Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

В конце XX века в нашу жизнь стремительно ворвались информационные и телекоммуникационные технологии.
По заявлению ряда зарубежных экспертов, именно прогресс в области информационных технологий и средств связи в значительной мере будет определять в следующем десятилетии уровень благосостояния населения практически всех стран мира.

В сегодняшнем выпуске рассылки предлагаем Вам статью Сергея Гринева "Безопасность электронных коммуникаций", в которой автор анализирует тенденции и прогнозы развития работ в области обеспечения защиты информации в России.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Напоминмем, что продолжается регистрация на информационный семинар "Практическое применение международного стандарта безопасности информационных систем ISO 17799", проводимого компаниями Инфотекс Интернет Траст и Domina Security,

• Компания Инфотекс приняла участие в семинаре "Современные технологии защиты информации", организованном и проведенном холдингом ЛАНИТ в Нижнем Новгороде
• Компании Infotecs Internet Trust (IIT) и Domina Security 03 декабря 2002 г. в Москве проводят информационный семинар: "Практическое применение международного стандарта безопасности информационных систем ISO 17799

Введение
С конца 90-х годов обозначился рост объемов продаж в российском сегменте Интернета, успешно функционирует ряд межбанковских информационно-платежных систем, активно разрабатываются и внедряются другие проекты.
Наряду с этим дальнейшему поступательному развитию Интернет-экономики в мире в целом и в России в частности препятствуют серьезные проблемы, выявленные на этапе ее становления. Важнейшая из них - обеспечение информационной безопасности электронных коммуникаций.

Основные виды угроз информационной безопасности.

Особенности электронной экономики в России
Вследствие объективного роста угроз, вызванного активизацией деятельности террористических групп, многие аналитики прогнозируют в ближайшее время существенный рост отрасли, выпускающей продукты безопасности, несмотря на явную рецессию компьютерной индустрии в целом. Как отмечается в ряде изданий по безопасности, наиболее интенсивный рост предсказывают сектору "3A" (аутентификация, авторизация и администрирование). В частности, рынок в Европе увеличится с 742 млн. в 2000 году до 2,4 млрд. долларов в 2005-м.

Увеличение коснется не только рынка отдельных продуктов, но и услуг. Например, уже сейчас некоторые операции, значимые с точки зрения безопасности, компании сознательно передают для обслуживания фирмам, специализирующимся на этом виде бизнеса.

Результаты маркетингового исследования, проведенного летом 2001 года компанией Ernst&Young, а также проекта "Готовность России к информационному обществу" показали, что сегодня 78% российских компаний уже имеют собственное представительство в Интернете. Однако некоторые компании (30%) поддерживают свои веб-сайты исключительно для публикации сведений о фирме или в рекламных целях. Вместе с тем многие компании уже приступили к ведению электронного бизнеса через свои сайты. Причем 20% из них используют веб-сайты только для работы в секторе "бизнес - потребитель" (B2C), 7% - в секторе "бизнес - бизнес" (B2B) и 21% - в обоих секторах.

Таким образом, учитывая постоянный процесс расширения сфер использования информационных сетей и Интернета в деятельности компаний, есть основания полагать, что электронный бизнес в России имеет достаточно серьезные позиции. Более того, почти 25% опрошенных представителей компаний рассматривают возможность реализации первого в их практике проекта электронной коммерции.

Общая тенденция развития этого сектора экономики приводит к тому, что интерес инвесторов к решениям в области В2В в России растет. Уже сейчас в российском сегменте Интернета существуют десятки В2В-проектов (по разным оценкам, около 50 развитых В2В-сообществ) в лесной и химической промышленности, металлургии, компьютерной и других отраслях. Кроме того, наметилась тенденция интеграции отечественных предприятий (прежде всего из сырьевых и обрабатывающих отраслей) с западными В2В-системами, что в целом характерно для мировых процессов глобализации.

В 2000 году заявили о себе первые российские Интернет-магазины. Сегодня в Рунете, по мнению ряда изданий, активно покупают книги, музыкальные диски, билеты, продукты, компьютерную технику и электронику, домашнюю утварь и садовые принадлежности.

