`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Безопасность: "ничего особенного"

Статья опубликована в №12 (629) от 25 марта

0 
 

Проблемы информационной безопасности, существующие в Украине, принципиально те же, что и в других наиболее информатизированных регионах мира. Вот только преодолевать их наши компании начали с устранения симптомов техническими средствами, обращая мало внимания на причины, которые ликвидируются прежде всего организационными методами.

Безопасность сравнима со здоровьем:
пока она есть, мы о ней не задумываемся.

Из жизненного опыта

Стандарты

Начать, видимо, следует с того, что в Украине понимание информационной безопасности (ИБ) очень сильно отличается от европейских канонов. Чем это вызвано? Наверное, в основном советским прошлым. Тогда все, что называлось ИБ, тем или иным способом связывалось с определенными организациями. Понятие конфиденциальности было присуще только информации, которая принадлежит государству. Мы унаследовали ряд стереотипов по отношению к этому понятию. В результате у нас на сегодняшний день законодательная и правовая база в области ИБ сформирована недостаточно хорошо, и законы, нормативные и регламентирующие документы не соответствуют международной практике. Но все же наблюдается тенденция, когда мы потихоньку начинаем адаптировать наработки и приобретенный в течение многих лет опыт европейских стран, в том числе стандарты – будь то ISO или любые другие, например американской правовой системы, но, тем не менее, у нас это идет довольно медленно.

Сегодня основными стандартами в области информационной безопасности, на которые ориентируются бизнес-структуры, являются ISO 27001, 27006, 27002/17799. Это лучшие мировые практики, основанные на британской нормативной базе. Украинский же стандарт бизнес полностью игнорирует, потому что нормативно-правовая база в области ИБ сегодня не соответствует общепринятым мировым канонам и морально устарела. На момент разработки она была актуальной, сейчас – нет. В настоящее время в вопросах информационной безопасности предпочтение отдается все-таки ISO. Тут есть еще ряд факторов: приближающееся вступление в ВТО, все большее проникновение европейских канонов в Украину (стандарты, директивы и т. д.), выход отечественных предприятий на международные рынки, глобальное партнерство и зарубежные клиенты.

Сделать нужно немало

Безопасность "ничего особенного"

Виталий Береза,

руководитель отдела ИT-безопасности
компании «БМС Консалтинг»

По мнению наших экспертов, самой актуальной угрозой для бизнеса в 2007 г. была (и, скорее всего, останется, по крайней мере, в ближайшие три года) утечка конфиденциальной информации. При этом главные факторы риска в 80% случаев находятся внутри самой компании, т. е., выражаясь простым языком, обезопасить себя нужно прежде всего от нерадивых и нелояльных сотрудников. Озабоченность этой проблемой усиливается все возрастающей необходимостью соблюдать украинские, международные и отраслевые стандарты. Например, банки должны соответствовать PCI DSS (Payment Card Industry Data Security Standard), который в числе прочего выдвигает жесткие требования к защите данных владельцев платежных карт. Если же закон о защите персональной информации (рассматриваемый депутатами уже не первый год) будет принят Верховной Радой, то актуальность защиты от утечек в Украине, и прежде всего в государственном секторе, существенно возрастет, более того, потребуется обеспечить качественно новый уровень безопасности.

Отметим, что лидеры практически всех сегментов рынка с каждым годом вынуждены увеличивать свои бюджеты по данной статье расходов. Это связано как с появлением новых угроз, так и с тем фактом, что ранее вопросы защиты информации редко относились к числу приоритетных и, соответственно, финансировались по остаточному принципу. Сегодня же приходится в срочном порядке наверстывать упущенное. Многие компании уже вышли на уровень консолидации систем безопасности и оптимизации их работы. То есть все базовые системы (антивирусы, межсетевые экраны, системы предотвращения вторжений и т.д.) используются уже давно, но из-за несистемного подхода, применявшегося при организации защиты, они зачастую либо малоэффективны, либо слабоуправляемы. В этом случае становится важным внедрение и использование систем централизованного управления и мониторинга средств обеспечения информационной безопасности, которые согласно своему назначению позволяют сравнительно небольшой команде высококвалифицированных администраторов управлять порой тысячами устройств защиты от разных производителей и видеть актуальную картину состояния по всей компании в режиме реального времени.

