Главная проблема -- организационное обеспечение вопросов ИБ
Вопросы информационной безопасности (ИБ) все больше волнуют российских ИТ-директоров. Активное внедрение современных информационных технологий при всех их достоинствах привело к многократному возрастанию рисков, связанных с утечкой, потерей или порчей информации. Поэтому не случайно, что именно тему обеспечения ИБ избрали для своего второго заседания члены клуба CIO металлургии, организатором и постоянным членом которого является компания "Оптима-интеграция". Наиболее интересные моменты круглого стола, состоявшегося в рамках второго заседания клуба CIO металлургии, мы предлагаем вашему вниманию.
В круглом столе принимают участие:
Гилел Глезер, начальник управления ИТ ОСП ОАО "ТМК"
Станислав Заржецкий, региональный менеджер компании Lampertz
Любовь Перепелицына, директор по ИТ ОМК.
Артем Потапов, начальник отдела инженерной поддержки
технических систем защиты информации
Дирекции по специальным работам компании "Оптима-интеграция"
Сергей Савин, директор по ИТ завода "Уралэлектромедь"
Борис Славин, директор по ИТ группы ЧТПЗ
Валерий Хайдаров, директор по ИТ ПНТЗ
Угрозы и риски в области ИБ
Intelligent Enterprise:С какими угрозами и инцидентами в области информационной безопасности вам приходилось сталкиваться на практике? Какие факторы и причины определяли эти угрозы?
Валерий Хайдаров
Самые серьезные угрозы информационной безопасности связаны с человеческим фактором
-- это непреднамеренные и неумышленные ошибки персонала из-за недостаточной
его квалификации. Инциденты, которые случались у нас на предприятии, вызваны
именно этим. И вторая причина инцидентов в области ИБ -- техническая неисправность
аппаратуры.
Любовь Перепелицына
Главные причины инцидентов в области ИБ связаны не только с ИТ-персоналом. Дело
в том, что непреднамеренные действия всего производственного персонала могут
привести к различным угрозам - например, к пожару. На прошлом заседании клуба
CIO металлургиии эта тема уже возникала. ИТ-директор крупного металлургического
предприятия рассказал о том, как у них в одном из цехов случился пожар -- сгорела
серверная, был нарушен процесс управления. Наверное, каждый ИТ-директор может
вспомнить случаи нарушения целостности ИТ-объектов. На одном из наших предприятий
в этом году тоже произошел небольшой пожар в серверной комнате. По счастью это
был рабочий день, пожар быстро ликвидировали без серьезного ущерба для серверов.
Но я думаю, загазованность помещения не лучшим образом скажется на работоспособности
оборудования в будущем. Другим примером является нарушение целостности оптического
кабеля в территориально-распределенных сетях по причине безответственности производственного
персонала и вандализма населения.
Гилел Глезер
Мне кажется, риски в области ИБ зависят от того, какую фазу проживают служба
ИТ и предприятие в целом. В начальной фазе на первое место выступают такие вещи,
как квалификация сотрудников. Здесь идет их притирка к вычислительной технике.
Следующая фаза -- когда на первое место выходят совершенно другие риски, связанные,
например, с пожарами или затоплениями. Нельзя для всех компаний определить,
какие риски стоят на первом месте, какие на втором… Это зависит от этапа жизни
на предприятии и от степени его вовлеченности в ИТ-инновации. А при серьезных
ИТ-инновациях риски ИБ существенно повышаются.
Не вся информация, находящаяся в КИС, имеет настолько большое значение, чтобы быть серьезно защищаемой. Есть ли зависимость между степенью агрегированности информации и степенью ее защиты? Правилен ли тезис о том, что информация с минимальной степенью агрегированности и защиту должна иметь минимальную, а после того как она агрегируется и набирает степень обобщения, значимость ее защиты растет?
Борис Славин
Я думаю, что такой зависимости нет. Иногда даже отдельная бухгалтерская проводка
может оказаться довольно важной информацией. Например, выплата премии топ-менеджеру
или расчеты с поставщиком либо клиентом. Такая первичная информация часто бывает
не менее конфиденциальной, чем консолидированная. Безусловно, более агрегированная
информация используется на более высоком уровне управления. Но с точки зрения
безопасности очень часто как раз оперативные данные бывают более секретными
и требуют большей защиты, чем консолидированная информация о работе всего предприятия,
которая подчас вообще является открытой.
