Изменения в такой обширной области, как информационная безопасность, уже давно не ограничиваются только лишь совершенствованием программных и аппаратных средств защиты. Появляются новые виды угроз, меняются взгляды компаний на подходы к организации безопасности, разработчики предлагают новые концепции и методики.
Александр Колпаков |
PCWeek/UE: Каким образом компания «Инком» структурирует направление ИТ-безопасности?
А. К.: Мы пытаемся смотреть на проблему комплексно, поскольку в вопросах безопасности самое слабое место — целостность всей системы и безопасность самого слабого ее звена. Несколько лет назад Cisco приводила результаты аналитических исследований, согласно которым 95% сетей не имели на то время никакой защиты внутри сети. Вся система безопасности строилась исходя из предполагаемого вторжения извне, а такие простые варианты заражения сети вирусом, как, например, через флэш-накопитель, практически не рассматривались. Практика показывает: именно эти 95% больше всего рискуют потерять свою информацию.
Внутри «Инком» мы структурируем направление безопасности по трем векторам: комплексный ИТ-консалтинг (включая информационную безопасность), сетевая безопасность и комплексы безопасности. Департамент ИТ-консалтинга предоставляет комплексный взгляд на систему: по мере того, как развивается информационная структура и средства обеспечения ее безопасности на конкретном предприятии, можно говорить о степени готовности данного клиента к комплексному подходу. Существует множество предметных областей, которые заказчики часто по ошибке не относят к области информационной безопасности. Разобраться в этой далеко не простой проблеме могут только высококвалифицированные профессионалы. Департамент сетей и телекоммуникаций разрабатывает комплексные решения в области сетевой и телекоммуникационной безопасности. Департамент инженерных систем и комплексов безопасности занимается всеми остальными аспектами обеспечения комплексной безопасности, включая защиту внутренних информационных ресурсов с помощью современных средств криптографии, электронной цифровой подписи, обеспечения контролируемого доступа к информационным ресурсам, специальных аппаратно-программных комплексов, а также техническими средствами обеспечения безопасности, часть из которых в современных решениях имеет непосредственное отношение к информационной безопасности (интеллектуальный видеоконтроль, контроль и управление доступом, гибридные смарт-карты и т. п.)
PCWeek/UE: Изменились ли за последние два года запросы корпоративных пользователей в области ИТ-безопасности?
А. К.: Предприятия стали намного более зрелыми, это выражается в изменении подхода к построению корпоративных сетей. Обеспечение комплексной безопасности на уровне периметра реализуется на уровне современных технических средств. Правильная настройка созданной инфраструктуры безопасности позволяет добиться неплохих результатов. Несомненно, здесь не обойтись без комплексного консалтинга и комплексного подхода к проектированию. В настоящее время это стало распространенной практикой.
Меняется и отношение предприятий к внутренней безопасности: сейчас очевидно, что организация защиты периметра не решает всех вопросов безопасности. Предприятия осознают необходимость защиты внутренних сетей, баз данных, прикладного программного обеспечения, серверных комнат, хотя еще недавно защищенные серверные или ЦОД можно было встретить исключительно в банковских организациях — поскольку это регулируется документами «Нацбанка». Последние, в частности, учитывают возможность не только утечки информации, но и техногенных аварий в электросетях. Если защита серверной системы построена неправильно, то это может стать причиной серьезного сбоя или нарушения функционирования всей системы, что идет вразрез с требованием обеспечения непрерывности бизнеса.
Однако далеко не все предприятия готовы комплексно рассматривать проблему безопасности. Поскольку построение системы безопасности требует немалых инвестиций, большинство компаний предпочитает действовать в этом направлении пошагово.
На многих предприятиях учитываются внутренние вопросы построения защиты на уровне рабочих мест не только в части антивирусной безопасности, но и правильной идентификации пользователей, их вхождения в систему с единым логином, паролем, правильно контролируемым входом к многочисленным внутренним информационным ресурсам. Уже реализованы задачи распределения прав доступа к информационным ресурсам, документирование их использования, невозможность нарушения целостности документа, который продуцируется внутри системы.
