Рисковая методология для непрерывности работы ИТ-систем

25 августа 2006 CNews
CNews
25 августа 2006 г.
http://www.cnews.ru/reviews/free/security2006/int/ot/
Евгений Акимов, менеджер направления "Информационная безопасность" компании Открытые Технологии.

На вопросы CNews ответил Евгений Акимов, менеджер направления "Информационная безопасность" компании Открытые Технологии.

CNews: Прошедший год выдался относительно спокойным в плане вирусных эпидемий. Повлияло это на спрос на продукты и услуги в сфере ИБ со стороны заказчиков?

    Евгений Акимов: Вы совершенно правы, принимая решение о внедрении тех или иных средства защиты, компании ориентируются на то, какие собственно инциденты происходят как у них, так в других организациях. Это элемент, так называемого, управления ИБ по принципу "сломалось — починили". Но это не единственное, из чего состоит управление. Многие крупные компании (а подавляющее большинство наших клиентов как раз таковыми и являются) занимаются оценкой того, что произойдет, не дожидаясь инцидентов. Это — активное управление ИБ. В настоящий момент практически все организации однозначно приходят к выводу о необходимости антивирусной защиты, независимо от того насколько крупными были вирусные эпидемии. Неприменение антивирусных средств увеличивает риски, и многие это понимают, поэтому все их устанавливают, и это, соответственно, приводит к уменьшению количества инцидентов и потерь.

CNews: К защите от каких угроз проявляли наибольший интерес ваши клиенты?

    Евгений Акимов: Утечка конфиденциальной информации и несанкционированный доступ — вот самые «популярные» угрозы среди наших заказчиков. Нами было реализовано несколько крупных проектов по управлению учетными записями и правами пользователей. Это показатель того, что в больших компаниях с высоким уровнем развития ИТ инциденты начинают происходить из-за ошибок в администрировании, т.к. встроенные средства управления доступом разрознены и при большом количестве прикладных систем разобраться что к чему становится не просто.

    Востребованы системы управления информацией о событиях ИБ, при внедрении которых наши клиенты преследуют следующие цели. Во-первых, зафиксировать реальный инцидент, не погрязнув в ложных срабатываниях средств защиты и принять меры по его локализации, снизить нанесенный ущерб, и, во-вторых, сделать выводы на будущее, внести коррективы в оценку рисков с учетом реальной истории инцидентов, принять меры по недопущению этого в будущем.

    Кроме того, наметился серьезный интерес к вопросам ИБ, которые раньше оставались вне поля зрения или традиционно находились в ведении ИТ-подразделений. В частности, все большее число заказчиков начинают применять рисковую методологию к вопросам непрерывности работы ИТ-систем и приходят к выводу о необходимости создания планов (программ) обеспечения непрерывности бизнеса, планов восстановления после сбоев (BCP/DRP). Современные требования бизнеса таковы, что очень часто для их реализации приходится строить резервные центры обработки данных (РЦОД). Нашей компанией реализованы проекты как по аналитической работе в этом направлении (разработка планов BCP/DRP), так и по проектированию, внедрению и поддержке РЦОДов.

CNews: Какие вертикальные рынки были наиболее активными?

    Евгений Акимов: Достаточно сложно выделить наиболее активных — вопрос ИБ волнует всех. Мы выполняем проекты в области ИБ практически во всех секторах рынка.

    Однако если посмотреть не на число проектов, а на их сложность, комплексность и объем, то лидеры вполне прогнозируемые. Это финансовый сектор, прежде всего банки и страховые компании, телекоммуникационный сектор и нефтегазовая отрасль.

    В этом году мы начали очень интересный проект для промышленного сектора. На ЗАО "Группа ЧТПЗ" (металлургия) стартовало внедрение стандарта информационной безопасности ISO27001 для дальнейшего проведения сертификационного аудита на соответствие данному стандарту. В ближайшее время аналогичные работы начнутся и в финансовых компаниях, так что, скорее всего, лидирующая тройка по итогам года останется без изменений.

CNews: Заинтересован ли финансовый сектор в приведении своих систем ИБ в соответствии со стандартом Центробанка по ИТ-безопасности? Обращались ли к вам за подобными услугами?

    Евгений Акимов: Действительно, банк не может обеспечивать информационную безопасность исходя только из своих представлений о ней, поскольку от его действий зависят интересы клиентов. В этом смысле ЦБ выступает гарантом безопасности клиента, создавая документы, регламентирующие обеспечение ИБ. Кроме того, использовать опыт, накопленный в такой специфичной отрасли как банковская, и обобщить его в виде систематизированного документа, несомненно, полезно и нужно.

    Важно понимать, что есть банки, которые уже многое сделали в области ИБ, потратив на это и усилия, и деньги. Поэтому стандарт не должен быть слишком конкретизированным. Ведь чтобы выполнить слишком детальные требования, придется переделывать уже существующую систему безопасности банка (которая может быть неплохой), что потребует новых, порой неоправданных инвестиций. Например, вряд ли нужно жестко специфицировать состав комплекта организационно-распорядительной документации. На мой взгляд, стандарт в основном должен содержать методологию обеспечения ИБ.

    Все проекты в банках, реализованные нашей компанией в 2005-2006 гг., основывались на данном стандарте и на стандарте ISO27001, который лежит в основе документа ЦБ. Но пока это только проект стандарта, причем от версии к версии он претерпевает некоторые изменения, поэтому сейчас мы реализуем его основные, базовые положения, впрочем, давая заказчикам полную картину того, насколько они ему соответствуют.