Станислав Заржецкий
Здесь есть два аспекта. Первый - это доступ к секретной информации со стороны
нежелательных лиц, второй -- значение той или иной операции или документа для
предприятия. И потеря информации о каком-либо событии всегда более критична,
чем ее рассекречивание. Потому что это нарушает бизнес-процесс компании. Чем
больше предприятие начинает доверять информационным технологиям, чем больше
подобного рода операций оказывается в информационной системе или даже в персональном
компьютере главного бухгалтера, тем важнее становится ее защита.
При этом на значимость защиты информации влияют различные факторы. Предположим, что какие-то типы электронных документов компания дублирует в бумажном виде, они распечатаны и хранятся определенным образом в архиве. Это влияет на уровень рисков при потере электронного документа, поскольку его всегда можно найти в бумажной копии по специальной процедуре. И, наверно, не стоит тратить больших денег на защиту такой информации в электронном виде. Но в каждой компании есть операции, содержащиеся только в электронном виде. Более того, это операционные данные, цикл жизни которых измеряется днями или неделями, например, важная продажа происходит в течение недели. После того как бизнес-цикл этой операции завершается, она имеет значение только для отчетности. И вот такие операционные данные должны быть защищены постоянно, потому что их потеря может привести к большим убыткам.
Артем Потапов
Необходимо помнить, что защита информации -- это не просто обеспечение ее сохранности,
это сохранение заданных характеристик информации в процессе ее хранения, передачи
и обработки. Если мы говорим о процессе передачи информации, то мы должны понимать,
что в данном случае необходимо обеспечить ее конфиденциальность, целостность
и доступность в рамках этого процесса.
Что касается процесса обобщения каких-либо сведений о деятельности предприятия, то здесь есть свои особенности. Существует, например, так называемый переход количества в качество. Другими словами, сама по себе какая-то информация является открытой, находящейся в общем доступе, однако объединение ее с другой информацией, тоже открытой, приводит к тому, что в итоге уровень конфиденциальности таких обобщенных сведений повышается. Компания "Оптима-интеграция" сталкивались с такой ситуацией у одного из своих заказчиков: в системе документооборота список номеров выданных предприятием счетов-фактур сам по себе ценности не представляет, список существующих заказчиков предприятия -- тоже, однако объединение этих двух списков в виде единого отчета, особенно когда в качестве заказчика фигурирует силовое ведомство типа министерства обороны, может привести к тому, что такой документ перейдет в разряд документов "для служебного пользования". В этом случае требуется не просто защитить весь поток информации в системе документооборота, а именно выделить в системе места, в которых вместо одного фактически возникает несколько потоков информации различного уровня конфиденциальности, требования по защите которых различны.
Практика обеспечения ИБ
Теперь давайте перейдем к защите от этих рисков. Как правило, при организации информационной безопасности выделяются ключевые направления (или сервисы безопасности), которые в той или иной мере должны быть в каждой компании. Какие направления у вас "закрыты" и какими средствами?
Любовь Перепелицына
На практике в области ИБ идут от простого к сложному. Обычно закрыты те направления,
которые легко закрываются техническими средствами и ПО. Как правило, это защита
внешнего периметра сети и внутренних сетевых ресурсов, антивирусная защита,
управление правами доступа, аутентификацией и авторизацией пользователей, обнаружение
вторжений извне, которее обеспечивается программными продуктами ведущих производителей.
Существуют технологии защиты хранилищ данных, процедуры обеспечения безопасности
работы корпоративной информационной системы. Самое распространенное решение
в области физической сохранности данных и обеспечения непрерывности работы -
архивирование данных и резервирование оборудования. Именно таким образом мы
и поступаем.
