Вряд ли кому‑то следует объяснять, насколько статичен рынок информационной безопасности. За прошедшие с момента выхода предыдущей темы номера полгода ситуация на нем просто не могла измениться. Что касается кризисных явлений, то служат ли они своего рода катализатором происходящих изменений или следствия кризиса могут просто их дополнять, является дискуссионным вопросом. Но общий вектор данных изменений участники круглого стола все‑таки наметили.
Участники круглого стола:
Михаил Емельянников,
«Информзащита», директор по развитию бизнеса
Михаил Кондрашин,
Центр компетенции и дистрибуции Trend Micro, генеральный директор
Михаил Левашов,
КБ «Союзный», руководитель службы информационной безопасности
Дмитрий Михеев,
«Инфосистемы Джет», руководитель группы развития Центра информационной безопасности
Дмитрий Породин,
INLINE Technologies, начальник отдела систем информационной безопасности
Алексей Чередниченко,
Symantec Services Group, ведущий консультант
Денис Чуприк,
торговая сеть «Красный куб», ИТ-директор
Intelligent Enterprise: Прежде всего хотелось бы прояснить исходную ситуацию в отношении спроса на продукты информационной безопасности. Наверняка изменение предпочтений заказчиков так или иначе связано с сокращением бюджетов, хотя замыкаться только лишь на кризисной теме тоже вряд ли стоит. В последние годы рынок менялся, и соответственно менялись акценты в этих предпочтениях.
Алексей Чередниченко: В целом бюджеты на развитие информационной безопасности в связи с кризисом сокращаются (я думаю, в среднем примерно пропорционально бюджету на ИТ), хотя вместе с этим есть и ряд примеров, свидетельствующих об обратном. Связано это, с нашей точки зрения, с достижением определенной зрелости заказчиков в подходах к развитию ИБ. Иными словами, они осознают необходимость решать задачу системно, двигаясь от общего к частному или по принципу «сверху вниз». Здесь заказчик имеет свою собственную четко поставленную цель. Он изначально не пытается вести проекты практически не связанными между собой частями и не ориентируется исключительно на опыт кого‑либо из своих коллег. Повышение зрелости заказчиков — момент без сомнения позитивный, и за преимущества системного подхода вряд ли кого‑то надо агитировать. Но не стоит закрывать глаза и на то, что этот подход и более затратный. Хотя бы потому, что здесь необходим консалтинг, предполагающий обоснование некоторых акцентов в информационной безопасности, оценку рисков в конкретной ситуации и пр.
Михаил Кондрашин. Я согласен, что это так. Даже если брать сферу ИБ, более близкую деятельности Trend Micro и более клиентоориентированную (я имею в виду антивирусную защиту и защиту от спама), то и здесь все далеко не ограничивается продажей лицензий. По-хорошему, даже в этой отдельно взятой сфере информационной безопасности необходим грамотный консалтинг и подход «сверху вниз». Более того, заказчики тоже начали это понимать, да и мы уже вполне готовы к оказанию таких услуг. Но нельзя не признать, что кризис здесь вносит свои коррективы, и порой весьма существенные. Обоснование внедрения, грамотный консалтинг действительно стоят денег, а все это, надо честно признать, не очень хорошо согласуется с антикризисной политикой. Тем более что системный подход — это пока совсем не та форма развития направления ИБ на предприятиях, к которой все уже привыкли.
Михаил Емельянников: Информационная безопасность, как, может быть, никакая другая область информационных технологий в бизнесе, связана с наличием тех или иных законодательных и регулирующих актов. Появление последних практически не связано с кризисными явлениями в экономике, а определяется несколько иной логикой. И поэтому кризис кризисом, но, понимая эту логику, можно не только оценивать приоритеты информационной безопасности в настоящий момент, но и прогнозировать ситуацию на будущее. С недавних пор, как известно, мы должны выполнять требования закона о персональных данных. Это отразится (и уже отражается) на требованиях к ИБ для таких отраслей, как банковский, страховой бизнес, телеком или, скажем, платная медицина. Это совершенно понятно. Кроме персональных данных у нас еще есть стандарт PCI DSS (стандарт защиты данных в индустрии платежных карт — прим. ред.), который в России в последнее время также стал актуальным. Если говорить о банках, то там есть еще и стандарт по информационной безопасности Центробанка, который тоже надо выполнять. Вышел закон о порядке доступа к информации со стороны органов государственной власти, который, я считаю, до конца года неминуемо потребует принятия закона о служебной тайне. Как только появится закон о служебной тайне, снова возникнет масса технических требований, и в общем понятно, каких именно. Другими словами, технологии ИБ прочно стоят на рельсах регулирующей деятельности государства. Куда эти рельсы ведут, тоже в целом ясно.
