Информационная безопасность как безопасность бизнеса

М.Ю. ЕМЕЛЬЯННИКОВ, начальник отдела департамента безопасности
ОАО “Связьинвест”

П ри детальном рассмотрении способов и методов построения некоторых систем информационной безопасности невольно приходит на ум история строительства Собора Святого Семейства в Барселоне. Великий испанец Антонио Гауди не имел чертежей строящегося собора, возводил его на фундаменте, заложенном другим архитектором, жил на строительной площадке и по мере появления новых идей и задумок немедленно их реализовывал. В результате собор строится до сих пор, вот уже сто лет, более-менее завершен лишь один из его фасадов, а денег на окончание работ никогда не было, и нет. Наверно, при аналогичном подходе построить работающую систему информационной безопасности можно, но для этого надо как минимум быть Гауди, чем большинство “строителей”  похвастать не может.

Прежде чем начинать возводить многочисленные, технически сложные и дорогостоящие рубежи защиты информации, необходимо задуматься над основными вопросами: надо ли вообще бизнесу думать об информационной безопасности (ИБ), а если надо, то о каких аспектах ее обеспечения?

Закономерны также вопросы: кто и как должен принимать решение о системе безопасности и допустимых затратах на нее; что нужно защищать, почему и от кого; что дешевле — принять риск и понести потери в случае ущерба, или пытаться его минимизировать, строя эшелонированную систему защиты; как вообще считать затраты и особенно потери?

Казалось бы, на вопрос нужно ли вообще защищать информационные ресурсы и зачем это делать, ответ очевиден. Для бизнеса в сфере ИТ существуют значительные угрозы и риски, реализация которых ведет как к прямым материальным и финансовым потерям (срыв управления, простой бизнеса, утрата информации, стоимость восстановления и т. п.), так и к  косвенным — потеря имиджа и доверия клиентов, упущенная выгода и т. п. Однако, существование угроз и рисков само по себе вовсе не означает необходимость затрат на защиту от первых и снижение вторых.

Если риск потери трудоспособности и жизни в результате реализации угрозы падения кирпича или сосульки с крыши не является поводом для поголовного ношения касок, то для мотоциклистов та же каска — непременный атрибут экипировки. В чем разница? В данном случае, очевидно, в вероятности реализации угрозы и в последствиях этой реализации. На входную дверь в квартиру замки ставят все, а вот сейфы имеет далеко не каждый. Зачем тратиться на дорогостоящую игрушку, если хранить в ней нечего? Когда затраты на защиту превышают стоимость защищаемого объекта, целесообразнее принять риск. Так что связь между наличием угроз и рисков и необходимостью построения системы ИБ совершенно неочевидна.

Между тем, рынок услуг в области информационной безопасности переживает в нашей стране бум. По результатам исследования, проведенного группой CNews Analytics, объем продаж средств защиты информации в России в 2002 г., по сравнению с предыдущим годом удвоился и превысил отметку в 1,5 млрд. руб., и это без учета консалтинга и услуг по внедрению.

В 2004 г. многим компаниям удалось удвоить свой оборот и расширить штат сотрудников. Интерес к российским продуктам в сфере ИБ со стороны отечественных и иностранных организаций не только не снижается, но и растет. На внутреннем рынке происходит постепенное смещение от потребления продуктов в сторону большего потребления услуг.

Если учесть, что, по данным всероссийского исследования компании InfoWatch (дочерняя структура Лаборатории Касперского), лишь 16 % российских компаний имеют самостоятельные подразделения по информационной безопасности и 94 % их появилось в последние два года, можно ожидать и дальнейшего роста рынка — вновь созданные структуры будут наращивать скелет и обрастать мясом, в первую очередь, программно-аппаратными средствами.

Рынок растет, но у большинства потребителей нет четкого понимания, что конкретно им нужно и почему. Пример — наиболее часто обсуждаемая проблема спама. Да, явление это безобразное, создающее неудобства пользователям, вызывающее раздражение работников и руководителей, имеющих электронные почтовые ящики, администраторов почтовых систем и других субъектов информационного обмена.

Однако значительного ущерба, именно ущерба, спам не наносит. Это как рекламные листовки в почтовом ящике — грязь в подъезде, затерявшиеся среди них телефонные счета, но бюджет жильцов дома от этих листовок не страдает. Однако на установку средств борьбы со спамом потрачены значительные усилия и средства, их обслуживание занимает массу времени администраторов.

В то же время одно неаккуратное действие пользователя складской базы данных способно на несколько часов, а то и дней, парализовать бизнес, а мер по обеспечению устойчивости ее работы зачастую никаких не принимается. Этот довольно спорный пример, “крайняя точка”, демонстрирует сложность ситуации.

Сегодня решения в сфере ИБ во многом принимаются под воздействием двух факторов: моды, как это ни странно звучит применительно к информационной безопасности, и давления вендоров, концентрирующих внимание потенциальных потребителей на решении тех проблем, которые обеспечивают предлагаемые ими продукты и услуги. Подтверждением этому могут служить и результаты упоминавшегося исследования InfoWatch.

По мнению респондентов, наибольшую опасность представляют умышленные действия собственных сотрудников. Если к этому присовокупить их же халатность и сбои оборудования, источник  наибольшей угрозы очевиден — он внутри компании (рис. 1). Однако “ответ” пользователей неадекватен — наибольшим спросом пользуются антивирусное ПО и межсетевые экраны (рис. 2).

