Безопасность: "ничего особенного"
7 апрель, 2008 - 11:31Роман ФисунПроблемы информационной безопасности, существующие в Украине, принципиально те же, что и в других наиболее информатизированных регионах мира. Вот только преодолевать их наши компании начали с устранения симптомов техническими средствами, обращая мало внимания на причины, которые ликвидируются прежде всего организационными методами.
Безопасность сравнима со здоровьем:
пока она есть, мы о ней не задумываемся.
Из жизненного опыта
Стандарты
Начать, видимо, следует с того, что в Украине понимание информационной безопасности (ИБ) очень сильно отличается от европейских канонов. Чем это вызвано? Наверное, в основном советским прошлым. Тогда все, что называлось ИБ, тем или иным способом связывалось с определенными организациями. Понятие конфиденциальности было присуще только информации, которая принадлежит государству. Мы унаследовали ряд стереотипов по отношению к этому понятию. В результате у нас на сегодняшний день законодательная и правовая база в области ИБ сформирована недостаточно хорошо, и законы, нормативные и регламентирующие документы не соответствуют международной практике. Но все же наблюдается тенденция, когда мы потихоньку начинаем адаптировать наработки и приобретенный в течение многих лет опыт европейских стран, в том числе стандарты – будь то ISO или любые другие, например американской правовой системы, но, тем не менее, у нас это идет довольно медленно.
Сегодня основными стандартами в области информационной безопасности, на которые ориентируются бизнес-структуры, являются ISO 27001, 27006, 27002/17799. Это лучшие мировые практики, основанные на британской нормативной базе. Украинский же стандарт бизнес полностью игнорирует, потому что нормативно-правовая база в области ИБ сегодня не соответствует общепринятым мировым канонам и морально устарела. На момент разработки она была актуальной, сейчас – нет. В настоящее время в вопросах информационной безопасности предпочтение отдается все-таки ISO. Тут есть еще ряд факторов: приближающееся вступление в ВТО, все большее проникновение европейских канонов в Украину (стандарты, директивы и т. д.), выход отечественных предприятий на международные рынки, глобальное партнерство и зарубежные клиенты.
Сделать нужно немало
 |
Виталий Береза,
руководитель отдела ИT-безопасности
компании «БМС Консалтинг»
По мнению наших экспертов, самой актуальной угрозой для бизнеса в 2007 г. была (и, скорее всего, останется, по крайней мере, в ближайшие три года) утечка конфиденциальной информации. При этом главные факторы риска в 80% случаев находятся внутри самой компании, т. е., выражаясь простым языком, обезопасить себя нужно прежде всего от нерадивых и нелояльных сотрудников. Озабоченность этой проблемой усиливается все возрастающей необходимостью соблюдать украинские, международные и отраслевые стандарты. Например, банки должны соответствовать PCI DSS (Payment Card Industry Data Security Standard), который в числе прочего выдвигает жесткие требования к защите данных владельцев платежных карт. Если же закон о защите персональной информации (рассматриваемый депутатами уже не первый год) будет принят Верховной Радой, то актуальность защиты от утечек в Украине, и прежде всего в государственном секторе, существенно возрастет, более того, потребуется обеспечить качественно новый уровень безопасности.
Отметим, что лидеры практически всех сегментов рынка с каждым годом вынуждены увеличивать свои бюджеты по данной статье расходов. Это связано как с появлением новых угроз, так и с тем фактом, что ранее вопросы защиты информации редко относились к числу приоритетных и, соответственно, финансировались по остаточному принципу. Сегодня же приходится в срочном порядке наверстывать упущенное. Многие компании уже вышли на уровень консолидации систем безопасности и оптимизации их работы. То есть все базовые системы (антивирусы, межсетевые экраны, системы предотвращения вторжений и т.д.) используются уже давно, но из-за несистемного подхода, применявшегося при организации защиты, они зачастую либо малоэффективны, либо слабоуправляемы. В этом случае становится важным внедрение и использование систем централизованного управления и мониторинга средств обеспечения информационной безопасности, которые согласно своему назначению позволяют сравнительно небольшой команде высококвалифицированных администраторов управлять порой тысячами устройств защиты от разных производителей и видеть актуальную картину состояния по всей компании в режиме реального времени.