Также следует заметить, что украинские фирмы постепенно приходят к пониманию того, что использование эффективных средств защиты должно подкрепляться соответствующей нормативной базой. Сюда можно отнести как концептуальные документы, например стратегию развития информационной безопасности на несколько лет вперед, так и более «приземленные» документы, в частности, корпоративные политики безопасности и инструкции пользователей. Разработка такого пакета документации сама по себе уже является достаточно трудоемкой задачей, а кроме того, она требует реального видения общей картины состояния информационной безопасности у клиента. Именно поэтому проекты, начинающиеся с аудита в данной области, целесообразнее поручать внешним консультантам.

В последние два года прослеживается четкая тенденция к увеличению консалтинговой составляющей в сложных и комплексных проектах у крупных заказчиков. Выбор подходящего продукта, разработка методов его интеграции с существующими системами и сопроводительной документации, обучение специалистов клиента и последующая поддержка внедренного решения – все это сегодня весьма востребовано и, судя по нашему опыту, можно совершенно уверенно сказать, что на всех стадиях подобных проектов роль квалифицированного консультанта является решающей для их успешного завершения.

Государство и бизнес

Безопасность "ничего особенного"
Несложный, пусть и очень приблизительный расчет. Оборот некой среднекрупной украинской компании составляет 100 млн долл. 5% его уходит на ИT (5 млн долл.). 7% идет на безопасность. Получается 350 тыс. долл. А в масштабах страны? Есть, есть за что бороться и производителям аппаратно-программных защитных решений, и консалтинговым подразделениям

Важный фактор – экспансия западных компаний в Украину. В данном случае можно привести пример банковской отрасли, так как она наиболее насыщена и здесь, можно сказать, сформирован рынок. Сегодня многие зарубежные банки привносят свою «моду», корпоративные правила, культуру, методы управления – ценности, которые навязываются нашим предприятиям как стандарты.

Государство же имеет свою определенную политику защиты информации, но не навязывает и не будет навязывать ее компаниям до тех пор, пока это не касается его непосредственно. Если бизнес работает в своей среде, то государство совершенно не волнует, что там происходит, и он сам себе устанавливает правила и системы, что тоже не очень хорошо. Нарушается разумный баланс взаимодействия между национальными и частными интересами.

Тем не менее в настоящее время можно говорить о том, что государство все больше присматривается к ISO 27001 и европейской практике. Первые ласточки – это веяния со стороны НБУ для всей финансовой отрасли.

Стандарты CobiT, ISO 27001, IТIL, другие нормы Нацбанк Украины начинает потихоньку перенимать, использовать их в качестве основы для разрабатываемых и продвигаемых собственных стандартов. Конечно, пройдет не один год, пока они приживутся и интегрируются в отрасль.

Соответственно ряд отечественных негосударственных организаций (в частности, «Инком») берет на себя ответственность за продвижение технологий безопасности, которые постепенно проникают в бизнес-структуры. И это хорошо!

Организационные решения

Тенденции таковы, что сегодня технологические решения уходят на задний план. На первое место выдвигаются все-таки организационные меры. Сейчас корпоративное понимание информационной безопасности начинается с ее понимания руководством. И благо, что так думают сами технические специалисты. Они говорят: «Все наши технологические средства защиты, которые мы можем внедрить или реализовать, на самом деле не покрывают все (по крайней мере большую часть или не направлены на качественное уменьшение рисков)».

Безопасность "ничего особенного"
Конечно, удобно сваливать все проблемы в области информационной безопасности на злых хакеров. Но не обратить ли вначале внимание на наведение элементарного порядка в своем доме?

