Игра в обороне

12 Октября 2009 IT-manager
IT-manager
октябрь, 2009 г.
Алексей Комов

На законодательном уровне понятие "безопасность" трактуется как состояние защищенности жизненно важных интересов человека, общества и государства. неудивительно, что в общественном сознании это порождает весьма распространенный стереотип: безопасность предоставляется гражданам сугубо государственной функцией, ассоциирующейся с грифом "совершенно секретно", специальными надзорными органами, борьбой с преступностью и терроризмом и прочими весьма специфическими образами.

Возможно, именно это заблуждение является причиной того, что некоторые первые лица компаний до сих пор слабо понимают специфику обеспечения безопасности и считают данную задачу второстепенной. Вячеслав Медведев, специалист отдела развития компании «Доктор Веб», типичными чертами отечественного бизнеса считает информационную безграмотность, отсутствие профессиональных кадров и исконно русское "авось". Между тем, суровые реалии делового мира требуют обязательного включения юридических лиц в перечень объектов защищенности, определяемых законом РФ "О безопасности", поскольку ни одно современное предприятие не может обойтись без различных мер защиты своей деятельности — и, прежде всего, без защиты конфиденциальной информации.


Россия утопическая

По мнению Алексея Лукацкого, менеджера по развитию бизнеса Cisco, попытка оценить масштабы российского рынка ИБ — задача почти утопическая. Во-первых, российский бизнес чрезвычайно непрозрачен, не каждая компания готова публиковать реальные результаты деятельности, опасаясь претензий со стороны фискальных и прочих органов. Тем более что проверить истинность опубликованных цифр чаще всего невозможно. Во-вторых, многие так называемые специализированные компании, занимающиеся только безопасностью, одновременно выступают в разных ипостасях: они и разработчики решений, и дистрибьюторы или поставщики, и даже инсталляторы. Следовательно, в итоговую сумму вполне может закрасться стоимость поставки сопутствующей техники, не имеющей отношения к рынку ИБ. К тому же часто имеет место эффект зачета «двойных продаж», когда сделку вначале засчитывают у дистрибьютора, а потом — у того, кто ее провел уже непосредственно с конечным заказчиком.

Наконец, само понятие "рынок ИБ" весьма неоднозначно: до сих пор нет единого мнения о том, что это такое и как он устроен. Приводимые аналитиками цифры характеризуют лишь сегмент средств защиты для крупных корпоративных заказчиков и операторов связи. Но это — только верхушка айсберга. Что вообще считать средствами защиты информации? Антивирусы, межсетевые экраны, системы авторизации? Но как быть, к примеру, с маршрутизаторами, коммутаторами, точками беспроводного доступа, операционными системами или базами данных, также содержащими множество сложных защитных механизмов, многие из которых сертифицированы во ФСТЭК или ФСБ? А ведь есть еще более нетривиальные решения, например, модули аутентификации в картриджах или батареях для мобильных телефонов, кодеры для платного телевидения и даже сами мобильные телефоны, шифрующие переговоры. Этот список можно продолжать, забота о безопасности прочно вошла в современную жизнь и вычленить ее из различных сегментов IТ-рынка стало практически невозможно.


Не до жиру

И все же, несмотря на неопределенность, рынок безопасности в России существует, а его участники активно обсуждают перспективы развития в сложный экономический период. По мнению Шахнозы Сал-мановой, директора по маркетингу компании Aladdin, сегмент ИБ традиционно является своего рода "островком стабильности" в составе IТ-рынка. И если оздоровление IТ-рынка в масштабах страны его участники прогнозируют лишь к 2012 г., то сегмент ИБ, по их же прогнозам, будет демонстрировать плавный устойчивый рост на уровне 10% даже по итогам нынешнего года. В кризисный период "безопасники" почувствовали сокращение спроса на свои услуги и стремление клиентов к экономии за счет перераспределения инвестиций и оптимизации расходов в целом. Однако г-жа Салманова убеждена, что эти явления не носят фатального для рынка характера.

