Актуальные задачи информационной безопасности
На наши вопросы отвечают ведущие эксперты компаний — системных интеграторов.
- Информационная безопасность (ИБ) — очень многогранное и широкое понятие. Как бы вы определили проблему ИБ в целом и какие выделили бы в ней основные сегменты/направления?
- Какие сегменты/направления ИБ будут наиболее актуальны для российского рынка в 2009 г.?
- Какое место вопросы ИБ занимают в реализации российских ИТ-проектов в целом? Есть ли здесь какие-то различия для отдельных вертикальных и горизонтальных рынков?<,/ol>
Алексей Спирин
Менеджер по развитию решений безопасности, Inline Technologies
1. С информационной безопасностью связан целый пласт вопросов, которые на наших глазах уже несколько лет плавно переходят из области, специфичной для ИТ-рынка, в общечеловеческую и даже цивилизационную. Упрощенно можно сказать, что у ИБ есть три основные задачи: обеспечить целостность данных (немодифицируемость), их конфиденциальность (нераскрываемость) и доступность. Будут ли решены все проблемы ИБ, если выполнить эти три задачи? Увы, нет. Есть извечная проблема нахождения компромисса между удобством использования и безопасностью. Есть вопросы законодательства, связанные с необходимостью и легитимностью использования тех или иных средств защиты. Есть вопросы управляемости ИБ на средних и крупных предприятиях, где «простое» использование современных средств защиты не приносит качественных изменений, пока не будет продумана политика ИБ и построена комплексная система управления ею. Есть, в конце концов, первопричина всех проблем — люди, их осведомленность о необходимости соблюдать определенные правила информационного взаимодействия.
На современном этапе развития цивилизации идет битва за информацию и контроль над ней. Почему люди делают это? Потому что это приносит им какие-либо выгоды и потому что могут. Что останавливает людей от совершения преступления в реальном мире? Воспитание или неотвратимость наказания?
Оставив в стороне рассуждения о свойствах человеческой натуры, затронем другой вопрос: как с помощью технических или организационных мер сделать так, чтобы люди не могли сознательно или неосознанно нарушать правила ИБ? При известной оптимистичности можно представить себе обозримое будущее, в котором каждый пользователь, получая доступ к корпоративной или публичной сети, проходит биометрическую идентификацию, все его действия учитываются, а ценная информация хранится и передается в зашифрованном виде, причем получить доступ к ней может только легитимный пользователь. Есть ли место в такой информационной системе проблемам ИБ? Очевидно, что проблемы качества ПО и наличия злонамеренных программ не исчезнут, но в целом многие из существующих проблем безопасности будут решены.
Делая выводы из всего сказанного, я бы выделил три основные проблемы, решение которых может значительно повысить информационную безопасность:
- слабая грамотность пользователей в вопросах безопасности;
- отсутствие гарантированной, криптостойкой аутентификации при доступе к информационным ресурсам;
- небезопасная обработка и хранение информации.
Для начала решения этих проблем нужные технологии и методики уже существуют.
2. Однозначно 2009 г. для ИТ-бюджетов пройдет под знаком кризиса. Уже утвержденные бюджеты и планы развития пересматриваются. Делая выбор между тем, чтобы сохранить рабочие места сейчас или защититься от потенциальных угроз завтра, держатели бюджетов предпочитают первое, и это можно понять.
Но в то же время актуально не только снижение затрат само по себе; для многих компаний кризис — подходящее время, чтобы сделать «умный выбор», т. е. выбрать решения, которые позволят оптимизировать работу компании, ее сотрудников и в конце концов достаточно быстро вернуть вложенные в эти решения средства. Это серьезный критерий: ведь решения ИБ не приносят прямых доходов владельцам бизнеса, они предотвращают возможные потери, которые не всегда удается четко подсчитать. Поэтому в первую очередь востребованы будут те продукты и технологии ИБ, которые смогут показать и доказать свою быструю окупаемость и эффективность.
Кроме того, на мой взгляд, получат развитие решения для контроля инсайдеров. Хотя эта тематика достаточно давно присутствует на рынке ИБ, она не была актуальной в силу общего благодушного настроения. Российский корпоративный рынок до недавнего времени недооценивал опасность внутренних угроз и вероятность утечки информации по вине персонала. Сейчас же для увольняемого сотрудника соблазн забрать с собой ценную информацию может оказаться слишком велик.