Что касается технологических решений, ориентированных на обеспечение информационной безопасности, то ситуация в последнее время более или менее стабилизировалась. Уже есть достаточно большое количество вариантов, возникла конкуренция на рынке. То, что предлагается, имеет свои плюсы и минусы, но в целом достаточно хорошо справляется с поставленными задачами. Самый же больной вопрос в нашей стране – это организация обеспечения ИБ на уровне управления, являющегося одной из составляющих общей корпоративной системы управления предприятием. И от этого никуда не деться. Сохранность информации или ее конфиденциальность, достоверность сегодня, по большому счету, – один из критериев существования предприятия. Иначе оно будет просто сметено с рынка.

В результате возникает необходимость разъяснительной политики. Когда мы только начали этим заниматься, первый год был потрачен на поездки по Украине и рассказы о том, что информационная безопасность – это не только «железяка», и не только ПО, которое закрывает вас от спама, или еще что-либо. Мы объясняли, проводя ряд семинаров в городах-миллионниках Украины, в областных центрах, где привлекали в меньшей степени технических специалистов, а в большей – представителей среднего звена, топ-менеджмента, курирующих ИT и т. д. Основная идея заключалась в том, чтобы объяснить, насколько важна сохранность информации в ведении беспрерывной деловой деятельности. И решение этой проблемы – задача не ИT, а бизнеса. И пока молодое поколение менеджеров не будет понимать это на уровне рефлексов, бессмысленно внедрять различные технические средства: информация как уходила, так и будет уходить.

Большинство украинских предприятий небезопасны

Безопасность "ничего особенного"

Aлексей Подорожный,
заместитель директора отделения
«Проектные решения АМИ» по интеграции

Внешние угрозы за последний год не претерпели значительных изменений. Но на наш взгляд, опасность взлома с помощью сканирования портов, поиска уязвимостей в периметре корпоративной сети предприятия стала несколько меньше, чем это было несколько лет назад. Большинство предприятий сейчас уделяют достаточно внимания защите периметра и проектированию базовых ИТ-сервисов в соответствии с современными стандартами безопасности. Это не значит, что проблема защиты периметра стала менее актуальной, просто в последнее время наблюдается тенденция скорее к снижению данного риска из-за более осознанного применения средств защиты. Но идеальным состояние дел все же назвать пока нельзя.

На первые места выходит спам, который нередко содержит вредоносный код, и продолжает оставаться актуальной проблема антивирусной защиты. Также можно выделить угрозы, связанные с работой мобильных пользователей, поскольку число атак, направленных именно на пользователей ноутбуков, КПК и смартфонов, все возрастает. Способы защиты от данных угроз – соответствующие системы антивирусной защиты и антиспамовые решения. При этом термин «антивирус» в понимании заказчика становится скорее именем нарицательным и включает в себя комплексную защиту от вирусов, программ-шпионов, фишинга, спама, персональный брандмауэр для рабочей станции или ноутбука.

Кроме того, для снижения издержек на администрирование и эффективное управление защитой, на применение политик безопасности у антивирусного продукта должен быть развитой центр управления антивирусной защитой. Например, мы традиционно предлагаем антивирусные решения на базе технологий Symantec, McAfee, «Лаборатории Касперского». В сегменте малого бизнеса также популярны продукты компании eSet. Рост объема продаж этих продуктов в 2007 г. составил 50%. В связи с увеличением сложности антивирусных систем стали востребованнее консалтинговые услуги по данной тематике. При этом систему антивирусной защиты следует рассматривать не обособленно, а только как часть общей, более масштабной, системы защиты информации и строить в строгом соответствии с принятой единой политикой информационной безопасности на предприятии.

Инсайдерские угрозы понимаются в основном как несанкционированный доступ к информации сотрудниками предприятий. Это также угрозы, связанные с низкой квалификацией пользователей информационных систем. Например, кто-то отправил электронной почтой по ошибке не тот документ, предоставил избыточную информацию, записал на листочке пароль к системе и т.д. Источником внутренних угроз во многих случаях может быть слабая регламентация использования ИT: самостоятельная установка программных средств на служебные компьютеры и ноутбуки, настройка ПО и т.д. Отсутствие категорирования информации и низкая лояльность пользователя к предприятию также являются очень серьезными внутренними угрозами. Способы защиты от них – организационные и технические. Это – четкая регламентация действий пользователя, ясное понимание своих служебных обязанностей и ответственности; разграничение прав доступа к информационным ресурсам, определение ролей и постоянный мониторинг действий каждого сотрудника в соответствии с политикой информационной безопасности.

