Особенности национальной безопасности

Попадая на российскую почву, все сущее начинает обретать доселе невиданные формы, называемые «национальными особенностями». Эта судьба не миновала и информационную безопасность. Бизнес по-русски привык к краткосрочным стратегиям и форс-мажорам, приспособился к сюрпризам законодательства. Однако в услових постоянной обороны и контратак наш бизнес упускает из виду важное – информация давно превратилась в ценный актив, который необходимо защищать. О том, как управлять процессами информационной безопасности в современной России, рассказывает Кирилл Керценбаум, менеджер по развитию бизнеса «Лаборатории Касперского».

Актуальна ли сегодня проблема управления ИБ? Как влияют на решение этой проблемы рост ИБ-инфраструктуры и изменение ИТ-ландшафта компаний?

Проблема эффективного управления ИБ была и остается актуальной. Это – характерная особенность области ИБ во всем мире и особенно в России. Область информационной безопасности как наиболее динамично изменяющийся сегмент ИТ требует повышенного внимания бизнеса. При этом у компаний часто не хватает времени и ресурсов на то, чтобы осуществлять процессное управление ИБ, а не решать отдельные задачи обеспечения безопасности бизнеса в данном месте, в конкретное время и при определенных обстоятельствах.

С точки зрения обеспечения ИБ бизнеса Россия имеет отличительные черты, связанные, в первую очередь, с более молодым возрастом ИТ-инфраструктур и c дефицитом ресурсов – как материальных, так и нематериальных. Во многих отечественных компаниях, к сожалению, ИБ по-прежнему зачастую финансируется по остаточному принципу и все еще воспринимается как чисто сервисная функция, не имеющая отношения к бизнесу. Объясняется это несколькими причинами, например более коротким, по сравнению с западными странами, сроком существования современных ИТ-систем и процессов, более техническим подходом к ИБ. Кроме того, оказывает влияние недостаточно развитая система образования и подготовки кадров в области управления и менеджмента ИБ. Наконец, у нас все еще отстает государственное и отраслевое регулирование областей ИТ и ИБ (хотя разработка новых документов сейчас идет довольно быстрыми темпами), которое обычно и вынуждает компании переходить на процессное управление ИТ.

Кто должен быть инициатором и менеджером процессов управления рисками ИБ на предприятии? Как правильно выстроить эти процессы?

Инициатором процесса, конечно же, должен быть бизнес. Именно в его интересах – лоббировать процессный подход, и не только к информационной безопасности. Только полностью управляемый и контролируемый процесс обеспечивает наибольшую эффективность использования ресурсов. А управлять данным процессом должна служба ИБ, ибо никто лучше специалистов не понимает стратегические задачи обеспечения безопасности компании, особенно с учетом постоянных изменений ландшафта угроз, технологий и подходов к средствам и инструментам защиты.

Управление процессами информационной безопасности, в том числе управление рисками, получается, фактически, единственно возможным подходом. Метод защиты «всем от всего», требующий значительного финансирования и человеческих ресурсов, вряд ли способен реально повлиять на эффективность и надежность системы защиты. Если же мы говорим об эффективном процессе управления рисками на предприятии, если выделяем конкретную модель угроз, оцениваем риски для элементов ИТ-систем и только потом выбираем правильные инструменты, то можно говорить о выстраивании в компании реальной системы (в широком смысле слова) информационной безопасности.

На практике ИБ-службы не стремятся участвовать в процессе управления рисками бизнеса. Почему?

Я бы поспорил с данным утверждением. Точнее, в мире тенденция уже изменилась, но в России все еще приходится сталкиваться с таким нежеланием. Можно выделить две основные причины этого.

Во-первых, сам бизнес пока не до конца понимает, что такое ИБ и для чего она нужна. Естественно, сама необходимость в защите своих ИТ-систем не вызывает вопросов, но это воспринимается, скорее, как проставление галочки, а не как стратегическая задача.

Во-вторых, службы ИБ в России часто не имеют резервных ресурсов для решения задач управления рисками: эти службы заняты решением текущих задач, таких как настройка и поддержание имеющихся систем защиты. А значит, в компании отсутствует стратегическое планирование, страдает оценка ситуации, нет прямой корреляции процессного управления ИБ с бизнес-процессами. Наверное, лишь небольшое количество российских компаний, особенно работающих в критических с точки зрения информационной безопасности отраслях, могут похвастать именно процессным подходом к управлению ИБ (в первую очередь, мы говорим о сегментах финансового и телекоммуникационного бизнеса).

Но ситуация постоянно меняется в лучшую сторону. И, как правило, именно бизнес является драйвером изменения подходов к ИБ внутри компании. Зачастую это происходит, когда менеджмент задумывается о реальных рисках для бизнеса, когда предприятие оптимизирует расходы, в том числе на ИБ.

Бизнес не доверяет оценке рисков ИБ с использованием популярных западных методик. Личное субъективное отношение руководства к конкретным экспертам играет весомую роль при оценке рисков. Есть ли недостатки в этом подходе?