Денис Чуприк: Я считаю, что в нашем бизнесе технологии информационной безопасности всегда были связаны с технологиями прикладной автоматизации, а также с задачами бизнеса. Прекрасно понимаю, что декларирую этим далеко не новую мысль — все прекрасно знают, что так и должно быть. Я просто хочу подчеркнуть, что требования регуляторов в нашей концепции ИБ — далеко не единственный стимул развивать данное направление. Достаточно много внимания вопросам ИТ-безопасности уделялось, когда мы, скажем, вводили пластиковые карты в качестве платежного средства в наших магазинах. И несмотря на то, что основную работу в этом отношении, конечно же, выполняет банк-эквайр, за нами здесь остается решение немалого числа вопросов. Прежде всего в области контроля за действиями персонала, который в свою очередь пользуется информационными системами, контроля работы самих ИТ‑систем и отслеживания некоторых информационных потоков. Наверное, работа розничной торговли в сфере ИБ (и наша в частности) как бы менее заметна. Может быть, именно потому, что часто она не связана с прямым исполнением каких‑либо законодательных инициатив, о которых в тот или иной момент начинают говорить буквально все. Но тем не менее еще раз повторюсь: работа ведется, и ведется постоянно. Конечно, полностью оставаться в стороне от регулирующих актов мы не можем, и тот же закон о персональных данных к нам, безусловно, имеет самое прямое отношение.
Что же касается кризиса, то, я думаю, он может внести некоторые возмущения, причем как в ближайшей, так и в дальней перспективе. Говоря о ближайшей, я имею в виду то, что в первой фазе бизнес старается сократить буквально все расходы, и это, конечно же, может отчасти рассинхронизировать решение бизнес-задач, задач прикладной автоматизации и информационной безопасности. Но здесь, я думаю, все довольно быстро встает на свои места, по крайней мере в отношении необходимых пропорций.
В дальней перспективе в связи с кризисом могут возникнуть новые бизнес-акценты. Например, это касается стратегии приобретения других бизнесов. Вслед за этим неминуемо должны быть переосмыслены задачи прикладной автоматизации и информационной безопасности. Кстати, все это профессионалы должны прогнозировать и точно так же к этому готовиться, как это происходит и в уже отмеченном случае появления новых законодательных требований.
Дмитрий Породин: Соглашусь с тем, что в целом бюджеты на развитие информационной безопасности сокращаются, как и ИТ-бюджеты. Однако говорить о среднем уровне сокращения бюджетов так же бессмысленно, как говорить о средней температуре по больнице. Изменения бюджетов сильно зависят от отрасли, формы собственности предприятия и от степени влияния подразделения информационной безопасности в компании. Если это влияние достаточно сильно, то и в смысле выделения средств на развитие информационная безопасность, скорее всего, окажется в более выгодном положении, чем ИТ в целом.
В условиях кризиса законодательные инициативы и требования регуляторов будут оказывать сильное влияние на развитие информационной безопасности. Безусловно, основной фактор влияния — это уже упомянутый закон «О персональных данных». Требования закона распространяются на компании всех отраслей и форм собственности, поэтому ИТ-бюджет практически каждой российской компании должен включать мероприятия по приведению информационной системы в соответствие с требованиями закона и подзаконных актов.
Еще одним актуальным примером, как мне кажется, стало новое указание Банка России «О внесении изменений в положение Банка России «Об организации внутреннего контроля в кредитных организациях и банковских группах»», которое вышло в марте этого года. Если говорить совсем коротко, то смысл здесь в том, что каждый российский банк обязан разработать план по обеспечению непрерывности бизнеса и представить его в Банк России в самое ближайшее время. Замечу, что требования данного положения обязательны и все банки должны их выполнять.