Вообще, защите подлежит вся информация, которую владелец бизнес-процесса считает критичной для успешного ведения бизнеса. То есть для того чтобы знать, что именно нужно защитить, следует хорошо представлять и понимать бизнес-процесс, где используется та или иная информация, и определить ее важность. Соответственно, для этого крайне необходимо тесное сотрудничество экспертов по информационной безопасности и руководителей структурных подразделений, ведущих специалистов предприятия. Вместе с тем при выборе средств должно соблюдаться традиционное правило – стоимость системы защиты не может превышать цены защищаемой информации.

И все же большинство украинских предприятий, по нашему мнению, на сегодняшний день не готово строить сложную и высокоэффективную систему управления информационной безопасностью. Во многом это объясняется двумя основными причинами.

  1. ИT-инфрастурктура ряда крупных предприятий требует основательной модернизации и стандартизации. Чтобы эффективно защищать электронную информацию, нужно построить современные сервисы по ее хранению, обработке и передаче. Иначе отдельные, даже самые мощные, средства защиты и организационных мер могут оказаться малоэффективными или неприменимыми и, в общем-то, бесполезными. Но вслед за построением ИT-инфраструктуры (а часто – и вместе с ней) неизбежно происходит создание элементов и основ будущей серьезной системы управления информационной безопасностью. Так что данная причина в обозримом будущем сойдет на нет. Об этом красноречиво говорит рост объемов продаж серверов, сетевого оборудования, инфраструктурного ПО и компьютеров в корпоративном сегменте.
  2. Нередко предприятие не готово к применению стандартов информационной безопасности, поскольку используемые им основные бизнес-процессы недостаточно регламентированы, а порой и очень несовершенны. Поэтому чаще оказываются востребованными только услуги по созданию или внедрению отдельных средств: например, антивирусной системы защиты, построения отказоустойчивого ИТ-сервиса и т.п. А под организационными мероприятиями при этом понимается только написание инструкций пользователей и администраторов. Однако есть и предприятия, более подготовленные к внедрению сложных систем защиты и управления информационной безопасностью. Чаще всего это организации, уже внедрившие стандарты менеджмента качества серии ISO 9000 и прошедшие сертификацию в международных центрах.

Если говорить о том, каково соотношение консалтинговых и технических составляющих при работе с заказчиком и как оно изменяется в последние несколько лет, то данный вопрос можно рассматривать с нескольких сторон. В одном случае консалтинговые услуги по информационной безопасности предоставляются в чистом виде, а после этого может последовать дальнейшая работа с клиентом. В другом – заказчик надеется выполнить изменение процессов и внедрение систем защиты самостоятельно.

В целом, рынок консалтинговых услуг в области информационной безопасности в Украине только формируется, что хорошо видно по отношению к нему клиентов. Есть, например, вполне компетентные потенциальные исполнители, но им еще предстоит наработать устойчивую положительную репутацию в данной области. А среди заказчиков все еще очень не многие готовы довериться сторонним консультантами, а часть просто не верит, что кто-либо из поставщиков может им предложить качественные консалтинговые сервисы в сфере информационной безопасности. Поэтому «чистый» консалтинг чаще всего в Украине представлен в виде обучения специалистов для крупных предприятий (такие услуги доступны, например, в Учебном центре «Сетевая академия „АМИ"»). Конечно, у нас есть и отдельные консалтинговые проекты, но по ним соотношение объема консультационных услуг и внедрения систем защиты или модернизации сервисов вряд ли будет показательно.

