки) зависит от стоимости нормо-дня сертификатора. Минимально декларируемая нашим партнером USR планка для небольшой компании составляет несколько тысяч долларов; максимальная — до 100 000 долл. Подчеркну, речь шла именно о стоимости сертификации. Стоимость подготовки к сертификации состоит из стоимости аудита (который покажет степень готовности и соответственно — дальнейший объем работ по подготовке к сертификации) и стоимости подготовки к сертификации. Соответственно, итоговая стоимость зависит от размера компании и степени ее готовности.
Алексей Доля: Digital Security помогает компаниям разработать политику безопасности. Что под этим понимается?
Илья Медведовский: Под этим понимается разработка комплексной системой управления ИБ предприятия (включая комплект необходимых документов) в соответствии с ISO 17999.
Алексей Доля: Правильно ли я понимаю, что разработка политики безопасности по положениям соответствующего стандарта — залог успеха при прохождении сертификации?
Илья Медведовский: Да, безусловно.
Алексей Доля: Сколько стоит эта услуга и как много занимает времени?
Илья Медведовский: Стоимость зависит от многих факторов: от размера компании; от сложности ее IT-инфраструктуры; от проработанности вопросов обеспечения и управления ИБ; от того, проходила ли компания предварительно у нас аудит ИБ (без проведения аудита невозможно разработать адекватную политику безопасности) и т.д. Если компания уже проходила у нас аудит безопасности, то разработка политики безопасности обычно занимает несколько месяцев. Если же сюда добавить процесс согласования требований с заказчиком и детальную проработку процедур внедрения требования, то этот этап может длиться достаточно долго и зависит от заказчика.
Система КОНДОР проверяет соответствие информационной системы компании положениям стандарта ISO 17799, включающего в себя 10 разделов, регулирующих практически все области, требующие различных мер защиты.
Алексей Доля: Вы также разрабатываете систему КОНДОР, которая позволяет разработать политику безопасности компании и управлять ей. Расскажите, пожалуйста, подробнее об этом продукте.
Илья Медведовский: Да, мы решили использовать свой опыт работы со стандартом ISO 17799 и создать для специалистов, ответственных за обеспечение информационной безопасности в своих компаниях, современный и удобный инструмент для разработки всех основных положений политики информационной безопасности компании и управления процессом внедрения этих положений на практике. Система КОНДОР содержит комментарии наших экспертов к положениям стандарта, выполнение которых может вызвать затруднение, а также модуль анализа риска соответствия положениям стандарта. Таким образом, после работы с системой специалист имеет на руках готовую инструкцию по разработке положений политики безопасности, которых не было ранее, дополнительные рекомендации по тем положениям, которые уже приняты в компании, а также получает возможность планировать мероприятия в зависимости от степени важности каждого положения.
После генерации отчета специалист получает детальное руководство для разработки и управления политикой информационной безопасности своей компании.
Алексей Доля: Digital Security является разработчиком системы ГРИФ, позволяющей анализировать риски и управлять ими. Расскажите, пожалуйста, о системе ГРИФ.
Илья Медведовский: Руководством большинства компаний сегодня выносится на первый план проблема адекватной информационной защиты и как первый шаг — определение существующего уровня защищенности. Зачастую, самостоятельное решение этой проблемы силами отдела IT оказывается достаточно непростым делом в силу целого ряда объективных причин. Одной из задач, решаемых системой ГРИФ, является анализ и получение адекватных оценок защищенности информационной системы, которые IT-менеджер может получить самостоятельно без привлечения сторонних экспертов, применяя ГРИФ. Система ГРИФ — гибкое и, несмотря на скрытый от пользователя сложнейший алгоритм, учитывающий более ста параметров, максимально простое в использовании программное решение, основная задача которого — дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и оптимизировать расходы и сформировать адекватный бюджет на информационную безопасность.
Для анализа и управления рисками компании, ГРИФ строит модель информационной системы, в которую входят ресурсы, виды ценной информации, группы пользователей, бизнес-процессы и средства защиты.
Алексей Доля: Какую поддержку вы оказываете пользователям систем КОНДОР и ГРИФ?