Все мы знаем, насколько тесно вопрос непрерывности бизнеса связан с информационными технологиями вообще и с необходимостью дополнительных затрат. На сегодня для российских банков это сложная проблема, обладающая как минимум многими вариантами решений. Кроме «чистых» вопросов информационной безопасности, мы здесь можем столкнуться с оценкой возможностей существующего оборудования, с необходимостью понимать задачи бизнеса, с различными схемами организационных решений данного вопроса и т. д. Понятно, что чрезвычайно важны в подобных ситуациях авторитет подразделения ИБ, его возможность предложить адекватное решение, взять, если угодно, инициативу в свои руки.
Михаил Левашов: То, что бюджеты в целом сокращаются, уже было отмечено моими коллегами. Это, в общем, очевидно, и я с этим согласен. Меня несколько удивил тезис о том, что при системном подходе к развитию ИБ (а он совершенно правилен) решения якобы дорожают чуть ли не в разы из‑за необходимости обосновывать их внедрение.
Давайте подумаем, о чем мы говорим. Я, к примеру, работая в банке, не создаю банковские решения, не выдаю кредиты, не консультирую по юридическим вопросам, и фактически основной моей обязанностью является обоснование того, зачем бизнесу нужны (или наоборот, почему не нужны) те или иные решения в области информационной безопасности. То есть обоснованием должны заниматься специалисты предприятия. К сожалению, на сегодня вполне может оказаться так, что в том или ином бизнесе вовсе не окажется человека нужной квалификации, или может даже не оказаться специалиста по ИТ-безопасности вообще. Но тогда организация не дозрела до определенного уровня, и говорить о системном подходе рановато. Можно продолжать закрывать отдельные проблемы ИБ, которые уж никак нельзя не замечать, и в ряде случаев это тоже полезная работа.
Если говорить о способах обоснования расчетов рисков, то крайне полезно накапливать и систематизировать собственный опыт, а также опыт своих коллег по «цеху». Такие базы данных и основанные на них расчеты (в отличие от отчетов различных аналитических агентств) являются для бизнеса более убедительной информацией. Также считаю, что количественные оценки рисков и количественные параметры их обоснования имеют безусловный приоритет перед качественными методами, включая метод «экспертов». Качественные методы могут, в свою очередь, эффективно подкреплять количественные оценки.
Intelligent Enterprise: В нашем разговоре уже не раз промелькнула мысль о зрелости заказчика, его готовности решать задачи информационной безопасности системно. Что бы вы могли сказать конкретно об этой проблеме?
Дмитрий Михеев: Говоря о зрелости заказчиков, мне бы хотелось несколько расширить тезис о приоритете законодательных инициатив в развитии проектной деятельности в области ИБ. Сам тезис, кстати, довольно очевиден, и я не собираюсь с этим спорить. Но тут мы имеем две стороны проблемы. Когда вдруг оказывается, что бизнес чему‑либо срочно должен удовлетворить, разум в этот момент, условно говоря, перестает торжествовать. И соответственно начинает сильно доминировать формальный подход. Тем более что сроки, как обычно, сильно поджимают, недоделок много, и страх наказания тоже велик. А без санкций нельзя, потому что без них любые разговоры о регулировании — пустой звук. Так вот, по моим наблюдениям, сейчас у заказчиков очень часто на передний план выходит именно формальный подход, какой бы всплеск интереса к ИБ в связи с возросшим регулированием мы ни констатировали. Люди, простите за прямоту, часто думают, как не попасть в тюрьму.
Другой разговор, что до содержательного осознания проблемы, которую затрагивает тот или иной законодательный акт, дело обязательно дойдет, и опыт подсказывает, что речь об этом можно будет вести где‑то через год.
Дмитрий Породин: Здесь уже было сказано, что изменение рынка в последние годы связано с возросшей популярностью системного подхода. Да, в последние годы заметно увеличилось количество заказчиков, которые используют современные подходы к обеспечению информационной безопасности. Повышение спроса на консалтинговые услуги по внедрению процессов управления информационной безопасностью как раз свидетельствует об этом изменении на рынке.
Однако нынешняя ситуация на рынке вносит свои коррективы и в реализацию тех или иных требований законодательства или стандартов ИБ. Выше, приводя в пример один из документов, требующих развивать направление непрерывности бизнеса в банках, я не сказал о последствиях. Думаю, что первая реакция у многих банков выразится в каких‑то формальных шагах, призванных продемонстрировать решение проблемы и отчитаться перед регулятором. И уже потом ответственные сотрудники банков начнут реально работать над проблемой обеспечения непрерывности деятельности.
