Рубрикатор |
Статьи | ИКС № 1 2007 |
Антон РАЗУМОВ Илья АСТАХОВ Сергей РЯБКО Евгений АКИМОВ Михаил БАШЛЫКОВ И. КАМОЛОВ М. ЛЕВАШОВ С. РОМАНОВСКИЙ | 01 января 2007 |
«Интегральная» вертикаль
Взгляд на «вертикаль ИБ» любого специалиста в этой области достаточно субъективен. Он зависит не только от сферы его профессиональных интересов или конкретных рынков, с которыми его компания ведет бизнес, но и от «горизонтальной» составляющей – масштаба компании-заказчика, стоимости проекта. Может сложиться впечатление, что у богатых клиентов дела обстоят хорошо. Однако далеко не всегда объем инвестиций свидетельствует о благополучии в области ИБ.
На вопросы "ИКС" отвечают:И. КАМОЛОВ, замдиректора департамента системной интеграции Корпорации ЮНИ
С. РЯБКО, гендиректор «С-Терра СиЭсПи»
М. ЛЕВАШОВ, куратор вопросов защиты информации в службе автоматизированных систем МГТС
С. РОМАНОВСКИЙ, руководитель направления по ИБ «AMT-Груп»
Е. АКИМОВ, менеджер направления ИБ компании «Открытые Технологии»
М. БАШЛЫКОВ, руководитель направления ИБ компании «КРОК»
А. РАЗУМОВ, специалист по ИБ Check Point
И. АСТАХОВ, начальник управления широкополосных и телематических услуг «Комкор»
«ИКС»: Ваш рейтинг зрелости по отраслям?
И. КАМОЛОВ: Наша приоритетная «зона обслуживания» – кредитно-финансовые компании и телекомы, энергетики, нефте и газодобывающие предприятия. В силу своей специфики и значимости для государства, наверное, дальше всех ушли в вопросах ИБ энергетики. В РАО ЕЭС есть собственные отраслевые инструкции и регламенты по ИБ, адаптированные под конкретные нужды, концепция построения СИБ, налицо и прочие признаки зрелости организации в области ИБ.
Все уважающие себя банки имеют концепцию СИБ, чтобы удовлетворять условиям системы страхования. И по объемам финансирования крупные банки, безусловно, впереди. Например, из порядка 500 столичных банков способны выделять значительные средства не более 20–30. У остальных же весь годовой бюджет ИT вместе с безопасностью – $150–200 тыс., смешные деньги по меркам мощной СИБ. Да и 90% наших банкиров не готовы выделять на безопасность столько же, сколько, скажем, на средства производства. Потому методику построения или план-проект внедрения СИБ имеют лишь единицы банков, остальные решают проблемы ИБ «кусочно».
С. РЯБКО: Моего 12-летнего опыта работы и статистики контрактов фирмы маловато для такого ответственного дела, как рейтинг. Рейтинг – результат специального исследования, которое на отечественном рынке никем не проводилось. Подчеркну: мое мнение относится к рынку защиты конфиденциальной информации.
Впереди, безусловно, кредитно-финансовый сектор. За ним – добывающие отрасли (деньги – двигатель прогресса и в ИТ, и в ИБ). В других отраслях ситуацию определяют скорее личные и субъективные факторы. Например, в числе лидеров – электроэнергетика. Я склонен приписать это достижение личной позиции одного из наиболее жадных до информатизации бизнеса руководителей России – А.Б. Чубайса. В металлургии и тяжелой промышленности «плотность» внедрений ИБ существенно ниже.
Еще ярче роль субъективного фактора на транспорте. Например, в РАО «Российские железные дороги» в годы работы там С.Е. Ададурова задачам ИБ всегда уделялось повышенное внимание. За вехами создания СИБ РЖД просматривается целостная управленческая стратегия. А вот о серьезных проектах ИБ в авто- и авиатранспорте слышать не приходилось. Судя по доступной информации, безопасность на авиатранспорте сейчас сконцентрирована на защите от человека с оружием и взрывчаткой. Не стоит ли задуматься о противостоянии и другим атакам?
Поэтому, в силу определяющей роли личности, мне кажется более показательным рейтинг не отраслей, а культуры пользования средствами информатизации и менталитета руководителей.
М. ЛЕВАШОВ: Зрелость отрасли в значительной степени зависит от ИТ-инфраструктуры в целом, осознания акционерами важности проблемы, финансовых возможностей. Средняя зрелость в области ИБ – где-то между II и III уровнями (в терминах CobiT): проработанность процессов управления ИБ, наличие элементов обучения сотрудников, применение дисциплинарных мер к нарушителям, стандартизация отдельных процессов управления ИБ.