Виталий Янко, коммерческий директор компании Agnitum, уточняет, что рост рынка в большей степени обеспечивают комплексные решения класса "все в одном", а также крупные инфраструктурные проекты, связанные с защитой персональных данных. Что же касается предприятий малого бизнеса и частных предпринимателей, они, по словам г-на Янко, стараются избежать остановки бизнес-процессов, нарушая лицензионные правила, в том числе за счет приобретения и установки на компьютеры защитного ПО с лицензиями на домашнее использование. По словам Алексея Лукацкого из Cisco, многие производители средств защиты с большой трибуны в один голос заявляют, что кризис не затронул и не затронет рынок ИБ, что заказчики не сокращают эту статью расходов, а требования регуляторов все равно надо выполнять, и т. д., и т. п. Но в кулуарах или на закрытых мероприятиях все признают, что эпоха изобилия закончилась, заказчики замораживают или урезают бюджеты на ИБ, и жить по-старому становится все тяжелее. Да и сами заказчики не скрывают, что условия игры поменялись: их руководство уже не готово с закрытыми глазами тратить миллионы на проекты, отдача от которых неочевидна или ощутима только в долгосрочной перспективе.


Синдром утечки

Настоящим бичом XXI века является тотальная утечка информации. По данным компании InfoWatch, это бедствие в равной степени поразило как государственные, так и общественные организации, но больше всего от него страдают коммерческие структуры. Причем в 97% случаев объектом случайных или намеренных утечек становятся именно персональные данные. Кирилл Керценбаум, руководитель группы технических специалистов компании Symantec, подчеркивает, что основной бизнес большинства компаний плотно завязан на какую-либо информацию, будь то интеллектуальная собственность, корпоративные данные либо сведения о сотрудниках и клиентах. Утрата этой информации может привести к финансовым издержкам и нанести серьезный урон репутации предприятия, а при определенных обстоятельствах — стать причиной остановки бизнеса. В свете этого особое значение приобретает выявление каналов утечки, а также жесткий контроль над ними.

Эта проблема породила целый рынок решений, получивших название DLP (Data Leak Prevention — "предотвращение утечек"). По словам директора департамента развития LETA IT-company Вениамина Левцова, сегодня спрос на конкретные технологии определяется теми задачами, которые призвана решать DLP-система. Так, для контроля за перемещением конфиденциальных документов или их фрагментов "онлайн" наиболее успешно применяются "цифровые отпечатки". Этот же механизм доказывает свою высокую эффективность для отслеживания утечек записей из баз данных, которые в большинстве случаев содержат персональную информацию. Алексей Филатенков, и. о. начальника отдела информационной безопасности компании Открытые Технологии, обращает внимание на то, что "цифровые отпечатки" отличаются большой точностью определения конфиденциальной информации в каналах утечки даже при модификации документов. Именно поэтому они все чаще интегрируются в смежные подсистемы ИБ.

Задачу контроля за перепиской по электронной почте с успехом решают системы на базе лингвистических технологий поиска. Эти же технологии с успехом применяются для ретроспективного анализа почтовых архивов. Для отслеживания утечек данных с ноутбуков на практике широко используются решения на базе программных агентов, использующих метки и регулярные выражения.

При этом в целом рынок DLP-систем постепенно движется в сторону комплексных решений, состоящих из отдельных модулей, работающих под контролем единой системы управления. Однако Валерий Андреев, заместитель директора по науке и развитию компании ИВК, отмечает, что рынок DLP испытывает дефицит квалифицированных специалистов, способных не просто настраивать всевозможные межсетевые экраны и прочие технические решения, но и проводить анализ безопасности контента и сетевой активности.


Знай свое место

Вопросы взаимодействия ИБ и IТ, а также положения информационной безопасности в структуре бизнес-процессов компании с жаром обсуждаются специалистами уже не первый год. По словам Кирилла Кер-ценбаума из Symantec, еще совсем недавно четкого разделения между функциями IТ и ИБ не существовало, поэтому обе задачи зачастую находились в компетенции IТ-службы компаний. Но в связи с усложнением задач ИБ и увеличением роли информационных ресурсов в деятельности компании наметилась тенденция формирования отдельных служб ИБ, часто конкурирующих с IТ. Их противостояние объясняется тем, что задачи и проблемы, с которыми сталкиваются эти подразделения, часто находятся на стыке информационных технологий и безопасности бизнеса. "В идеальном случае IТ и ИБ должны как взаимодополнять, так и взаимозаменять друг друга", — подчеркивает Кирилл Керценбаум.