В настоящее время в нашей практике услуги специалиста по информационной безопасности востребованы преимущественно при проектировании и реализации инфраструктурных решений. Он может сам участвовать в процессе постановки задач, выдвигает требования к созданию сервисов и систем, выполняет анализ проекта с точки зрения своей специальности и дает рекомендации ИT-архитектору и профильным специалистам. Например, объем работ, связанных с информационной безопасностью, на этапах принятия концептуального решения и проектирования базовой инфраструктуры составляет (в человеко-часах) в среднем около 30%.

Диалог: бизнес и безопасность

Проблема наших ИТ-руководителей и специалистов в области информационных технологий и ИБ заключается в неумении разговаривать с бизнесом. Как это обычно выглядит? Приходит технический специалист и говорит генеральному директору: мне надо 100 тыс. долл. Он, естественно, спрашивает: зачем? И тут начинается: TCP, UDP, брандмауэры... Директор при этом слышит только то, что надо тратить кучу денег непонятно на что.

Не нужно говорить с руководством на «ассемблере» – это бесполезно и смешно. Нужно искать точки соприкосновения – поднимать уровень ИТ-специалистов до понимания бизнеса, а бизнеса, в свою очередь, – до понимания ИТ: объяснять значимость проблем, сопоставляя затраты с вероятностью утери той или иной информации, с тем, что это может повлечь за собой. Показывать, что будет, допустим, если анализ тех же маркетинговых исследований попадет к нашим конкурентам, как они могут ими воспользоваться, и что сделали бы мы, окажись на их месте.

Все это дает возможность сблизить ИТ и бизнес, поднять организационные меры на такой уровень, чтобы их одинаково хорошо понимали обе стороны. Однако, к сожалению, в подавляющем большинстве случаев ИТ-департамент – все еще бюджетное подразделение, вечная затратная статья любого предприятия, который и воспринимается только так.

Выходом из данной ситуации может стать процессный подход в управлении. Он позволяет формализовать всю деятельность компании, в том числе и обеспечение (управление) ИБ, оценить вклад ИТ в бизнес и проанализировать, что повлечет простой того или иного узла сети или ИТ-инфраструктуры, к каким потерям это приведет.

На самом деле считать все это не слишком сложно – существует масса методик и подходов. Другое дело, что не все они годятся для того или иного предприятия. Важно, чтобы эти методики адаптировались под его нужды, учитывали специфику отрасли и были сфокусированы на стратегические цели.

Чего хотят «топы»?

Безопасность "ничего особенного"
Финансовые убытки, потеря клиентов и ухудшение репутации – можно «гордиться» тем, что у нас пока все в точности, как в ведущих западных странах. Однако со вступлением Украины в ВТО на первые места, возможно, выйдут снижение конкурентоспособности и потеря партнеров

Разделим управление ИТ на предприятии на три уровня: операционный, тактический и стратегический. К первому относятся технические специалисты, профессионалы в своей области. Второй уровень – это менеджеры, курирующие ИТ. Третий уровень – руководители предприятий, которые выделяют средства, или те, кто располагает этими средствами (непосредственные владельцы).

Давайте посмотрим, что на сегодняшний день беспокоит руководителей стратегического уровня. В Украине компании активно выходят на биржевые площадки, ищут инвестиции. Слияние и поглощение предприятий стало обыденностью. В связи с этими процессами возникает множество требований со стороны партнеров, материнских компаний, инвесторов, международных регулирующих органов (SOX, BASEL), отраслевых объединений (PCI DSS).

Поэтому важно выполнять требования compliance – соответствия международным практикам, внутренним стандартам. Предприятия интересует получение необходимого для этого положительного заключения внешних аудиторов. При этом им не важно, как оно будет реализовано в технологическом отношении. То же самое касается внедрения стандартов качества и безопасности ISO.

Сейчас идет изучение того, что следует делать будущим публичным компаниям. У всех есть доступ абсолютно ко всей информации, все видели, что, где и как используется. Теперь необходимо переварить это все, проанализировать. И с учетом прихода новых менеджеров, новых веяний в бизнесе меняется все – и стандарты управления, и стандарты подхода к ИТ.