Илья Медведовский: При приобретении систем КОНДОР и ГРИФ с годовой поддержкой, пользователи могут в любой момент обратиться за консультацией к нашим специалистам, а также, что особенно важно, в поддержку входит бесплатное обновление версий систем, которое происходит довольно регулярно.
Отчет, получаемый в результате анализа построенной модели информационной системы, дает полное представление о слабых местах в системе защиты, а также — какие меры будут наиболее эффективными для повышения уровня защищенности.
Алексей Доля: Какова стоимость систем КОНДОР и ГРИФ?
Илья Медведовский: Стоимость системы КОНДОР Специалист 4.0 — 16 340 руб. Стоимость системы ГРИФ Специалист 3.0 — 18 320 руб. Также существует специальное предложение — скидка 10% при приобретении обеих систем.
Все полученные результаты для удобства работы отображаются не только численными значениями, но также в виде диаграмм и графиков. При желании, их можно включить в итоговый бумажный отчет для представления руководству.
Алексей Доля: Ваша компания также предлагает информационные материалы (курсы, справочники и т.д.) по IT-безопасности на CD и очные курсы и тренинги. Расскажите об этом подробнее, пожалуйста.
Илья Медведовский: Да, нашими специалистами на основе многолетнего опыта работы в области информационной безопасности разработаны различные обучающие и справочные материалы. На сегодняшний день более 1000 специалистов крупнейших компаний прошли обучение на курсах и семинарах, проводимых в различных регионах. России и ближнего зарубежья. Около 4000 специалистов используют на практике материалы, содержащиеся в курсах на CD, освещающих такие темы, как анализ рисков информационных систем, внедрение стандарта ISO 17799, правовые основы информационной безопасности и многие другие.
Раздел «Политика безопасности» заполняется на основе ответов, данных специалистами каждого подразделения компании по своей информационной системе. Для удобства каждый вопрос содержит сводную таблицу ответов по каждому подразделению.
Алексей Доля: Сколько стоят эти материалы и обучение?
Илья Медведовский: У нас на сегодня существует восемь различных курсов на CD. Их стоимость от 495 руб. до 1995 руб. Пройти обучение на нашем двухдневном курсе стоит около 250 у.е.
Алексей Доля: Основываясь на своем опыте ведения бизнеса, можете проследить за развитием своего сегмента рынка в России? В течение последних нескольких лет этот сегмент рынка рос? Какими темпами?
Илья Медведовский: Наш сегмент рынка — это аудит и консалтинг в области ИБ, ISO 17799 и разработка аналитических средств управления безопасностью. Это достаточно узкий сегмент рынка, который мы занимаем — это наша специализация. С моей точки зрения, это сегмент значительно вырос за последние годы. Сегодня проведение стороннего аудита информационной безопасности становится стандартом де-факто для крупного российского бизнеса. Стандарт ISO 17799 сегодня также стал общепринятым стандартом управления информационной безопасности. Наши аналитические средства управления безопасностью сегодня используются крупнейшими российскими компаниями, что также характеризует уровень зрелости нашего сегмента рынка.
Алексей Доля: Вы можете сделать прогноз относительно того, как будет развиваться рынок услуг по аудиту, сертификации, тестам, управлению рисками и т.д. в сфере IT-безопасности в будущем?
Илья Медведовский: Скажу кратко. Рынок будет активно развиваться, и сегодня это всем очевидно. Мы повторим западный путь развития ИБ, и альтернативы здесь нет. Термин «информационная безопасность» сегодня трансформировался в «информационную безопасность бизнеса». Это рынок развивается только благодаря бизнесу, которому необходимо защищать свои информационные активы на уровне лучших мировых стандартов, и этот процесс невозможно остановить — он будет далее только набрать ход.
Алексей Доля: Хотите сказать что-нибудь нашим читателям напоследок?
Илья Медведовский: Успехов и удачи. И поменьше инцидентов в области информационной безопасности :).
Алексей Доля: Спасибо за столь интересное интервью. Удачи вам лично и вашей компании!