Такое недоверие вполне закономерно. Большинство западных методик оценки рисков ИБ сформированы на базе требований регуляторов, не имеющих ничего общего с российскими реалиями. Исключение составляет, разве что, специфический стандарт PCI DSS, да и для него определенные требования имеют свою специфику.

Очень важно понимать, что эффективная оценка рисков ИБ должна включать в себя два основных компонента. Первый – это оценка рисков с точки зрения текущего ландшафта угроз и их модели. Второй – оценка рисков и процедур, которые прямо вытекают из требований регуляторов. Если со вторым компонентом все проще и зависит от степени проработанности того или иного стандарта, то с первым ситуация – более сложная. Бизнесу проще опираться на мнение экспертов, сталкивавшихся с подобными задачами в нашей стране. Если такие эксперты не привлекаются со стороны, а действуют внутри компании, то уровень доверия к ним, конечно же, – значительно выше.

Почему автоматизированные средства управления рисками не удовлетворяют российских специалистов?

Большинство современных систем оценки рисков разработаны не в России. Соответственно, они ориентированы на западные нормы и подходы к оценке рисков бизнеса, которые зачастую сильно отличаются от применимых в нашей стране. И в наибольшей степени это касается оценки рисков ИБ, так как в данном случае мы говорим о совершенно иной нормативно-правовой базе.

Также важно понимать, что автоматизированные системы даже в условиях, идеально совпадающих с заложенными в них, требуют достаточно тщательного экспертного анализа полученных результатов. Поэтому и на Западе они получили не очень широкое распространение. Более популярны общие инструменты автоматизированного сбора данных для оценки рисков – GRC-системы, которые, как правило, включают в себя и компоненты, предназначенные для собственно оценки рисков.

Современные задачи ИБ стали очень динамичными, что обуславливает необходимость в новых компетенциях ИБ-специалистов. Как в таких условиях управлять информационной безопасностью? Какие практики для этого пригодны, и какими компетенциями должна обладать служба ИБ?

Вряд ли можно утверждать, что это – уникальная особенность ИБ. Информационные технологии в целом сейчас динамично развиваются, и ИТ-специалисты вынуждены быстро к этому подстраиваться. Неправильный выбор любой ИТ-технологии, в том числе из области ИБ, может нанести непоправимый ущерб бизнесу, поэтому говорить о динамике можно применительно ко многим процессам внутри компании.

Но именно в таких условиях процессный подход является панацеей, обеспечивающей эффективное управление. Справиться с колоссальными темпами развития и изменения технологий вполне способна современная служба ИБ, которая воспринимает задачи обеспечения безопасности инфраструктуры именно как процесс, проактивный, а не реактивный вид деятельности и которая заинтересована в повышении эффективности бизнес-процессов и в снижении издержек.

В области информационной безопасности распространена практика реагирования на уже случившиеся инциденты. Можно ли с помощью управления ИБ и рисками сделать ИБ-инфраструктуру проактивной? Иными словами, как уйти от «ментовского» подхода к ИБ («только если имеется труп, будет заведено дело»)?

Проактивные и реактивные методы реагирования на инциденты ИБ должны соседствовать, равно как инструменты и средства снижения рисков должны быть рассчитаны на тот и другой методы. До последнего времени в России наблюдался некий перекос в область реактивного реагирования, хотя на Западе основной упор давно делается на проактивные методы (в том числе на обучение пользователей правилам безопасного обращения с информацией, на разработку политик ИБ и т.д.). Но это, опять же, является элементом использования ИБ лишь как сервисной функции, набора технических инструментов.

С ростом популярности процессного подхода во главу угла встает необходимость проактивного предотвращения инцидентов. Бизнес учитывает, с точки зрения оценки эффективности ИБ, показатели предотвращенных инцидентов, а не расследованных (успешно или нет) фактов нарушения политик безопасности. Одной из основных задач современной ИБ-службы предприятия является как раз снижение количества зарегистрированных инцидентов, а не качественные расследования уже произошедших.

Задача поддержания уровня ИБ в приемлемых границах (хотя бы в рамках классификации «высокий – низкий – опасный») становится динамично изменяющейся. Пример тому – события в Крыму и последовавшие за ними санкции. Какими в этих условиях оказываются задачи управления ИБ, мониторинга состояния и практика соответствия уровню ИБ?

На мой взгляд, подход, подразумевающий поддержание уровня информационной безопасности компании «в приемлемых границах», попросту неприемлем. Любая система, любой бизнес-процесс, рассчитанный лишь на приемлемый уровень нагрузки, рано или поздно становится «узким местом» или единой точкой отказа, и тогда бизнес останавливается или терпит значительные убытки.

Когда мы говорим об информационной безопасности, повторюсь, «приемлемый уровень» не может удовлетворять ни службу ИБ, ни бизнес-подразделения. Современная система обеспечения ИБ должна учитывать повышенные требования и быть рассчитана на завышенный набор рисков. Недаром до сих пор не теряет популярности и даже рекомендуется в учебниках «эшелонированный» подход к построению систем защиты.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.