Алексей Чередниченко: Мне кажется, что в известном смысле «вторая волна» более глубокого осознания проблемы уже до заказчика докатилась. Мне известно, например, что некоторые банки в свое время получали от небезызвестной платежной системы Visa письма с требованиями пройти сертификацию, имеющую существенное отношение к проблеме ИБ (здесь, я думаю, вряд ли уместно говорить об этих требованиях подробно). В известной степени вследствие сложившегося менталитета многие не придали им особого значения, полагая, что потом как‑нибудь можно будет отписаться или даже «купить нужную бумажку». Впоследствии этот подход не сработал, и организации вынуждены были сделать все точно таким образом, как и было предписано. Причем уже после того, как были потрачены ресурсы на разные псевдорешения. Поскольку эта история имела определенный резонанс, мы, в частности, почувствовали его последствия. Конечно, было бы наивно говорить о том, что теперь все и везде делается строго по правилам. Но после таких инцидентов на рынке появляется осознание того, что далеко не любую бумажку можно купить, и оно монтируется в сознание заказчиков уже навсегда.
Денис Чуприк: Здесь практически обозначилась дискуссия о степени понимания заказчиком проблемы информационной безопасности на разных этапах ее жизненного цикла. Не буду с этим спорить, а просто выскажу мнение со стороны бизнеса, который опять‑таки не в максимальной степени отягощен требованием разного рода регулирующих актов. С моей точки зрения, в компании ИБ — это способ противодействия тем рискам, которые мы несем, и учет того, во сколько могут обойтись мероприятия по снижению этих рисков. Вот, в общем‑то, и все. И соответственно подход к этому выработан сугубо прагматический. То есть риски, как мы считаем, нам известны, они в той или иной мере просчитаны. Если принимается решение, что стоит тратить ресурсы на противодействие, то технологии безопасности внедряются в нужной конфигурации, если нет, то соответственно не внедряются. В практических ситуациях нашего бизнеса ответ чаще всего отрицательный. Можно ли связать это с отсутствием зрелости? Сомневаюсь. И это уж точно не хорошо и не плохо. Это просто прагматично.
Михаил Левашов: Могу также добавить мнение по обсуждаемому вопросу со стороны заказчика. В каждой организации есть бизнес-процессы, поддерживающие их информационные технологии, а также элементы ИБ. Зрелость организации можно трактовать в терминах отношений между этими сторонами, выстроенных определенным образом. Я уже говорил о необходимости самостоятельного обоснования проблем ИБ и о том, что надо активно использовать количественные критерии. Собираемую специалистами по ИБ статистику, публикуемые данные об инцидентах (в основном в США, где раскрытие подобной информации в некоторых случаях обязательно) можно при желании корректно перевести в численные показатели, нацеленные на вероятностную оценку. Таким образом, данные для получения количественных оценок есть. Нужно их находить и умело использовать.
Количественные оценки воспринимаются бизнесом намного лучше качественных. На этом пути ИБ из затратной функции может стать также функцией, приносящей прибыль. Огромное значение здесь имеет умение и опыт «продажи» оценок и решений по ИБ руководству предприятия, а также его клиентам. Нужно научиться общаться с представителями бизнеса на понятном им языке, объяснять на этом языке свои результаты. Это одновременно и знания, и опыт, и искусство, и умение ориентироваться в конкретной ситуации.
Михаил Емельянников: Я вижу, что здесь высказываются мнения, демонстрирующие определенную степень зрелости в вопросах информационной безопасности, и это отрадно слышать. Я же с сожалением должен констатировать, что в целом этот уровень в России откровенно низок. В некоторых отраслях он практически отсутствует, и даже в тех индустриях (например, в страховой), где проблема ИБ весьма критична, он очень невысок. Безусловно, можно говорить о развитии данного направления в банках, хотя согласно недавно представленным и вполне заслуживающим доверия данным лишь половина банков имеет специалистов в области ИБ.
