Хотелось бы начать наш разговор с того, что представляет собой политика информационной безопасности (ИБ). Каково содержательное значение этого термина? Какова ее роль в сопряжении проблем в области защиты информации с бизнес-задачами?
Илья Трифаленков: В настоящее время для российских предприятий первичной действительно становится именно политика в области ИБ. Иными словами, практика, при которой под уже приобретенные инструменты защиты информации пытались подстроить ту или иную концепцию, уходит в прошлое. Если мы часто и небезосновательно сетуем на то, что бизнес недооценивает мощную роль ИТ, то информационную безопасность как раз можно отнести к числу передовых направлений. В компаниях, с которыми мы работаем, бизнес-руководители озабочены вопросами ИБ и как владельцы информации ставят конкретные задачи по ее защите. Поскольку на сегодня мы имеем несравненно более широкую гамму технологических решений, чем, скажем, три-четыре года назад, то тут и встает вопрос о политике, то есть о том, что конкретно мы защищаем, с помощью чего, на каком уровне, по каким требованиям и так далее. И все эти вопросы в рамках разрабатываемой политики жестко привязываются к определенным бизнес-процессам.
Александр Соколов: Должен заметить, что осознание необходимости выработки
политики информационной безопасности приходит не сразу. Прежде чем "политический"
вопрос вообще возникнет, руководству надо осознать, что информационные технологии
- это рычаг повышения производительности бизнеса. Когда это до определенной
степени осознано, появляется информация, которой надо управлять и возникают
внутрикорпоративные ИТ-сервисы. Этот этап мы видим российском рынке. Затем,
после накопления некой "критической массы" информации и появления
возможностей ее доставки и обработки самое время задавать вопрос о том, сколько
стоит ИТ-ресурс. И как только мы дошли до этой оценки, сразу возникает пресловутый
вопрос информационной безопасности. Зрелый бизнес сталкивается с вопросами ИБ
уже постоянно, причем на очень серьезном уровне. Если сегодня компания, к примеру,
собирается организовать открытую подписку на акции и комплексный аудит не содержит
в себе раздела, связанного с аудитом информационной безопасности, активы компании
могут быть недооценены. Все это требует решения массы вопросов: какую информацию
мы защищаем, где она хранится, кто ее владелец, кому и в каком режиме она доступна
для решения тех или иных бизнес-задач. Все эти вопросы можно решать, только
имея внятную политику ИБ.
И, условно говоря, более половины конкретных вопросов, которыми в данном случае
необходимо заниматься, - это вопросы организационные. То есть политика необходима
для того, чтобы реализовать правила, по которым будет играть организация. Правила
эти, что немаловажно, определяются владельцем компании, являющимся, естественно,
и владельцем ее информационных ресурсов.
Ростислав Рыжков: В "организации" из двух человек, собравшихся с целью ведения совместного дела, уже de facto существует политика в области информационной безопасности. Когда бизнес ширится, то информация выделяется в отдельный ресурс и появляются информационные системы. Существующая de facto политика так или иначе начинает охватывать и их. Тут уже неминуемо возникает потребность в формализации существующих правил. Необходимо составить некий документ, где будет аккуратно записано то, что раньше подразумевалось. Прописать же все правила грамотно, адекватно сложности информационных систем, используемых сегодня для поддержки бизнес-процессов,- не такая простая задача. На эту ступеньку многие организации в России (так или иначе имеющие некий набор формальных или неформальных правил в области ИБ) еще не поднялись. А пока такого документа нет, очень трудно разговаривать о целесообразности использования тех или иных решений по защите в контексте бизнес-целей.
Сергей Земков: Сошлюсь на недавние исследования журнала Economist, согласно которым проблема информационной безопасности является одной из самых приоритетных для бизнеса. Более конкретно - основным источником проблем становятся внутренние угрозы. Это, безусловно, смешает акценты в технологических приоритетах защиты. Но не только. Усиление внутренних угроз означает большую критичность таких факторов, как ошибки персонала (или даже откровенный саботаж), подкуп сотрудников и пр. Это, в свою очередь, ведет к тому, что правильные организационные решения начинают играть очень важную роль. А принятию таковых как раз и должна способствовать разработанная, а главное, реально работающая на предприятии политика в области ИБ. Такие параметры, как подготовленность персонала, внимание сотрудников к выполнению своих функций, можно повысить, только имея политику ИБ как инструмент, и в данном случае ее не заменит даже сотня информационных продуктов. А для высшего руководителя предприятия политика это кроме всего прочего, средство, помогающее поставить конкретные задачи, а при наличии некоторых дополнительных инструментов еще и количественно измерить вклад каждого конкретного продукта в эффективное решение задач ИБ в целом.
