Управление информационной безопасностью в современных условиях: мнение эксперта
Обеспечение информационной безопасности в современной компании — далеко не самая простая задача. Высокая степень зависимости бизнеса от информационных технологий, разнообразие внешних и внутренних угроз, развитие криминального бизнеса, связанного с похищением и компрометацией конфиденциальных данных, делают задачу правильной организации процесса обеспечения информационной безопасности особенно актуальной. Тем не менее в современных условиях иногда приходится решать эту задачу в условиях ограниченного бюджета. Об этой и других задачах в области организации обеспечения информационной безопасности и путях их решения рассказывает Алексей Андрияшин, консультант по безопасности компании Check Point Software Technologies.
КомпьютерПресс: Существуют ли какие-либо базовые принципы оптимизации управления информационной безопасностью?
Алексей Андрияшин: Перед тем как охарактеризовать принципы управления информационной безопасности, предлагаю вспомнить ее определение. Информационная безопасность (ИБ) — это механизм защиты, обеспечивающий конфиденциальность, целостность и доступность информации. Несмотря на то что информация может содержаться в разных формах, информационные ресурсы являются активом компании, который необходимо защищать. ИБ достигается путем комплекса мер, которые представляются политиками, методами, процедурами, организационными структурами с применением программных и аппаратных средств. Часто перечисленные меры делят на организационно-технические и программно-технические.
Cистема управления информационной безопасностью основывается на трех фундаментальных принципах управления:
- принцип разомкнутого управления;
- принцип компенсации;
- принцип обратной связи.
По принципу разомкнутого управления создаются собственные политики безопасности, исполнение которых контролируется ответственными лицами. В данное время большинство компаний выделяет для лица, ответственного за разработку и реализацию политик ИБ, позицию CISO (Chief Information Security Officer) — руководителя отдела ИT-безопасности или директора по ИT-безопасности. Как правило, CISO возглавляет управляющий совет по вопросам ИБ.
Не буду вдаваться в подробности возможного построения иерархии службы ИБ компании, так как это вопрос индивидуальный, но принцип компенсации подразумевает, что в случае возникновения каких-либо отклонений от разработанной политики безопасности или внешних факторов (а это неизбежно, поскольку компании развиваются, появляются новые угрозы, приходят и уходят новые сотрудники, появляются новые программные продукты) необходимо немедленно вносить соответствующие коррективы в алгоритм управления, которые скомпенсировали бы негативный результат внешних воздействий. Поэтому для компаний исключительно важно не только разбирать уже произошедшие инциденты, но и строить систему проактивной защиты, способной отразить атаки до того, как появятся проблемы, и даже до того, как станет известно о потенциальных проблемах и уязвимостях.
Очень важно соблюдать принцип обратной связи, который позволяет управлять ИБ по замкнутому кругу. По этому принципу строятся многие системы ИБ. Наличие звена обратной связи в системе управления информационной безопасностью позволяет не только обнаружить отдельную угрозу, но и отреагировать на целый ряд событий, на первый взгляд никак не связанных между собой. В этом могут помочь продукты, которые обеспечивают централизованное сопоставление данных журналов событий из сетевых устройств и систем безопасности в режиме реального времени, автоматически сопоставляя данные и выделяя события и угрозы безопасности, требующие принятия решительных мер, такие как Check Point Eventia Analyzer.
Построение систем ИБ с учетом перечисленных принципов позволяет использовать существующие методы оптимизации для улучшения различных показателей качества системы, таких как устойчивость управления, скорость реакции на существующие и неизвестные угрозы (например, атаки zero-day), совокупная стоимость владения системой (TCO), степень окупаемости инвестиций на информационную безопасность (ROI) и т.п.
КП: Какие общие рекомендации в области снижения затрат на средства обеспечения информационной безопасности вы могли бы дать руководителям и сотрудникам ИТ-подразделений и служб информационной безопасности?
А.А.: К вопросу построения ИБ нужно относиться очень серьезно. Использование системного подхода позволит избежать излишних затрат на доработку, а возможно, и полного перестроения системы информационной безопасности в будущем. Построение финансовых и математических моделей систем ИБ, оценка угроз и их последствий, классификация информации, учет активов — всё это должно использоваться при разработке системы информационной безопасности. Правильная оценка рисков позволяет существенно снизить затраты на информационную безопасность.
Существует огромное количество рекомендаций и документов, регламентирующих вопросы построения систем информационной безопасности.