Тем не менее около 90% компаний признают наличие различных факторов, препятствующих расширению электронного бизнеса. Обеспокоенность вызывают в основном недостаток ресурсов, квалификации и опыта, проблемы обеспечения безопасности и конфиденциальности. Сообщения в прессе о краже информации кредитных карт, а также простота, с которой хакеры получают доступ к информации, являющейся коммерческой тайной, через Интернет, служат для потребителей поводом отказаться от покупок через электронные магазины, а для бизнесменов - от участия в проектах.

В 2000 году общее количество Web-витрин, Интернет-магазинов и торговых Интернет-систем, по различным экспертным оценкам, приблизилось к 600. Вместе с тем практика показывает, что только в 40% случаев покупателям разрешается воспользоваться пластиковой картой при оплате заказа. Некоторые виртуальные магазины избегают онлайновых платежей, оправдываясь тем, что ни одна схема организации электронной коммерции не может обеспечить 100%-ную безопасность.

Эксперты компании Ernst&Young отмечают, что в 2001 году как минимум 64% из опрошенных компаний подверглись нападениям. Характер атак говорит о том, что 43% из них связаны с хищением коммерческой информации, 15% относятся к сфере финансового мошенничества, 14% - несанкционированный доступ изнутри компании и 11% - проникновение в систему извне.

Одна из характерных тенденций, наметившихся в российском секторе электронной коммерции, - процесс передачи функций, связанных с внедрением, администрированием и обеспечением безопасности информационных систем, сторонним организациям. Так, 28% фирм привлекают их к проектированию инфраструктуры информационных систем, 40% - для разработки необходимых приложений.

При этом четверть опрошенных представителей заявили о том, что привлекают сторонние компании для решения вопросов, связанных с обеспечением информационной безопасности и защиты информации в информационных системах. Это связано прежде всего с недостатком квалифицированных кадров и с необходимостью наличия у компаний, проводящих работы в области информационной безопасности, соответствующих разрешительных документов Гостехкомиссии и ФАПСИ.

Таким образом, основными негативными факторами, препятствующими повышению эффективности электронного бизнеса в России, являются следующие.

• Соображения безопасности и конфиденциальности (45%). Именно они являются сегодня главной преградой для активного использования Интернета и информационных технологий в целом.
• Недостаток ресурсов, квалификации и опыта (44%). Особенно это характерно для области, связанной с обеспечением информационной безопасности, несмотря на наличие большого количества грамотных специалистов в области информационных технологий. Во многих случаях на проведение комплекса работ, необходимых для достижения и поддержания требуемого уровня защиты информации в соответствии с действующими нормативными документами, у компаний просто не хватает средств.
• Отсутствие стандартов и четкой законодательной базы (29%). Существует множество нерешенных вопросов, связанных с регулированием отношений между онлайновыми рынками и российским государством. В первую очередь неоднозначность трактовки российского законодательства, связанного с юридической правомочностью электронной подписи. Во-вторых, законы, определяющие понятие "электронной подписи" и регулирующие ее использование, во всех странах разные, что значительно осложняет деловые отношения на международном уровне и международную интеграцию.
• Недостаток доверия к участникам рынка (19%). Почти 20% опрошенных заявляют, что организации полноценной работы в Интернете препятствует отсутствие доверия среди участников электронного рынка.
  Таким образом, в последнее время в России отмечается достаточно тревожная ситуация в сфере обеспечения информационной безопасности и защиты информации, особенно для предприятий частной формы собственности. Складывается впечатление, что бизнес существует сам по себе, а государство - само по себе. Принимается Доктрина информационной безопасности, где вроде прописан и частный сектор, но в дальнейшем о его существовании благополучно забывают и предпринимаются попытки обеспечить информационную безопасность России без учета более половины ее экономики.