Сегодня уже не спрашивают, а нужно ли это вообще и будет ли оно в Украине? Все прекрасно понимают, что «это» не за горами, хотите вы того или не хотите. И не стоит вопрос, согласен ли ваш топ-мендежер с этим или нет: правда в том, что к этому все идет.

С выходом на отечественный рынок европейских компаний приобретают актуальность ряд стандартов и требований к управлению, к людям, их квалификации. В последнее время все очень живо стали интересоваться метриками и измерениями в области ИТ и информационной безопасности, поднимать принципы управления и процессные подходы.

На рынке идет активное поглощение знаний. Если раньше не выделялись деньги даже на обучение, то теперь люди стараются учиться, сколько бы это ни стоило. Каждый понимает: повышая квалификацию, он тем самым поднимает и свою стоимость на рынке. И вопросами, связанными с информационной безопасностью мы, в частности, тоже очень озабочены.

Дело даже уже не в том, что не существует тех или иных отечественных стандартов, сейчас все прекрасно знают, какие стандарты нужно использовать и как. Основная проблема – нехватка персонала, способного все это реализовать. Еще один момент – необходимо научиться управлять изменениями, которых многие боятся, и тем не менее начинают потихоньку к ним готовиться, ведь они неизбежны.

Всего год назад приходилось доказывать, что нужны такие документы, как стратегия и концепция обеспечения информационной безопасности и управления ИТ, метрики измеряемости ИТ и т. д. Сейчас этот вопрос уже не возникает.

Регионы

Здесь довольно легко принимается то, что следствием подобных подходов к обеспечению информационной безопасности является сокращение простоев бизнеса и рисков, связанных с финансовыми потерями. Такие вещи понимаются достаточно хорошо. Также понимается, что все же нужно соответствовать неким стандартам.

Зато порой нет понимания того, что все вещи, которые они выстраивают – это не только тактический уровень, закрывающий ближайшие краткосрочные и среднесрочные перспективы, но основы долгосрочной стратегии. А ведь лет через пять–семь клиент станет настолько избалованным, что будет среди одинаковых компаний выбирать ту, которая проявит наибольшую обеспокоенность его проблемами и сохранностью его личной информации. Пока же есть сомнение, что их потенциальный клиент будет рассматривать и эти вопросы тоже. Не осознается зачастую, что зарубежные партнеры очень серьезное внимание уделяют вопросам, связанным с информационной безопасностью – насколько их (и передаваемая им) информация хорошо защищена, кому они ее передают, кто имеет к ней доступ. Вообще, проблемы информационной безопасности нужно анализировать не только в рамках своего предприятия, но и учитывая работу с контрагентами, поставщиками и пользователями.

С чего начать

Безопасность "ничего особенного"
Ответ на необходимость мер по безопасности в Украине сегодня один: «Денег нет!». Поэтому нет и нужного персонала. Секрет раскрывается очень просто: уровень угроз, реально существующий в Украине, пока не настолько мешает вести бизнес, чтобы владельцы предприятий озаботились инвестициями в безопасность

Рекомендуется начинать не с выбора технических решений. Более того, эксперт чаще всего знает заранее, какие технологии будут использованы.

Прежде всего необходимо определить цели, угрозы развитию бизнеса, привязать информационную безопасность к бизнес-целям компании. Это предполагает использование риск-ориентированных подходов. Нужно понимать, что в данном случае риск возникновения и реализации той или иной угрозы сокращается до такого-то уровня, такого-то порога.

Первое – начинать нужно с пропагандирования и обучения менеджмента. Как только мы добиваемся понимания руководства в этих вопросах – получаем поддержку всего проекта. Более того, приверженность руководства – один из самых стимулирующих факторов в продвижении на корпоративном уровне. Если люди видят, что руководство придерживается этих правил, что правила написаны ими же и распространяются прежде всего на них, то они и сами будут поступать так же.

И второе – это не разовая акция (купили, поставили и забыли), а система мероприятий. Можно провести аналогию с ISO 9001 – это процесс, который должен все время совершенствоваться. Купленное за большие деньги решение бесполезно, если нет четкого понимания и постоянного анализа – для чего, под какие задачи, каким образом оно сейчас функционирует, и что мы от него хотим добиться? Это мертвая система, лишь мешающая развитию предприятия, она существует непонятно зачем и в результате оказывается ненужной. Такое, с позволения сказать, «средство защиты» будет обходиться самыми разными способами.