Владимир Скиданов, технический специалист компании Aflex software, убежден, что наибольшей эффективности служба ИБ достигает при тесном сотрудничестве с IТ-департаментом или находясь в его составе. Благодаря этому обеспечивается оптимальная с технологической точки зрения реализация политик информационной безопасности, сколь бы гибкими они ни были. При этом если служба ИБ выделяется в самостоятельный отдел, то компании стоит задуматься о введении должности CISO (Chief Information Security Officer — руководитель отдела ИБ). Если же ИБ является частью IТ-службы, то введение должности CISO неэффективно с точки зрения управления информационной безопасностью. "Появление CISO должно быть результатом эволюционного процесса развития ИБ в компании, иначе такая роль попросту не приживется", — подчеркивает Вениамин Левцов из LETA IТ-company.

На практике можно встретить как наличие в компании раздельных служб IТ и ИБ, так и отсутствие обеспечения ИБ в принципе. "Я хорошо запомнил фразу руководителя одной крупной финансовой компании: от информационных угроз мы защищаемся правильным ведением бизнеса. Тут уж, как говорится, без комментариев", — резюмирует Владимир Ульянов, руководитель аналитического центра компании Perimetrix.


ИБ как тормоз

Увы, народная мудрость "лучше перебдеть, чем недобдеть" в отношении ИБ не работает. Чрезмерная и необоснованная бюрократия, возведенная под предлогом всесторонней защиты бизнеса вкупе с жесткими ограничениями всех и вся, может значительно снизить эффективность работы как отдельных сотрудников, так и всего предприятия в целом. В том числе строгая политика безопасности может выступать препятствием на пути использования новых непроверенных технологий. Именно поэтому некоторые IТ-специалисты в сердцах называют информационную безопасность тормозом для развития IТ на предприятии.

"Тормозом скорее может стать не информационная безопасность, а человек или люди, отвечающие за это направление в компании", — отшучивается Леонид Корох, СЮ компании Aladdin. По его мнению, технологии ИБ, призванные повысить прозрачность, управляемость и безопасность бизнеса, не только не препятствуют, а напротив, способствуют развитию IТ на предприятии.

Валерий Андреев из ИВК уточняет, что развитие IТ действительно предполагает реализацию максимального количества необходимых для компании сервисов и передачу их в пользование сотрудникам, а ИБ, напротив, стремится минимизировать доступные сервисы и привести их в соответствие с должностными обязанностями. Именно это провоцирует заблуждение о том, что ИБ тормозит IТ. На самом же деле связка IТ и ИБ обеспечивает принцип «разумной достаточности». И если политика информационной безопасности соответствует реалиям бизнеса, то сотрудник выполняет свои обязанности эффективно и без опасения выйти за рамки дозволенного и понести за это наказание.

"Если ИБ "завладевает" бизнесом, то чаша весов смещается в сторону ограничения возможностей, и безопасность превращается в тормоз. Однако в обратном случае компания может стать легкой жертвой инсайдеров", — резюмирует Кирилл Керценбаум из Symantec. По его мнению, поиск баланса между этими двумя крайностями и является главной задачей для компании, стремящейся обладать эффективной и защищенной IТ-инфраструктурой.


Данные в законе

С наступлением 2010 г. истекает срок, отпущенный компаниям на приведение информационных систем в соответствие с ФЗ № 152 "О персональных данных", принятым три года назад. Чем ближе "день Х", тем большую суету и беспокойство можно наблюдать как в рядах заказчиков, так и среди поставщиков решений для обеспечения ИБ. "Закон о персональных данных может сдвинуть весь IТ-рынок, изменить отношение к регулированию сферы ИБ и российским разработкам в этой сфере", — считает Валерий Андреев из И В К. По словам Алексея Филатенкова из Открытых Технологий, этот закон многие называют чуть ли не основным "двигателем прогресса" рынка ИБ.

Perimetrix отмечает устойчивый спрос на экспертов по защите персональных данных на российском рынке труда. "А как иначе? Тысячам компаний необходимо привести бизнес в соответствие с новым законом. Я даже представить не могу нынешнее количество нулей после цифры, характеризующей в денежном эквиваленте объем рынка защиты персональных данных", — говорит Владимир Ульянов, руководитель аналитического центра компании.