Но помимо технических необходимо решать целый ряд организационных проблем. Все используют стандартные функции корпоративных систем по разграничению доступа персонала к системе в соответствии с выполняемыми им функциями. Идеальная ситуация для защиты информации -состояла бы в том, чтобы каждого специалиста наделить узкой функцией и единственно ему обеспечить доступ к определенным данным. Но в реальной жизни такая жесткость создает серьезные ограничения в работе функциональных подразделений. Бизнес в настоящее время динамичен, регламентация должна совмещаться с гибкостью процессов. Необходима большая организационная работа по регламентации процессов, в которой бизнес-подразделения должны выполнять ведущую роль.
Остальные направления обеспечения ИБ (контроль целостности информационных сервисов,
предоставляемых пользователям, процедуры реагирования на инциденты в области
ИБ, обеспечение гарантированного времени восстановления, мониторинг средств
защиты и аудит ИБ) также связаны с серьезными организационными мероприятиями,
которые затрагивают вопросы организации дополнительных служб, взаимодействия
ИТ с другими службами предприятия и т. д. Это всё весьма сложные организационные
вопросы, которые должны ставиться и решаться постепенно.
Артем Потапов
Установка каких-либо барьеров или ограничений всегда способствует ухудшению
эффективности работы средств автоматизации. Да, автоматизация процессов производственной
деятельности предприятия и их защита - это всегда набор противоречивых требований.
Как только мы ограничиваем какие-то параметры работы автоматизированной системы,
мы сразу сталкиваемся с ситуацией, когда что-то в ней начинает работать хуже,
чем до внедрения этих ограничений. Поэтому обеспечение информационной безопасности
системы -- это всегда разумный компромисс.
Организационные вопросы ИБ
Гилел Глезер
Затронут очень интересный аспект - организационное обеспечение вопросов ИБ.
Ведь в крупных компаниях есть служба экономической безопасности, которая должна
решать весь комплекс вопросов безопасности своих предприятий, в том числе вопросы
ИБ. И это определяет необходимость регламентации взаимоотношения служб экономической
безопасности и ИТ. Пока, к сожалению, нет единых наработанных рекомендуемых
компаниям и предприятиям организационных решений по взаимодействию служб ИТ
и экономической безопасности. И эти взаимоотношения складываются не только исходя
из сущности процессов обеспечения ИБ, но и с учетом таких субъективных факторов,
как авторитет и личностные качества руководителей данных служб, что не всегда
идет на пользу делу.
Любовь Перепелицына
Я не думаю, что возможна полная стандартизация процессов взаимодействия служб
экономической безопасности и ИТ. Потому что компании разнятся между собой, у
каждой свои задачи, а организация взаимодействия служб экономической безопасности
и ИТ зависит от того, как компания построила свою деятельность. Не думаю, что
здесь возможны универсальные рекомендации. Конечно, консультанты дают общие
рекомендации, которые внутри компании должны быть развернуты и интегрированы
в бизнес-процессы хозяйственной деятельности. Однако сегодня в компаниях идут
активные дискуссии о том, как формализовать взаимоотношения между службами,
не замедлив при этом выполнение производственно-хозяйственных процессов.
Борис Славин
Мне кажется, к разделению полномочий в области информационной безопасности сложилось
предвзятое отношение. Может быть, потому, что в самом словосочетании объединены
названия сразу двух служб предприятия. В то же время защита информации -- это
такой же бизнес-процесс на предприятии, как и другие. Ведь никто не мучается
разделением ответственности между ИТ и финансовой службой. Все прекрасно понимают,
что финансовый учет -- это прерогатива финансистов, а ИТ-служба выступает в
роли консультанта и поставщика-ИТ решений. Аналогичное разделение должно быть
и в области информационной безопасности. Проблема разделения ответственности
за информационную безопасность часто связана и с тем, что службы безопасности
на предприятиях обладают слабой квалификацией в сфере ИТ и не могут выступить
в роли заказчика ИБ-систем.
Именно поэтому в первую очередь необходимо повысить квалификацию сотрудников служб безопасности. Чтобы они поняли, что многие угрозы для компании сейчас находятся не в области краж или физического нападения, а в области как раз информационных технологий. Только после этого подразделение ИТ сможет выступить в своей роли - постащика решений - точно так же, как и для финансовых служб. И информационная защита должна стать стандартным бизнес-процессом.