Далее я бы выделил известную проблему инсайдеров, которую, я считаю, следует рассматривать с нетрадиционного ракурса. Дело в том, что информацию испокон веков крали «изнутри», делали это (и будут делать) конкретные люди, и в этом нет ничего нового. Проблема в том, что мало кто пытается разобраться, какую информацию необходимо защищать, и, не зная этого, чаще всего пытаются защитить любую. Это по меньшей мере крайне неэффективно с экономической точки зрения. Чтобы так не случалось, надо адекватно классифицировать корпоративную информацию, надо вводить институт коммерческой тайны. На практике это делают единицы, и тут снова мы возвращаемся к вопросу зрелости.
Опять‑таки, к большому сожалению, у многих компаний нет понятия внутреннего заказчика в отношении ИБ, и особенно это чувствуется сейчас, когда компании активно наращивают свое присутствие в Интернете. Концепция оценки рисков в бизнесе также остается очень размытой. А там, где сложно говорить о бизнес-рисках, трудно вести речь и об информационной безопасности.
Михаил Кондрашин: Сейчас мы активно начали предоставлять наши антивирусные пакеты в режиме аутсорсинга. То есть заказчик пользуется нашими продуктами, не покупая лицензий, а осуществляя лишь ежемесячные платежи. Фактически это не лизинг, не коммерческий кредит (поскольку заказчик не получает продукт в собственность ни сразу, ни в будущем), а именно аутсорсинг. Схема эта достаточно проста и, конечно же, не оказалась новым словом на рынке предложения. Ее инновационный характер заложен в основном в менталитете заказчиков в кризисный период. На самом деле они часто не хотят или даже не имеют возможности осуществлять новые инвестиции, а с вирусами так или иначе необходимо разбираться.
Intelligent Enterprise: Мы отчасти связали вопросы готовности заказчиков к развитию технологий информационной безопасности в отечественных организациях с некоторыми технологическими акцентами данного направления и формами предоставления соответствующих услуг заказчику. Не могли бы вы рассказать об этом более подробно?
Михаил Емельянников: Интернет стал полем активной конкурентной борьбы, со всеми вытекающими для информационной безопасности последствиями. Это характерная черта сегодняшнего дня. Сочетание DDoS-атак на различные интернет-ресурсы с рассылкой спама, подмена сайтов, кража информации через Интернет становятся повседневной практикой. Важно, что такое сплошь и рядом происходит в крупном бизнесе (или даже на уровне совместных проектов, осуществляемых несколькими крупными организациями). Все это может сопровождаться ощутимыми откликами на финансовых рынках. Поэтому над вопросами интернет-безопасности надо очень активно работать. Тема виртуализации систем самого различного класса, популярность которой сейчас растет день ото дня, тоже ставит на передний план целую гамму вопросов, связанных с ИБ.
Что касается форм предоставления услуг заказчику, то основной постулат здесь таков: продуктовый рынок заканчивается, и начинается рынок сервисов. В Европе и в США это имело место года три-четыре назад, и нам этого не миновать. Пусть, учитывая уже отмеченную мной незрелость многих заказчиков в вопросах ИБ, сначала подобное произойдет только в передовых отечественных компаниях, но это обязательно будет. Сервисный рынок дороже продуктового. Думается, многим придется менять философию информационной безопасности, поскольку речь будет идти даже не о собственно построении системы защиты информации, а в первую очередь о бизнес-консалтинге, направленном на оптимизацию бизнес-процессов и на совершенствование инфраструктуры информационных систем. В таком случае консультант в области ИБ должен весьма подробно разбираться в том, зачем, скажем, бухгалтеру доступ к информации о персонале, нужно ли врачу работать с пациентом, зная его полное имя, или достаточно иметь доступ к однозначно идентифицирующему его коду. Все это, очевидно, вопросы организации бизнес-процессов, позволяющие порой очень существенно повысить уровень ИТ-безопасности, вообще ничего не внедряя. Вопросы применения технических средств здесь явно на втором месте.
Михаил Кондрашин: Мы в компании полагаем, что спрос на технологии виртуализации в ближайшем будущем будет расти. Отчасти это связано с растущим вниманием к повышению эффективности использования существующих ресурсов, к чему по понятным причинам приковано повышенное внимание именно сейчас. С другой стороны, виртуализация — это самостоятельное технологическое направление и, по сути, новый вектор в развитии любой сфере автоматизации бизнеса, будь то серверные, клиентские вычисления, хранилища данных, сети и т. д. Поскольку ИТ-безопасность с виртуализацией очень тесно связаны, я думаю, можно говорить и о новом векторе в развитии данного направления. И это также должно коснуться самых разных областей ИБ.