Еще одна нарастающая тенденция последних лет — соответствие законодательным и вертикальным требованиям. За последние годы многие зарубежные отрасли и компании прошли достаточно большой и, надо сказать, тернистый путь к пониманию необходимости государственного и отраслевого регулирования ИБ. По различным причинам российский рынок находится на начальной стадии становления в этой сфере, но в связи с актуальными изменениями в российском законодательстве и возрастающей интеграцией с западными организациями наши компании вынуждены всерьез учитывать необходимость таких изменений. Мой прогноз — в 2009 г. значительно увеличится количество предприятий, заинтересованных в аттестации своих автоматизированных систем на соответствие закону «О персональных данных» или отраслевым стандартам и требованиям — PCI DSS, Basel II и т. д.
3. По грубой оценке, за последний год практически в каждом проекте так или иначе звучала тема защиты информации. Предпосылки у заказчиков совершенно разные — это и уже упоминавшиеся вертикальные требования, и понимание актуальных угроз ИБ, и желание изначально заложить архитектуру безопасности в новые информационные системы. Достаточно много проектов было выполнено в рамках повышения безопасности уже существующих информационных систем. Так или иначе, люди серьезно задумываются над обеспечением ИБ, и это радует.
Конечно, в целом информационная безопасность относится к так называемым расширенным сервисам, и в условиях кризиса многим компаниям приходится выбирать решения исходя из их финансовой эффективности. Кстати говоря, наша компания сформировала специальный пул «антикризисных решений», позволяющих реализовать технологическое преимущество в виде повышения вполне ощутимых финансовых показателей. Надеемся, это поможет нашим заказчикам устоять в условиях финансовых потрясений.
Различия между рынками, конечно, существуют. Можно сказать, что необходимость системы контроля и защиты доступа в Интернет все понимают примерно одинаково, но подход к защите от внутренних угроз сильно варьируется в зависимости от корпоративной культуры компании. Традиционно достаточно серьезно подходят к контролю сотрудников банки и промышленные предприятия. В то же время многие крупные, географически распределенные компании уже внедрили или внедряют системы управления информационной безопасностью, но с трудом могут контролировать своих сотрудников в силу больших масштабов. У каждой компании своя специфика, и зачастую приходится комбинировать решения различных вендоров для решения комплекса задач.
Сергей Романовский
Директор департамента информационной безопасности, АМТ-ГРУП
1. Главной целью деятельности в области ИБ должно быть следующее: обеспечить заинтересованным сторонам достаточный уровень уверенности в том, что организация способна эффективно противостоять угрозам в информационной сфере. Заинтересованными сторонами при этом являются не только владельцы организации, но и ее сотрудники, клиенты, партнеры, а также общественность и государство.
При такой формулировке проблемы в деятельности по обеспечению ИБ можно выделить как непосредственно оперативную работу по эксплуатации средств защиты и выполнению регламентированных процедур, так и управление процессами обеспечения ИБ в организации. Именно последнее позволяет эффективно распределять затраты по различным оперативным направлениям обеспечения ИБ.
В контексте общепризнанного международного стандарта в области систем управления ИБ ISO/IEC BS 27001:2005 рекомендуется рассмотреть вопросы обеспечения ИБ в организации по 11 выделенным оперативным направлениям. В рамках самой системы управления ИБ можно выделить деятельность по планированию и внедрению такой системы, проведение внутренних аудитов, а также пересмотр руководством организации системы управления ИБ и реализацию улучшений. В конечном счете такая деятельность направлена на актуализацию защитных механизмов в области ИБ, совершенствование системы управления ИБ, что и дает заинтересованным сторонам уверенность в способности организации противостоять угрозам.
Стоит также отметить, что для широкого круга заинтересованных сторон, включая клиентов, партнеров и общественность, такую уверенность может обеспечить официальная регистрация соответствия системы управления ИБ путем прохождения аудита в официально аккредитованном органе по сертификации.
2. 2009 г., скорее всего, будет отличаться от нескольких последних лет. Компаниям необходимо оптимизировать затраты, с гораздо большей ответственностью подходить к реализации проектов, вести грамотную кадровую политику. С другой стороны, именно в период кризиса возрастает роль информационной безопасности: способность организации сохранить свои ключевые активы, не допустить попадания критически важной информации к конкурентам выходит на первый план. Экономия на ИБ может дорого обойтись.