Артем Потапов
Несмотря на то что у ряда компаний службы безопасности зачастую не умеют или
не хотят заниматься вопросами информационной безопасности, есть различные стандарты,
которые определяют, как должен быть организован процесс защиты информации. Они
содержат также набор требований, предписывающих, чтo должно быть сделано. А
дальше как раз необходима работа консультанта: организационная структура у каждой
компании своя, необходимо учитывать территориальные особенности распределенных
информационных систем предприятий, а также функциональные особенности подразделений.
Под каждую уникальную структуру наша компания готова предложить такой вариант
разделения функций защиты, чтобы все задачи информационной безопасности были
решены. В том числе организационные меры по защите информации с написанием инструкций
и регламентов взаимодействия между подразделениями.
Любовь Перепелицына
Действительно, рекомендации и стандарты существуют, но это еще не инструкции
и не регламенты. Весь вопрос состоит в том, как их применить в условиях определенной
компании. Кроме того, проблема не только в том, чтобы разработать такие регламенты
и понять, как будет достигнут компромисс между гибкостью и формализацией процессов.
Недостаточно написать регламенты - все в компании должны быть согласны строго
им следовать. В противном случае возможна, например, ситуация, когда руководитель
отдела продаж скажет, что ему сорвали участие в тендере, потому что из-за установленных
процедур он не успел что-то вовремя сделать.
Кто отвечает за информационную безопасность?
Мы подошли к важнейшей теме: решение вопросов ИБ немыслимо без персональной ответственности одного из руководителей предприятия. На ком должна лежать ответственность за обеспечение ИБ?
Сергей Савин
Хочу рассказать о нашем опыте. Информационная безопасность -- это составная
часть общей безопасности, и ответственность за ее обеспечение у нас на предприятии
лежит на директоре по безопасности. У нас есть подразделение информационной
безопасности, при этом служба директора по безопасности всегда выступает по
отношению к ней заказчиком.
У нас существует ряд внутренних регламентов, при этом мы довольно четко разделили функции "айтишника" и сотрудника службы безопасности. Очень важно, что этот регламент мы сделали стандартом для всей компании. Это не очень большой документ, но сама процедура его подписания была очень длительной. Мы принципиально требовали, чтобы директора всех подразделений его прочитали и подписали. Следующий этап -- передача регламента на предприятия холдинга, и там тоже пошла процедура его подписания. Что это дало? Все руководители поняли, что директор по безопасности отвечает за вопросы ИБ, и поняли, какие функции выполняет ИТ-директор. Такое решение было для нас очень полезным.
Станислав Заржецкий
Мировые компании идут по другому пути. Ввиду значимости процессов обеспечения
информационной безопасности там выделяется специальный отдел и специальный менеджер
- Chief Information Security Officer, или CISO, -- начальник службы информационной
безопасности, который отвечает за вопросы ИБ. Даже в Москве в западных банках
есть начальник службы безопасности, который занимается исключительно физической
безопасностью, начальник ИТ-службы, который занимается информационными решениями,
и отдельный менеджер -- начальник службы информационной безопасности, у которого
есть свои задачи.
Артем Потапов
Появления ответственного за информационную безопасность в компаниях требует
мировой опыт в области ИБ. Но справедливости ради надо отметить, что есть и
другие варианты разделения ответственности -- когда вопросы, скажем, физической
защищенности серверного оборудования информационной системы лежат в сфере ответственности
ИТ-директора. Я сталкивался с ситуациями, когда создание системы кондиционирования
или пожаротушения для серверной комнаты в силу тех или иных причин поручалось
именно ему. При этом ИТ-директор нормально воспринимает такого рода задачи,
поскольку прекрасно понимает, что от этих систем напрямую зависит состояние
оборудования в серверной комнате, обеспечение надежной работы которого входит
в сферу его ответственности.