Одна из причин такого несоответствия заключается в том, что выбору того или иного средства защиты не предшествует аудит состояния информационной безопасности в компании. Его выполнение, в свою очередь, сдерживается наличием двух незаполненных ниш российского рынка ИБ — нехваткой независимого консалтинга и эффективных интеграторов в области защиты информации. Для системных интеграторов эта сфера так и не стала основным или сколь-нибудь значимым бизнесом, а крупнейшие специализированные компании продвигают в первую очередь свои решения, так что надеяться на объективный и неангажированный консалтинг не приходится. Существенные проблемы вызывает у IT-Security компаний интеграция систем безопасности различных, в первую очередь, “чужих” производителей.

Парадокс ситуации состоит еще и в том, что, увеличивая сложность сети, мы зачастую закладываем в нее, в частности, в рабочие станции сотрудников, абсолютно ненужные им для работы функции. Эти излишние функции, во-первых, сами по себе содержат потенциальную угрозу информационной безопасности в силу возможности реализации не требуемых для выполнения служебных обязанностей действий, иногда — очень опасных, а во-вторых, существенно повышают стоимость рабочего места и сети в целом за счет абсолютно ненужного “железа” и софта.

Как никогда актуальна проблема обоснования целесообразности затрат на ИБ перед высшим менеджментом компаний. Причем применительно к ИБ в целом модные в настоящее время оценки эффективности затрат с помощью коэффициента возврата инвестиций (ROI) или совокупной стоимости владения (TCO) не позволяют пока получать сколь-нибудь вразумительные результаты.

Какая бы система защиты информации не строилась в той или иной организации, в современных условиях ей всегда присуща высокая сложность программно-аппаратных
средств обеспечения информационной безопасности. Система ИБ средней сложности включает несколько операционных систем, достаточно сложные приложения и почтовые программы, специализированные средства защиты и т. п. Представить себе, что все они могут квалифицированно управляться одним-двумя специалистами (а иметь больший штат соответствующих подразделений редко кто из топ-менеджеров позволяет) очень сложно. Мониторинг же соответствующих логов, отчетов и сообщений систем безопасности — вообще задача крайне объемная, и тот, кто сталкивался, например, с системами IDS или контентного анализа, думаю, со мной согласится.

Необходимо отметить и еще одну “болезнь”. Уровень подготовки по этому вопросу персонала (от топ-менеджеров до конечных пользователей) остается крайне низким, а образовательный процесс в основном направлен на администраторов сети, редко на администраторов безопасности, которых чаще всего в штате организации нет.

Постоянное усложнение систем защиты информации и ограниченность кадров зачастую не позволяют обеспечить эффективное применение имеющихся защитных механизмов силами специалистов самой организации. Естественный, казалось бы, выход — аутсорсинг ИБ — представляется весьма перспективным, однако его развитие потребует значительных усилий, в первую очередь от компаний, работающих на рынке интеграции и консалтинга в области безопасности. А пока аутсорсинг ИБ не нашел в России должного распространения. Как и аутсорсинг IT-систем в целом, он сдерживается несколькими факторами, важнейшими из которых эксперты считают следующие.

Проблема доверия. Она упирается в отсутствие уверенности в том, что после передачи на аутсорсинг систем безопасности уровень конфиденциальности хотя бы не понизится, а также в широко распространенный тезис — “в области
безопасности доверять нельзя никому”, а уж тем более фирме, ведущей дела как своей компании, так и ее конкурентов.

Фактическое отсутствие снижения операционных расходов. Коротко говоря, даже тот аутсорсинг, который есть на российском рынке в зачаточном виде, отнюдь не дешев. Так, по данным американского издания ComputerWorld, аутсорсинг на обслуживание IT-системы в среднем в два раза выше собственных затрат при том же уровне обслуживания системы. 

Неготовность компаний, предоставляющих услуги, взять на себя аутсорсинг в достаточно большом объеме. Максимум — это система IDS или антивирусной защиты, иногда — криптография, в частности, обслуживание электронной цифровой подписи, но, как правило, только одна проблема из всех возможных.

Фактическое отсутствие возможности взыскать ущерб с поставщика услуг в случае нарушения системы информационной безопасности законным путем.

Не могу не высказать несколько соображений и о влиянии государства на построение корпоративных систем ИБ, возникших после многократных обсуждений проблем лицензирования и сертификации на различных мероприятиях, где приходилось бывать.

В настоящее время законодательные нормы, касающиеся обязательной сертификации, аттестации и прав обладателя информации, довольно спорны. Например, само включение технической защиты конфиденциальной информации в перечень видов деятельности, на осуществление которых требуется лицензия, без уточнения “за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя” противоречит как букве, так и духу Федерального закона о лицензировании отдельных видов деятельности. Его ст. 4 определяет, что лицензируются те виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам и здоровью граждан, обороне и безопасности государства, культурному наследию народов России, и регулирование которых не может осуществляться иными методами.

Вразумительного разъяснения, каким образом защита коммерческой тайны ее обладателем может нанести кому-то ущерб, слышать не приходилось. Более того, закон “Об информации, информатизации и защите информации” однозначно определил, что режим защиты конфиденциальных сведений устанавливается самим собственником информационных ресурсов (уполномоченным лицом).

Заявительный характер лицензирования деятельности в сфере защиты коммерческой информации фактически сводится к взиманию косвенного налога (в виде лицензионных сборов), а такие требования, как обязательное использование сертифицированных средств защиты, наличие у обрабатывающего коммерческую тайну объекта информатизации аттестата соответствия, а у специалистов — квалификации, определяемой госорганами, выглядят абсурдными.

Принятие федерального закона “О техническом регулировании” еще больше запутало и без того непростую ситуацию с сертификацией средств защиты.

Как видно из изложенного, проблема безопасности во многом является проблемой не технологической, а организационной. Однако основные усилия в этой области тратятся на решение именно технических и технологических задач, что, как это ни парадоксально, не способствует достижению конечной цели — эффективной защите бизнеса, активно использующего современные информационные технологии.