Одну из причин создавшегося положения эксперты видят в том, что у основных участников данного сектора экономики - банков практически исчез интерес к обеспечению безопасности своих информационных систем. Это в свою очередь обусловлено тем, что сегодня стоимость создания надежной системы информационной безопасности намного выше потерь, которые несет тот или иной банк в результате несанкционированного доступа к его информационным ресурсам. Не секрет, что сейчас предпочтительнее улаживать проблемы за счет "внутренних резервов" и не афишировать возникающие проблемы. Зачастую, приобретая тот или иной программный продукт, банк отказывается доплачивать за обеспечение необходимого уровня защиты информации. Подобная ситуация негативно отразилась и на разработчиках. Теперь многие из них просто игнорируют необходимость обеспечения защиты информации.

Однако следует помнить, что обеспечение защиты информации позволяет не только предотвратить нежелательные последствия, связанные с нарушением нормального функционирования информационных систем или утраты информации, но и иметь полный контроль над информационной системой, что позволит обеспечить собственную безопасность от неправовых методов использования информационной системы банка в интересах преступных групп и конкурентов.

О защите информации и перспективах вступления России в ВТО
Идет к завершению процесс согласования условий для вступления России во Всемирную торговую организацию. Наряду с массой других проблем это событие будет иметь определенные последствия и для организаций, занятых вопросами обеспечения информационной безопасности.

Как отмечается в Доктрине информационной безопасности, за последние десять лет российских реформ в сфере информационных технологий воцарился настоящий хаос, препятствующий формированию единого общероссийского информационно-финансового пространства. На рынке банковских систем доминируют аппаратно-программные средства иностранного производства, а отечественные разработки, адаптированные к российским условиям, зачастую остаются достоянием отдельных компаний-разработчиков.

Вступление в ВТО потребует адаптации российского законодательства и стандартов в области информационных технологий к международным образцам. Появится перспектива подписания Россией международного соглашения о взаимном признании сертификатов, выданных в рамках общих критериев оценки безопасности информационных технологий. Это приведет к массовому наплыву на российский рынок зарубежных средств защиты информации.

Одним из главных вопросов станет обеспечение конкурентоспособности продукции российских разработчиков. Следовательно, уже сейчас необходимо заниматься разработкой профилей защиты и заданий на безопасность для сертификации отечественной продукции по требованиям «Общих критериев».
Упорядочение деятельности по внедрению и развитию информационно-телекоммуникационных технологий в банковской сфере позволит интенсифицировать процессы ее интеграции, достичь требуемого уровня унификации, стандартизации и информационной безопасности.

Кроме того, целесообразно проведение работ по формированию единого Реестра аппаратно-программных средств, рекомендованных Центральным банком РФ, Ассоциацией российских банков, Гостехкомиссией и ФАПСИ к использованию в информационно-финансовых системах банков и других финансовых организаций, соответствующих основным международным стандартам.

Включение аппаратно-программных средств в Реестр должно осуществляться путем выдачи сертификатов соответствия. Сертификация в этом случае должна проводиться на основе Перечня требований, разработанного с учетом требований Гостехкомиссии, ФАПСИ, Центрального банка и других заинтересованных организаций. Основным ее результатом кроме включения в Реестр может также служить право на страхование информационных рисков в сертифицированных системах.

Выводы и предложения
Условием успешного развития отечественного бизнеса является создание единого общероссийского технологического и информационного пространства. Эта проблема сегодня даже более актуальна, чем интеграция России в мировую финансовую систему, поскольку последнее невозможно без единого унифицированного и стандартизованного в соответствии с мировыми стандартами технологического потенциала.

Вероятно, в ближайшее время предстоит пересмотр основных подходов к формированию концепции национальной безопасности ряда государств, в том числе России. Характер угроз, исходящих от международного терроризма, повлечет за собой формирование новой модели безопасности.
В этой ситуации можно предположить, что основной акцент будет сделан именно на развитии широкой сети служб безопасности как на крупных, так и на средних и малых предприятиях. Задачи государственных служб безопасности будут сведены в основном к координации «сети безопасности», сформированной из подобных структур.