Леонид Корох из Aladdin напоминает о том, что продукты и решения для защиты персональных данных должны быть сертифицированы. Причем, если решение использует средство криптографической защиты информации — оно проходит по линии ФСБ, а если нет — то по линии ФСТЭК. Есть и еще один нюанс: для того, чтобы получить сертификат ФСБ, в решении обязательно должна быть реализована криптография, соответствующая российскому ГОСТу. По прогнозам Романа Павлова из Kerio Technologies, когда государство начнет внимательно отслеживать соблюдение ФЗ № 152, под угрозой гражданской, уголовной, административной или иной ответственности многие компании вынуждены будут обратиться каутсорсерам, имеющим практику реализации проектов по приведению ИС в соответствие с требованиями закона. А при невозможности выделения дополнительных средств на аппаратно-программные комплексы и системы защиты персональных данных, требуемые законодательством, компании и вовсе могут перейти на модель SaaS. "С наступлением 2010 г., когда начнутся проверки со стороны регуляторов, можно ожидать «вторую волну» интереса к подобным проектам", — убежден Алексей Филатенков из Открытых Технологий.


Ветер безопасных перемен

Алексей Лукацкий из Cisco выделяет три ключевых момента, которые глобально отразятся на всех участниках рынка ИБ.

  1. Переход от оценки ИБ как технической проблемы к бизнес-восприятию.

    Исторически сложилось так, что раньше почти все "безопасники" в России представляли интересы разработчиков и производителей программных или программно-аппаратных средств защиты. И, соответственно, их подход к решениям задач бизнеса был сугубо техническим — "вот вам наши системы защиты, они решат все ваши проблемы". Однако в последние пару лет на рынок вышли консультанты и интеграторы с концепцией Security Management (управление безопасностью), которая обеспечивает более тесную интеграцию сервисов И Б в бизнес. Но этот подход не успел прочно войти в сознание заказчиков, в том числе и по причине нагрянувшего кризиса. На смену Security Management должна прийти иная концепция — Security Governance. На русский язык слово "governance" переводится так же, как и management— "управление", но в английской интерпретации смысл у него совершенно другой. Эта концепция призвана поднять планку восприятия ИБ на недостижимый ранее уровень — уровень бизнеса и топ-менеджмента: она подразумевает управление портфелем сервисов и проектов, активами, ресурсами, взаимоотношениями с поставщиками сервисов и решений ИБ, их эффективностью, финансами, а также архитектурой и стратегией ИБ.

  2. Переход от оценки результативности проектов ИБ к их оптимальности.

    Раньше эффективность проекта рассматривалась сугубо в контексте достижения желаемого результата, но этот подход практиковался лишь в эпоху изобилия. Сегодня все заказчики считают каждую копейку, им важно не только достичь хорошего результата, но и сделать это с наименьшими затратами. А оптимальность в сфере И Б может быть достигнута за счет различных подходов: использования свободно распространяемого ПО, повышения осведомленности персонала, отказа от технических средств защиты в пользу организационных мероприятий, применения лизинговых схем покупки оборудования и т. д.

  3. Переход от инвестиций в новые проекты ИБ к анализу и оптимизации существующих решений.

    В прошлые годы руководство зачастую выделяло деньги на ИБ, не требуя при этом четкой оценки рентабельности, поэтому новые проекты по безопасности инициировались с завидной регулярностью. Отсутствие денег на новые проекты подталкивает заказчиков к тому, чтобы наконец-то как следует разобраться, что же они приобрели за прошедшие годы. Это может способствовать появлению заказов на объединение множества несвязанных между собой продуктов, решений и процессов, которые пора сводить в единую систему. Иными словами, наступило время комплексной архитектуры И Б, которая учитывала бы не только текущие, но и будущие потребности бизнеса, связанные с его ростом, развитием IТ, а также изменениями законодательства и конкурентной ситуации на рынке.

Комментарий

Алексей Филатенков,
и. о. начальника отдела информационной безопасности компании Открытые Технологии.

В настоящее время и сам ФЗ № 152, и его подзаконные акты широко обсуждаются и критикуются как самими участниками рынка ИБ, так и СМИ. На мой взгляд, в текущем состоянии эти документы требуют, скорее, обеспечить соответствие неким требованиям, а отнюдь не защитить персональные данные. Таким образом требования к ИБ могут свестись к формальному следованию букве закона, что не является гарантией обеспечения информационной безопасности в отношении конфиденциальных данных.




Предыдущая новость:
Долг платежом красен
Следующая новость:
Интервью с Николаем Рыжовым в год 15-летия компании