Николай Петров: Хочу добавить пару слов о формальном декларировании проблем ИБ в зарубежных компаниях. У них, как правило, существует очень короткий документ, по-английски называемый Information Security Statement, выражающий озабоченность высшего менеджмента компании вопросами безопасности, а именно обеспечением конфиденциальности, целостности и доступности. Несмотря на то что в нем от силы несколько страниц, он достаточно важен для практической деятельности компании.
Алексей Орлов: На мой взгляд, настоящая реализация политики ИБ начинается тогда, когда компания четко осознает, что в рамках столкновения финансовых интересов информация может быть использована в качестве серьезного инструмента. Что касается внешних факторов, то здесь основными причинами интереса к проблемам ИБ являются недобросовестная конкуренция и криминализация общества в целом. Именно такие факторы вынуждают говорить о необходимости целенаправленной деятельности в области защиты информации. И в этом случае первое лицо в компании, как правило, достаточно хорошо понимает важность этих вопросов. Создается служба безопасности. Соответственно появляется должность заместителя по безопасности в целом. Затем отдельно формулируются правила, касающиеся защиты электронных данных, и стратегия в данной области. Таким образом, организация подходит к разработке и реализации политики в области ИБ "сверху".
Андрей Тихонов: Согласен, что вопросы информационной безопасности в любой компании неотделимы от вопросов защиты интеллектуальных активов компании вообще. Иными словами, безопасность распространяется и на юридическую, и на финансовую и на иные сферы деятельности компании и ИТ - лишь одна из них. Мы все понимаем, что появление на рынках нелегальных компакт-дисков (а это результат существования бреши в защите информации) никак нельзя списать на несовершенство работы какого-нибудь брандмауэра. Кроме того, придание излишнего значения технической стороне защиты ИС чревато опасностью возложения неоправданных надежд на инструментальные средства, что достаточно опасно само по себе. Поэтому защита информации - это не только технические средства, и даже не только технический консалтинг. Это прежде всего организационные меры и организационный консалтинг. Надо знать, где какая информация хранится, кто ею пользуется, какова ее ценность. Более того, надо уметь предвидеть, где в ближайшее время может сосредоточиться наиболее важный для организации "информационный капитал". Все это никак не проецируется исключительно на сферу ИТ, но именно из такого понимания рождается внятная политика информационной безопасности.
Алексей Лукацкий: Хотел бы отметить несколько другой аспект проблемы. Как мне кажется сегодня среди руководства российских компаний если и есть понимание необходимости защиты информации, то нет осознания того, что эта область отделена от автоматизации в целом. К сожалению, часто считают, что если ведутся работы по автоматизации бизнеса, то вопросы информационной безопасности должны решаться параллельно и как бы сами собой. При этом полагается, что ИТ-специалисты должны соответственно быть озабочены этим при внедрении тех или иных ИС в рамках имеющихся должностных обязанностей. На мой взгляд, есть две группы отечественных компаний, где эта проблема должна решаться по-разному. В организациях, где руководство наемное, вопрос можно решить различными средствами материального стимулирования. В большинстве российских компаний, где руководитель является одновременно и ее учредителем, это, как ни странно, реализовать сложнее. Но в любом случае соответствующие организационные меры должны находить отражение в политике информационной безопасности.
Политика информационной безопасности тесно связана с проблемой персональной ответственности менеджеров за решение этих проблем. Какова оптимальная структура подчиненности этих менеджеров, область их ответственности, компетенции? Существуют ли в российских компаниях так называемые CSO (Chief Security Officer), как это имеет место в компаниях западных?
Илья Трифаленков: Ясно, что если такого человека в компании нет, то информационная безопасность не может быть реализована в соответствии с какой-либо политикой. В лучшем случае при этом можно купить и формально инсталлировать какой-то отдельный продукт. В наших проектах мы обычно имеем дело с начальником службы информационной безопасности или руководителем департамента ИБ. Что характерно, существуют два типичных сценария предшествующей профессиональной карьеры этих людей. Часто они приходят на эту должность, имея за плечами опыт организации физической безопасности, постепенно втягиваясь в специфику организации безопасности информационной. Распространенной практикой является также подбор подобного руководителя среди ИТ-специалистов. И тогда он начинает работать в области ИБ, подходя к ее вопросам несколько по-другому. Интересно, что по достижении определенного времени они оказываются примерно на одинаковом уровне профессионального кругозора. Просто они идут к нему разными путями.