Возможность централизованного управления является важнейшим требованием для эффективной и непрерывной работы системы ИБ. Например, технология Check Point SMART, реализующая централизованное управление, позволяет легко управлять самыми сложными системами, существенно снижая как затраты на администрирование, так и количество ошибок, допускаемых персоналом. Использование же «лоскутного» метода построения системы ИБ делает ее в итоге неуправляемой, слабо контролируемой и попросту говоря бесполезной.
КП: Каковы, на ваш взгляд, наиболее характерные ошибки, совершаемые руководителями и сотрудниками ИТ-подразделений в области обеспечения корпоративной информационной безопасности?
А.А.: К наиболее характерным ошибкам руководителей и сотрудников подразделений ИБ я бы отнес следующие:
излишняя самоуверенность — уверенность в том, что большинство атак, уязвимостей и методов борьбы с ними досконально известны, является губительной. Широко распространена тенденция недооценки угроз из-за того, что многие инциденты скрываются. События, о которых становится публично известно, лежат на поверхности огромного айсберга, основная часть которого скрыта от общественности. И это понятно: немногие компании решаются объявить о том, что они стали жертвой вирусной атаки либо что их данные были похищены, так как подобные факты негативно влияют на репутацию компании;
- принцип «Больше продуктов — выше безопасность» — применение большого количества средств информационной безопасности не всегда является полезным. Как я уже говорил, это приводит к увеличению затрат на обслуживание, обучение персонала, обновление сервисных модулей и не дает централизованно управлять системой информационной безопасности;
- недостаточный уровень защиты конечных рабочих мест пользователей: персональных компьютеров, ноутбуков, карманных компьютеров. Антивируса для этого явно недостаточно. Мобильность пользователей растет, а с ней растут и риски, связанные с возможностью потери конфиденциальных данных, несанкционированного доступа к мобильным устройствам в сетях общего пользования. Применение всевозможных неконтролируемых мобильных носителей информации создает большой риск для информационной безопасности компании в целом. Для снижения этих рисков нужны продукты, обеспечивающие всестороннюю защиту рабочего места пользователя, такие как решение компании Check Point для защиты конечных точек Endpoint Security;
- неверное определение затрат на информационную безопасность — затраты нужно разделять на переменные и постоянные. Сравнивая стоимость решений, следует правильно оценивать совокупность затрат хотя бы за три года. А еще лучше учесть и возможность последующей неизбежной модернизации.
КП: В условиях экономической нестабильности руководителям и сотрудникам ИТ-подразделений и служб информационной безопасности нередко приходится обосновывать затраты на безопасность перед руководством своих компаний. Существуют ли методы оценки экономической эффективности вложений в данное направление?
А.А.: Нередко единственный способ убедить руководство в необходимости затрат на построение или модернизацию системы информационной безопасности — доказать ее экономическую эффективность. Поскольку ключевое решение принимает, как правило, финансовый или генеральный директор, с ним нужно уметь разговаривать на одном языке. Найти точки соприкосновения с топ-менеджментом компании позволяет финансовая модель проекта. Если проект системы информационной безопасности в целом ведет к увеличению чистого денежного потока компании, если с точки зрения инвестиций проект является привлекательным, то соответствующий бюджет будет утвержден. Бесполезно пугать финансового директора распределенными атаками, троянами, SQL-инъекциями и кросс-сайтовыми скриптами, пока ему не будет представлена инвестиционная доходность проекта. Иногда этот показатель называют IRR (Internal Rate of Return — внутренняя доходность).
КП: Нередко в качестве средства сокращения затрат на информационные технологии и защиту данных предлагается вывод на аутсорсинг части функций, выполняющихся ИТ-подразделениями. Какую, на ваш взгляд, деятельность по обеспечению информационной безопасности могли бы поручить внешнему поставщику услуг небольшие и средние компании?
А.А.: Консалтинговые услуги по информационной безопасности очень часто являются востребованными небольшими и средними компаниями.
В последнее время также очень активно развивается рынок MSP (Management Service Provider). MSP — это организации, которые предлагают услуги по информационной безопасности как сервис. Как правило, такими организациями являются крупные провайдеры, но небольшие и средние компании охотно пользуются их услугами. Такие продукты компании Check Point, как Provider-1, VSX и VPN-1 VE, позволяют MSP реализовывать сервисы информационной безопасности. Среди подобных сервисов —антивирусная защита, межсетевое экранирование, URL-фильтрация, борьба с нежелательными почтовыми сообщениями и т.п. Если небольшая организация не может позволить себе содержать квалифицированный персонал, обслуживать дорогостоящее оборудование и т.п., то она обращается к услугам MSP.
КП: Большое спасибо за интересное интервью! От имени нашего издания желаю вашей компании дальнейших успехов на российском рынке.
Вопросы задавала Наталия Елманова