Наиболее высокий уровень – у кредитнофинансовых организаций, в том числе по причине наличия серьезного регулятора в лице ЦБ. Выросла роль ИБ и в телекомах – как мобильных, так и фиксированных. Принятые законы («трехглавый» и «О персональных данных») формулируют требования к ИБ и делают легитимными некоторые методы защиты. Сегодня почти у всех операторов есть специалисты или даже подразделения по информбезопасности. Судя по данным различных форумов, рейтинг зрелости по ИБ столь же высок в добывающих отраслях нефтегазового комплекса.
С. РОМАНОВСКИЙ: С 2005 г. российские компании проявляют явный интерес к защите информации, хотя это происходит скорее из желания «сделать не хуже других», а не от осознания проблем ИБ. Передовые позиции по защищенности бизнеса уверенно держат финансово-кредитная сфера, частные коммерческие предприятия и телеком. Хуже обстоят дела у госструктур.
Е. АКИМОВ: Вспоминается шутка Марка Твена о трех видах лжи: есть ложь, хитрая ложь и статистика. На мой взгляд, рейтинговать отрасли по уровню ИБ неправильно. Можно ли однозначно утверждать, кто находится в большей безопасности: рабочий в каске или без нее? Если они оба на стройплощадке – тот, что в каске. А если человек с непокрытой головой загорает на пляже? Так и с безопасностью: если банки и телекомы прилагают массу усилий для защиты информации, это совсем не значит, что на каком-нибудь кирпичном заводике, где даже бухгалтерия ведется на бумаге, уровень ИБ будет ниже. Картина зрелости отрасли в плане безопасности просто отражает зависимость бизнеса от информационных технологий.
М. БАШЛЫКОВ: Явно выделяется кредитно-финансовый сектор, ведь Центробанк обязывает банки при построении СИБ следовать стандартам. Защищенность предприятий других отраслей скорее недостаточная. Лидеров среди отраслей выделить невозможно, есть лишь отдельные передовые компании и предприятия, которые больше инвестируют в защиту сетей. Подход везде субъективный, закономерности не наблюдается.
А. РАЗУМОВ: Впереди, конечно же, кредитно-финансовые учреждения. Несколько отстают от них телекомы. Всеобщая тенденция – рост интереса к решениям по защите веб-приложений и удаленному доступу к корпоративным ресурсам.
«ИКС»: Какова отраслевая специфика ИБ и механизмы ее реализации?
И. КАМОЛОВ: Первым и наиболее сформированным сейчас вертикальным рынком ИБ стали государственные организации: органы власти и управления, структуры, специфика ИБ которых прописана в законах и постановлениях и контролируется специальными органами. Государство как владелец бизнеса непосредственно указывает, что и каким образом строить, за какие деньги, кому и когда отчитываться.
Второй вертикальный рынок, который жестко регулируется государством, – кредитно-финансовые учреждения. За ним следуют сегменты, связанные с предоставлением услуг населению, в которых могут таиться угрозы для жизни или экономики страны: транспортные предприятия, а также предприятия и опасные производства. Для всех перечисленных отраслей существуют госнормы в области ИБ.
Коммерческие предприятия при разработке СИБ руководствуются внутренними мотивами – главным образом эффективностью производства и угрозами бизнесу. Так, конкурентные угрозы заставляют создавать СИБ те компании, которые владеют информацией о большом количестве субъектов и их отношений. Специфика их систем ИБ: с одной стороны, не позволить эту информацию использовать во вред владельцу, с другой – обеспечить ее доступность. Для предприятий, скажем, промышленных или торговых типового набора требований нет: система строится в основном согласно пожеланиями владельцев бизнеса. Исключение – требования, связанные с криптографией.
Есть немало ситуаций, когда госорганизации обязаны применять российскую криптографию. Но она не всегда работает, т.е. конкретные устройства функционируют автономно, не поддаваясь интеграции с себе подобными, да еще и с СЗИ. Я не видел ни одной VPN на базе российской криптографии объемом даже в 200 точек.
Причина в том, что политика государства привела к полному отсутствию на этом рынке конкурентного окружения: существует 5–7 «уполномоченных» разработчиков СКЗИ, давно поделивших сферы деятельности. «Коммерсантов», правда, выручает «трехглавый закон», где сказано, что собственник информации определяет, как, какую и каким способом информацию ему защищать.
В части сертификации СЗИ состояние дел иное. В свое время Гостехкомиссия (сейчас ФСТЭК) создала условия для здоровой конкуренции. И родился достаточно конкурентный и представительный рынок сертифицированных средств ИБ. Конкуренция же обусловила и корректную работоспособность продуктов в любых сетях.