Также следует заметить, что украинские фирмы постепенно приходят к пониманию того, что использование эффективных средств защиты должно подкрепляться соответствующей нормативной базой. Сюда можно отнести как концептуальные документы, например стратегию развития информационной безопасности на несколько лет вперед, так и более «приземленные» документы, в частности, корпоративные политики безопасности и инструкции пользователей. Разработка такого пакета документации сама по себе уже является достаточно трудоемкой задачей, а кроме того, она требует реального видения общей картины состояния информационной безопасности у клиента. Именно поэтому проекты, начинающиеся с аудита в данной области, целесообразнее поручать внешним консультантам.
В последние два года прослеживается четкая тенденция к увеличению консалтинговой составляющей в сложных и комплексных проектах у крупных заказчиков. Выбор подходящего продукта, разработка методов его интеграции с существующими системами и сопроводительной документации, обучение специалистов клиента и последующая поддержка внедренного решения – все это сегодня весьма востребовано и, судя по нашему опыту, можно совершенно уверенно сказать, что на всех стадиях подобных проектов роль квалифицированного консультанта является решающей для их успешного завершения.
Государство и бизнес
 |
| Несложный, пусть и очень приблизительный расчет. Оборот некой среднекрупной украинской компании составляет 100 млн долл. 5% его уходит на ИT (5 млн долл.). 7% идет на безопасность. Получается 350 тыс. долл. А в масштабах страны? Есть, есть за что бороться и производителям аппаратно-программных защитных решений, и консалтинговым подразделениям |
Важный фактор – экспансия западных компаний в Украину. В данном случае можно привести пример банковской отрасли, так как она наиболее насыщена и здесь, можно сказать, сформирован рынок. Сегодня многие зарубежные банки привносят свою «моду», корпоративные правила, культуру, методы управления – ценности, которые навязываются нашим предприятиям как стандарты.
Государство же имеет свою определенную политику защиты информации, но не навязывает и не будет навязывать ее компаниям до тех пор, пока это не касается его непосредственно. Если бизнес работает в своей среде, то государство совершенно не волнует, что там происходит, и он сам себе устанавливает правила и системы, что тоже не очень хорошо. Нарушается разумный баланс взаимодействия между национальными и частными интересами.
Тем не менее в настоящее время можно говорить о том, что государство все больше присматривается к ISO 27001 и европейской практике. Первые ласточки – это веяния со стороны НБУ для всей финансовой отрасли.
Стандарты CobiT, ISO 27001, IТIL, другие нормы Нацбанк Украины начинает потихоньку перенимать, использовать их в качестве основы для разрабатываемых и продвигаемых собственных стандартов. Конечно, пройдет не один год, пока они приживутся и интегрируются в отрасль.
Соответственно ряд отечественных негосударственных организаций (в частности, «Инком») берет на себя ответственность за продвижение технологий безопасности, которые постепенно проникают в бизнес-структуры. И это хорошо!
Организационные решения
Тенденции таковы, что сегодня технологические решения уходят на задний план. На первое место выдвигаются все-таки организационные меры. Сейчас корпоративное понимание информационной безопасности начинается с ее понимания руководством. И благо, что так думают сами технические специалисты. Они говорят: «Все наши технологические средства защиты, которые мы можем внедрить или реализовать, на самом деле не покрывают все (по крайней мере большую часть или не направлены на качественное уменьшение рисков)».
 |
| Конечно, удобно сваливать все проблемы в области информационной безопасности на злых хакеров. Но не обратить ли вначале внимание на наведение элементарного порядка в своем доме? |
Что касается технологических решений, ориентированных на обеспечение информационной безопасности, то ситуация в последнее время более или менее стабилизировалась. Уже есть достаточно большое количество вариантов, возникла конкуренция на рынке. То, что предлагается, имеет свои плюсы и минусы, но в целом достаточно хорошо справляется с поставленными задачами. Самый же больной вопрос в нашей стране – это организация обеспечения ИБ на уровне управления, являющегося одной из составляющих общей корпоративной системы управления предприятием. И от этого никуда не деться. Сохранность информации или ее конфиденциальность, достоверность сегодня, по большому счету, – один из критериев существования предприятия. Иначе оно будет просто сметено с рынка.
В результате возникает необходимость разъяснительной политики. Когда мы только начали этим заниматься, первый год был потрачен на поездки по Украине и рассказы о том, что информационная безопасность – это не только «железяка», и не только ПО, которое закрывает вас от спама, или еще что-либо. Мы объясняли, проводя ряд семинаров в городах-миллионниках Украины, в областных центрах, где привлекали в меньшей степени технических специалистов, а в большей – представителей среднего звена, топ-менеджмента, курирующих ИT и т. д. Основная идея заключалась в том, чтобы объяснить, насколько важна сохранность информации в ведении беспрерывной деловой деятельности. И решение этой проблемы – задача не ИT, а бизнеса. И пока молодое поколение менеджеров не будет понимать это на уровне рефлексов, бессмысленно внедрять различные технические средства: информация как уходила, так и будет уходить.
Большинство украинских предприятий небезопасны
 |
Aлексей Подорожный,
заместитель директора отделения
«Проектные решения АМИ» по интеграции
Внешние угрозы за последний год не претерпели значительных изменений. Но на наш взгляд, опасность взлома с помощью сканирования портов, поиска уязвимостей в периметре корпоративной сети предприятия стала несколько меньше, чем это было несколько лет назад. Большинство предприятий сейчас уделяют достаточно внимания защите периметра и проектированию базовых ИТ-сервисов в соответствии с современными стандартами безопасности. Это не значит, что проблема защиты периметра стала менее актуальной, просто в последнее время наблюдается тенденция скорее к снижению данного риска из-за более осознанного применения средств защиты. Но идеальным состояние дел все же назвать пока нельзя.
На первые места выходит спам, который нередко содержит вредоносный код, и продолжает оставаться актуальной проблема антивирусной защиты. Также можно выделить угрозы, связанные с работой мобильных пользователей, поскольку число атак, направленных именно на пользователей ноутбуков, КПК и смартфонов, все возрастает. Способы защиты от данных угроз – соответствующие системы антивирусной защиты и антиспамовые решения. При этом термин «антивирус» в понимании заказчика становится скорее именем нарицательным и включает в себя комплексную защиту от вирусов, программ-шпионов, фишинга, спама, персональный брандмауэр для рабочей станции или ноутбука.
Кроме того, для снижения издержек на администрирование и эффективное управление защитой, на применение политик безопасности у антивирусного продукта должен быть развитой центр управления антивирусной защитой. Например, мы традиционно предлагаем антивирусные решения на базе технологий Symantec, McAfee, «Лаборатории Касперского». В сегменте малого бизнеса также популярны продукты компании eSet. Рост объема продаж этих продуктов в 2007 г. составил 50%. В связи с увеличением сложности антивирусных систем стали востребованнее консалтинговые услуги по данной тематике. При этом систему антивирусной защиты следует рассматривать не обособленно, а только как часть общей, более масштабной, системы защиты информации и строить в строгом соответствии с принятой единой политикой информационной безопасности на предприятии.
Инсайдерские угрозы понимаются в основном как несанкционированный доступ к информации сотрудниками предприятий. Это также угрозы, связанные с низкой квалификацией пользователей информационных систем. Например, кто-то отправил электронной почтой по ошибке не тот документ, предоставил избыточную информацию, записал на листочке пароль к системе и т.д. Источником внутренних угроз во многих случаях может быть слабая регламентация использования ИT: самостоятельная установка программных средств на служебные компьютеры и ноутбуки, настройка ПО и т.д. Отсутствие категорирования информации и низкая лояльность пользователя к предприятию также являются очень серьезными внутренними угрозами. Способы защиты от них – организационные и технические. Это – четкая регламентация действий пользователя, ясное понимание своих служебных обязанностей и ответственности; разграничение прав доступа к информационным ресурсам, определение ролей и постоянный мониторинг действий каждого сотрудника в соответствии с политикой информационной безопасности.
Вообще, защите подлежит вся информация, которую владелец бизнес-процесса считает критичной для успешного ведения бизнеса. То есть для того чтобы знать, что именно нужно защитить, следует хорошо представлять и понимать бизнес-процесс, где используется та или иная информация, и определить ее важность. Соответственно, для этого крайне необходимо тесное сотрудничество экспертов по информационной безопасности и руководителей структурных подразделений, ведущих специалистов предприятия. Вместе с тем при выборе средств должно соблюдаться традиционное правило – стоимость системы защиты не может превышать цены защищаемой информации.
И все же большинство украинских предприятий, по нашему мнению, на сегодняшний день не готово строить сложную и высокоэффективную систему управления информационной безопасностью. Во многом это объясняется двумя основными причинами.
- ИT-инфрастурктура ряда крупных предприятий требует основательной модернизации и стандартизации. Чтобы эффективно защищать электронную информацию, нужно построить современные сервисы по ее хранению, обработке и передаче. Иначе отдельные, даже самые мощные, средства защиты и организационных мер могут оказаться малоэффективными или неприменимыми и, в общем-то, бесполезными. Но вслед за построением ИT-инфраструктуры (а часто – и вместе с ней) неизбежно происходит создание элементов и основ будущей серьезной системы управления информационной безопасностью. Так что данная причина в обозримом будущем сойдет на нет. Об этом красноречиво говорит рост объемов продаж серверов, сетевого оборудования, инфраструктурного ПО и компьютеров в корпоративном сегменте.
- Нередко предприятие не готово к применению стандартов информационной безопасности, поскольку используемые им основные бизнес-процессы недостаточно регламентированы, а порой и очень несовершенны. Поэтому чаще оказываются востребованными только услуги по созданию или внедрению отдельных средств: например, антивирусной системы защиты, построения отказоустойчивого ИТ-сервиса и т.п. А под организационными мероприятиями при этом понимается только написание инструкций пользователей и администраторов. Однако есть и предприятия, более подготовленные к внедрению сложных систем защиты и управления информационной безопасностью. Чаще всего это организации, уже внедрившие стандарты менеджмента качества серии ISO 9000 и прошедшие сертификацию в международных центрах.
Если говорить о том, каково соотношение консалтинговых и технических составляющих при работе с заказчиком и как оно изменяется в последние несколько лет, то данный вопрос можно рассматривать с нескольких сторон. В одном случае консалтинговые услуги по информационной безопасности предоставляются в чистом виде, а после этого может последовать дальнейшая работа с клиентом. В другом – заказчик надеется выполнить изменение процессов и внедрение систем защиты самостоятельно.
В целом, рынок консалтинговых услуг в области информационной безопасности в Украине только формируется, что хорошо видно по отношению к нему клиентов. Есть, например, вполне компетентные потенциальные исполнители, но им еще предстоит наработать устойчивую положительную репутацию в данной области. А среди заказчиков все еще очень не многие готовы довериться сторонним консультантами, а часть просто не верит, что кто-либо из поставщиков может им предложить качественные консалтинговые сервисы в сфере информационной безопасности. Поэтому «чистый» консалтинг чаще всего в Украине представлен в виде обучения специалистов для крупных предприятий (такие услуги доступны, например, в Учебном центре «Сетевая академия „АМИ"»). Конечно, у нас есть и отдельные консалтинговые проекты, но по ним соотношение объема консультационных услуг и внедрения систем защиты или модернизации сервисов вряд ли будет показательно.
В настоящее время в нашей практике услуги специалиста по информационной безопасности востребованы преимущественно при проектировании и реализации инфраструктурных решений. Он может сам участвовать в процессе постановки задач, выдвигает требования к созданию сервисов и систем, выполняет анализ проекта с точки зрения своей специальности и дает рекомендации ИT-архитектору и профильным специалистам. Например, объем работ, связанных с информационной безопасностью, на этапах принятия концептуального решения и проектирования базовой инфраструктуры составляет (в человеко-часах) в среднем около 30%.
Диалог: бизнес и безопасность
Проблема наших ИТ-руководителей и специалистов в области информационных технологий и ИБ заключается в неумении разговаривать с бизнесом. Как это обычно выглядит? Приходит технический специалист и говорит генеральному директору: мне надо 100 тыс. долл. Он, естественно, спрашивает: зачем? И тут начинается: TCP, UDP, брандмауэры... Директор при этом слышит только то, что надо тратить кучу денег непонятно на что.
Не нужно говорить с руководством на «ассемблере» – это бесполезно и смешно. Нужно искать точки соприкосновения – поднимать уровень ИТ-специалистов до понимания бизнеса, а бизнеса, в свою очередь, – до понимания ИТ: объяснять значимость проблем, сопоставляя затраты с вероятностью утери той или иной информации, с тем, что это может повлечь за собой. Показывать, что будет, допустим, если анализ тех же маркетинговых исследований попадет к нашим конкурентам, как они могут ими воспользоваться, и что сделали бы мы, окажись на их месте.
Все это дает возможность сблизить ИТ и бизнес, поднять организационные меры на такой уровень, чтобы их одинаково хорошо понимали обе стороны. Однако, к сожалению, в подавляющем большинстве случаев ИТ-департамент – все еще бюджетное подразделение, вечная затратная статья любого предприятия, который и воспринимается только так.
Выходом из данной ситуации может стать процессный подход в управлении. Он позволяет формализовать всю деятельность компании, в том числе и обеспечение (управление) ИБ, оценить вклад ИТ в бизнес и проанализировать, что повлечет простой того или иного узла сети или ИТ-инфраструктуры, к каким потерям это приведет.
На самом деле считать все это не слишком сложно – существует масса методик и подходов. Другое дело, что не все они годятся для того или иного предприятия. Важно, чтобы эти методики адаптировались под его нужды, учитывали специфику отрасли и были сфокусированы на стратегические цели.
Чего хотят «топы»?
 |
| Финансовые убытки, потеря клиентов и ухудшение репутации – можно «гордиться» тем, что у нас пока все в точности, как в ведущих западных странах. Однако со вступлением Украины в ВТО на первые места, возможно, выйдут снижение конкурентоспособности и потеря партнеров |
Разделим управление ИТ на предприятии на три уровня: операционный, тактический и стратегический. К первому относятся технические специалисты, профессионалы в своей области. Второй уровень – это менеджеры, курирующие ИТ. Третий уровень – руководители предприятий, которые выделяют средства, или те, кто располагает этими средствами (непосредственные владельцы).
Давайте посмотрим, что на сегодняшний день беспокоит руководителей стратегического уровня. В Украине компании активно выходят на биржевые площадки, ищут инвестиции. Слияние и поглощение предприятий стало обыденностью. В связи с этими процессами возникает множество требований со стороны партнеров, материнских компаний, инвесторов, международных регулирующих органов (SOX, BASEL), отраслевых объединений (PCI DSS).
Поэтому важно выполнять требования compliance – соответствия международным практикам, внутренним стандартам. Предприятия интересует получение необходимого для этого положительного заключения внешних аудиторов. При этом им не важно, как оно будет реализовано в технологическом отношении. То же самое касается внедрения стандартов качества и безопасности ISO.
Сейчас идет изучение того, что следует делать будущим публичным компаниям. У всех есть доступ абсолютно ко всей информации, все видели, что, где и как используется. Теперь необходимо переварить это все, проанализировать. И с учетом прихода новых менеджеров, новых веяний в бизнесе меняется все – и стандарты управления, и стандарты подхода к ИТ.
Сегодня уже не спрашивают, а нужно ли это вообще и будет ли оно в Украине? Все прекрасно понимают, что «это» не за горами, хотите вы того или не хотите. И не стоит вопрос, согласен ли ваш топ-мендежер с этим или нет: правда в том, что к этому все идет.
С выходом на отечественный рынок европейских компаний приобретают актуальность ряд стандартов и требований к управлению, к людям, их квалификации. В последнее время все очень живо стали интересоваться метриками и измерениями в области ИТ и информационной безопасности, поднимать принципы управления и процессные подходы.
На рынке идет активное поглощение знаний. Если раньше не выделялись деньги даже на обучение, то теперь люди стараются учиться, сколько бы это ни стоило. Каждый понимает: повышая квалификацию, он тем самым поднимает и свою стоимость на рынке. И вопросами, связанными с информационной безопасностью мы, в частности, тоже очень озабочены.
Дело даже уже не в том, что не существует тех или иных отечественных стандартов, сейчас все прекрасно знают, какие стандарты нужно использовать и как. Основная проблема – нехватка персонала, способного все это реализовать. Еще один момент – необходимо научиться управлять изменениями, которых многие боятся, и тем не менее начинают потихоньку к ним готовиться, ведь они неизбежны.
Всего год назад приходилось доказывать, что нужны такие документы, как стратегия и концепция обеспечения информационной безопасности и управления ИТ, метрики измеряемости ИТ и т. д. Сейчас этот вопрос уже не возникает.
Регионы
Здесь довольно легко принимается то, что следствием подобных подходов к обеспечению информационной безопасности является сокращение простоев бизнеса и рисков, связанных с финансовыми потерями. Такие вещи понимаются достаточно хорошо. Также понимается, что все же нужно соответствовать неким стандартам.
Зато порой нет понимания того, что все вещи, которые они выстраивают – это не только тактический уровень, закрывающий ближайшие краткосрочные и среднесрочные перспективы, но основы долгосрочной стратегии. А ведь лет через пять–семь клиент станет настолько избалованным, что будет среди одинаковых компаний выбирать ту, которая проявит наибольшую обеспокоенность его проблемами и сохранностью его личной информации. Пока же есть сомнение, что их потенциальный клиент будет рассматривать и эти вопросы тоже. Не осознается зачастую, что зарубежные партнеры очень серьезное внимание уделяют вопросам, связанным с информационной безопасностью – насколько их (и передаваемая им) информация хорошо защищена, кому они ее передают, кто имеет к ней доступ. Вообще, проблемы информационной безопасности нужно анализировать не только в рамках своего предприятия, но и учитывая работу с контрагентами, поставщиками и пользователями.
С чего начать
 |
| Ответ на необходимость мер по безопасности в Украине сегодня один: «Денег нет!». Поэтому нет и нужного персонала. Секрет раскрывается очень просто: уровень угроз, реально существующий в Украине, пока не настолько мешает вести бизнес, чтобы владельцы предприятий озаботились инвестициями в безопасность |
Рекомендуется начинать не с выбора технических решений. Более того, эксперт чаще всего знает заранее, какие технологии будут использованы.
Прежде всего необходимо определить цели, угрозы развитию бизнеса, привязать информационную безопасность к бизнес-целям компании. Это предполагает использование риск-ориентированных подходов. Нужно понимать, что в данном случае риск возникновения и реализации той или иной угрозы сокращается до такого-то уровня, такого-то порога.
Первое – начинать нужно с пропагандирования и обучения менеджмента. Как только мы добиваемся понимания руководства в этих вопросах – получаем поддержку всего проекта. Более того, приверженность руководства – один из самых стимулирующих факторов в продвижении на корпоративном уровне. Если люди видят, что руководство придерживается этих правил, что правила написаны ими же и распространяются прежде всего на них, то они и сами будут поступать так же.
И второе – это не разовая акция (купили, поставили и забыли), а система мероприятий. Можно провести аналогию с ISO 9001 – это процесс, который должен все время совершенствоваться. Купленное за большие деньги решение бесполезно, если нет четкого понимания и постоянного анализа – для чего, под какие задачи, каким образом оно сейчас функционирует, и что мы от него хотим добиться? Это мертвая система, лишь мешающая развитию предприятия, она существует непонятно зачем и в результате оказывается ненужной. Такое, с позволения сказать, «средство защиты» будет обходиться самыми разными способами.
А вот если смотреть на общем системном уровне и делать процесс улучшений непрерывным, выделять процессы обеспечения безопасности в самостоятельную группу – это даст невероятный эффект.
Да, на начальном этапе создавать это тяжело, но как только будут выстроены хотя бы базовые процессы, они быстро «обрастут» необходимыми правилами, постоянно улучшая самих себя. В этом-то и суть системы, что она является саморазвивающейся – «живой».
Необходимы стандарты
 |
Сергей Бондаренко,
старший менеджер, консалтинг, Deloitte
Вопрос информационной безопасности всегда стоял на повестке дня в бизнес-структурах. С развитием технологий его актуальность только возрастает. Ведь чем проще создавать, редактировать и пересылать данные, тем легче их украсть, перехватить или использовать не по назначению. За конкретными примерами не нужно далеко ходить. В результате внутреннего расследования недавнего происшествия с недобросовестным брокером французского банка Societe Generale недостаточный уровень информационной безопасности был назван основной причиной произошедшего. Как смог рядовой сотрудник совершить ряд транзакций, которые привели к миллиардным убыткам, еще предстоит разобраться, но некоторые выводы можно сделать уже сейчас.
Зачастую компании не готовы инвестировать значительные средства в обеспечение информационной безопасности. Ведь подобные вложения не дают очевидной мгновенной отдачи, а являются своего рода страховкой. Так что законодательное регулирование в этой области является необходимым элементом. К сожалению, в Украине в данной сфере образовался значительный пробел, и наши законы далеки от лучших мировых образцов. Их формирование происходило под сильным влиянием спецслужб, что наложило свой отпечаток. В частности, особое внимание было уделено вопросам сохранности государственной тайны в ущерб потребностям бизнеса. Помимо всего, понятия информационной безопасности в регуляторных документах отождествляются с конфиденциальностью, в то время как вопросы обеспечения целостности и доступности упущены. В результате акцент сделан на технических средствах, при этом нет должного внимания к организации управления информационной безопасностью. Также никак не используется уже зарекомендовавший себя с положительной стороны подход, основанный на рисках.
Многие страны СНГ продвинулись в решении этих задач значительно дальше. В России существует индустриальный банковский стандарт, построенный на основе ISO 17799 и CobiT. Белоруссия еще четыре года назад приняла национальный стандарт, который базируется на все тех же положениях ISO. В 2003 г. в Молдове официально был введен в действие соответствующий отраслевой стандарт. Некоторые положительные сдвиги наблюдаются и в Украине. В данный момент функционирует рабочая группа по адаптации серии стандартов ISO 27xxx. Немного запоздалая реакция, и еще не известно, каков будет конечный результат, но все же – это определенный шаг к созданию комплексного законодательства в области информационной безопасности.
«Ничего особенного»:
Так в конце концов будут относиться к системе безопасности. Сверхзадача консультантов – сделать управление безопасностью обыденной.
За рубежом эти услуги уже сегодня не вызывают ни у кого вопросов – понятно, что это необходимо и что для этого нужно привлечь квалифицированных специалистов-консультантов. У нас же до сих пор говорят: «А давайте мы пока это сами попробуем». Точно так же, как начинались в свое время ERP-внедрения, попытки использования ISO 9001, IТIL. Сегодня, к счастью, становится похоже, что уже «навнедрялись».
Вообще, все, что связано с постановкой систем управления, неважно по каким стандартам, превращается у нас в обыденную вещь. Рано или поздно, но управление безопасностью (как и лицензионное ПО, инженерные службы, устанавливающие и настраивающие серверы) также станет обыденностью. Наконец все приходят к выводу, что на это не следует тратить собственное время, а нужно покупать соответствующие услуги – ведь в итого это дешевле обойдется. Скупой платит дважды.