Предприятия, которые не смогут следовать принципу комплексного подхода к обеспечению ИБ, скорее всего, сосредоточатся на наиболее важных для их деятельности аспектах. Среди них, например, защита от инсайдеров (проблема может стать особенно актуальной в связи с сокращениями персонала), защита критичных данных от случайных утечек, контроль информационных потоков внутри предприятия. Останутся востребованными и проекты, связанные с защитой периметра от внешних вторжений, безопасным взаимодействием территориально распределенных структур, подключением удаленных пользователей и оптимизацией процессов обеспечения ИБ за счет использования российских и международных стандартов. А желание компаний снизить расходы может привести к проектам контроля над Web-трафиком.
Как и ранее, наиболее актуальной задачей будет постановка процесса эффективного взаимодействия технологических средств и организационных методов обеспечения ИБ, вовлечение всего персонала компании в этот процесс. В 2009 г. широкое практическое применение получат решения DLP (Data Loss Prevention).
Для снижения затрат и более эффективного использования ресурсов можно применить появляющиеся на рынке системы автоматизации деятельности по управлению ИБ, а также дистанционные программы повышения осведомленности пользователей в области ИБ.
Что касается банковской и финансовой отраслей, для них обеспечение ИБ остается важнейшей составляющей бизнеса. Несмотря на не самую благоприятную ситуацию в секторе, потенциальная и ожидаемая «обязательность» стандарта PCI DSS позволяет предположить, что количество проектов внедрения необходимых решений и аудита на соответствие стандарту в 2009 г. будет расти.
3. Можно отметить повышение внимания к вопросам ИБ в рамках российских ИТ-проектов. Причем это верно как для финансового сектора, традиционно требовательного к вопросам ИБ, так и для секторов энергетики, промышленности, государственных органов. Это связано как с общим ростом информатизации и соответственно зависимости от ИТ-инфраструктуры, так и с выходом нового законодательства и стандартов в области ИБ.
Многие организации осознают, что решение вопросов ИБ на стадии проектирования системы обходится гораздо дешевле, чем «прикручивание» средств безопасности к уже внедренной системе. Многие инфраструктурные проекты АМТ-ГРУП включают требования по отказоустойчивости и информационной безопасности, в том числе доработку нормативной базы и построение систем управления ИБ. Это позволяет нашим клиентам снизить затраты на законченное решение и обеспечить долгосрочную эффективность системы защиты.
Евгений Акимов
Заместитель директора Центра информационной безопасности, «Инфосистемы Джет»
1. Вопрос обеспечения информационной безопасности очень разнопланов. Мне бы хотелось сначала выделить два высокоуровневых направления ИБ (макронаправления), обозначив в них более мелкие сегменты.
Первое макронаправление — это создание механизмов защиты, которые снижают риски ИБ и которые к тому же необходимы согласно требованиям нормативных документов, т. е. это то, ради чего «все и задумано». Второе направление связано с выбором мер и средств обеспечения ИБ — это управление ИБ. Раньше в решении подобных вопросов многие полагались на собственную интуицию или априорные представления. Сегодня, в силу усложнения ИТ и технологий ИБ, а также необходимости значительных ресурсов для обеспечения ИБ, применяется системный подход, основанный на оценке рисков и скрупулезном изучении законодательных аспектов. Наиболее многогранны механизмы снижения рисков ИБ — это и такие базовые вещи, как сетевая или антивирусная безопасность, и куда более сложные решения, требующие внедрения процессов, например, системы управления инцидентами.
Некоторые направления ИБ в настоящее время понятны на уровне топ-менеджмента, бизнеса и организации в целом. Это обеспечение непрерывности деятельности, начиная от ИТ-сервисов и заканчивая бизнес-процессами организации в целом; защита системы управления предприятиями (ERP- и CRM-системы); централизованное управление правами доступа к ИТ-системам организации. Еще одно направление — борьба с мошенничеством и гарантирование доходов (fraud management and revenue assurance, FMRA). Такие решения активно используются телекоммуникационными компаниями, особенно сотовыми операторами. Они становятся все более актуальными и для финансовых организаций, в которых сегодня вопросы электронной коммерции занимают большое место. И наконец, это предотвращение утечек конфиденциальной информации — решения класса DLP. Они представляют собой комплекс решений, включающий как введение на предприятии режима коммерческой тайны, разработку ролевых моделей доступа на уровне отдельных документов и ИТ-систем, так и реализацию механизмов управления доступом на основе этой модели. В числе таких механизмов — решения класса Identity Management (централизованное управление правами доступа на уровне приложений) и Information Right Management (управление правами доступа на уровне отдельных документов). Здесь же нужно сказать о решениях, не позволяющих конфиденциальной информации выходить за рамки предприятия: контроль Интернет-каналов (почтового взаимодействия, Web-трафика, IM-систем), контроль сменных носителей.