CNews: Какие виды аудита ИБ или других услуг в сфере ИБ были наиболее востребованы в 2005 г.?

    Евгений Акимов: Я бы выделил два типа консалтинговых проектов, зависящих от уровня зрелости заказчика. Первый тип — это обследование ИБ и оценка рисков для создания долгосрочного плана модернизации КСИБ, т.е. комплекса защитных мер. В результате этих проектов мы совместно заказчиком вырабатываем решения по управлению ИБ, и в дальнейшем заказчик этим решениям следует и придерживается.

    Второй тип — это построение системы управления ИБ, создание порядка организации работ по обеспечению ИБ, внедрение которых позволяет заказчику самостоятельно управлять ИБ. Здесь также происходит оценка рисков и создается план модернизации, на этом примере заказчику передается методика того, как это надо делать в дальнейшем, уже без нашего участия. Такие проекты обладают существенной уникальностью, затрагивая вопросы корпоративного управления.

CNews: С какими ошибками, допускаемыми при построении систем защиты, вам чаще всего приходится сталкиваться?

    Евгений Акимов: Результаты проводимых нами работ по оценке рисков позволяют говорить о том, что компании уделяют недостаточно внимания вопросам внутренней безопасности. Скорее всего, это связано со стереотипом, что «враг» на другой стороне баррикад, а сотрудники обязательно лояльные и даже не ошибаются. К сожалению, это не так.

    Кроме того, зачастую службы ИБ действуют в рамках выделенного сверху бюджета, не предпринимая попыток поставить обеспечение ИБ на службу бизнесу, сделать это прозрачным и обоснованным для руководства. В результате — либо слабая защита, либо перерасход средств. Встречается и то, и другое. Например, одна из уважаемых компаний реализовала у себя мощную систему периметровой защиты (FW и VPN), потратив довольно серьезную сумму. Но не заплатила весьма скромных денег за обновления антивирусной системы. Хакеры, конечно, не «пролезли», но работа корпоративной сети в результате вирусной эпидемии была парализована. И деньги потрачены, и ущерб большой.

CNews: На рынке все чаще говорят об острой нехватке квалифицированных ИТ-специалистов. Наблюдается ли такая проблема в сфере ИБ?

    Евгений Акимов: Да, здесь такая же проблема, как и с другими ИТ-специалистами. И речь идет скорее не о квалифицированности (дипломы и сертификаты по ИБ не так уж и редки). Не хватает людей с реальным опытом и практическими знаниями. Такие специалисты действительно редки.

    Острее всего стоит вопрос с отсутствием аналитиков и консультантов в сфере ИБ. К сожалению, учебные центры в основном ориентированы на инженерные направления. В нашей компании, благодаря сотрудничеству с компанией SGS, проблему удается решать. Мы занимаемся подготовкой и развитием своих специалистов. Сотрудники нашей компании регулярно проходят обучение по управлению ИБ на основе стандарта ISO27001 (в настоящий момент у нас более 15 обученных специалистов — это рекордный показатель в российской системной интеграции), по BCP, средствам и методикам оценки рисков. Многие курсы приходится проходить за рубежом, и хотя стоимость самих курсов сопоставима с отечественными расценками, командировочные расходы, конечно, высоки, но и результат не сравним.

CNews: Какие интересные проекты были реализованы вами за прошедший год?

    Евгений Акимов: Проект по построению системы однократной регистрации (SSO) в компании "Транстелеком" был признан заказчиком лучшим проектом по ИБ в 2005 году. В качестве основной технологии использовались решения IBM-Tivoli. Система предназначена для обеспечения централизованного управления доступом сотрудников заказчика к ИС заказчика. В результате создания системы управления учетными записями заказчик получил весомые преимущества. Благодаря системе осуществляется четкий контроль за тем, кто из пользователей к чему имеет доступ; моментальное блокирование ушедших или сменивших работу пользователей во всех системах, что обеспечивает безопасность данных. Кроме того, повышается эффективность работы (сотрудники быстрее получают нужный доступ) и удобство использования (один пароль для всех систем — Singe Sign-On).

    Другой интересный проект по управлению учетными записями в ТНК-ВР на базе решений Microsoft. Также мы разработали методики обеспечения информационной безопасности для межрегиональных компаний связи ОАО "Связьинвест" и концептуальные документы о порядке организации работ по обеспечению ИБ на основе стандарта ISO27001 в одном из московских банков. Помимо этого у нас была серия проектов по разработке КСИБов для крупнейшего национального оператора связи. Список можно продолжать…

CNews: Ожидаете ли вы изменение спроса на услуги и продукты ИБ на рынке?

    Евгений Акимов: Базовые системы ИБ реализованы практически у всех наших заказчиков, поэтому эти направления вряд ли дадут большой рост рынка. Основные нерешенные вопросы — управление инцидентами, управление ИБ, обеспечение непрерывности и управление учетными записями и правами доступа. Проекты дорогостоящие, интерес к ним высок. Думаю, именно они вернут рынок к тому быстрому росту, который наблюдался в 2003-2004 гг.

CNews: Спасибо




Предыдущая новость:
Тенденции рынка серверов в России
Следующая новость:
Тенденции развития рынка ИСУП для транспортной отрасли