Таким образом, имеет смысл более активно привлекать российский бизнес к законотворчеству в области информационной безопасности и электронной торговли. Его участие в процессе формирования государственной информационной политики в области защиты информации и электронной торговли позволит приблизить принимаемые законодательной властью решения к интересам бизнеса и в конечном итоге будет способствовать развитию российской экономики.

Гриняев Сергей. (опубликовано в журнале Мир Связи. Connect! 8/2002 ).

Дело в том, что почти сразу после захвата заложников в "Норд-Осте", сайты Kavkaz.org и Chechenpress.com — пропагандистские ресурсы сепаратистов, хостирующиеся в США, оказались недоступными.

"Мы удивлены тем, что российские спецслужбы столь свободно чувствуют себя на территории США", — заявил Удугов в письме.

Между тем, как утверждает Reuters, Kavkaz.org и Chechen Press были "ценным источником альтернативной информации" для тех, кто следит за ходом второй чеченской кампании. Согласно Reuters, с помощью этих сайтов террористы сообщали о своей причастности к очередным атакам (или, наоборот, отрицали таковую).

Представители ФСБ, впрочем, категорически отрицают свою причастность мощным DoS-атакам, закрывшим доступ к Chechenpress.com, и ликвидации Kavkaz.org.

Во втором случае хакеры пошли более трудным, но и более надёжным путём: кто-то перевёл регистрацию Удугова на себя и закрыл ресурс.

Компания, предоставлявшая хостинг, подтверждает факт изменения регистрации и выясняет, не было ли это следствием взлома.

Удугов открыл новый "Kavkaz.org" по адресу www.kavkazcenter.com, но и этот сайт в начале ноября "положили" с помощью DoS-атак.

Стоит напомнить, что в самом начале этого года по новостным лентам прошло известие о том, что на Kavkaz.org давно и настойчиво охотится команда хакеров-любителей под названием "Сибирская сетевая бригада".

Например, как сообщает KM.ru, в августе 1999 в разгар вторжения бандитов в Дагестан на главной странице kavkaz.org была помещена картинка Лермонтова с автоматом.

Теперь до этих сайтов просто невозможно достучаться.
(источник - http://www.securitylab.ru/, опубликовано 15.11.2002)

По словам Амита Йорана, главы службы компьютерной безопасности фирмы Symantec, ежемесячно становится известно о 400-500 новых вирусах и 250 недостатках в системах безопасности компьютерных сетей.

Эксперты также подметили любопытную тенденцию: не все сектора экономики пользуются одинаковой популярностью сетевых преступников. "Самыми популярными являются компании энергетического сектора, а за ними следуют финансовые структуры", - говорит Йоран. Кроме этого, добавляет он, хакеры чаще влезают в сети общественных предприятий, чем частных фирм и правительственных структур.
(источник - http://www.securitylab.ru/, опубликовано 14.11.2002)

B 2001 году 85% корпораций и государственных учреждений подверглись хакерским атакам, что обошлось им в 13,2 млрд. долл. По словам Харриса Миллера, президента американской Ассоциации информационных технологий, "корпорации разрабатывают меры борьбы с кибертерроризмом, однако для эффективного противостояния нужна долгосрочная государственная программа. Нам нужно новое поколение кибервоинов, оружием которых будет не пушка, а ноутбук".

"Террористические атаки 11 сентября выдвинули на первый план вопросы безопасности, в том числе и компьютерной, - заявил Шервуд Бёлерт, председатель Научного комитета администрации Белого дома. - Нашумевшие DoS-атаки на корневые DNS-серверы интернета демонстрируют необходимость принятия самых решительных мер для обуздания хакеров".

В настоящее время администрация Буша работает над национальной стратегией обеспечения безопасности киберпространства. "Безопасность означает нечто большее, нежели закрытые двери и металлодетекторы", - заявил член Палаты представителей конгресса США администрации Брайан Бэйрд. - Новая стратегия призвана сделать нашу Сеть неуязвимой".
(источник - www.compulenta.ru, опубликовано 13.11.2002)

Приходит червь в электронном письме, где говорится, что отправитель отправил получателю открытку, которую можно посмотреть, щелкнув на гиперссылке. Если пользователь откроет ссылку, на экране появляется предупреждение об установке программы. В окне предупреждения сообщается, что разработчик программы, компания Permissioned Media, гарантирует безопасность программы, а ее аутентичность подтверждается электронным сертификатом Thawte Server CA.

