Обзор подготовлен
Дмитрий Соболев:
Менеджмент ИБ оптимизирует процессы обеспечения безопасности организации
Российский рынок информационной безопасности (ИБ) динамично развивается, перенимая лучшие международные наработки. Одной из них является менеджмент информационной безопасности, в рамках которой обеспечение ИБ рассматривается с процессной, а не технической точки зрения. Это позволяет более грамотно построить защиту ресурсов компании, при этом существенно сократив затраты. О преимуществах внедрения менеджмента информационной безопасности, возможности передачи части задач на аутсорсинг и новых направлениях развития технологий рассказывает Дмитрий Соболев, директор департамента информационной безопасности «Энвижн Груп».
CNews: То, что менеджмент ИБ стал одной из лучших мировых практик, не вызывает сомнений. Что, на ваш взгляд, послужило для этого основной причиной?
Дмитрий Соболев: Главная причина заключается в том, что к моменту, когда процессный подход к информационной безопасности стал доминирующим, на рынке уже были реализованы подобные практики в других областях – например, в управлении качеством по стандарту ISO 9000. Появилось понимание, что решать вопросы обеспечения информационной безопасности необходимо комплексно, основываясь на единой научно-обоснованной методологии. Специалисты осознали, что говорить об информационной безопасности нужно не с точки зрения внедряемых технологий, как это было раньше, а с позиции происходящих процессов и изменений, потому что в современных условиях окружающая среда стремительно меняется, неизбежно оказывая влияние на объект защиты. Постепенно накопились практика и статистика того, как сделать обеспечение безопасности более результативным с помощью анализа объекта защиты и источников угроз, оценки рисков, управления инцидентами и т.д. Из этих составляющих и вырос процессный подход.
Объективно говоря, ничего нового придумано не было. Еще на заре XX века Анри Файоль определил пять основных функций менеджмента, которые нашли свое отражение в цикле улучшения Деминга-Шухарта (Plan-Do-Check-Act, Планирование-выполнение-оценка-действие). Наша Родина тоже не отставала - давайте вспомним научную организацию труда. Многие аспекты создания, эксплуатации и утилизации сложных инженерных и автоматизированных систем нашли свое отражение в соответствующих требованиях советских ГОСТов. Сейчас эти знания и опыт представлены публике в более систематизированном виде с учетом специфики новой области применения, а именно информационной безопасности.
CNews: В каких стандартах менеджмент ИБ нашел свое воплощение?
Дмитрий Соболев: Родоначальником стандартов менеджмента является BS7799. На его основе появилось семейство стандартов в области менеджмента информационной безопасности ISO/IEC 27ххх. Указанные стандарты развиваются очень динамично: уже имеются документы, в которых описаны не только требования к обеспечению ИБ, основанные на лучших практиках, но и рекомендации к внедрению системы менеджмента ИБ, требования к оценке результативности, к анализу рисков и так далее. Даже появились стандарты, отражающие специфику тех или иных отраслей экономики – например, ISO/IEC 27011:2008 специально разработан для операторов связи.
Свое отражение требования и основные принципы менеджмента информационной безопасности нашли в стандарте ISO/IEC 20000. Но стоит помнить, что ISO не является монополистом по вопросам стандартизации менеджмента ИБ, существует еще Консорциум ISM3, который поддерживает стандарт Information Security Management Maturity Model.
На данный момент в России происходит процесс перевода стандартов ISO в области менеджмента ИБ и внедрения на их базе аналогичных российских ГОСТов. Появляются отраслевые стандарты, которые в своей основе также базируются на менеджменте информационной безопасности (например, Стандарт Банка РФ по обеспечению ИБ организаций банковской системы России, СТО БР ИББС-1.0 – 2010).
CNews: Есть ли синергия от одновременного соответствия нескольким стандартам?
Дмитрий Соболев: Конечно, синергия существует. Многие стандарты взаимодействуют между собой. Если мы говорим об ISO/IEC 2000Х, то он отсылает нас к ISO/IEC 27001, в котором изложены методы обеспечения информационной безопасности. И, наоборот, внедряя ISO/IEC 27001, мы, так или иначе, должны обращаться к сервис-ориентированной модели оказания услуг в области информационных технологий.
Например, один из процессов ISO/IEC 27001 – это управление активами. То есть мы в любой момент времени должны знать, что представляет собой объект защиты, какая информация содержится в информационной системе, как информационная система устроена, из чего она состоит, где находятся ее элементы, кто ими управляет. Эти сведения можно получить только тогда, когда существует нормально функционирующая сервисная модель ИТ.
Другой пример: в ISO/IEC 27001 и в ISO/IEC 2000Х существуют требования по обеспечению непрерывности бизнеса, которые, в свою очередь, подробно описаны в других стандартах. Таким образом, внедряя базовый стандарт и «нанизывая» на него другие, можно избавить себя от необходимости повторять работу несколько раз. Это очень удобно, экономит время и делает систему более результативной.