PCWeek/UE: Насколько клиенты понимают необходимость такого комплексного подхода?
А. К.: Сложно представить, как заказчик видит проблему. Одни считают, что панацея от всех бед — это видеоконтроль, другие — контроль доступа, третьи — хорошее сетевое оборудование и антивирусы. Конечно, единого универсального средства не существует. Необходим анализ угроз и рисков потерь, которые могут сопровождать реализацию тех или иных сценариев, нужна оценка модели нарушителя — что он может собой представлять и какие процессы могут проходить в системе. Затем, исходя из полученных критериев, следует подобрать наиболее оптимальное решение, которое в точности соответствует потребностям. Продавцы и консультанты «Инком» используют нашу универсальную авторскую методику, когда нужно обосновать эффективность инвестиций в безопасность.
При построении крупной внутренней системы, рассчитанной на несколько лет, можно поэтапно реализовывать некоторые аспекты, которые дадут результат или достигнут окупаемости объекта по обеспечению безопасности по истечении некоторого времени. Однако, как правило, мы стараемся сделать так, чтобы в конце бюджетного года заказчики уже получили ощутимый положительный эффект. Тогда аргументация становится намного более понятной заказчику.
Другой подход состоит в том, что заказчику предоставляется некоторая базовая конфигурация, а дополнительный сервис он получает в зависимости от ситуации и по желанию. Несомненно, это требует взвешенного подхода и участия большого количества консультантов департамента ИТ-консалтинга, который занимается комплексной и частично информационной безопасностью, и департамента телекоммуникаций, который в основном работает над построением сетевой информационной структуры и базовых сетевых сервисов.
Построение системы во многом зависит от человеческого фактора — неумелые действия админстратора могут привести к нарушению ее работоспособности и даже остановке. Низкая квалификация персонала — распространенная проблема промышленных предприятий. Руководство обязано следить за эксплуатацией системы, поддерживать ее в должном состоянии. Можно построить эффективную систему, отвечающую всем требованиям, но неумелая эксплуатация сведет все усилия на ноль. Поэтому клиент должен продумать вопросы организационного обеспечения функционирования будущей системы. Это такой же неотъемлемый элемент информационной безопасности, как и все остальные.
PCWeek/UE: Считается, что угрозу безопасности компании может представлять в том числе неграмотное распределение обязанностей между офицером безопасности и отделом ИТ. Каким, на ваш взгляд, должно быть распределение полномочий?
А. К.: Действительно, распределение полномочий — вопрос важный и не простой. На начальном этапе развития предприятия, функции обеспечения безопасности, как правило, возлагаются на отдел ИТ. Такая ситуация создает множество подводных камней. Нередко нарушаются элементарные правила работы даже с паролями.
Важно правильно организовать структуру: необходимы два отдела — ИТ и ИТ-безопасности. Первыми такое разделение осуществили банки, потом этот опыт подхватили компании из других отраслей.
ИТ-подразделение должно заниматься развитием текущего уровня ИТ и следить за его соответствием стратегии развития бизнеса. Функции информационной безопасности состоят в том, чтобы это развитие проходило безопасно для бизнеса. Поскольку если при внедрении какого-либо нового сервиса произойдут нарушения ИТ-инфраструктуры то бизнес пострадает не менее серьезно, чем ИТ. Мы нередко наблюдаем ситуации, когда отделы ИТ и безопасности у заказчиков находятся на разных полюсах и конфликтуют вплоть до распределения бюджета. Это, несомненно, серьезная проблема, однако для заказчика в этом есть определенное преимущество –конкуренция между ИТ-подразделением и подразделением безопасности позволяет сформировать критичный общий взгляд на ИТ-систему и ее безопасность. Разумеется, в этом противостоянии должен соблюдаться разумный баланс.