Отдельно обозначу решения, связанные с построением нестатичных механизмов обеспечения ИБ. Они требуют создания постоянно функционирующих процессов: управления инцидентами (выявление, реагирование и скорейшая локализация), управления соответствием требованиям внешних нормативных документов и управления уязвимостями. Эти процессы автоматизируются специальными средствами и объединяются в рамках единого решения — Центра оперативного управления ИБ (Security Operation Centre, SOC). SOC — это некая организационная структура внутри компании, а его создание — сложный процесс, требующий серьезной консалтинговой работы.
В пласте решений для управления ИБ можно выделить два варианта, которыми руководствуются компании при выборе средств и методов обеспечения ИБ. В первом случае выбор механизмов обеспечения ИБ делается разово на достаточно большой период (один-два-три года). Здесь речь идет о получении после обследования ИБ-системы среза, актуального на момент проведения работ. В течение какого-то периода времени организация следует прописанным рекомендациям. Однако происходящие и в бизнесе, и в ИТ изменения сильно меняют карту рисков, и через какое-то время проделанная работа устаревает и нуждается в обновлении.
Во втором случае внутри организации выстраивается система взаимосвязанных процессов управления, которые в итоге позволяют самой организации без привлечения консультантов оптимизировать выбор тех или иных решений ИБ. Здесь речь идет об услуге по созданию системы управления (менеджмента) ИБ, дающей возможность дальнейшей подготовки к сертификации по международному стандарту ISO 27001. Именно этот вариант подходит крупным организациям, имеющим собственные подразделения ИБ.
2. В условиях кризиса востребованы решения, не требующие серьезных и долгосрочных инвестиций. К таким простым и быстро дающим эффект решениям можно отнести антиспам, элементы DLP, управление уязвимостями, базовый контроль FMRA.
Однако лидерами среди проектов по ИБ в новом году, пожалуй, будут решения, ориентированные на выполнение требований законодательства, прежде всего в области защиты персональных данных и защиты процессинга (PCI DSS). Новые сложные и ресурсоемкие в реализации требования регуляторов неудачно для бизнеса наложились на спад в мировой экономике, но санкции и риски несоответствия тем более значительны, так как могут быть использованы в числе прочего и для реализации недружественных поглощений.
Впрочем, каждая организация, строящая свою ИТ-систему, обязательно внедряет базовые решения ИБ, такие как межсетевой экран и VPN, антивирусные системы. Именно поэтому объем рынка «классических» средств ИБ был, есть и будет оставаться высоким.
Резкому росту инновационных решений кризис помешал достаточно сильно, многие компании вместо запланированного полнофункционального и полномасштабного внедрения смогут в ближайшее время реализовать только основные элементы ИБ или только пилотные проекты. Те же компании, которые спад в экономике затронул не так сильно, будут активно развивать новые направления. В этом ключе я бы выделил решения для обеспечения непрерывности деятельности. Эти решения раньше всего были реализованы в телекоммуникационных компаниях и сейчас, несмотря на сложившиеся экономические условия, развиваются в некоторых банковских организациях.
Можно также отметить процессные механизмы обеспечения ИБ, т. е. организацию в компании Security Operation Center (SOC) — подразделения, которое бы оперативно управляло ИБ. Сейчас такие подразделения имеются в единичных организациях на территории СНГ. Через некоторое время большинство крупных компаний будут иметь такие подразделения, в них будут внедряться соответствующие технологии, будут разработаны процессы, которые позволят управлять инцидентами, уязвимостями и следить за соответствием требованиям законодательства и отраслевых стандартов.
Кроме того, хотелось бы упомянуть DLP-системы, призванные защищать от утечки конфиденциальной информации. Здесь мы прогнозируем переход от лоскутных решений, когда внедряются те или иные компоненты, снижающие риск утечек, к системному комплексному решению задачи, начиная от введения режима коммерческой тайны до комплексного закрытия возможности утечек информации. Будет также развиваться направление противодействия мошенничеству и гарантирования доходов на предприятиях связи. Такие решения были реализованы в крупных компаниях — сотовых операторах, сейчас мы ожидаем, что начнутся массовые внедрения подобных систем практически во всех телекоммуникационных компаниях.