CNews: Как учитывается отраслевая специфика в менеджменте ИБ? Не идет ли Россия здесь своим собственным путем?
Дмитрий Соболев: В мире предпринимаются попытки учета отраслевой специфики в менеджменте ИБ. Например, в ISO/IEC 27001 добавили некоторые рекомендации Международного союза связи, и получился стандарт ISO/IEC 27011:2008. В России можно привести пример упомянутый выше стандарт Банка России СТО БР ИББС, который основан на требованиях ISO/IEC 270ХХ, Cobit и других методик.
С моей точки зрения, менеджмент информационной безопасности универсален и одинаково справедлив для телекома, ритейла, нефтегазового комплекса и т.п. Другое дело, что требования к уровню защиты информации могут отличаться от отрасли к отрасли. Это общая тенденция, и Россия здесь не идет своим путем.
CNews: Откуда берутся списки актуальных рисков, и какова роль инсайдеров в этих списках?
Дмитрий Соболев: Списки актуальных угроз и уязвимостей появляются на основе анализа инцидентов, специализированных исследований. Государственные регуляторы в области ИБ в России предлагают собственные методики формирования моделей угроз и нарушителя, содержащие перечень уязвимостей. При этом каждой компании\организации необходимо создавать подобные списки для себя, так как актуальность (если к их анализу подходить объективно) той или иной угрозы и уязвимости специфичны для конкретной организации.
По мнению многих экспертов отрасли, 80% угроз связано с внутренним нарушителем, и только 20% - с внешним. Надо понимать, что инсайдер - это не сотрудник компании, просто нарушивший какую-то политику, а человек, который выполняя свои обязанности, имел определенные права доступа к информации, легально с ней ознакомился, а потом ее разгласил. Эта угроза очень актуальна. Разработаны различные средства и методы противодействия ей: системы предотвращения утечки информации ограниченного доступа, системы защиты контента, системы управления правами доступа к документам.
Но, несмотря на наличие таких средств, обеспечить защиту от инсайдеров очень сложно. На мой взгляд, важнее всего - повышение общего культурного уровня населения: люди должны понимать, что воровать плохо. На сегодняшний день большинство граждан считает, что если они покажут документ с ограниченным доступом кому-то еще, то не сделают этим ничего плохого. Еще не сформировалось понимание того, что это преступление, за которое за рубежом приговаривают к реальным длительным срокам.
Борьба с инсайдерами должна носить комплексный характер. Работодатель должен выстраивать нормальные отношения с работниками, повышать их лояльность. Желательно проводить проверку благонадежности сотрудников, которых принимают на работу (и делать это надо не только при приеме, но и в процессе работы).
CNews: В какой степени руководитель ИБ-подразделения должен быть менеджером?
Дмитрий Соболев: По моему мнению, человек, который управляет информационной безопасностью, в первую очередь, должен быть хорошим менеджером. Существует мнение, что из хорошего сетевого инженера на порядок легче сделать специалиста в области информационной безопасности, чем наоборот.
В отношении руководителя ИБ-подразделения ситуация схожая. Из хорошего специалиста в области информационной безопасности достаточно сложно вырастить хорошего менеджера, потому что хороший «безопасник» - это фанатик своего дела с немного своеобразным мышлением. А вот научить хорошего менеджера разбираться в особенностях информационной безопасности на порядок проще, потому что ему не слишком необходимы глубокие знания в этой области.
Я считаю, что на руководящие посты, связанные с управлением ИБ, необходимо брать толковых хороших менеджеров, и постепенно погружать их в те аспекты, которые действительно важны для компании. Ведь с точки зрения процессного подхода очень важно умение управлять задачами и людьми, а это менеджерское искусство.
CNews: Насколько, на ваш взгляд, непоколебимы устои менеджмента ИБ? Как он адаптирован к появлению новых угроз и восприимчив к техническим новинкам?
Дмитрий Соболев: Основываясь на своем и коллег опыте, считаю, что в ближайшей перспективе никакие потрясения менеджменту ИБ не грозят. Это проверенная временем методология, которая прекрасно адаптируется к изменяющейся ситуации. В основе современных процессов обеспечения ИБ лежит риско-ориентированная модель, которую менеджмент ИБ учитывает. Прежде чем реализовать какой-то процесс, внедрить новую или модернизировать действующую информационную систему осуществляется анализ рисков. Кроме этого грамотный менеджер по ИБ следит за новыми угрозами и при их появлении их анализирует и учитывает.
Аналогичный подход применяется и в отношении технических новинок. Используя процессный подход, специалисты по ИБ анализируют условия эксплуатации и делают вывод о том, насколько то или иное устройство соответствует требованиям ИБ. Менеджмент информационной безопасности всегда готов к тому, что все вокруг меняется.