Михаил Левашов: В отношении сервисного рынка и важности бизнес-процессов сказано, я думаю, правильно. Однако мне представляется, что здесь немало подводных камней, и при этом весьма крупных. Во-первых, вряд ли следует ожидать, что все рекомендации консультанта в области ИБ будут восприняты на ура и тут же начнут исполняться. Это вряд ли произойдет даже в том случае, если большинство сотрудников понимает, что рекомендации в принципе толковые. Здесь мы, по сути, вторгаемся в вопросы, которые в меньшей степени относятся собственно к ИБ и к формально выстраиваемым бизнес-процессам. Речь идет о влиянии субъективного фактора, выраженного в неготовности и нежелании той или иной бизнес-персоны организовать внедрение рекомендаций внешнего консультанта. Иногда могут возникнуть противоречия между несколькими топ-менеджерами, влекущие возникновение скрытого противодействия. На ответственного за ИБ «офицера» может обрушиться поток обоснований, почему, например, бухгалтера нельзя лишать доступа к HR‑серверу, а врача — к данным о пациентах. Иными словами, даже формально обоснованные рекомендации на этапе реализации могут так и остаться только в статусе теории. Огромное значение здесь опять же играет уровень зрелости ИТ-процессов в компании.
Решение некоторых задач может потребовать от консультанта весьма глубокого проникновения в тонкости бизнеса компании. И чтобы уверенно и аргументировано декларировать свои решения заказчику, консультанту придется поработать на предприятии год-два. Без тесной работы с заказчиком здесь не обойтись, и необходимо, чтобы заказчик имел уровень зрелости, соответствующий постановке задачи.
Дмитрий Породин: Тенденция повышения спроса на качественный консалтинг в области ИБ — это практически ответ на вопрос об изменении форм предоставления услуг заказчику. Это направление будет развиваться, и не очень востребованные на сегодня услуги аутсорсинга будут в условиях кризиса и сокращения бюджетов повышать свою долю на рынке. Я не согласен, что продуктовый рынок в России уже закончился. Как правильно было замечено, во многих российских организациях уровень ИБ крайне низок. В огромном количестве компаний используются нелицензионные средства ИБ. Поэтому пока говорить о насыщении рынка продуктами еще рано.
Алексей Чередниченко: Рост спроса на услуги, которые скорее можно отнести к консалтинговым, чем к функциональным, мы отмечаем уже сегодня, и связано это, как мы считаем, все с тем же кризисом. Поскольку сейчас у многих организаций проблемы в отношении новых закупок (а иногда на них наложен фактически полный запрет), к нам соответственно обращаются не за лицензиями, а за услугой. В типичном случае речь идет, скажем, о реструктуризации имеющегося решения в области ИБ с целью обеспечения вновь определенного целевого уровня ИТ-безопасности. В ряде случаев мы отвечаем, что без новых закупок не обойтись. Иногда честно говорим заказчику, что у него и так все соответствует заявленным целям (то есть фактически проводим некий аудит). Когда же это необходимо, осуществляем подобную услугу. Другими словами, речь идет о неком новом акценте в нашей работе, связанным с оказанием сервиса.
Дмитрий Михеев: Вы задали вопрос о безопасности бизнеса (business continuity). Это тоже предмет информационной безопасности. С одной стороны, это деятельность, целью которой является обеспечение работы бизнеса в целом. Но, с другой стороны, это задача вполне конкретных специалистов по информационной безопасности. Важно, что когда заказчик накапливает определенный опыт в области ИТ-безопасности, он всегда начинает понимать, что фактически любое целенаправленное упорядочение деятельности в организации оказывает позитивное влияние на результат, которого организация пытается достичь средствами ИБ. С другой стороны, появление новых рисков тоже возможно. Можно привести в пример сценарий, обобщающий целый ряд схожих инцидентов из зарубежной практики. В машину почтовой службы по всем правилам погрузили информационные носители с архивом данных и опять‑таки по всем правилам отправили ее в пункт назначения. Но в этот пункт она почему‑то не пришла. Да и выяснилось это не сразу. Единственный способ разумно обрабатывать такие ситуации — планировать эти риски, проектировать регламенты, обеспечивать их соблюдение. То есть в той или иной форме погружаться в мир бизнес-процессов компании профессионалам в области информационной безопасности рано или поздно придется.