Алексей Орлов: Фигура человека, отвечающего за информационную безопасность,
на мой взгляд, вторична. Первичен руководитель организации, отвечающий за безопасность
в целом (CSO). Главное, чтобы были прописаны функции и полномочия того человека,
который будет назначен решать вопросы ИБ (а таковой обязательно будет). Необходимо,
чтобы все службы работали на обеспечение единой задачи. Даже прекрасно подготовленный
администратор вряд ли сможет оказать адекватное противодействие группе захвата,
и наоборот, выставив у каждого сервера по группе вооруженных людей, невозможно
перекрыть утечку информации из него по компьютерной сети.
Хочу также отметить, что CSO, если говорить о международной практике, может
и не являться штатным сотрудником предприятия. Он может находится на аутсорсинге
и, по сути, заниматься консалтингом внутри отдельно взятого предприятия. Этот
человек обобщает опыт внутри организации и докладывает высшему эшелону власти
о существовании тех или иных угроз бизнесу, реализуемых через информационные
угрозы.
Николай Петров: Наша компания уже более десяти лет проводит ежегодные опросы по проблемам ИБ топ-менеджеров различных предприятий по всему миру. Цифры иногда получаются достаточно интересные и вообще заслуживают отдельного комментария. Сейчас хочу подчеркнуть, что в целом ситуация в России почти не выпадает из общей картины, по крайней мере, за последние два года. И поэтому ее в принципе можно рассматривать в контексте мировых проблем ИБ, в том числе в отношении роли CSO. О статусе последнего могу сказать, что он в России как раз отличается от общемирового, у нас он ниже. Но, опираясь на анализ ответов руководителей о том, как они воспринимают проблемы ИБ, можно сделать вывод, что CSO должен быть более приближен к руководству и облечен большей ответственностью. Ведь он должен в понятной форме обосновать ответы на типичные вопросы руководства компании: почему наличия межсетевого экрана недостаточно для защиты сети, почему отсутствие проблем в прошлом году - плохой аргумент, почему жалобы пользователей на ограничения, вводимые системой защиты, - это вовсе не довод, и так далее.
Алексей Лукацкий: Еще со времен СССР у нас в стране сложилась практика
использования таких понятий, как "модель угроз" или "модель нарушителя".
С этой точки зрения всегда считалось логичным, что информационная безопасность
подчиняется безопасности в целом. Однако, с позиций коммерческого предприятия
это не всегда правильно. Поэтому в западных компаниях CSO подчиняется непосредственно
руководству компании. Он находится на одном уровне и с руководителем службы
безопасности и с руководителями ИТ-структуры. В России есть практика (особенно
в государственных структурах), когда за информационную безопасность отвечает
служба безопасности в целом. Есть масса примеров, когда за это несет ответственность
ИТ-служба. Но, к сожалению, очень редко руководитель работ в области ИБ подчиняется
первому лицу компании.
Александр Соколов: Начнем с того, что если ИТ-услуги можно ассоциировать
с неким позитивным бизнес-результатом, то наложение на эти услуги технологий
ИБ ограничивает в его получение. Существенно или нет - другой вопрос. Если на
компьютере стоит антивирусная программа, это по меньшей мере увеличивает время
его загрузки. Если мы пользуемся информационными ресурсами, то технологии ИБ
- это фильтр на пути доступа к ним. Иными словами, миссии технологий автоматизации
бизнеса и информационной безопасности различаются. Более того, они в определенной
степени конфликтуют между собой. В связи с этим могу сказать следующее. Да,
фигура CSO в российских компаниях нужна. Но этот человек никак не может быть
подчиненным CIO. Это скорее равная с ним фигура, функциональный руководитель
второго уровня, подчиненный первому лицу.
Андрей Тихонов: Я также считаю, что должность с функциями, которыми на Западе обладает CSO, в российских компаниях должна присутствовать, и этот человек должен подчиняться первому лицу организации.