3. Если говорить о горизонтальных рынках, то небольшие ИТ-проекты реализуются вразрез с лучшими практиками, в том числе такими традиционными, как отечественные ГОСТы: вопросы ИБ должны рассматриваться на этапе проектирования систем, до их ввода в эксплуатацию. Зачастую ИТ-системы в небольших компаниях внедряются без учета требований ИБ. Когда такая система переходит в промышленную эксплуатацию, уровень рисков ИБ для компании резко увеличивается. И только после того, как в компании происходит несколько инцидентов, запускаются проекты по обеспечению ИБ.
В крупных проектах, особенно в тех, которые можно назвать программами, когда заказчик — это крупная организация, а сам проект масштабен, понимание того, что вопросы ИБ должны решаться с самого начала, приходит уже на стадии проектирования. Однако на этой стадии проекта дать качественную оценку рисков невозможно, поэтому первоначально внедряются базовые механизмы обеспечения ИБ. Только после запуска ИТ-системы в эксплуатацию бизнес-подразделения заказчика готовы говорить в терминах ущерба. Используя эту информацию, можно провести полноценную оценку рисков с последующей модернизацией существующей системы защиты.
Что касается вертикальных рынков, то в соответствии с тем, где риски ИБ наибольшие — а это телеком, финансы, нефтегазовая отрасль, а также госпредприятия (для них довольно подробно регламентированы вопросы, связанные с защитой информации), — вопросы ИБ начинают учитываться практически с самого начала и на достаточно высоком уровне. Для других вертикальных рынков понимание важности вопросов ИБ приходит позже, это объективно связано с тем, что и риски там меньше.
Алексей Косихин
Ведущий специалист департамента вычислительных систем, "Стинс Коман"
1. Справедливость слов: "кто владеет информацией, тот владеет миром", актуальна как никогда. Информация — один из важнейших активов любой компании, а зачастую и единственный
Проблемы информационной безопасности приравниваются к проблемам безопасного бизнеса в целом. В чем истоки реальной безопасности? В голове специалиста, в стратегии внедрения средств защиты и далее — в грамотном управлении этими средствами. Поэтому реально работают те системы защиты информации, в которых есть грамотное управление технической защитой менеджером-специалистом в совокупности с морально-этическими, законодательными, организационными, экономическими аспектами безопасности. Однако действительно грамотные менеджеры — большая редкость и дорого ценятся, но это уже отдельный вопрос.
2. Отвечая на этот вопрос, можно сделать такие прогнозы:
- многие компании будут сливаться или поглощаться, вследствие чего усилится потребность в независимом аудите ИБ;
- компании, которые откладывали «на потом» приведение своих информационных систем в соответствие с требованиями федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», начнут срочно внедрять средства, позволяющие это осуществить;
- возрастет спрос на технические и программные комплексы, имеющие соответствующие сертификаты ФСТЭК и ФСБ, а также на услуги компаний и специалистов, способных провести аттестацию систем;
- темпы "обеления" ПО, которое ведут государственные службы, не будут снижаться. Частные клиенты также начинают легализовать свое ПО; закупка оригинальных средств защиты будет постепенно возрастать.
В целом можно сказать, что основными потребителями продуктов и услуг ИБ в следующем году будут государственные учреждения и те, кому предписано следовать Руководящим документам ФСТЭК и ФСБ. В этом случае для заказчика важно соответствие решения определенному классу защищенности — тем самым выполняются требования государства.
Что же касается коммерческих компаний, которым необязательно следовать данным формальным требованиям, то их можно разделить на две части: корпоративные сети крупных коммерческих или промышленно-финансовых групп и малый бизнес. Малый бизнес уменьшит до минимума средства на статьи расходов, связанные с ИБ, или же вообще прекратит их финансирование, поэтому основной курс разработчиков систем защиты должен быть сориентирован на крупные корпорации.
3. Инвестиции в ИТ, а следовательно, и в ИБ увеличиваются с каждым годом во всех секторах бизнеса. При этом ИБ остается самым быстрорастущим сегментом в ИТ. Укрупнение бизнеса и появление новых видов угроз требует усложнения защиты, использования новых программно-аппаратных комплексов. Организации, уже создавшие ИТ-инфраструктуру, внедряют более серьезные средства, защищая ранее незащищенные объекты.