Intelligent Enterprise: Фактически обозначенный участниками дискуссии выход направления ИТ-безопасности на уровень бизнес-процессов, по сути, ставит еще один сопряженный вопрос. Дело в том, что сейчас едва ли не в каждом инфраструктурном или прикладном решении существуют функции, так или иначе связанные с информационной безопасностью. Не должно ли это приводить к тому, что в новых условиях между развертыванием на площадке заказчика этих функций и внедрением систем, традиционно относимых исключительно к категории продуктов ИБ, должна быть обеспечена своего рода координация?
Михаил Емельянников: Такая координация необходима, и в то же время ее налаживание, как мне кажется, являет собой просто колоссальную проблему, в которой сходятся воедино вопросы консалтинга, законодательного регулирования и технического развития решений. И все это тесно взаимосвязано. Поясню, в чем тут дело. В крупных прикладных системах существуют решения по информационной безопасности, которые обладают полезным функционалом, но которые в России никогда не были по‑настоящему востребованы. Речь идет, например, о таких продуктах, как GRC (governance, risk and compliance) и IAM (Identity & Access Management) системы от Oracle и SAP. В итоге, несмотря на значительную популярность самих прикладных решений, почти никто у нас в России пока не может по‑настоящему грамотно разобраться с той их частью, которая касается ИБ. Но если бы даже и могли, то анализ инициатив государственного регулирования свидетельствует о том, что применять их сейчас нельзя.
Можно эти решения постараться сертифицировать в России, но тут тоже масса проблем, и вообще это тема отдельного разговора. Можно, наконец, оставить их в покое и заниматься внешней «обвеской» всей ИТ-инфраструктуры с помощью специализированных ИБ-решений сторонних производителей. Но тогда значительно возрастают и без того высокие требования к ресурсам (скажем, к пропускной способности сетевого оборудования или к емкости хранилищ). Решения при этом соответственно становятся (и часто неоправданно) слишком тяжелыми и дорогими, начинают проявляться разного рода негативные «побочные эффекты». Тут возникает проблема оптимизации имеющейся у заказчика инфраструктуры, нахождения в ней максимального количества резервов, и, я считаю, те интеграторы, которые умеют это делать, будут гарантированно иметь работу на предстоящий период.
Михаил Левашов: Хочу особо подчеркнуть, что проблема использования ИБ-решений в составе сложных импортных прикладных систем действительно стоит остро. Я на практике сталкивался с этими вопросами. Решения, с одной стороны, потенциально востребованы, с другой, их просто некому внедрять. Российские специалисты (как правило, представители иностранных фирм-разработчиков), которые продают и внедряют эти системы, имеют перед собой совершенно иные задачи и в части ИТ-безопасности подкованы не достаточно хорошо. При этом случалось, что местное представительство разработчика делало запросы в центральный офис относительно нетривиальных вопросов ИТ-безопасности, но не получало адекватного ответа.
Дмитрий Породин: Тенденция смещения информационной безопасности в сторону бизнес-приложений отмечена совершенно верно. Конечно, все и всегда настойчиво утверждали, что, внедряя соответствующие традиционные средства ИБ, они решают задачи бизнеса. В целом это и раньше соответствовало действительности, так как было необходимо быстро решать самые насущные и срочные вопросы защиты периметра корпоративной сети и противодействия вредоносному коду, внедрения сертифицированных средств криптографической защиты информации и пр. Но именно в последнее время бизнес начал явно ощущать дисбаланс, связанный с тем, что ИТ-безопасность развивалась от сугубо технически ориентированных систем (таких как, скажем, антивирусы или межсетевые экраны). Вместе с тем при значительных вложениях в технологические системы ИБ самая критичная для бизнеса информация, обрабатываемая в прикладных системах, осталась практически незащищенной.
Дополнительной проблемой является отсутствие готовых специалистов в области защиты бизнес-приложений. Это связано с тем, что квалификация специалистов в области ИБ росла вместе с развитием технологических систем. Теперь же часто требуется, чтобы они не только умели настроить оборудование и программы, но и по меньшей мере знали, что такое операционный день банка и как работает автоматизированная банковская система. И в этом отношении спрос сейчас явно превышает предложение.