CNews: До какой степени можно отдать ИБ на аутсорсинг? Может ли это облегчить жизнь ИБ-директора?
Дмитрий Соболев: Как представитель компании-интегратора я говорю – да, информационную безопасность можно отдавать на аутсорсинг. Если проектирование систем обеспечения информационной безопасности и их внедрение отдается на аутсорсинг, то почему бы не пойти дальше? До какой степени целесообразно это делать очень сильно зависит от сферы деятельности организации, от уровня зрелости процессов обеспечения ИБ. Например, до прихода в «Энвижн Груп» я работал в одной из компаний-операторов связи и старался все делать собственными силами. Цель была проста - мы стремились накопить компетенцию, необходимую для оказания услуг ИБ нашим клиентам. Тем не менее, возвращаясь мысленно назад, я бы с удовольствием передал сторонней организации такой трудоемкий процесс как анализ рисков. Кроме того, на рынке существуют ограничения регуляторов. Например, банки не могут отдать на аутсорсинг все, что связано с безопасностью дистанционного банковского обслуживания и обеспечения безопасности своих внутренних бизнес-процессов.
В настоящее время, мне кажется, оправданным является передача на аутсорсинг эксплуатации центров обеспечения информационной безопасности (Security Operational Center - SOC). Таким образом можно сэкономить на затратах на дежурную смену и получить в свое распоряжение более профессиональных специалистов. Кроме того, пользоваться услугами сторонних компаний выгодно и в области аудита ИБ – ведь эта работа достаточно сложная с точки зрения воспитания кадров и наращивания компетенций. На следующем этапе развития информационной безопасности, когда ИБ будут оценивать, в том числе с точки зрения финансовой эффективности, аутсорсинг ИБ получит свое широкое признание и распространение. Мы к этому готовимся.
CNews: Как можно вписать «облачные» вычисления в ИТ-ландшафт при сохранении необходимого уровня ИБ? Что говорят об этом мировые практики?
Дмитрий Соболев: С точки зрения процессного подхода ничего сверхъестественного в «облаках» нет. Прежде чем обратиться к этой теме, компании необходимо проанализировать те риски, которые могут возникнуть. На сегодняшний день многие это уже сделали.
Я думаю, что «облака» – это всего лишь форма предоставления сервиса, в основе которого лежат технологии виртуализации. И именно здесь надо искать риски, связанные с информационной безопасностью. Основные угрозы в виртуальной среде связаны с возможным наличием максимальных прав у определенных сотрудников, благодаря чему они могут получить доступ к любой виртуальной машине. По сути, любая виртуальная машина вместе с данными представляет собой файл, который легко можно скопировать и похитить. Но уже созданы продукты, позволяющие защитить виртуальные инфраструктуры, и их следует использовать. Во многих странах разрабатываются нормативные требования к безопасности «облачных» сервисов и виртуальных инфраструктур. У меня складывается ощущение, что мы разговариваем об этой проблеме больше, чем она требует. Надо просто спокойно работать, разрабатывать требования к ИБ и их выполнять.
CNews: На ваш взгляд, станет ли офис будущего полностью мобильным? Какие проблемы могут возникнуть в этой связи у служб ИБ?
Дмитрий Соболев: Думаю, что мобильный офис – мечта многих специалистов, в особенности живущих в Москве и теряющих огромное количество времени в пробках. Уже сейчас существует огромное число телекоммуникационных сервисов, которые дают возможность удаленно присутствовать на любом совещании, посетить веб-семинар, организовать коллективную работу над проектом. Современные технологии позволяют работать мобильным пользователям более результативно. Вопрос только в том, когда наши работодатели наконец это осознают и сделают такую форму работы «легальной».
Что касается обеспечения безопасности мобильных пользователей, то здесь тоже нет неразрешимых проблем. Многие вендоры предлагают готовые решения для мобильных пользователей - начиная от специальных устройств, которые устанавливаются на компьютер и позволяют ограничить возможность утечки информации, и заканчивая средствами, обеспечивающими защищенное взаимодействие с офисом компании. Также существуют средства, которые позволяют реализовать виртуальное рабочее место на чужом компьютере.
Каждая компания должна для себя решить, удобно ли будет ее сотрудникам работать в таком режиме. Как это скажется на качестве их работы, на их лояльности? Позволят ли имеющиеся на рынке ИБ решения отразить угрозы, которые возникнут при таком подходе к организации труда? Мы готовы помочь в решении последнего вопроса, но бизнес должен сам найти ответы на первые два.
CNews: Как вы оцениваете состояние российского рынка ИБ на настоящий момент? Каковы его перспективы на ближайшие годы?