Информационная безопасность тесно связана с ИТ, и зачастую они имеют общий бюджет. В проектах построения ИТ-инфраструктуры на ИБ в среднем тратится около 5% от стоимости проекта. В большинстве случаев отдел ИБ входит в состав ИТ-департамента. Соответственно вопросы защиты корпоративных данных зачастую пытаются переложить исключительно на плечи ИТ-службы. Я считаю данный подход в корне неверным. Служба ИБ и ИТ-служба выполняют разные функции и решают разные задачи в вопросах организации ИБ.
ИБ играет существенную роль в реализации ИТ-проектов. Например, при построении ИТ-системы любого предприятия в обязательном порядке нужно проводить анализ информационной безопасности архитектуры данной системы. Это позволит снизить количество угроз, оценить профили риска и степень защищенности инфраструктуры — в общем, повысить уровень защиты.
Рынок средств ИБ условно можно поделить на несколько частей: средства аутентификации и администрирования, средства криптографии, антивирусная защита, межсетевые экраны, средства аудита. Горизонтальные рынки, где главенствуют антивирусные средства, межсетевые экраны и брэндовая продукция, начинают постепенное вторжение в вертикальный сектор, где прочно обосновалась продукция, сертифицированная в России. Для этого многие производители, ориентированные на производство средств ИБ, начинают адаптировать свои продукты под стандарты ФСТЭК и ФСБ.
Большинство специалистов в сфере ИБ считают, что в 2009 г. ситуация существенно не изменится, а темпы роста индустрии ИБ снизятся лишь незначительно. Это связано с тем, что рынок еще далек от насыщения, а развитие продолжится буквально во всех сферах — от частного до корпоративного и государственного сектора.
Екатерина Яблокова
Заместитель директора Департамента информационной безопасности, "Техносерв"
1. Многогранность проблемы информационной безопасности в первую очередь определяется спецификой самой отрасли, поскольку в современном мире под системой ИБ понимается обширнейший комплекс организационных, правовых, физических, технических и программно-технических мер и средств, обеспечивающих защиту информации на всех этапах ее жизненного цикла.
Для достижения необходимого уровня безопасности информации требуется системное согласование всех используемых мер, методов и средств защиты, т. е. только комплексное применение способно решить задачи надежной защиты информационных ресурсов. Количество подсистем, выделяемых в составе современной системы ИБ, может доходить до двух десятков и более, все зависит от масштаба и распределенности защищаемой информационной системы, а также от требований бизнеса заказчика.
Традиционно основные направления защиты — безопасность периметра, сетевая безопасность, безопасность пользователей, прикладных информационных систем, безопасность на уровне данных. При внедрении любой системы безопасности всегда необходимо помнить об организационной и правовой составляющей ИБ, поскольку без правильной проработки этих вопросов, например, при низкой осведомленности персонала в области ИБ, даже самые совершенные технические средства защиты не гарантируют должной защищенности системы. Кроме того, для обслуживания современных технических и программно-технических средств защиты необходимы высококвалифицированные специалисты, способные обеспечить грамотное управление этими средствами и анализ инцидентов ИБ.
Если принять во внимание, что операционные затраты (OpEx) на сопровождение решения для защиты информации составляют более 70% от общей стоимости владения им (TCO), становится ясно, что неграмотно спроектированная и неудобная система безопасности в итоге «съест» гораздо больше денег, нежели чуть более дорогая на этапе первоначальных инвестиций, но удобная с точки зрения сопровождения в будущем. Таким образом, при выборе любых средств защиты помимо функционала необходимо серьезно отнестись к таким вопросам, как наличие адекватной технической поддержки у производителя средств защиты, удобство администрирования, централизованное управление, развитая система отчетности, программы обучения персонала и т. д.
Кроме того, правильно спроектированная система защиты обязательно обладает свойством отказоустойчивости (оптимально, когда средства защиты работают в режиме балансировки нагрузки, а не просто горячего резервирования) и легко масштабируется для поддержки развивающейся инфраструктуры и растущего количества пользователей.
2. Думаю, что в 2009 г. сохранят актуальность решения для мониторинга и корреляции событий безопасности, различные решения для защиты от утечек конфиденциальной информации, набирает обороты тема защищенного удаленного доступа пользователей к ресурсам на базе бесклиентской SSL VPN-технологии с поддержкой российских криптографических алгоритмов. В связи с активным ростом предоставления онлайн-сервисов повысился интерес к различным системам обнаружения и предотвращения вторжений, ориентированных на Web-сервисы, к системам анализа защищенности информационных ресурсов, разработанных для выявления уязвимостей в различных Web-приложениях, а также к системам многофакторной аутентификации, обеспечивающим дополнительный уровень контроля и персонализации пользователей.