Ростислав Рыжков: Хочу дополнить некоторыми соображениями о профессиональных качествах CSO. На российском рынке уже существует выбор технологических предложений в области ИБ, имеется возможность реализации политики ИБ несколько различными путями. От CSO, как первого лица, отвечающего за защиту информации, требуется достаточно широкая эрудиция. Он должен хорошо ориентироваться в вопросах совместимости продуктов и технологий, их взаимосвязи. Он должен знать, сколько все это стоит как в деньгах, так и в количестве затрачиваемых на внедрение ресурсов. К тому же политику, которую мы только что обсуждали, недостаточно изложить на бумаге. Ее еще надо грамотно, убедительно довести до руководства компании. И в этом тоже состоит задача руководителя направления информационной безопасности.
Перейдем к практическим шагам по реализации политики ИБ. Здравый смысл подсказывает, что реализация политики предполагает комплексный подход, если таковой существует применительно к ИБ…
Николай Петров: Говоря о комплексном подходе, мы обычно выделяем ключевые направления, которые должны быть в той или иной мере обеспечены. Этих направлений около десяти, к примеру, обнаружение вторжений и вирусов, реагирование на инциденты, физическая безопасность, управление правами доступа и некоторые другие. Причем по всем необходимым направлениям должна быть налажена непрерывная работа, обеспечено взаимодействие между ними и так далее. Именно эти, скорее организационные, чем технические характеристики, и отличают успешно действующие компании от менее успешных.
Алексей Лукацкий: Но для каждой компании содержание понятия "комплексный подход" будет совершенно другим. Разные задачи диктуют применение различных средств и различных подходов к обеспечению информационной безопасности. Соответственно термин "комплексный" может иметь разное значение.
Александр Соколов: Подходы действительно могут быть разными. Но термин "комплексный" по определению означает "всеохватывающий". Всеохватывающий подход, в свою очередь, предполагает то, что одновременно должна быть обеспечена целостность, доступность и конфиденциальность информации. Да, согласен, что для конкретной организации какой-либо из этих факторов может быть куда менее значимым, чем другой. Однако это вовсе не означает, что его не надо рассматривать. Это очень важный нюанс. Имея возможность свободно манипулировать "размерностью задачи", убирая из рассмотрения несущественные (с чьей-то точки зрения) факторы, мы серьезно рискуем "притянуть" понятие комплексности к набору функций какого-либо, пусть и достаточно мощного продукта. В области ИБ нет продуктов и поставщиков, которые делают абсолютно все. Каждый из них, несомненно, имеет отношение к комплексной системе защиты, но может являться только ее частью
Ростислав Рыжков: Действительно, универсальных продуктов и решений не существует. Я бы сказал, что и в этих условиях вряд имеет смысл придавать термину "комплексность" какое-то универсальное значение. Каждый заказчик наполняет этот термин своим содержанием. Я бы добавил, что и каждый системный интегратор также имеет свой собственный комплексный подход, сформированный на основе многолетней практики в ряде областей ИБ. И это совершенно нормально, пусть даже такая компетенция не может считаться всеобъемлющей.
При обсуждении вопросов комплексного решения задач ИБ очень часто речь заходит о подходах, которые имеют в некотором смысле универсальное значение во многих сферах управления бизнесом. Это, к примеру, проактивный менеджмент, управление рисками, использование "лучших практик". Какие из этих подходов реально востребованы в сфере ИБ?
Алексей Орлов: Риск-менеджмент однозначно имеет отношение к построению
систем защиты информации. Сотрудник, ответственный за направление, связанное
с информационной безопасностью, роль и функции которого мы только что обсуждали,
по идее, должен представлять руководству компании так называемую карту информационных
рисков с указанием их влияния на технологические и бизнес-процессы предприятия.
Они, в свою очередь, могут быть реализованы через некоторые угрозы, ущерб от
которых подлежит определению. Далее, CSO ставит в известность владельцев бизнеса,
что в случае реализации таких-то угроз произойдут вполне определенные события.
Владельцы бизнеса, со своей стороны, хорошо понимают, какие из последствий данных
угроз являются для них первичными, а какие второстепенными. Соответственно они
могут определить какая из угроз сколько будет "стоить". Таким образом,
использование методов риск-менеджмента (и других методов управления) в решении
вопросов защиты информации действительно служит неким общим базисом для разговора
CSO с руководством предприятия и/или владельцами бизнеса, где применяется соответствующий
метод управления.