С. РЯБКО: Аспекты ИБ, связанные с деятельностью организации, могут быть специфичны. Во-первых, есть строго «вертикальные» приложения (скажем, система управления активами предприятия горнодобывающего предприятия), встроенные в них механизмы ИБ специфичны. Во-вторых, предприятия вертикальных рынков работают с информацией разных классов конфиденциальности. В этом случае законом предписано применение различных средств защиты. Следовательно, формально вертикальная специфика существует, однако она нефундаментальна. Фундаментальные механизмы ИБ, обеспечивающие конфиденциальность, целостность, аутентификацию, подотчетность, лишены какой-либо специфики. Продукты ИБ, реализующие эти механизмы, могут применяться везде, где их стойкость соответствует требованиям заказчика.
Е. АКИМОВ: Специфика – в обеспечении и управлении ИБ. Она отражает критичность бизнес-процессов. Например, в банковской сфере это бизнес-процессы, связанные с переводом денежных средств, обработкой информации клиентов, поскольку требуют конфиденциальности данных. При создании СУИБ финансовые организации, как правило, применяют рисковую методологию. Схожие подходы используются и в телекомах. Новая тенденция в этих отраслях – внедрение ISO 27001. В топливно-энергетическом комплексекритично нарушение конфиденциальности информации. Поэтому упор делается как на средства криптографии, так и на борьбу с инсайдерами, где организационные меры сочетаются со средствами защиты от утечек. На промышленных предприятиях усиление внимания к ИБ связано с появлением критичных бизнес-приложений (в частности ERP-систем) и усложнением АСУТП.
М. БАШЛЫКОВ: Отраслевые особенности незначительны. Заметна лишь разница в подходе к ИБ государственных и коммерческих организаций: для первых законодательство требует использовать лишь сертифицированные СЗИ, у вторых больше возможностей для маневра – подход к ИБ зависит лишь от воли руководства.
«ИКС»: В каких отношениях ИБ и деньги?
И. КАМОЛОВ: Самое печальное в создании СИБ – разговаривать с потенциальным заказчиком о затратах. Даже его высший менеджмент порой представляет себе информзащиту как некую расходную статью. А ведь именно типичный – «кусочный» и бессистемный – подход увеличивает траты и лишает смысла само понятие информационной безопасности. На самом деле информационная безопасность, которая сберегает ресурсы, – не пассив, а актив компании.
М. ЛЕВАШОВ: СИБ должна строиться на основе анализа рисков, а оценивать их необходимо в деньгах. Определив риск как среднестатистическую величину потери (сумма потери, помноженная на вероятность события, которое к ней привело), можно доходчиво показать руководителю предприятия возможный ущерб, чтобы решение о выделении финансирования на ИБ было обоснованным. Если же специалисты по ИБ не сумеют это показать, денег на ИБ никто не даст.
«ИКС»: Как оцениваете интеграцию ИС и СИБ в отраслях?
И. КАМОЛОВ: Когда средства ИБ не интегрированы в общую ИТ-структуру, «совместная жизнь» невозможна. Другой вопрос – интеграция системы управления ИБ с общим управлением информсистемы или создание общей адаптивной системы управления, которая автоматически подстраивается либо настраивает параметры остальных ИT-систем. Но, как правило, СИБ рождается позже системы автоматизации предприятия. Еще одно «но»: на практике не более 20% компаний внедряют действительно системы, а не набор отдельных средств ИБ. Чаще всего запросы не идут дальше firewall и антивируса (плюс бесплатные утилиты). И возникает локальная проблема, например с веб-сервером, когда скачивается ПО и «пристраивается сбоку», в результате снижается защищенность информсистемы.
С. РЯБКО: Думаю, что СИБ интегрирована с ИС у 100% компаний: вообразите себе систему защиты информации, работающую в полном отрыве от системы обработки информации. Это нонсенс. Вопрос в степени и качестве интеграции. Отмечу, что требования и критерии здесь совсем неочевидны. Предполагаю, что в ряде случаев система ИБ по показателям применения должна быть выделенной и изолированной, т.е. минимальная степень интеграции со смежными системами будет благом, а не бедой. Поэтому целесообразно говорить не о фактической степени интеграции, а об интеграционном потенциале заданной СИБ. А он пропорционален числу стандартов, которые поддерживаются используемыми в компании продуктами.
Оценивая ситуацию с позиции интеграционного потенциала, стоит посетовать на тяжкую участь России. Национальное законодательство требует сертификации СЗИ, что само по себе позитивно. Однако оно дало производителям свободу проталкивать кустарное изделие под лозунгом «Стандарт – не указ, главное – сертификат». Опасность отказа от стандартизации определяется для меня тремя доводами:
Интеллектуальные ресурсы, привлекаемые к созданию кустарного изделия, существенно уступают разработчикам индустриального стандарта, а значит, архитектура безопасности у первого, вероятнее всего, будет проработана хуже.
