Наше деловое партнерство www.banwar.org

Забезпечення інформаційної безпеки в сучасній компанії - далеко не найпростіше завдання. Високий ступінь залежності бізнесу від інформаційних технологій, різноманітність зовнішніх і внутрішніх загроз, розвиток кримінального бізнесу, пов'язаного з викраденням і компрометацією конфіденційних даних, роблять завдання правильної організації процесу забезпечення інформаційної безпеки особливо актуальною. Проте в сучасних умовах іноді доводиться вирішувати цю задачу в умовах обмеженого бюджету. Про цю та інші завдання в області організації забезпечення інформаційної безпеки та шляхи їх вирішення розповідає Олексій АНДРІЯШИНА, консультант з безпеки компанії Check Point Software Technologies.

КомпьютерПресс: Чи існують які-небудь базові принципи оптимізації управління інформаційною безпекою?

Олексій АНДРІЯШИНА: Перед тим як охарактеризувати принципи управління інформаційної безпеки, пропоную згадати її визначення. Інформаційна безпека (ІБ) - це механізм захисту, що забезпечує конфіденційність, цілісність і доступність інформації. Незважаючи на те що інформація може міститися в різних формах, інформаційні ресурси є активом компанії, який необхідно захищати. ІБ досягається шляхом комплексу заходів, які представляються політиками, методами, процедурами, організаційними структурами із застосуванням програмних і апаратних засобів. Часто перераховані заходи ділять на організаційно-технічні та програмно-технічні.

Cистема управління інформаційною безпекою ґрунтується на трьох фундаментальних принципах управління:

• принцип розімкнутого керування;
• принцип компенсації;
• принцип зворотного зв'язку.

За принципом разомкнутого управління створюються власні політики безпеки, виконання яких контролюється відповідальними особами. В даний час більшість компаній виділяє для особи, відповідальної за розробку і реалізацію політик ІБ, позицію CISO (Chief Information Security Officer) - керівника відділу ІТ-безпеки або директора по ІТ-безпеки. Як правило, CISO очолює керуючий рада з питань ІБ.

Не буду вдаватися в подробиці можливого побудови ієрархії служби ІБ компанії, так як це питання індивідуальне, але принцип компенсації має на увазі, що в разі виникнення будь-яких відхилень від розробленої політики безпеки або зовнішніх факторів (а це неминуче, оскільки компанії розвиваються, з'являються нові загрози , приходять і йдуть нові співробітники, з'являються нові програмні продукти) необхідно негайно вносити відповідні корективи в алгоритм управління, які компенсували б негативний результ льтати зовнішніх впливів. Тому для компаній дуже важливо не тільки розбирати вже відбулися інциденти, але і будувати систему проактивного захисту, здатної відбити атаки до того, як з'являться проблеми, і навіть до того, як стане відомо про потенційні проблеми та слабкі місця.

Дуже важливо дотримуватися принципу зворотного зв'язку, який дозволяє управляти ІБ по замкнутому колу. За цим принципом будуються багато систем ІБ. Наявність ланки зворотного зв'язку в системі управління інформаційною безпекою дозволяє не тільки виявити окрему загрозу, але і відреагувати на цілий ряд подій, на перший погляд ніяк не пов'язаних між собою. У цьому можуть допомогти продукти, які забезпечують централізоване зіставлення даних журналів подій з мережевих пристроїв і систем безпеки в режимі реального часу, автоматично зіставляючи дані і виділяючи події і загрози безпеці, що вимагають прийняття рішучих заходів, такі як Check Point Eventia Analyzer.

Побудова систем ІБ з урахуванням перерахованих принципів дозволяє використовувати існуючі методи оптимізації для поліпшення різних показників якості системи, таких як стійкість управління, швидкість реакції на існуючі та невідомі загрози (наприклад, атаки zero-day), сукупна вартість володіння системою (TCO), ступінь окупності інвестицій на інформаційну безпеку (ROI) і т.п.

КП: Які загальні рекомендації в області зниження витрат на засоби забезпечення інформаційної безпеки ви могли б дати керівникам і співробітникам ІТ-підрозділів і служб інформаційної безпеки?

А.А .: До питання побудови ІБ потрібно ставитися дуже серйозно. Використання системного підходу дозволить уникнути зайвих витрат на доопрацювання, а можливо, і повного перестроювання системи інформаційної безпеки в майбутньому. Побудова фінансових і математичних моделей систем ІБ, оцінка загроз та їх наслідків, класифікація інформації, облік активів - все це повинно використовуватися при розробці системи інформаційної безпеки. Правильна оцінка ризиків дозволяє істотно знизити витрати на інформаційну безпеку.

Існує величезна кількість рекомендацій та документів, що регламентують питання побудови систем інформаційної безпеки.