При этом, однако, хочу отметить один нюанс. Примерно 70% рисков, по зарубежной
практике в соответствии с ISO 17799, имеют финансовую оценку на основе статистических
данных. Оценок, официально заявленных российским рынком по поводу реализации
тех или иных информационных угроз, настолько мало, что получить на этой основе
статистически значимые величины не представляется возможным. Кстати, именно
по этой причине, на российском рынке трудно применять стандарт ISO 17799. Что
касается других обозначенных направлений, могу сказать, что проактивный менеджмент
в решениях ИБ присутствует. Я скорее бы воздержался от утвердительного ответа
относительно лучших практик, поскольку средства защиты, как правило, индивидуальны.
Илья Трифаленков: Сегодня в России, внедряя технологии информационной
безопасности, мы обеспечиваем функционирование того или иного бизнес-процесса.
Технологии защиты информации являются частью ИТ в той мере, в которой ИТ является
частью бизнес-процессов. И поэтому, безусловно, приходится говорить о риск-менеджменте.
Что касается количественного анализа рисков, на отечественном рынке возможности
статистической оценки действительно ограничены, хотя это скорее вопрос эффективности
оценки создаваемой системы ИБ. В то же время на каждом отдельно взятом проекте
мы совместно со специалистами предприятия, как правило, достаточно детально
прорабатываем вопрос о размере потерь, ассоциируемых с определенными угрозами.
Идеальной модели, в соответствии с которой мы бы имели точные цифры ущерба,
нанесенного в результате попадания в систему вируса или факта утери тем или
иным пользователем пароля, на сегодняшний день нет. И еще долго не будет. В
то же время методики оценки рисков существуют, и не одна. Какую из них применять
- вопрос конкретного проекта. Но не стоит забывать и о том, что даже качественное
ранжирование рисков имеет вполне самостоятельное значение.
В том, что проблема безопасности по сути проактивна также сомневаться не приходится.
Уже практически никто не приходит к решению данных проблем после какого-либо
инцидента. В этом смысле информационная безопасность скорее опережает другие
направления ИТ-поддержки бизнеса. И наконец, вопрос использования "лучших
практик" не лишен смысла и тесно ассоциирован с возможностью применения
стандарта ISO 17799. Подобные западные спецификации в России применять можно,
и такая практика по нашему опыту себя оправдывает. Другое дело, что ISO 17799
нуждается в детализации, реализуемой в виде отраслевых стандартов, стандартов
предприятий и т. д.
А насколько уместно говорить об информационной поддержке задач ИБ именно на уровне тех концепций, о которых мы только что говорили? Скажем, в области ИБ некие варианты ИТ-поддержки на уровне решения задач информационной политики в целом (например, Intelligent Security) по крайней мере обсуждаются.
Илья Трифаленков: Если на базе таких концепций, как анализ рисков, проактивный менеджмент, действительно строится система ИБ какая-либо специальная информационно-техническая поддержка этого процесса, как мне представляется, не нужна. По сути, нам всегда надо реализовать конкретную политику ИБ в контексте конкретной конфигурации информационных продуктов поддержки бизнеса. При этом, разумеется, учесть стоимостные характеристики. Тут мы уже имеем множество технологических компонентов безопасности, реализующих отдельные механизмы обеспечения защиты. В конкретных проектах поступать с этими компонентами можно творчески: интегрировать между собой, с другими информационными системам,и со средствами администрирования и так далее. Получается действительно уникальный продукт, который, с одной стороны, прямо связан с понятием "комплексность", а с другой - вряд ли может быть ассоциирован с каким-то одним готовым программным комплексом того или иного поставщика.
Андрей Тихонов: Сегодня на рынке нет ни одной системы, которая бы отвечала за все аспекты безопасности. Можно говорить лишь о том, что в арсенале каждого поставщика существует более или менее широкий спектр программных, аппаратных, а также консалтинговых продуктов, которые комбинируются определенным образом. Услуги консалтинга в определенной мере первичны, потому что только грамотное обследование предстоящей структуры безопасности и стоимости решений позволяет выявить необходимую в конкретном случае комбинацию технических средств. При этом может получиться, что средств безопасности, встроенных в уже используемый в организации продукт (которые ранее по тем или иным причинам могли не применяться или были вовсе неизвестны сотрудникам компании), уже достаточно. Может быть к ним придется добавить еще пару продуктов от разных поставщиков. Таким образом, мы и получаем комплексную программную поддержку задач ИБ, которая всегда уникальна и, следовательно, вообще вряд ли может быть ассоциирована с единым продуктом.