Стандарт документирован, но я не видел ни одного удовлетворительно документированного кустарного решения. Стандарт открыт, а кустарь предъявляет органам сертификации (и никому на рынке!) в лучшем случае только часть проектной документации. Безопасность решения подкреплена лишь уверенностью самого производителя в совершенстве своего изделия.
Стандартный продукт допускает кросс-отладку с продуктами третьих производителей, а с кем «отлаживается» кустарь?
К счастью, рост уровня стандартизации продуктов ИБ – объективная тенденция российского рынка. И в этом смысле интегрируемость решений также растет.
С. РОМАНОВСКИЙ: На самом деле компаний, где ИС и СИБ интегрированы, совсем немного. Однако развитию данного направления способствует внедрение систем Service Management и мода на использование стандартов серии BS ISO/IEC 20000-1(2).
Е. АКИМОВ: В последние годы процесс интеграции технических средств обеспечения безопасности, обычного ПО и оборудования ИС набирает силу. А развитие методологии обеспечения ИБ помогло понять, что многие аспекты, ранее рассматривавшиеся отдельно от информбезопасности, правильней воспринимать как составные части этой системы, например непрерывность и нормальное функционирование бизнеса. Даже регулярное обновление ПО для бизнеса повышает защищенность системы в целом.
И. АСТАХОВ: Бессмысленно говорить об ИБ вне системного подхода. Для надежной защиты ИС нужен комплекс технических и оргмер. Эффективная СИБ – плод совместных усилий людей из разных подразделений. Мы рассматриваем защиту информации как часть системы непрерывности и общей безопасности бизнеса. Решение этой задачи требует тесного взаимодействия департаментов ИТ и ИБ, служб развития и эксплуатации сети. Будь то создание системы разграничения и управления доступом или системы централизованного управления сети, для достижения эффекта требуется интеграция программных и аппаратных средств.
«ИКС»: Насколько нормативная база отвечает требованиям отраслей?
И. КАМОЛОВ: Есть обязательные и рекомендательные юридические документы. И если рекомендаций вполне хватает, то обязательная база явно недостаточна. По ее части в авангарде – кредитно-финансовый сектор, а вот для телекома это понятие весьма относительное (кроме криптографии и СОРМ). Стандарт Банка России имеет рекомендательный характер. Кстати, рекомендательные документы гораздо действеннее, пример – международные стандарты Basel-II и ISO 17799. Но российские заказчики ждут прямых инструкций, поскольку классические банкиры, окончившие экономические вузы, мало что понимают в ИБ, а стандарт не дает на этот счет прямых указаний. На мой взгляд, развитием стандарта должны стать положения для конкретной ситуации, причем понятные банкирам. И здесь зарыта главная проблема – неосведомленность руководства в области ИТ, в том числе ИБ.
С. РЯБКО: Думаю, что с российскими нормативами ИБ фатальных проблем нет. Бизнес динамично развивается в направлении создания продуктов и услуг ИБ, а это верный признак того, что регулирование не перешло в зарегулированность. Полагаю, что для корпоративного бизнеса недоработки законов, стандартов и нормативов ИБ не являются сдерживающим фактором. Неполноту федерального регулирования здесь компенсирует внутренний норматив и корпоративный стандарт. Проблема – в осмыслении «областей правовой недостаточности», в наличии сил и компетенций для разработки локальных правовых актов уровня предприятия. Также необходима известная политическая воля руководства для проведения этих нормативов в жизнь. Если же всего этого нет, то и идеальное законодательство не поможет – его требования просто не будут исполняться...
М. ЛЕВАШОВ: Если в кредитно-финансовой отрасли есть Центробанк, регулирующий вопросы ИБ, то в других отраслях такового не наблюдается. Телекому нужны свои стандарты по безопасности. И такие работы ведутся как минимум в двух направлениях. В рамках МСЭ разрабатываются рекомендации к базовому уровню безопасности сетей связи (www.rans.ru/arrangements), которые впоследствии вполне могут стать рекомендательными (или обязательными) для российских операторов. Суть второго направления – согласование с Мининформсвязи постановки задачи «стандарт ИБ для телекоммуникаций» и определение финансирования данного проекта.
Е. АКИМОВ: Нормативная база только формируется. Тем не менее законодательно четко определено, что режим защиты информации определяется ее владельцем, а проблемы начинаются, когда она передается в другую компанию. К сожалению, сложно назвать сферу деятельности, где вопросы стандартизации были бы решены. Даже в наиболее зарегулированных госорганах многие документы устарели и, с одной стороны, не обеспечивают должного уровня ИБ, с другой – трудновыполнимы. В передовиках – лишь кредитно-финансовая сфера благодаря Банку России. Главная ценность стандарта ЦБ в том, что «процесс пошел».
И. АСТАХОВ: Вся нормативная база в области ИБ несколько устарела. Достаточно инерционное законодательство не успевает за развитием информационных технологий. И проблема эта не только российская.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!