Гилел Глезер
Позвольте не согласиться: вменить решение вопросов ИБ целиком и полностью ИТ-руководителю
-- это совершенно неправильный подход. Ведь может быть хороший ИТ-директор,
а может быть и плохой. Поэтому обязанности надо разделить между несколькими
руководителями и службами. Методологические вопросы информационной безопасности
должны совместно решаться руководителями ИТ-службы и службы экономической безопасности.
А работы, которые нужно выполнить для реализации ИБ, - это уже исполнительская
деятельность, которая может - а точнее, должна -- целиком возлагаться на руководителя
ИТ-службы. Но контрольные функции не могут быть в его ведении. И мы должны четко
это понимать. Необходим контроль за деятельностью ИТ-службы в области ИБ --
это прерогатива службы экономической безопасности, и на ней лежит ответственность
за конечный результат. И хотя на практике идеальных ситуаций, конечно, не бывает,
принципы построения руководства в области ИБ должны быть такими.
Борис Славин
Пока еще на многих предприятиях информационной безопасностью занимается ИТ-служба.
Но согласен, к этому нужно подходить как к аномалии, которую следует преодолеть.
Расскажу о своем старом опыте решения такой проблемы в одной из торговых фирм.
Этот вопрос мы обсуждали на уровне руководства компании и пришли к согласию,
что подразделение ИБ необходимо создать в рамках службы безопасности. Понятно,
что руководитель этой службы плохо понимает "айтишные" проблемы, он
знает, как организовать охрану объектов и наблюдение, взаимодействие с силовыми
структурами и т. п., но ИТ для него - что называется, "темный лес".
Поэтому я предложил помочь ему в поиске менеджера, который возглавит такое подразделение,
причем с профессиональной точки зрения удовлетворит как службу безопасности,
так и ИТ-службу.
Такие люди есть, как правило, это бывшие военные, которые так или иначе имели отношение к ИТ, -- они понимают, что такое информационные технологии, понимают градации рисков и уязвимостей ИС и в то же время могут правильно регламентировать деятельность в области безопасности, проводить профилактику и т. д. Если ИБ занимается ИТ-служба, могут возникать казусы, когда, например, информация на сервере зашифрована, а ее копия хранится на обычном незащищенном компьютере и никто об этом не догадывается.
Такое участие ИТ-службы в создании подразделения службы безопасности, отвечающего за информационную безопасность, оказалось достаточно эффективным. Во-первых, само подразделение получилось профессиональным, поскольку его создание курировали сразу две службы. Во-вторых, оно не зависит от ИТ-службы и в то же время не конфликтует с ней, поскольку последняя активно участвовала в ее создании. Это был положительный опыт.
Любовь Перепелицына
На мой взгляд, мы немного упрощаем ситуацию. Мы все время говорим только об
отношениях между ИТ-директором и директором по экономической безопасности. Но
забываем, что их задача в компании -- обслуживать бизнес-подразделения. Существует
целый ряд функциональных директоров, которым эти два директора усложняют жизнь.
С ними идет постоянное взаимодействие, и если ИТ-директор в силу того, что он
постоянно работает с функциональными директорами, привык налаживать такого рода
взаимодействие и поддерживать бизнес-процессы, то директор по экономической
безопасности, как правило, старается ограничиться более простыми и понятными
для себя вопросами охраны и т. п.
А ведь здесь всё очень сложно. На предприятиях внедряются большие информационные системы, когда информационную безопасность нужно обеспечивать не просто для одного предприятия, а в рамках холдингов или групп компаний. В силу этого директор по экономической безопасности должен быть хорошо осведомлен в области информационных технологий. Для него это необходимый инструмент обеспечения безопасности в целом. Он должен мыслить стратегически, особенно с учетом того, что необходимо обеспечить определенную гибкость. Ведь бизнес сейчас очень динамичен, а директор по экономической безопасности пытается все строго формализовать. Но в каких-то случаях ради интересов бизнеса выгоднее упростить правила обеспечения безопасности в угоду гибкости системы.
Как убедить руководство?
Как правило, создание таких регламентов инициируется комплексным проектом в области информационной безопасности. Но как запустить такой проект? Как происходит утверждение ИБ-проектов? Насколько руководители компаний понимают необходимость затрат на ИБ?