Если пользователь соглашается на установку программы, запускается соответствующий мастер, и на компьютер копируются два файла FRIENDCARD.EXE и TAFW.EXE, причем оба они содержат код червя. По завершении установки программа запускается, и рассылает письма со своими копиями по всем адресам из книги Outlook или Outlook Express. После этого на сайте, с которого загружается червь, наконец, отображается открытка с пожеланиями приятного дня.

Червь не несет какой-либо деструктивной нагрузки. Единственным эффектом его работы является скрытие панели задач во время процесса установки. Однако таким же образом ведут себя большинство мастеров установки ПО. Так что единственным действием самого червя можно считать рассылку сових копий. По этой причине опасность Friend Greetings оценивается как низкая. Более или менее бдительному пользователю заразить свой компьютер вообще крайне сложно. Для установки червя необходимо запустить его установку и даже согласиться с условиями некоего лицензионного соглашения.

Для удаления червя необходимо завершить его выполнение в диспетчере задач Windows и удалить записи из раздела автозагрузки системного реестра. Соответствующее обновление для антивируса Trend Micro уже выпущено.
(источник - www.compulenta.ru, опубликовано 12.11.2002)

Пока не известно, планируют ли США требовать от Великобритании выдачи хакера. Как правило подобные дела рассматриваются на родине обвиняемых, однако данный конкретный случай может стать исключением. Дело в том, что расследование взломов военных сайтов было одним из главных направлений работы разведок Армии и ВМФ США. Кроме этого, анонимные источники агентства Associated Press, близкие к следователям, утверждают, что хакер, по всей видимости, является профессионалом. Любителю просто не под силу взломать такое большое количество сетей, считают эксперты.

По этим причинам вероятность того, что американские власти захотят судить хакера на своей территории достаточно велика. Кроме этого, и США и Великобритания сейчас активно борются с киберпреступностью, в целях чего подписали соответствующую конвенцию Совета Европы. Британские власти пока отказываются от комментариев по данному вопросу.
(источник - www.compulenta.ru, опубликовано 12.11.2002)

Вопросы обеспечения информационной безопасности являются актуальной темой многих конференций и семинаров. К сожалению, география их проведения зачастую ограничивается Москвой и Санкт-Петербургом, хотя данные вопросы являются актуальными для любого современного предприятия.

5 ноября семинар на тему применения современных технологий защиты информации прошел в Нижнем Новгороде.

На семинаре участникам былы представлены решения холдинга Ланит в области построения комплексных систем информационной безопасности организаций в целом, а также демонстрировались передовые технологии межсетевого экранирования и защиты передачи данных, биометрической аутентификации, контентного анализа и антивирусной защиты.

Программа семинара предусматривала две части. В первой части зачитывались доклады представителей Гостехкомиссии по Поволжскому федеральному округу, ведущих специалистов ЛАНИТ, Инфотекс и BioLink Technologies. Выступавшие сделали особый акцент на практических примерах создания защищенных корпоративных систем и предложили возможные решения. Участники семинара проявили высокий интерес к проблематике докладов, выступления докладчиков сопровождались большим количеством дополнительных вопросов со стороны аудитории.

Вторая часть семинара прошла в формате рабочей встречи, в ходе которой всем гостям было предложено ознакомиться с уникальным демонстрационным стендом, на котором посетители смогли детально ознакомиться с типовыми вариантами практического применения технологий, о которых шла речь во время семинара. Наибольший интерес участников семинара вызвали представленные средства построения виртуальных частных сетей (VPN) на базе технологии ViPNet, системы контентного анализа eSafe и средств биометрической аутентификации BioLink.