Ростислав Рыжков: Я бы все-таки не стал безапелляционно отрицать существование специализированных средств, находящихся на уровень выше слоя ПО, отвечающего за реализацию механизмов ИБ. В формулировке вопроса была упомянута концепция Intelligent Security. Адекватные ей системы, отвечающие за согласованную и эффективную работу средств информационной безопасности, выполняющие часть работы администратора безопасности, действительно существуют и не в единственном экземпляре. Они не просты и не дешевы, но вместе с тем не универсальны. Такие системы могут различаться между собой, и поэтому проблема их выбора (в тех случаях, где они действительно востребованы) сложна даже для пользователя с серьезной компетенцией и с хорошими бюджетами.
Алексей Лукацкий: Согласен, что такие продукты существуют, и также согласен, что на рынке их немало. Существуют западные и отечественные, более дорогие и подешевле. Но зачастую они предлагают пользователю в том числе и некую "автоматизированную" процедуру оценки состояния информационной безопасности, в соответствии с ней строятся (опять-таки в автоматизированном режиме) рекомендации, которыми пользователь должен руководствоваться дальше. И польза от такого функционала может быть сомнительна. Прежде всего потому, что они соблазняют компанию заменить некими шаблонами экспертных оценок более дорогой, но несомненно и более качественный консалтинговый сервис специализированных компаний. Иными словами, они провоцируют попытки самостоятельно адаптировать все те же "общеуправленческие" методики, о которых мы говорили выше, к проблемам ИБ. А это более чем рискованно. Хочу подчеркнуть следующую мысль: выбор между отдельными продуктами, условно относимыми к категории Intelligent Security, действительно может быть весьма непростым, но в дополнение к этому мы имеем достаточно тонкую грань между применениям данного ПО и консалтинговым сервисом.
И, наконец, хотелось бы обсудить проблемы внедрения, возникающие в проектах в области защиты информации. А именно: размеры ИТ-консалтинга, проблемы руководства проектом и его статуса и поддержки со стороны топ-менеджмента, кадры, аутсорсинга функций ИБ и прочие.
Илья Трифаленков: Сейчас необходимость ИТ-консалтинга в области информационной безопасности осознана и востребована, пожалуй, даже больше, чем в других ИТ-областях. Работы по проектированию систем безопасности или иная деятельность, предшествующая внедрению каких-либо конкретных продуктов, по моему опыту так или иначе сейчас проводится везде. Для аудита ИБ, для проведения анализа рисков однозначно приглашают внешнего консультанта. Строятся системы информационной безопасности в принципе по тем же принципам, и в соответствии с теми же этапами, что и ИС поддержки бизнес-процессов. Таким образом, если данные ИС создаются с использованием предварительной модели, рабочего проекта, то точно так же будет строиться и система ИБ. Если предприятие достаточно зрелое, для того, чтобы передавать те или иные ИТ-функции на аутсорсинг, точно так же оно будет подходить к вопросам построения ИБ. И надо сказать, что аутсорсинговая модель в области ИБ сейчас как раз активно развивается. В общем, аналогий здесь достаточно.
Сергей Земков: На взгляд нашей компании, аудит информационной безопасности действительно должны всегда выполнять внешние консультанты. Это оценка важности той или иной информации, а также выработка стратегии, какую информацию надо защищать, от кого и каким образом. Руководители компаний несомненно имеют ясное представление об этом вопросе, и это дает им повод думать, что все можно сделать самостоятельно. Однако важные нюансы здесь состоят в том, что эту работу надо провести очень цельно, постоянно держа в голове, какую конфигурацию технических средств и какие организационные меры можно будет затем реально применить. А это сделать самостоятельно уже гораздо сложней.
Алексей Орлов: Если в жизненном цикле системы ИБ выделить этапы ее создания и последующей эксплуатации, то станет понятно, что квалификация персонала компании на каждом из этих этапов разная. На начальном уровне создания системы информационной защиты она, как правило, должна быть выше. Со временем компания осознает, что ей достаточно содержать одного-двух специалистов по ключевым продуктам для поддержания готовой системы. С этого момента и делается акцент на аутсорсинговую модель. Соответственно в случае необходимости привлекаются внешние специалисты для расследования инцидентов, проведения аудита и так далее. По такой модели в России развивались очень многие компании.