Станислав Заржецкий
По моему опыту общения с компаниями руководитель ИТ-службы прекрасно понимает,
где лежат основные риски в области ИБ, но когда он приходит к руководству и
просит деньги на решение проблемы, ему обычно говорят: "Давай каким нибудь
другим способом, подешевле". Связано это с тем, что менеджеры не до конца
понимают, где и как они могут эти деньги потерять. В области информационной
безопасности мы немножко отстаем от всего остального мира. Руководители российских
компаний не совсем сознают важность ИБ, для них сейчас важнее иметь службу безопасности
и тратить сумасшедшие деньги, охраняя периметр предприятия, хотя на самом деле
здесь не самые большие угрозы для него.
Мировой опыт показывает, что именно начальник службы информационной безопасности на совете директоров должен показать, почему нужно потратить деньги на ИБ. Он убеждает руководство предприятия, что нужно запустить проект по ИБ, а потом уже с ИТ-службой его реализует. И доказать целесообразность и выгоду от инвестиций - его прямая обязанность.
Но, конечно, это возможно в том случае, если руководители компании понимают, что такая служба необходима, что именно такая структура позволит закрыть все виды угроз информационной безопасности и в то же время обеспечить нормальную работу сотрудников. Если же они этого не понимают, то сколько бы мы ни говорили про мировой опыт, это ни к чему не приведет. В таком случае получается, что полностью за этот вопрос никто не отвечает, он как бы зависает между различными подразделениями.
Сергей Савин
Как у нас принималось решение об инвестициях в ИБ? В компании было несколько
внутренних инцидентов и они сыграли положительную роль. Мы посчитали, во что
всё это обошлось и увидев эти оценки, совет директоров решил, что инвестировать
информационную безопасность нужно. В результате в этом году стартовал соответствующий
проект.
Артем Потапов
Еще пример. У одной уважаемых компании на некоторое время была подменена основная
страничка Web-сайта. Такая вроде бы мелочь, никакого удара по экономике предприятия,
ведь оно не понесло прямых убытков. Но это удар по имиджу компании. И это был
хороший "щелчок" -- сразу был открыт проект по аудиту ИБ, и выяснилось,
что после запуска нового Web-сервера работ по инструментальному контролю и анализу
его защищенности не проводилось. О том, что была произведена смена аппаратной
платформы и программного обеспечения Web-сервера, отдел защиты информации компании
даже не был проинформирован. Такие инциденты бывают, и они нередко становятся
предпосылкой для комплексных проектов в области ИБ.
Станислав Заржецкий
К старту проектов по ИБ могут приводить и внешние рыночные причины. Что касается
банковской сферы в Европе, то одним из основных условий для получения кредита
там является определенный уровень информационной безопасности банка. При этом
обязателен аудит ИБ. Вообще каждый банк имеет рейтинг и в зависимости от него
банк может получить кредит под меньший процент. Я уже не говорю о выпуске акций
на международных биржах. Как только предприятия, в том числе и металлургические,
выйдут на мировой рынок, обеспечение ИБ станет критичным и они будут вынуждены
прийти к определенным стандартам, которые есть в Европе.
Сергей Савин
Мы уже сейчас этим вопросом озабочены. Одно из требований к системе, которая
будет создаваться, - ее сертификация по ISO 17799.
Оценка рисков ИБ
Создается впечатление, что чаще всего к старту проектов по ИБ приводят либо рыночное давление, либо инциденты. А насколько развита практика анализа степени защищенности информации и оценки рисков?
Любовь Перепелицына
Я думаю, каждый ИТ-директор оценивает вероятность серьезных нарушений ИБ. Оценка
выполняется на основании планов расширения функциональности систем, появления
новых, увеличения количества объектов в корпоративной сети, а также по статистике
инцидентов. Мы, например, просчитываем риски, связанные с неустойчивостью работы
каналов связи, с отказами оборудования, с проблемами в области технической поддержки,
стараемся оценить, какой бюджет необходим для обеспечения непрерывности работы
всех функциональных подразделений. Причем такие оценки производятся периодически
в соответствии с бюджетным процессом компании.