Конечно, в связи с мировым финансовым кризисом многие наши клиенты откажутся от внедрения новых информационных систем, непосредственно не связанных с бизнесом или существенно не влияющих на работоспособность и надежность функционирования инфраструктуры, но отложить в долгий ящик вопросы безопасности критичных информационных систем или сети вряд ли удастся, ведь они напрямую связаны с работоспособностью и конкурентоспособностью компании, для чего требуется адекватная защита от внешних и внутренних угроз.
В условиях нестабильной экономической ситуации, когда перед компаниями будет остро стоять проблема оптимизации затрат, в том числе и на ИБ, в первую очередь будут востребованы решения, позволяющие за короткий период времени и при невысоких затратах сократить издержки на обслуживание ИТ-инфраструктуры, а также другие механизмы, оптимизирующие эффективность бизнеса: решения, обеспечивающие максимальную эффективность и защищенность бизнеса, защиту от утечек конфиденциальной информации, централизованные системы управления доступом и привилегиями пользователей, средства централизованного мониторинга и управления средствами ИБ, системы защиты информационных активов и Web-сервисов от угроз безопасности, системы оптимизации и контроля рабочего времени сотрудников, антиспам и другие системы защиты от вредоносного контента.
3. До недавнего времени рынок ИБ рос значительно быстрее ИТ-рынка, этому тренду способствовало и принятие закона «О персональных данных», введение в ранг обязательных стандарта индустрии платежных карт PCI DSS, популяризация ГОСТ ИСО/МЭК 27001 и т. п.
Быстрый рост рынка ИБ также связан с реконфигурацией подхода к построению корпоративных систем защиты в крупных организациях: если в недалеком прошлом при построении систем защиты главным образом преследовалась цель формального соответствия требованиям различных регулирующих органов и обеспечения беззаботной жизни руководителям служб ИБ, то на сегодняшний день главной задачей стало обеспечение информационной безопасности на уровне процесса. Другой фактор, повлиявший на рост рынка ИБ, — это тенденция к децентрализации бюджета ИТ, к разделению на собственно ИТ и безопасность, а также выделение специалистов по ИБ в отдельное подразделение. Все это положительным образом повлияло на процесс обоснования необходимости тех или иных технологий и средств защиты перед бизнес-руководством.
Что касается различия в подходах для отдельных сегментов рынка, в настоящий момент наиболее осведомлены в вопросах ИБ, на наш взгляд, организации финансового сектора, операторы связи и крупные корпорации с достаточным и квалифицированным персоналом служб ИБ. Именно там службы ИБ организационно отделены от ИТ, разработаны и официально введены в действие организационно-распорядительные документы по ИБ и контролируется их исполнение, ведется мониторинг средств защиты, анализ логов, сканирование защищенности критичных информационных систем на регулярной основе и т. д.
Андрей Бедрань
Начальник отдела защиты корпоративных сетей департамента информационной безопасности, "Энвижн груп"
1. Актуальность проблем обеспечения информационной безопасности по-прежнему остается высокой. Все понимают, что нужно обеспечивать ИБ как таковую, но в каком виде и до какой глубины? Пока многим компаниям сложно оценить риски от возможных внешних и внутренних угроз. В тех отраслях, где существуют отраслевые стандарты ИБ (к примеру, в финансовых организациях это PCI DSS, стандарт ЦБ РФ), делать это проще — понятно, что нужно в конкретном сегменте информационной системы. Остальным приходится самостоятельно разрабатывать политику в области ИБ, аккуратно просчитывая бизнес-риски. Такой подход хорошо реализован в крупных корпорациях, где на высоком уровне поставлены процессы риск-менеджмента.
Главная тенденция российского рынка ИБ состоит в том, что проекты по ИБ становятся самостоятельными вследствие существенно возросшей сложности и дороговизны. Комплексная система ИБ сравнима по цене с хорошим инфраструктурным решением.
С другой стороны, созданы возможности для того, чтобы строить действительно мощные системы в области ИБ. На отечественном рынке появилось немало достойных продуктов, выросли компетенции исполнителей. В свою очередь, заказчики не только осознают необходимость полноценного обеспечения ИБ для устойчивого функционирования бизнеса, но и способны сформулировать требования к системам ИБ.