В семинаре приняли участие десятки ведущих специалистов крупнейших предприятий региона, включая представителей ГУ ЦБ по Нижегородской области, Горьковского автомобильного завода, Заволжского моторного завода, ВолгаТелеком, Нижегородской топливно-энергетической компании, УГЖД и Нижфарм. По мнению участников, семинар выгодно отличался актуальностью поднимаемых вопросов, высокой информативностью и ярко выраженной практической направленностью.

Компании Infotecs Internet Trust (IIT) и Domina Security 3 декабря 2002 г. в Москве проводят информационный семинар: "Практическое применение международного стандарта безопасности информационных систем ISO 17799"

Основная задача семинара - ознакомить участников с содержанием международного стандарта безопасности информационных систем, которому соответствуют информационные системы всех компаний Европы и США.

На семинаре подробно рассматриваются практические аспекты внедрения стандарта ISO 17799 в реальную информационную систему компании и возникающие в связи с этим проблемы и возможные пути их решения. Каждый участник семинара бесплатно получит CD "Практическое применение ISO 17799: основные положения стандарта; сборник типовых решений и документов; комментарии к стандарту".

Семинар направлен прежде всего на повышение квалификации в области информационной безопасности ИT- менеджеров высшего и среднего звена, руководителей проектов фирм работающих в сфере инфотехнологий, ведущих ИТ-специалистов и специалистов по информационной безопасности, а также современных руководящих работников.

По окончанию курса каждому участнику будет предоставлено свидетельство о его прохождении. В стоимость семинара входит coffee-breaks.
Стоимость семинара 145 у.е.

Программа семинара

1. Введение.
Назначение и основные разделы стандарта

2. Основные термины и определения

3. Политика безопасности

4. Организационные меры по обеспечению безопасности
Управление форумами по информационной безопасности
Координация вопросов, связанных с информационной безопасностью
Распределение ответственности за обеспечение безопасности

5. Классификация и управление ресурсами
Инвентаризация ресурсов
Классификация ресурсов

6. Безопасность персонала
Безопасность при выборе персонала
Тренинги персонала по вопросам безопасности
Реагирование на секьюрити инциденты и неисправности

7. Физическая безопасность

8. Управление коммуникациями и процессами
Рабочие процедуры и ответственность
Системное планирование
Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
Управление внутренними ресурсами
Управление сетями
Безопасность носителей данных
Передача информации и программного обеспечения

9. Контроль доступа
Бизнес требования для контроля доступа
Управление доступом пользователя
Ответственность пользователей
Контроль и управление удаленного (сетевого) доступа
Контроль доступа в операционную систему
Контроль и управление доступом к приложениям
Мониторинг доступа и использования систем
Мобильные пользователи

10. Разработка и техническая поддержка вычислительных систем
Требования по безопасности систем
Безопасность приложений
Криптография
Безопасность системных файлов
Безопасность процессов разработки и поддержки

11. Управление непрерывностью бизнеса
Процесс управления непрерывного ведения бизнеса
Непрерывность бизнеса и анализ воздействий
Создание и внедрение плана непрерывного ведения бизнеса
Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса

12. Соответствие системы основным требованиям
Соответствие требованиям законодательства
Анализ соответствия политики безопасности
Анализ соответствия техническим требованиям
Анализ системного аудита

Комментарии слушателей прошлых семинаров:

- Поставил бы твёрдую 4+ (по пятибалльной шкале). На данный момент это единственный проводимый на эту тему семинар <…>, который весьма актуален и объединяет и систематизирует уже имеющиеся знания администраторов. ( Арго Рейнтал, Susteemiarenduse Partnerid)

- Семинар даёт много для более детальной оценки и исправления ошибок систем (Грен Касс, Microlink Online)

- Хороший обзор стандарта (Юри Кивимаа, Eesti Uhispank)

Зарегистрировавшимся на семинар по информации из данной рассылки - скидка 10% на участие.

Для того чтобы принять участие в семинаре, заполните, пожалуйста, Анкету участника.

Семинар состоится 03 декабря в11-00 в офисе компании Инфотекс Интернет Траст по адресу: Ленинградский проспект, дом 80-5, Алкад Сокол Центр.
Схему проезда к офису можно посмотреть здесь.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.