В дальнейшем будет развиваться тенденция формирования отдельных подразделений. Успешность созданной структуры в комплексе будет зависеть от того, насколько умелой поддержкой обеспечит их руководитель предприятия и насколько четко будут определены предметные области. Прийти к оптимальной структуре и оптимальному взаимодействию между различными подразделениями можно лишь методом поэтапных корректировок.
PCWeek/UE: Ваша компания как системный интегратор представляет промежуточное звено между вендорами и заказчиками. Как взаимодействуют эти два полюса? Представлены ли в вашем портфеле решений по безопасности конкурирующие предложения, определяемые запросами заказчика? Или наоборот — существуют незаполненные ниши?
А. К.: Поначалу вендоры ориентировались на партнерские сети, которые помогали выявить будущие нужды и требования к решениям. В свою очередь, партнеры, системные интеграторы, работая у клиентов, пытались адаптировать имеющиеся средства — к бизнесу клиента и одновременно транслировали вендорам технические потребности заказчиков. Такое развитие некоторое время позволяло поддерживать баланс, однако происходила задержка относительно выявления потребности у клиентов и реакцией со стороны вендора.
Часто системные интеграторы становятся заложниками решений, предлагаемых вендорами: интегратор предлагает клиенту те продукты, которые есть у производителя для решения данной задачи, а вовсе не те, которые максимально точно соответствуют потребностям заказчика. Поэтому построение решения сводится к анализу вендорного портфеля, подбору стандартных решений, в некоторых случаях к интеграции решений от нескольких вендоров. Только такой подход соответствует потребностям трезво и стратегически мыслящих клиентов.
В последнее время некоторые производители предпринимают попытки выйти напрямую к заказчикам, чтобы понять потребности бизнеса. Эта схема, несомненно, ускоряет процедуру разработки эффективных решений у вендора.
Клиентам тоже нравится работать напрямую с вендорами, однако, когда дело доходит до заключения контракта, появляются системные интеграторы. На практике оказывается, что решения не всегда функционируют так, как это представлял заказчик и как того требует его бизнес. Но клиент не имеет права предъявить претензии системному интегратору, поскольку работал напрямую с вендором и самостоятельно принимал решения относительно приобретения продуктов. Возникает конфликт между клиентом и вендором, и в этой ситуации компания-интегратор, отвечающая за реализацию проекта, не может его выполнить из-за ошибок, которые были допущены клиентом на начальном этапе — отказа от услуг системного интегратора при выработке комплексного решения.
Мы считаем, что в первую очередь клиент должен обращаться к консультантам: они изучат задачи бизнеса, проанализируют соответствие существующей информационной структуры информационной безопасности текущему развитию бизнеса и разработают концепции или рекомендации комплексного развития ИТ. Такой подход в корне отличается от подхода вендоров, главная задача которых — продать как можно больше своего оборудования и ПО. Клиенты гордятся тем, что с ними напрямую работают Cisco или HP, например, однако часто они получают совсем не то, что им нужно. Иногда такие ошибки очень дорого стоят клиентам.
Вендоры объявляют о формировании на рынке групп консультантов, которые и должны заниматься подобного рода задачами. Однако это порождает прямую конкуренцию с партнерской сетью, с системными интеграторами, и уже сейчас составляет проблему рынка. Вендоры сегодня ставят задачу создания инфраструктуры, работающей напрямую с клиентами, которая будет полностью контролировать весь канал поставки — от производства продукции до клиента. Такой подход мешает развитию профессиональной системной интеграции. Не следует забывать, что каждый вендор охватывает лишь определенный сегмент оборудования, в то время как задачи ИТ в бизнесе выходят далеко за пределы решений одного вендора. Иногда с клиентом работает несколько вендоров, но в этом случае ИТ-инфраструктура заказчика формируется фрагментарно.
Поскольку каждый вендор специализируется на определенном направлении (серверное оборудование, телекоммуникации, безопасное хранение информации и др.), комплексность ИТ-инфраструктуры в целом достигается через системного интегратора — только такой подход делает приоритетными потребности заказчика.