Существенное развитие получил в этом году корпоративный сектор, так как появились новые актуальные задачи — например, построение отказоустойчивых дата-центров в финансовом и телекоммуникационном секторе, где выходят на первый план вопросы риск-менеджмента, кластеризации технических решений, отказоустойчивости по каналам связи и узлам подключения, разработки регламентов поведения в чрезвычайных ситуациях, системы управления инцидентами безопасности и т. д.
Введение в действие международного стандарта защиты информации в индустрии платежных карт Payment Card Industry Data Security Standard (PCI DSS), за невыполнение положений которого уже начинают штрафовать, повысил значимость консалтинга для финансовых организаций. В этом году мы получили статус Qualified Security Assessors (QSA) с правом выдачи сертификационной оценки.
2. К числу интересных направлений, к которым был проявлен существенный интерес в 2008 г., следует отнести решения в области DLP (Data Loss Prevention, защита от утечек данных) и построение центров управления информационной безопасностью SOC (Security Operation Center). DLP-решения как таковые не относятся к ИТ — это классическая система информационной безопасности, защита от утечек данных из организаций. Раньше мало кто задумывался, какой процент угроз связан с инсайдерами. Но как отмечается в вышеупомянутом отчете, потери от внутренних утечек вышли на шестое место в общем рейтинге и оцениваются в сумму примерно 3 млрд долл., т. е. данная угроза становится действительно актуальной.
Всплеск интереса к этой теме был также вызван выходом на российский рынок новых игроков в данном сегменте. Сейчас появился широкий выбор вариантов средств защиты, а значит, тема DLP стала выделяться в отдельное направление. Ведь решения DLP довольно дороги и требуют продолжительного времени на внедрение.
Второе, не менее важное направление, — построение SOC-центров. Это новая тема, которая требует больших финансовых вложений, глубокой проработки технических решений и хорошего опыта внедрения компонентов SOC. Интерес к центрам управления безопасностью вызван желанием крупных компаний достичь требуемых показателей по отказоустойчивости критичных элементов информационной системы. Особенно это касается быстрорастущих распределенных систем. Дополнительные издержки, связанные с перебоями в работе сети, возникновением угроз потери данных и недоступностью критичных сервисов, становятся все более ощутимыми. Эти проблемы можно решить за счет централизованного управления ИБ с помощью SOC, благодаря чему достигается регламентация мероприятий по нейтрализации угроз ИБ. У заказчика появляется возможность получать полную и достоверную картину состояния своей информационной системы, проводить комплексные мероприятия по обеспечению ИБ и разбору инцидентов безопасности.
Касаясь отраслевого среза, стоит отметить, что высокую важность данных вопросов отмечают заказчики в финансовой и телекоммуникационной отраслях, т. е. там, где бизнес жестко привязан к ИТ. У операторов связи важным требованием бизнеса остаются требования отказоустойчивости и доступности сервисов. Здесь очень востребованы решения для защиты от DDoS-атак, глубокого анализа трафика DPI для разбора информационных потоков, в том числе с целью приоритезации трафика для обеспечения требуемого уровня сервиса.
В корпоративном секторе, особенно финансовом, который, как говорилось выше, наиболее подвержен регулированию, востребованы решения DLP и SOC, очень актуально внедрение методологии разбора инцидентов, что в целом реализуется при построении комплексной системы информационной безопасности (КСИБ).
3. До недавнего времени вопросы ИБ решались в рамках реализации ИТ-проектов, как составная их часть. Несмотря на то что тема ИБ не нова, появление в последнее время большого количества решений, выход на российский рынок новых вендоров, существенное возрастание сложности проектов, которые требуют все более квалифицированных ресурсов, возрастание компетенций у компаний-интеграторов привело к тому, что проекты по ИБ стали выделяться в самостоятельные. Этому способствует и практика бюджетирования проектов именно службами ИБ, которые выступают как самостоятельные структурные подразделения со своей сферой ответственности. В итоге это ведет к росту рынка ИБ, который по прежнему показывает темпы роста, опережающие темпы развития ИТ-отрасли в целом.
Сложившаяся экономическая ситуация, безусловно, ударит по бюджетам на ИБ. Тем не менее требования бизнеса в части ИБ будут жестче, а потери от реализации угроз — ощутимее. Так, для операторов связи и банковского сектора, ключевых потребителей ИБ, бизнес которых завязан на информационной инфраструктуре, обеспечение доступности сервисов остается первоочередной задачей, а значит, существует необходимость продолжить работы по модернизации систем информационной безопасности.