Можливість централізованого управління є найважливішою вимогою для ефективної і безперервної роботи системи ІБ. Наприклад, технологія Check Point SMART, що реалізує централізоване управління, дозволяє легко управляти найскладнішими системами, істотно знижуючи як витрати на адміністрування, так і кількість помилок, що допускаються персоналом. Використання ж «клаптикового» методу побудови системи ІБ робить її в підсумку некерованою, слабо контрольованою і просто кажучи марною.

КП: Які, на ваш погляд, найбільш характерні помилки, що здійснюються керівниками і співробітниками ІТ-підрозділів в області забезпечення корпоративної інформаційної безпеки?

А.А .: До найбільш характерних помилок керівників і співробітників підрозділів ІБ я б відніс такі:

зайва самовпевненість - впевненість в тому, що більшість атак, вразливостей і методів боротьби з ними досконально відомі, є згубною. Широко поширена тенденція недооцінки загроз через те, що багато інцидентів ховаються. Події, про які стає публічно відомо, лежать на поверхні величезного айсберга, основна частина якого прихована від громадськості. І це зрозуміло: деякі компанії вирішуються оголосити про те, що вони стали жертвою вірусної атаки або що їх дані були викрадені, так як подібні факти негативно впливають на репутацію компанії;

• принцип «Більше продуктів - вища безпека» - застосування великої кількості коштів інформаційної безпеки не завжди є корисним. Як я вже говорив, це призводить до збільшення витрат на обслуговування, навчання персоналу, оновлення сервісних модулів і не дає централізовано керувати системою інформаційної безпеки;
• недостатній рівень захисту кінцевих робочих місць користувачів: персональних комп'ютерів, ноутбуків, кишенькових комп'ютерів. Антивіруса для цього явно недостатньо. Мобільність користувачів зростає, а з нею ростуть і ризики, пов'язані з можливістю втрати конфіденційних даних, несанкціонованого доступу до мобільних пристроїв в мережах загального користування. Застосування всіляких неконтрольованих мобільних носіїв інформації створює великий ризик для інформаційної безпеки компанії в цілому. Для зниження цих ризиків потрібні продукти, що забезпечують всебічний захист робочого місця користувача, такі як рішення компанії Check Point для захисту кінцевих точок Endpoint Security;
• невірне визначення витрат на інформаційну безпеку - витрати потрібно розділяти на змінні і постійні. Порівнюючи вартість рішень, слід правильно оцінювати сукупність витрат хоча б за три роки. А ще краще врахувати і можливість подальшої неминучою модернізації.

КП: В умовах економічної нестабільності керівникам і співробітникам ІТ-підрозділів і служб інформаційної безпеки нерідко доводиться доводити витрати на безпеку перед керівництвом своїх компаній. Чи існують методи оцінки економічної ефективності вкладень в даний напрямок?

А.А .: Нерідко єдиний спосіб переконати керівництво в необхідності витрат на побудову або модернізацію системи інформаційної безпеки - довести її економічну ефективність. Оскільки ключове рішення приймає, як правило, фінансовий або генеральний директор, з ним потрібно вміти розмовляти однією мовою. Знайти точки дотику з топ-менеджментом компанії дозволяє фінансова модель проекту. Якщо проект системи інформаційної безпеки в цілому веде до збільшення чистого грошового потоку компанії, якщо з точки зору інвестицій проект є привабливим, то відповідний бюджет буде затверджений. Марно лякати фінансового директора розподіленими атаками, троянами, SQL-ін'єкціями і крос-сайтовий скриптами, поки йому не буде представлена ​​інвестиційна прибутковість проекту. Іноді цей показник називають IRR (Internal Rate of Return - внутрішня дохідність).

КП: Нерідко в якості засобу скорочення витрат на інформаційні технології та захист даних пропонується висновок на аутсорсинг частини функцій, що виконуються ІТ-підрозділами. Яку, на ваш погляд, діяльність щодо забезпечення інформаційної безпеки могли б доручити зовнішнього постачальника послуг невеликі і середні компанії?

А.А .: Консалтингові послуги з інформаційної безпеки дуже часто є затребуваними невеликими і середніми компаніями.

Останнім часом також дуже активно розвивається ринок MSP (Management Service Provider). MSP - це організації, які пропонують послуги з інформаційної безпеки як сервіс. Як правило, такими організаціями є великі провайдери, але невеликі і середні компанії охоче користуються їхніми послугами. Такі продукти компанії Check Point, як Provider-1, VSX і VPN-1 VE, дозволяють MSP реалізовувати сервіси інформаційної безпеки. Серед подібних сервісів -антівірусная захист, межсетевое екранування, URL-фільтрація, боротьба з небажаними поштовими повідомленнями і т.п. Якщо невелика організація не може дозволити собі утримувати кваліфікований персонал, обслуговувати дороге устаткування і т.п., то вона звертається до послуг MSP.

КП: Велике спасибі за цікаве інтерв'ю! Від імені нашого видання бажаю вашій компанії подальших успіхів на російському ринку.

Питання ставила Наталія Єлманова

КомпьютерПресс 11'2009