Повторюсь: ни один вендор не согласится привлечь для реализации задачи клиента решения другого производителя, своего конкурента. В этом и есть отличие мультивендорной стратегии Инкома от стратегий отдельных вендоров.
PCWeek/UE: Как вы оцениваете ситуацию с аудитом безопасности? Насколько крупный бизнес выполняет требования стандарта стандарту ISO 27000?
А. К.: «Инком» одной из первых комплексно рассмотрела этот вопрос. Поскольку устоявшиеся отечественные методики и стандарты отсутствуют, мы обратились к мировому опыту. К числу наших авторских разработок относится сканирование и эффективная оценка защиты периметра ИТ-системы. Если говорить о зарубежных стандартах то здесь, безусловно любой структурированный, систематизированный подход позволяет получить больше эффекта чем отдельные фрагментарные действия, поскольку лишь комплексный подход может дать ответ на весь комплекс вопросов возникающих у заказчика. Украина не столь уж значительно отстает от Европы в вопросах внедрения современных технологий. Пять лет назад это отставание было гораздо ощутимее, а сегодня практически все передовые технологии, существующие на Западе, доступны и у нас.
Если у заказчика нет четкого понимания самого вопроса, то все начинается с процесса обучения, который может занимать годы. Мы разработали комплексную методику оценки экономической эффективности инвестиций в области информационной безопасности, которая максимально использует зарубежные наработки. Существуют методики и стандарты оценки рисков, угроз и потерь, которые возникают на предприятиях вследствие нарушения безопасности. Это стандартные процедуры, которые производятся с использованием специальных программных продуктов. Таким образом, мировой опыт позволяет получить точку отсчета, чтобы сделать движение вперед ясным и прозрачным.
Использование принятых в Европе и мире стандартов позволяет снизить риски ошибок. Разработкой методик оценки (аудита) в «Инком» занимается департамент ИТ-консалтинга, специалисты которого прошли специальную подготовку. Направление ИТ-консалтинг сегодня активно развивается в Украине. Компании все чаще склоняются к методике внешнего аудита, поскольку внутренние наработки, осуществляемые подразделением ИБ, часто выполнены «сыро» и фрагментарно. Взгляд профессионального консультанта очень ценен для любого клиента. Подчеркну: если аудит выявляет не слишком удачную конфигурацию системы, руководству компании в первую очередь следует обратить внимание на вопросы бюджетирования, стратегию, изменение внутренних правил обеспечения безопасности.
PCWeek/UE: Какие направления в области ИТ-безопасности будут преимущественно развиваться в обозримом будущем?
А. К.: Актуальность решения на рынке определяется двумя факторами — уровнем соответствия нуждам бизнеса и результатирующей эффективностью. Иными словами — важно не только то, что мы делаем, но и то, какую при этом получаем эффективность.
Если судить о накопленном опыте, то благодаря большому количеству инвестированных средств, на передовой внедрения новейших методик и технологий в области ИТ-безопаснсти по-прежнему находится банковская сфера. В то же время, на некоторых других предприятиях отсутствует элементарная инфраструктура и они находятся лишь на стадии ее построения. Для стратегической области обеспечения безопасности есть стандартные решения по построению периметра, построению базового сервиса безопасности, которые предлагает большое количество компаний. Значительно меньше компаний в состоянии серьезно заниматься интеграцией решений в области безопасности. Чаще всего сложность состоит в построении распределенных сетей и обеспечении внутренней информационной безопасности. Очень многие компании будут развиваться в этом направлении в ближайшее время.
В ближайшем будущем подразделения безопасности клиентов будут формулировать требования к ИТ и к ИТ-безопасности с точки зрения комплексной безопасности и обеспечения непрерывности бизнеса. Естественно, именно на этот вопрос в первую очередь должны обращать внимание системные интеграторы.