Не хватает зрелости

От качества обеспечения информационной безопасности все больше зависит успешное функционирование организаций. Однако до сих пор довольно мало организаций имеют целостные системы информационной безопасности и соответствующую политику. О том, на каком уровне сегодня находится в компаниях защита информации, какие проблемы в области информационной безопасности приходится решать руководителям и каковы основные тенденции и перспективы развития этого направления, мы беседуем с техническим директором компании АМТ-ГРУП Олегом Табаровским.

–Олег, расскажите, какие основные проблемы в области информационной безопасности приходится решать сегодня компаниям?

— Пожалуй, самая фундаментальная проблема напрямую связана со следующим фактом: построение систем информационной безопасности зависит от того, насколько глубоко руководство осознает важность имеющейся в компании информации. В том случае, если нет понимания того, что для создания полноценной системы защиты информации необходима организационная политика в этой области, то система управления информационной безопасностью не развивается дальше зачаточного состояния. Причем бывают случаи, когда ИТ-инфраструктура компании создана на должном уровне, а вот защита информации организована довольно примитивно. Таким образом, недостаточное внимание руководства является в таких компаниях основной проблемой построения систем информационной безопасности.

Вторая задача в области информационной безопасности, решение которой стало особенно актуально в последние несколько лет, связана с тем, что российский рынок захлестнула волна сделок по слиянию и поглощению, причем эта тенденция затронула как средние, так и крупные компании. Как правило, в результате подобной реорганизации компании объединяют свои информационные активы и информационные системы, что, в свою очередь, приводит к серьезной перестройке всей системы управления информационной безопасностью. Понятно, что это довольно сложный процесс, так как строились эти системы по разным принципам и на разных основах. В сущности, речь идет о создании систем информационной безопасности «с нуля» — ведь система должна быть единой и комплексной, и «сшить» ее из различных кусков старых, не связанных друг с другом решений практически невозможно. Кроме того, перед тем, как создавать такую систему в новой компании, необходимо провести анализ имеющейся информации, причем, как правило, с использованием ресурсов внешних подрядчиков, которые могли бы правильно оценить информационные потоки, риски, угрозы и провести всю необходимую предварительную работу. Одновременно должна быть выработана внутренняя политика новой компании по безопасности. И только потом, после завершения организационных мер, начинается выполнение технических задач. Однако, к сожалению, на практике довольно часто случается, что при объединении ИТ-систем компаний системам безопасности уделяется недостаточное внимание и этот вопрос решается в последнюю очередь.

И, наконец, третьей, одной из наиболее болезненных является кадровая проблема. Справедливости ради стоит отметить, что задача поиска и привлечения квалифицированных кадров стоит перед всеми компаниями, работающими в отрасли ИТ. Однако требования, предъявляемые к специалистам в области информационной безопасности, в отличие от, скажем, системных администраторов, гораздо более жесткие. Они должны одинаково хорошо разбираться как в технической стороне вопроса, так и в организационно-информационной структуре компании. Все это, как минимум, в два раза усложняет подготовку такого специалиста и требует от него в будущем «двойной компетенции». Кроме того, он должен разбираться в законодательстве, быть в курсе всех стандартов и лучших практик внедрения систем информационной безопасности в мире. И, наконец, квалифицированный сотрудник отдела защиты информации должен обладать соответствующими личными качествами, так как область информационной безопасности очень деликатная, а риски, связанные с работой этих сотрудников, очень высоки.

— Как же искать таких специалистов?

— Как я уже говорил, найти специалиста в области информационной безопасности сложнее, чем просто ИТ-специалиста. Решать эту проблему приходится по-разному. И в этом плане ИТ-компании находятся в более благоприятной ситуации, чем компании, для которых информационные технологии не являются основным бизнесом. Прежде всего потому, что ИТ-компании имеют возможность сами заниматься подготовкой специалистов. Например, в нашей компании есть специальные подразделения, которые оказывают услуги в области защиты информации. И поэтому в рамках этих подразделений мы можем готовить собственные кадры, учить молодых специалистов. На предприятиях такой возможности обучать и «натаскивать» нет, у них, как правило, информационной безопасностью занимается максимум несколько человек. Таким образом, у подобных компаний есть только один путь привлечения сотрудников — переманивать специалистов из других организаций. И в такой ситуации выигрывает тот, кто может предложить специалисту более выгодные условия или более интересную работу. Однако все понимают, что «переманивание» кадров — не выход, в рамках нашей отрасли это очень серьезная проблема, которую пока не удается решить.