Дмитрий Михеев: Конечно, тенденция проникновения ИТ-безопасности в прикладные задачи имеет место. Она, я бы сказал, вполне естественна, потому что, с одной стороны, связана с насыщением рынка (и не только конкретно в сфере ИТ-безопасности), с другой — с возросшими требованиями пользователей. Собственно, так бывает, наверное, везде, где развивается какой‑либо рынок. Теперь заказчик требует, чтобы было не только безопасно, но и удобно. В этой ситуации опять‑таки вполне естественно возникают пожелания иметь прикладную систему со встроенными функциями безопасности или же решение в сфере ИБ, имеющее прикладное значение, абсолютно ясно просматриваемое. В качестве примера последних могу привести создание почтовых архивов.
По поводу уже отмеченных проблем, связанных с квалификацией специалистов, в целом соглашусь с трудностями развития функций ИБ, встроенных в прикладные решения. Хотя отмечу и то, что целенаправленные и при необходимости настойчивые попытки решить эти задачи будут иметь место тогда, когда заниматься этим будет явно выгоднее, чем продать лицензию, устройство или что‑либо настроить. Этот перелом обязательно должен произойти, но в том, что он уже произошел, я, честно говоря, далеко не уверен.
Василий Окулесский
Начальник отдела защиты информации службы безопасности Банка МосквыСокращение затрат с помощью законодательства
Сокращения затрат на ИБ, не бюджетов, а именно затрат, можно попытаться добиться, с одной стороны, уточнением или даже изменением законодательных требований в части исключения бессмысленных или противоречивых инициатив, что само по себе снизит нагрузку на бизнес. С другой стороны — сейчас стал заметной тенденцией переход от отдельных технических решений по ИБ к системным комплексным услугам. Обосновывать этот тезис вряд ли есть необходимость. Многие производители решений в области ИТ-безопасности это поняли и предлагают именно услуги, а не технические решения.
Важность риск-менеджмента трудно переоценить
Что касается зрелости организации с точки зрения ИБ, есть проблемы системного характера, проблемы субъективного характера (проблемы «русской души»), проблемы неочевидности применения риск-менеджмента. Попробую начать с последнего. При всей очевидности преимуществ этой методологии нет ни одной универсальной убедительной для реального бизнеса технологии доказательства очевидного. Отдельные вопросы идут на ура, но только после вмешательства жареного петуха. Допускать такую стратегию для всех аспектов ИБ — самоубийство начальника ИБ. Однажды мы обсуждали вопрос, как довести проблемы ИБ до руководства компании и не быть при этом уволенными. Проблема теснейшим образом связана с тем самым «риск-менеджментом», зрелостью организации, осознанием руководства необходимости ИБ и пр. К сожалению, подавляющее большинство консультантов дают рекомендации в этой области как «вещь в себе», при всей их красоте применить непосредственно как инструмент их невозможно, и если консультанты утверждают обратное — они либо лукавят, либо добросовестно заблуждаются. Проблемы системного характера связаны с неподготовленностью специалистов среднего звена как управленцев. Командира взвода готовят четыре года, чтобы научиться командовать ротой — надо «на земле» постоять еще столько же. А наши «менеджеры» зачастую не имеют специальной подготовки. А в результате: «Проблемы — это у соседа (конкурента), а меня авось пронесет». Пока жива эта ментальность — мы будем продолжать обсуждать эту проблему без успеха.
Из чего состоит ИБ-решение
Заказчик всегда готов к новым решениям и технологиям, если это не требует каких‑либо затрат. Любые, даже самые лучшие, инновации — долгий и мучительный процесс интеграции в уже существующие бизнес-, ИТ, ИБ и другие процессы. Поэтому любое мало-мальски сложное техническое решение требует на 60% предварительного консалтинга (а это услуги на 100%) и лишь на 40% внедрения технического решения (из них 50% — услуга, 50% — само решение), Итого: любое новое внедрение УСЛУГА на 80% и все остальное на 20%. К счастью, правильные производители именно так сейчас и действуют.
Предлагаем ознакомиться со статьей «Рекомендации СоДИТ ИТ-директорам России по защите персональных данных»