Дмитрий Соболев: Данные о состоянии рынка ИБ обнародуются многими исследовательскими компаниями и позволяют утверждать, что этот рынок существует и достаточно активно развивается. На мой взгляд, он сильно сегментирован, и на нем очень сильна конкуренция.
Думаю, имеет смысл особо выделить сегмент, который пока в нашей стране недостаточно развит – это консалтинг в области ИБ. Это направление было несколько скомпрометировано крупными консалтинговыми компаниями. Известен анекдот, когда приезжает консультант, долго разворачивает технику, исследует стадо баранов, потом сворачивает свою технику, забирает одного барана в качестве оплаты за услугу и сообщает чабану о том, что у него 115 овец и 3 ягненка. Тот отвечает: «Я и без вас это знал».
Такой анекдот появился не на пустом месте. Люди не понимают, за что они платят деньги. Но, с моей точки зрения, на рынке информационной безопасности консалтинг должен быть востребован, и мы очень активно его продвигаем. Ведь ИБ - это та область, где важно предотвратить инцидент. А для этого лучше потратить деньги на консалтинг, чем вкладываться в инфраструктуру, которая, возможно, будет не совсем правильной. Очень приятно, что многие компании уже задумываются об этом.
Второй сегмент рынка ИБ - это системная интеграция, то есть работы по реализации системы защиты информации. Третий - это поставка конкретных технических решений. Сейчас к рынку информационной безопасности относят еще и вопросы, связанные с физической безопасностью, например, на транспорте, промышленных объектах и т.п.
CNews: Как вы оцениваете роль государства на рынке ИБ?
Дмитрий Соболев: Государство является одним из крупнейших заказчиков на рынке информационной безопасности с одной стороны и его регулятором с другой. При этом рынку явно не хватает обратной связи с представителями власти - государство не всегда прислушивается к тому, что говорят специалисты, работающие на рынке, и это тормозит его развитие. К счастью, ситуация постепенно меняется, и представители регулятора начинают понимать, что советоваться необходимо.
CNews: Какие решения предлагает ваша компания?
Предлагая внедрение процессного подхода к обеспечению информационной безопасности, мы творчески пересмотрели подход к реализации услуги внедрения системы менеджмента ИБ, разделив ее на процессы. Благодаря этому мы предлагаем нашим клиентам внедрять каждый процесс по отдельности, в зависимости от его потребностей. Для каждого процесса предусмотрено собственное техническое решение, позволяющее его автоматизировать. Таким образом, мы готовы говорить с клиентами не о внедрении большой и сложной системы, а об автоматизации наиболее важных для них участков ИБ. Такой подход отражает потребности наших клиентов и позволит поднять интерес к консалтинговым услугам.
Сегодня «Энвижн Груп» является компанией, которая может понять потребности и проблемы заказчика, выбрать те системы и методологии, которые наилучшим образом подходят для решения задач ИБ и реализовать их.
Помимо консалтинга, мы готовы работать на рынке защиты виртуальных инфраструктур. К настоящему времени построено огромное количество ЦОДов, производители телекоммуникационного и серверного оборудование активно развивают системы виртуализации систем хранения и вычислительных ресурсов. А мы будем их защищать. У нас есть готовые технические решения, которые мы рады предложить заказчикам.
Еще одна очень интересная тема, которую уже продвигаем, - это аутсорсинг Центров управления информационной безопасностью (Security Operation Center). Мы хотим, внедряя системы корреляции событий наших заказчиков, обогатив их системами аудита защищенности, контроля изменениями, на базе нашего сервис-деска управлять этим процессом. Все, что необходимо для этого, будет находиться на стороне заказчика. А то, что нужно для мониторинга этих процессов, - у нас. Круглосуточная служба технической поддержки будет отслеживать события и предоставлять заказчику отчеты, прогнозы, статистику, результаты обработки инцидентов и ту аналитическую информацию, которая необходима менеджеру ИБ, чтобы выстраивать диалог с бизнесом внутри своей компании.
Кроме того, мы продолжаем заниматься решениями, связанными с контентной фильтрацией корпоративного трафика, разработкой и внедрением услуг для информационной безопасности операторов связи.
Наш идеальный заказчик – это компания, где информационной безопасностью занимается менеджер, а не инженер. Это люди, которые оптимизируют затраты своей компании за счет того, что выстраивают правильные отношения с бизнесом. Они готовы отдавать те или иные аспекты информационной безопасности на аутсорсинг. Они современны и понимают, как правильно организовать менеджмент ИБ в компании. Мы делаем все возможное, чтобы таких заказчиков появлялось все большие и больше. Мы пытаемся донести до рынка: коллеги, хватит заниматься покупкой многочисленных продуктов, давайте займемся внедрением процессов в области обеспечения информационной безопасности.
CNews: Спасибо.