— Как сегодня компании подходят к созданию своих систем информационной безопасности? Существуют ли какие-то регламенты, которые должны выполнять все организации?

— Все компании с точки зрения подхода к проблеме обеспечения безопасности можно разделить на три основные группы. Во-первых, это государственные предприятия, во-вторых, финансовые структуры, и к третьей группе можно отнести все остальные коммерческие компании. В каждой из этих групп свой подход к безопасности. Самые строгие требования и наиболее регламентированные подходы к безопасности существуют в госструктурах. Причины этого понятны, в данном случае требования безопасности включают в себя защиту государственных интересов. Именно поэтому все средства, которые применяются для обеспечения безопасности в государственных организациях, должны быть сертифицированы органами ФСБ, специальной технической комиссией и должны быть российского происхождения. На государственных предприятиях существуют строгие требования к использованию ЭЦП, многочисленные внутренние регламенты, касающиеся как технологической, так и «физической» безопасности.

В компаниях финансового сектора информация является одним из главных активов. Поэтому, несмотря на то что в этих структурах нет жестких требований, связанных с сертификацией используемых средств, к защите информации в этих организациях подходят, как правило, довольно серьезно. К тому же недавно Государственным банком России был разработан специальный документ «Обеспечение информационной безопасности организаций банковской системы РФ», в котором подробно сказано, как должна быть организована система обеспечения безопасности банковской информации. Понятно, что подобный документ, разработанный главным российским банком, все банковские структуры, работающие на территории России, обязаны строго выполнять. Хотя, конечно, компании финансового сектора более свободны в выборе и использовании средств криптографической защиты и могут пользоваться в том числе не только российской криптографией, но и зарубежными средствами криптографической защиты, ввезенными в страну в строгом соответствии с российским законодательством.

Что касается организаций третьей группы, то есть всех остальных компаний, то в них подходы к безопасности порой совсем не регламентированы. Единственное требование, которому должны удовлетворять все используемые в этих компаниях средства по защите информации, — официальный ввоз в страну.

Стоит понимать, что при организации систем безопасности в любой компании в первую очередь требуется разработать и внедрить политику в области информационной безопасности, построить систему управления и организовать все процессы. Таким образом, внедрение должно осуществляться «сверху вниз». А такое, к сожалению, до сих пор встречается достаточно редко.

— Можно ли отдавать какие-то задачи, связанные с защитой информации, на аутсорсинг?

— Я бы сказал, что к решению некоторых задач просто необходимо привлекать внешних подрядчиков. Например, компаниям, которые хотят перейти на новый уровень организации систем безопасности, соответствующий международным стандартам, необходимо провести подготовку к аудиту по мировым стандартам и потом сам аудит. Как правило, решить подобные задачи без помощи специализированных компаний невозможно.

Это только одна из возможных форм использования аутсорсинга. Надо заметить, что традиционные для России закрытость компаний и недоверие к сторонним организациям препятствуют широкому использованию аутсорсинга. Однако в том случае, когда в компании имеется высокоорганизованная система информационной безопасности и процесс защиты информации отработан, некоторые его части вполне могут быть переданы внешним подрядчикам. Например, такие процессы, как оценка рисков, изучение угроз, классификация информации, изменение бизнес-процессов и анализ их влияния на системы управления информационной безопасностью. А также контроль и определение уровня технологической защищенности информационных систем от внешних и внутренних атак. Так, известны курьезные случаи, когда для определения защищенности систем от внешних угроз специалисты в области обеспечения информационной безопасности прибегали к услугам хакеров. Кроме того, оценка ущерба от различного вида угроз также может быть передана на аутсорсинг.

Со своей стороны, организации, которые предлагают компаниям различные аутсорсинговые услуги, должны обладать набором специальных методик, как технических, так и организационных, и иметь безукоризненную репутацию.

— Каковы перспективы развития систем защиты информации?

— Прежде всего хотелось бы подчеркнуть, что почти всем российским системам информационной безопасности сегодня не хватает «зрелости». Мало кто понимает, что эти системы должны постоянно развиваться, реагируя на все изменения как в компании, так и во внешней среде. Очень важно, чтобы руководство компании осознавало, что систему информационной безопасности компании можно создавать только «сверху вниз», и при этом имело в виду, что безопасность невозможно обеспечить раз и навсегда. Это должен быть постоянный динамический процесс, учитывающий все происходящие изменения.