Алексей Лукацкий: Соглашусь с тем, что говорилось, но исходя из моей практики могу сказать, что у нас еще вполне достаточно ситуаций, когда консультант решает конкретную узкую проблему. Типичный пример, когда организация, закупившая десяток межсетевых экранов, приглашает консультанта для того, чтобы он настроил оборудование и написал регламент действий сотрудников таким образом, чтобы системой генерировались только важные события, и их можно было бы обработать.
Андрей Тихонов: Да, многие случаи практического консалтинга пока связаны, грубо говоря, с латанием дыр. Случаи, когда все реально проектируется в соответствии с пресловутым комплексным подходом, пока в России единичны. Соответственно не востребован и консалтинг необходимого уровня.
Александр Соколов: Перспективы консалтинга в области ИБ в целом точно такие же, как и соответствующие перспективы в других ИТ-сферах. Если организация имеет (или считает, что имеет) квалифицированных специалистов, то она, как правило, не прибегает к консалтингу. Культура развертывания систем защиты информации на самом деле вполне аналогича культуре внедрения бизнес-приложений в компании. Главная же разница состоит в том, что специалистов в области ИТ пока все-таки гораздо больше, чем профессионалов в сфере защиты информации. И это определяет многое.
Ростислав Рыжков: Проблема кадров действительно стоит очень остро. Она
усложняется еще и тем, что область информационной безопасности, как, может быть,
никакая другая, находится под пристальным оком государства. При этом, чтобы
начать проект, часто нужны те или иные лицензии, чтобы их получить, надо иметь
в штате одного-двух дипломированных или сертифицированных в области ИБ специалистов.
Поэтому аутсорсинг в области информационной безопасности в России будет развиваться.
Что касается статуса проектов, связанных с информационной безопасностью, то
поддержка руководства для их воплощения в жизнь, конечно же, важна, как и для
любых других проектов. Однако ситуация с проектами по ИБ имеет специфику. В
разработанных 10-20 лет назад документах, регламентирующих создание информационных
систем, нет раздела "Защита информации". Соответственно в традиционном
бюджете IT-проекта нет и статьи расходов на информационную безопасность. Получается,
что, с формальной точки зрения, задач (и проектов!) ИБ не существует. Поэтому
даже в тех организациях, где автоматизация бизнес-процесов финансируется регулярно,
выделение части этих денег на информационную безопасность требует отдельных
усилий, отдельной работы с руководством.
Илья Трифаленков: Технологии защиты информации являются частью ИТ в той мере, в которой ИТ является частью бизнес-процессов. И поэтому, безусловно, приходится говорить о риск-менеджменте. В том, что проблема безопасности по сути проактивна также сомневаться не приходится.
Александр Соколов: Миссии технологий автоматизации бизнеса и информационной безопасности различаются. Более того, они в определенной степени конфликтуют между собой. Поэтому CSO никак не может быть подчиненным CIO. Это скорее равная с ним фигура, подчиненная первому лицу.
Ростислав Рыжков: Системы, отвечающие за согласованную и эффективную работу средств информационной безопасности, выполняющие часть работы администратора безопасности, существуют. Они не просты и не дешевы, но вместе с тем не универсальны.
Андрей Тихонов: Необходимо знать, где какая информация хранится, кто ею пользуется, какова ее ценность. Более того, надо уметь предвидеть, где в ближайшее время может сосредоточиться наиболее важный для организации "информационный капитал". Все это не относится исключительно сфере ИТ, но именно из такого понимания рождается политика информационной безопасности.
Алексей Лукацкий: Разные задачи диктуют применение различных средств и различных подходов к обеспечению информационной безопасности. Поэтому для каждой компании содержание понятия "комплексный подход" будет совершенно другим.
Алексей Орлов: Использование риск-менеджмента и других методов управления в решении вопросов защиты информации действительно служит неким общим базисом для разговора CSO с руководством предприятия, где применяется соответствующие методы.
Николай Петров: Мы выделяем около десяти ключевых направлений обеспечения безопасности, которые должны быть в той или иной мере обеспечены. Именно эти, скорее организационные, чем технические характеристики и отличают успешно действующие компании от менее успешных.
Сергей Земков: Такие параметры, как подготовленность персонала, внимание сотрудников к выполнению своих функций, можно повысить, только имея политику ИБ как инструмент. В этом ее не заменит даже сотня информационных продуктов.