Но чтобы быть уверенным в достаточности мер, необходим независимый аудит. На одном предприятии нашего холдинга такой аудит был проведен компанией "Информзащита". У нас существуют и планы дальнейшего развития информационной безопасности. Руководство компании понимает, почему нужны затраты на ИБ, программа рассчитана на несколько лет. Политику информационной безопасности мы будем формировать не отдельно на каждом предприятии, а корпоративно.
Валерий Хайдаров
Насколько это был независимый аудит? У нас на ЧТПЗ аудит, в том числе и в области
информационной безопасности, проводила компания IBS. Но она пришла уже со своими
готовыми решениями. Вот эта независимость аудита от последующей продажи - тонкий
вопрос.
Станислав Заржецкий
Если в западных компаниях ознакомиться с обязанностями CIO, то в должностной
инструкции там совершенно ясно прописано: анализ рисков потери данных. Это именно
обязанность CIO, он должен оценить риски и донести эту информацию до руководства
компании, чтобы оно принимало решение. При этом приглашение независимого аудитора
обычно считается самым правильным подходом. Принцип прост: ведь живя постоянно
в квартире, вы не можете видеть, что у вас не так, для этого и нужен свежий
взгляд со стороны. Независимое обследование всегда дает больший эффект, чем
внутренние попытки оценить риски в области ИБ.
Кроме прочего оно позволяет оценить, сколько нужно тратить на ИБ. Мировая практика
такова: есть, во-первых, стоимость оборудования, а во-вторых, затраты на восстановление
информации в случае ее потери, т. е. подсчитывается, сколько потеряет предприятие
на то, чтобы вернуться к предыдущему состоянию. Эта сумма обычно и оценивается
независимыми аудиторами, и 30% от нее и есть бюджет на информационную безопасность
в год. Эта норма выработалась опытом и годами и принята как стандарт де-факто.
Гилел Глезер
Теоретически это правильно. Но ведь приглашение независимого аудитора -- это
в какой-то степени снижение уровня безопасности собственного предприятия. Ведь
ему (аидитору) надо раскрыть систему защиты, информационные потоки и т. п. Теоретически
аудиторы должны быть независимыми, но на практике…
Артем Потапов
Прежде всего, согласен, уровень защищенности системы -- вещь не постоянная.
Кроме приведенных причин есть еще одна: с развитием технического прогресса существующие
средства имеют свойство устаревать. В новом программном обеспечении могут содержаться
ошибки или недоработки, появляются новые уязвимости, угрозы безопасности информации.
В связи с этим уровень защищенности периодически должен пересматриваться. Более
того, должны пересматриваться и организационно-распорядительные мероприятия
и документы. Простой пример: в отсутствие USB-носителей или флэш-карт на компьютере
ограничение доступа пользователей к дисководу позволяло воспрепятствовать переносу
информации. Сейчас интерфейс USB есть практически во всех современных устройствах,
распространенность флэш-карт приобрела огромные масштабы. Естественно, чтобы
воспрепятствовать переносу информации с компьютера, в этом случае необходимо
пересмотреть уже существующие организационные меры по применению USB-носителей.
Что касается оценки информационных рисков, то существует множество методик
и продуктов. Ключевая проблема сегодня состоит в том, что собственник информации
зачастую не может дать количественную оценку стоимости своего конкретного информационного
ресурса. Он может только оценить риск на качественном уровне. Например, ущерб
от потери той или иной информации -- выше среднего, средний либо ниже среднего.
Но определить, какую сумму денег компания потеряет при утрате или хищении вот
этого конкретного листа бумаги, собственнику информации не по силам. Применение
же "среднего по больнице" -- стоимость исписанного листа бумаги независимо
от того, что за сведения на нем отражены, - не проходит, ценность такого подсчета
минимальна.
Сейчас "Оптима-интеграция" для одной компании разрабатывает инструмент, который позволит службе информационной безопасности выходить на уровень руководства с оценками рисков: количественная оценка ущерба при реализации угрозы безопасности такая-то, а если, допустим, установить систему защиты информации такой-то стоимости, то этот риск снижается до такой-то величины. На мой взгляд, именно таким путем и должны идти российские компании.