Периодически должно проверяться состояние всех информационных ресурсов компании с точки зрения безопасности. Для упрощения этой задачи все имеющиеся информационные ресурсы должны быть четко выделены и каталогизированы. Должна быть также определена точная стоимость информации для бизнеса, причем учтены как материальные, так и нематериальные потери. Система безопасности должна определять и организацию работы пользователей с информацией, прежде всего разграничение доступа к информации в зависимости от должности сотрудника и тех задач, которые ему необходимо решать.

Хотелось бы отметить, что такая необходимая задача, как обеспечение непрерывности деятельности, также входит в круг задач обеспечения информационной безопасности. Об этом у нас пока мало говорят, однако на Западе в компаниях уже давно разработаны специальные правила и регламенты, с помощью которых обеспечивается непрерывность деятельности. Прежде всего речь идет о том, как действовать в чрезвычайных ситуациях, таких, как, например, пожар, наводнение или отключение электроэнергии, и как добиться того, чтобы компания могла возобновить свою работу в самый короткий срок.

Пока же в российских компаниях безопасность в основном «лоскутная», мало того, под организацией защиты информации многие до сих пор понимают некий набор технических средств, установка которых и приводит к безопасной работе. Прежде всего это касается малых и средних компаний, для которых информация не является основным активом. При этом многие крупные компании, у которых есть большие информационные активы, а также практически все финансовые учреждения уже пришли к правильному пониманию этой проблемы. Несомненно, что по мере усиления конкуренции к обеспечению информационной безопасности станут подходить все ответственнее, так как именно в условиях жесткой конкуренции информационные активы становятся одним из основных преимуществ.
И, наконец, перспективным направлением в области развития систем информационной безопасности является переход к аутсорсингу. При этом стоит отметить, что хотя по поводу будущего аутсорсинга в России существует много различных мнений, я уверен — в области информационной безопасности мы обязательно придем к аутсорсингу. Несмотря на всю нашу специфику, Россия все равно повторяет путь, пройденный мировым сообществом.

— Почему в России, несмотря на довольно низкий уровень обеспечения информационной безопасности, так мало случаев утечки информации?

— Прежде всего надо отметить, что в российских средствах массовой информации уже появились сведения о том, как приватные данные клиентов стали достоянием общественности. В качестве одного из примеров можно привести широко обсуждаемое похищение данных у Центробанка. Причем это произошло уже несколько раз. В феврале этого года можно было приобрести данные Центробанка за полтора года — с апреля 2003 года по сентябрь 2004 года. Новая база данных ЦБ РФ о банковских проводках за IV квартал 2004 года появилась «в продаже» в начале 2005 г. Возможно, что эти случаи как-то были связаны с политикой, в частности со сделкой по покупке «Юганскнефтегаза». Второй, более серьезный, на мой взгляд, случай очень негативно сказался на российской банковской системе. Речь идет о том, что сведения о кредитах физических лиц нескольких банков оказались в свободном доступе. Была ли это фальшивка или утечка действительно произошла, до сих пор не ясно. Однако свое негативное влияние эта информация оказала, и доверие клиентов к банкам в очередной раз было подорвано. Кроме того, не секрет, что периодически происходят утечки баз данных телекоммуникационных операторов.

При этом понятно, что информация о происшествях подобного рода доходит в России до средств массовой информации гораздо реже, чем на Западе. Объясняется это тем, что у нас по-прежнему большинство компаний частные, и собственники не обязаны обнародовать всю внутреннюю информацию. Понятно, что скандалы, связанные с утечкой информации, негативно сказываются на репутации компании и владельцы не заинтересованы предавать подобные факты широкой огласке. Стоит также иметь в виду, что если утечка данных происходит в маленькой, никому не известной компании, то этот факт мало кому будет интересен. Таким образом, если учитывать, что, по данным аналитической компании Gartner, годовой рост числа инцидентов на Западе, связанных с утечкой информации, составляет порядка 200–300 процентов, можно приблизительно понять масштабы подобных случаев в России. По моему мнению, количество наших утечек заметно меньше, однако не на порядок. Кроме того, по мере роста прозрачности бизнеса и по мере увеличения его зависимости от информационных систем количество подобных инцидентов в России будет расти, а сами инциденты — все чаще предаваться огласке.

При этом следует понимать, что любое публичное объявление в конечном счете приносит компаниям пользу. Зная о возможных потерях, руководство стремится снизить риски, связанные с возможными последствиями огласки. Открытость всегда помогает совершенствоваться, тогда как закрытость может привести только к очень кратковременному эффекту.

http://www.cio-world.ru