А вот если смотреть на общем системном уровне и делать процесс улучшений непрерывным, выделять процессы обеспечения безопасности в самостоятельную группу – это даст невероятный эффект.

Да, на начальном этапе создавать это тяжело, но как только будут выстроены хотя бы базовые процессы, они быстро «обрастут» необходимыми правилами, постоянно улучшая самих себя. В этом-то и суть системы, что она является саморазвивающейся – «живой».

Необходимы стандарты

Безопасность "ничего особенного"

Сергей Бондаренко,
старший менеджер, консалтинг, Deloitte

Вопрос информационной безопасности всегда стоял на повестке дня в бизнес-структурах. С развитием технологий его актуальность только возрастает. Ведь чем проще создавать, редактировать и пересылать данные, тем легче их украсть, перехватить или использовать не по назначению. За конкретными примерами не нужно далеко ходить. В результате внутреннего расследования недавнего происшествия с недобросовестным брокером французского банка Societe Generale недостаточный уровень информационной безопасности был назван основной причиной произошедшего. Как смог рядовой сотрудник совершить ряд транзакций, которые привели к миллиардным убыткам, еще предстоит разобраться, но некоторые выводы можно сделать уже сейчас.

Зачастую компании не готовы инвестировать значительные средства в обеспечение информационной безопасности. Ведь подобные вложения не дают очевидной мгновенной отдачи, а являются своего рода страховкой. Так что законодательное регулирование в этой области является необходимым элементом. К сожалению, в Украине в данной сфере образовался значительный пробел, и наши законы далеки от лучших мировых образцов. Их формирование происходило под сильным влиянием спецслужб, что наложило свой отпечаток. В частности, особое внимание было уделено вопросам сохранности государственной тайны в ущерб потребностям бизнеса. Помимо всего, понятия информационной безопасности в регуляторных документах отождествляются с конфиденциальностью, в то время как вопросы обеспечения целостности и доступности упущены. В результате акцент сделан на технических средствах, при этом нет должного внимания к организации управления информационной безопасностью. Также никак не используется уже зарекомендовавший себя с положительной стороны подход, основанный на рисках.

Многие страны СНГ продвинулись в решении этих задач значительно дальше. В России существует индустриальный банковский стандарт, построенный на основе ISO 17799 и CobiT. Белоруссия еще четыре года назад приняла национальный стандарт, который базируется на все тех же положениях ISO. В 2003 г. в Молдове официально был введен в действие соответствующий отраслевой стандарт. Некоторые положительные сдвиги наблюдаются и в Украине. В данный момент функционирует рабочая группа по адаптации серии стандартов ISO 27xxx. Немного запоздалая реакция, и еще не известно, каков будет конечный результат, но все же – это определенный шаг к созданию комплексного законодательства в области информационной безопасности.

«Ничего особенного»:

Так в конце концов будут относиться к системе безопасности. Сверхзадача консультантов – сделать управление безопасностью обыденной.

За рубежом эти услуги уже сегодня не вызывают ни у кого вопросов – понятно, что это необходимо и что для этого нужно привлечь квалифицированных специалистов-консультантов. У нас же до сих пор говорят: «А давайте мы пока это сами попробуем». Точно так же, как начинались в свое время ERP-внедрения, попытки использования ISO 9001, IТIL. Сегодня, к счастью, становится похоже, что уже «навнедрялись».

Вообще, все, что связано с постановкой систем управления, неважно по каким стандартам, превращается у нас в обыденную вещь. Рано или поздно, но управление безопасностью (как и лицензионное ПО, инженерные службы, устанавливающие и настраивающие серверы) также станет обыденностью. Наконец все приходят к выводу, что на это не следует тратить собственное время, а нужно покупать соответствующие услуги – ведь в итого это дешевле обойдется. Скупой платит дважды.

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT