Комплексный подход к системам информационной безопасности способен в значительной мере снизить ИТ-риски для многих компаний. Оценкой этих рисков и их влиянием на бизнес-процессы до недавнего времени занимались преимущественно аудиторские компании, большинство из которых не предоставляло заказчику рекомендаций по внедрению конкретных организационных или технических средств. В ближайшее время ситуация в этом сегменте может значительно измениться.


Дмитрий Зарахович
Дмитрий Зарахович

Об этом PCWeek/UE рассказал Дмитрий Зарахович, директор компании “Антивирусная Лаборатория “ЦЕБИТ” (торговая марка InfoSafe), корпорация “АТЛАС”, получившей недавно статус BSI Certified Partner от компании BSI, которая является разработчиком международного стандарта по системам управления информационной безопасностью (ISO/IEC 27001:2005) и одним из крупнейших мировых аудиторов ИТ-безопасности.

PCWeek/UE: Что послужило причиной создания направления аудита систем информационной безопасности в вашей компании?

Дмитрий Зарахович: Таких причин несколько. В первую очередь — это неудовлетворённый спрос на такие услуги, который присутствует на украинском рынке. В основном InfoSafe работает с корпоративным сегментом, характерными тенденциями которого в последнее время стали подготовка к выходу на IPO либо к продаже, а также процессы реструктуризации бизнеса в связи с ростом компаний и пересмотром бизнес-стратегий развития. Такие компании в рамках вышеуказанных процессов обычно инвентаризируют свои активы и приходят к пониманию того, что одним из наиболее ценных и в тоже время наиболее рисковым активом является информация, хранимая и обрабатываемая в ИТ-системах, обслуживающих и автоматизирующих бизнес-задачи и процессы. Существующие информационные риски представляют собой угрозы по отношению к конфиденциальности, целостности и доступности информации. Также существует ряд компаний, руководство которых, к сожалению, пока не осознало опасности, связанной с информационными рисками и их влиянием на бизнес.

Наша компания специализируется именно на обеспечении информационной безопасности и защите бизнеса от возможных влияний информационных рисков. Её деятельность начиналась с антивирусной защиты, а сейчас охватывает три направления: защита от внешних (вирусы, хакеры, спам и некорректное использование интернета) и внутренних угроз (утечка информации, несанкционированное использование ресурсов), а также аудит, консалтинг и построение безопасных инфраструктурных решений. Например, для управления ИТ-сервисами, в том числе и ИТ-безопасностью при помощи Microsoft Active Directory, Cicso NAC или других решений.

Часто встречаются ситуации, в которых внедрение того или иного защитного механизма не ограничивается одной лишь установкой программного или технического обеспечения, а требует целого комплекса решения инфраструктурных задач. Так, например, прежде чем приступить к созданию антивирусной защиты корпоративной вычислительной среды крупной компании необходимо поднять систему защиты базовой инфраструктуры на определённый уровень. Надо разработать и внедрить политики безопасности, правильно настроить работающие инфраструктурные решения, систему обновления приложений Microsoft и пр. Установка антивирусного решения в “дырявой” сети желаемых результатов не принесёт. Поэтому, компаниям, руководство которых осознаёт значение защиты информации мы предлагаем проведение некоторого блиц-аудита, результатом которого является набор рекомендаций, реализация которых необходима для приведения ИТ-инфраструктуры в норму. А уже потом можно внедрять различные надстройки: антивирусные технологии, контент-фильтрацию, защиту от утечек информации и пр. Если не защитить фундамент сети, все остальные уровни эффективно работать не будут.

PCWeek/UE: Почему вы решили использовать методику компании BSI?

Д. З.: Наш опыт показывает, что проводить аудит систем информационной безопасности просто необходимо, однако для этого необходимы специальные методики и стандарты. В Украине собственных разработок такого уровня пока нет, как впрочем, и государственных стандартов или нормативных документов. В мировой практике их применяется множество: Common Criteria, COBIT, NIST SP800-26, OECD, OSSTMM, разработки крупных компаний. Одним из наиболее распространённых является ISO 27001, созданный на основе британского стандарта BS7799 (в международной практике ISO/IEC 17799:2002). В 2005 году стандарт ISO/IEC 17799:2002 был существенно переработан и расширен, а 15 октября был принят в качестве международного стандарта ISO/IEC 27001:2005, который разработан для того, чтобы предоставить модель для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования системы управления информационной безопасностью (СУИБ). Принятие СУИБ должно являться стратегическим решением для организации. На проектирование и внедрение СУИБ оказывают влияние бизнес-цели компании, используемые бизнес-процессы, а также структура и размер компании, что, в свою очередь, ведет к конкретным требованиям по обеспечению безопасности бизнеса.

Стандарт построен на базе второй части BS 7799 — спецификациях систем управления ИТ-безопасностью (первая часть этого стандарта содержит “лучшие практики”). Стандарт, на основании которого мы будем работать, является универсальным высокоуровневым стандартом, который содержит общие принципы, меры и рекомендации по управлению безопасностью, но не определяет путей их реализации. Суть подхода к решению этой задачи, применяемого нашей компанией, заключается в том, что мы защищаем бизнес от определённых угроз, то есть коррелируем информационные риски с рисками бизнеса. В качестве партнёра для использования упомянутых методик мы выбрали BSI, которая является разработчиком этого стандарта, и представляет крупнейший международный орган по сертификации. Мы подписали соглашение, в рамках которого мы являемся авторизованным представителем BSI в Украине (в настоящий момент де-факто эксклюзивным) и предоставляет статус BSI Certified Partner, что даёт InfoSafe право готовить компании к сертификации по стандарту ISO/IEC 27001:2005. У нас в штате есть сертифицированные внешние аудиторы, которые включены в реестр аудиторов BSI. Также наша компания авторизована на проведение предсертификационного аудита, разработку и выдачу рекомендаций, при выполнении которых компания-клиент может претендовать на успешное прохождение сертификационного аудита BSI или другой авторизованной компании.

PCWeek/UE: Есть ли у вас конкуренты в Украине?

Д. З.: В нашей стране у нас есть два типа конкурентов, работающих в двух принципиально разных направлениях — на рынке аудиторских услуг и на рынке информационных технологий. У InfoSafe есть одно значительное преимущество: мы вышли в сегмент аудита из отрасли информационных технологий и защиты информации. Мы знаем, какие могут быть уязвимости, риски, как их оценить, и, соответственно, как защищаться. Наши эксперты, которые сейчас переквалифицируются в аудиторов — это технические специалисты с более, чем 10-летним опытом работы в области информационной безопасности. Поэтому мы хорошо понимаем идеологию защиты в разрезе автоматизации бизнеса. Остальные компании шли другим путём. Первая категория — это компании-аудиторы из “большой четвёрки”. Они могут быть как нашими конкурентами, так и партнёрами: в ряде проектов мы участвуем совместно с ними. Из компаний-интеграторов на данный сегмент рынка также обращают своё внимание “Инком”, “БМС Консалтинг”, “S&T Софт-Троник”.

PCWeek/UE: Вы инвестируете в экспертов, в развитие этого направления. Могут ли другие компании, использующие этот открытый стандарт, предложить тот же уровень сервиса за меньшие деньги?

Д. З.: Да, мы готовим рынок, инвестируем в это достаточно серьезные деньги, и конкуренты действительно могут этим воспользоваться. Но кто-то должен быть первым. И это первенство даёт нам некоторое преимущество. При этом у нас есть перевес — понимание сути СУИБ для бизнеса — чтобы занять эту нишу первыми и стать основным игроком в сегменте аудита и консалтинга информационной безопасности. За это время мы постараемся сформировать рынок таких услуг, а клиенты успеют осознать необходимость проведения такого аудита даже без жесткой необходимости получения сертификата. Второй нюанс: для того, чтобы компании занимались этим видом деятельности, им всё равно в будущем придётся инвестировать в обучение аудиторов. За то, что мы занимаемся развитием этого сегмента рынка, полагаются некоторые привилегии. По сути, компании, которые могут являться нашими конкурентами, могут являться и союзниками, поскольку они могут проводить аудит у клиента, привлекая при этом InfoSafe и наших экспертов на партнёрских началах.

PCWeek/UE: Какие отраслевые вертикали будут в первую очередь испытывать потребность в такого рода услугах?

Д. З.: Это компании, которые собираются выходить на IPO, те, которые были приобретены недавно внешними инвесторами или готовятся к продаже, а также компании в стадии пересмотра стратегии бизнес-развития. Если говорить в количественном разрезе, их около пятисот по всей Украине. Это крупный бизнес — холдинговые структуры, финансовые компании (банки, страховые компании), производственные предприятия горно-металлургической, нефтегазовой отраслей, энергетика. То есть участники рынка, риски остановки бизнес-процессов которых могут принести значительный ущерб не только владельцам и акционерам, но и экономике Украины. Также в подобных услугах будут нуждаться клиент-ориентированные компании, например, внедряющие у себя программы лояльности. В этом случае в едином центре собирается вся информация о клиентах, их транзакциях и потребительских настроениях, а её потеря может грозить компании крахом части бизнеса или вообще разорением.

PCWeek/UE: Будут ли такие услуги востребованы в госсекторе?

Д. З.: Да, если стандарт ISO/IEC 27001:2005 будет принят как ГОСТ, и госструктурам будет рекомендовано его придерживаться.

PCWeek/UE: Будет ли компания InfoSafe заниматься устранением обнаруженных в результате аудита систем информационной безопасности угроз?

Д. З.: По сути, аудитор не имеет права одновременно выявлять погрешности и реализовывать собственные рекомендации, т.е. внедрять программно-технические средства для устранения уязвимостей. В такой ситуации может возникнуть необходимость проверять собственную работу или выполнять свои же рекомендации, что по меньшей мере неэтично по отношению к клиенту. Мы планируем предоставлять аудитоские и консалтинговые услуги, результатом которых будут соответствующие рекомендации, либо внедрять соответствующие решения по итогам исследований, проведенных другими компаниями.

PCWeek/UE: Какое количество проектов вы планируете провести до конца текущего года?

Д. З.: В этом году мы планируем выполнить 5–7 проектов. Это реальная цифра как по потребности клиентов (я имею в виду готовность и полное понимание необходимости проведения аудита и консалтинга самими заказчиками из корпоративного сегмента), так и по времени, которое необходимо на проведение этого комплекса работ. В случае проведения совместных проектов с заинтересованными украинскими компаниями-партнерами их количество может увеличиться, так как мы сможем выступать в роли координатора и аналитика, а сбором и подготовкой информации для анализа может заниматься партнер.

PCWeek/UE: Сколько времени длится аудит систем информационной безопасности в типичной компании?

Д. З.: При определении временных рамок выполнения проекта следует учесть несколько важных параметров, указанных ниже.

Границы обследования, определяемые для конкретной бизнес-задачи или бизнес-процессов, а именно: список обследуемых физических, программных и информационных ресурсов; площадки (помещения), попадающие в границы обследования; основные виды угроз безопасности, рассматриваемые при проведении аудита; организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

Типы построения и величину оргструктуры компании, для которой проводится аудит: зависимость от наличия филиалов, территориальных подразделений, и т.п. При этом учитывается необходимость (или ее отсутствие) проведения аудита для каждого слоя оргструктуры: например, головной офис — областной филиал — районное отделение или холдинговая управляющая компания — производственная компания.

Количество пользователей и владельцев информации, которая хранится и обрабатывается в ИТ-системах в рамках обследуемой бизнес-задачи или бизнес-процесов.

И, конечно, одну из основополагающих составляющих успешности проекта с точки зрения сроков выполнения занимает готовность компании в целом, и ее руководства в частности, предоставлять запрашиваемую аудиторами информацию в срок и в необходимом объеме. В среднем проект для достаточно крупной организации длится около 3-х месяцев.

PCWeek/UE: Каким образом в таких проектах участвуют эксперты BSI и сертифицированные специалисты вашей компании?

Д. З.: Экспертов BSI привлекают в основном на этапе сертификации. Мы обладаем авторизацией, знаниями для проведения предсертификационного аудита и консалтинга, кроме того, у нас в штате работают эксперты, прошедшие соответствующую подготовку. Существуют два вида аудита: аналитический и контрольный. Первый тип — предсертификационный аудит (который может и не вести к процессу сертификации), а второй — аудит, проводимый в процессе сертификации компании на соответствие ISO 27001 уполномоченным органом. В рамках выполнения сертификационного аудита проходит несколько стадий, в которых участвуют специалисты BSI, при этом они могут привлекать наших специалистов, особенно в тех случаях, когда мы проводили предсертификационный аудит для этого же клиента.

PCWeek/UE: Сколько времени необходимо для подготовки сертифицированных специалистов?

Д. З.: Сертификация специалистов авторизованного партнера BSI проходит в 2 этапа. Первый этап — прохождение обучения на 3 базовых курсах, для получении основных знаний и подготовки к второму этапу учёбы и экзаменам:

IT 03: Введение в СУИБ и ISO/IEC 27001:2005 — 2 дня
IT 06s: Внедрение СУИБ, соответствующей требованиям ISO/IEC 27001:2005 — 3 дня
IT 08: Внутренний аудит СУИБ на соответствие требованиям ISO/IEC 27001:2005. Подготовка внутренних аудиторов СУИБ — 2 дня

Второй этап — прохождение обучения и процесса сдачи экзамена по курсу внешнего аудитора СУИБ. Этот процесс занимает 5 рабочих дней. При успешной сдаче экзамена специалист получает сертификат Внешнего аудитора и заносится в реестр внешних аудиторов BSI. Это дает специалисту и компании в которой он работает право проведения предсертификационного аудита, и авторизует компанию как BSI Certified Partner.