Обзор подготовлен

версия для печати
Две грани инвестиций в ИБ: необходимость и выгодность

Две грани инвестиций в ИБ: необходимость и выгодность

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. В то же время обеспечение безопасности - это непрерывный процесс, который должен быть интегрирован с постоянно меняющимися, ужесточающимися требованиями бизнеса.

Адекватный, т.е. приемлемый для бизнеса уровень ИБ на современном предприятии можно обеспечить только при системном подходе, включающем комплекс организационных мер, технических средств и программных решений. Что подразумевать под системным подходом? Любая система характеризуется определенной комбинацией элементов и связей между ними, которые позволяют получить комплекс уникальных свойств, присущих ей.

Простейшие примеры можно найти в природе. Например, сахара обладают сладким вкусом, при этом ни один из составляющих их элементов не является сладким.  Иными словами -  сладость – это специфическое системное свойство, возникающее при определенных соединениях углерода, кислорода и водорода.

В данном случае мы ведем речь о системе ИБ. Соответственно, внедрение системы ИБ на предприятии необходимо начинать с формулирования требований к системе в целом, к элементам, которые ее образуют, и к связям, которые существуют между элементами системы. Только после того, как такие требования формализованы (в некоторых компаниях этот документ может называться «Политика безопасности», в других – иначе), можно переходить к планированию инвестиций в ИБ. Если компания инвестирует в ИБ, не понимая, какую систему она создает, то вряд ли такие инвестиции окажутся выгодными.

Второй аспект, существенно влияющий на эффективность инвестиций в ИБ, – кто в компании отвечает за создание комплексной системы безопасности. А также кто  управляет всеми изменениями, которые необходимо в этой системе произвести, т.е. управляет жизненным циклом системы безопасности.

По опыту зарубежных коллег известно, что в компаниях назначается  специальный «комиссар по безопасности» - используется именно такой армейский термин - который отвечает за формирование комплексной системы безопасности. Он контролирует работу ответственных за каждую «линию обороны»: организационную защиту, защиту на аппаратном уровне, защиту на системном и программном уровне.

В российских компаниях, вплоть до недавнего времени не существовало единой точки принятия решений по обеспечению информационной безопасности. Соответственно, комплекс организационных мер по ее обеспечению мог курироваться службой безопасности, а комплекс мер по защите информационных систем являлся зоной ответственности ИТ-специалистов. Такой подход часто приводил к курьезам и даже зачастую являлся препятствием для развития бизнеса. Например, политика безопасности, разработанная службой безопасности, предписывала не предоставлять сотрудникам компании доступ в  интернет с рабочего места.

Мобильные сотрудники, часто бывающие в командировках и работающие удаленно, не имели возможности получать доступ к необходимым информационным ресурсам через веб-интерфейсы. Партнеры и клиенты компании также были ограничены в возможностях получения желаемых сервисов.

Конечно, безопасность в этой компании была на достаточно высоком уровне, но вот развитие бизнеса тормозилось. По мнению Игоря Тарнаева, директора по развитию бизнеса компании «Черус», сегодня в российской бизнес-среде формируется совершенная новая прослойка топ-менеджеров – CSO (chief security officer), отвечающих за создание комплексной системы безопасности и управление ею. «Очевидно, что главная задача CSO состоит в том, чтобы получить положительный эффект от пересечения двух миров - мира безопасности и информационных технологий, и при этом сохранить максимальную открытость и доступность сервисов компании для ее сотрудников, клиентов и партнеров», - считает эксперт.

Резюмируя, можно сказать, что инвестиции в ИБ необходимы для того, чтобы при помощи комплекса современных технических, программных и организационных средств обеспечить желаемый уровень защищенности информационной среды предприятия. Только так создаются условия для безопасного и контролируемого развития бизнеса.

Проблема совмещения требований безопасности и необходимостей бизнеса давно мешала развитию одного из двух компонентов. Директор по маркетингу Perimetrix Денис Зенкин считает, что "подружить" бизнес и безопасность призваны набирающие популярность решения класса ИАС РСКД (информационно-аналитические системы режима секретности конфиденциальных данных). Это достигается за счет тесной интеграции систем безопасности с бизнес-процессами организаций. «Бизнес становится безопасным, но остается эффективным», - резюмирует Денис Зенкин. А говорить об эффективности вложений в ИБ можно  только после того, как компания сформулирует требования к комплексной системе безопасности и создаст единую точку контроля и управления процессом обеспечения безопасности.

Единство и борьба противоположностей

В связи с ростом ценности информации и усилением зависимости бизнеса от информационных систем, потеря информации или ее недоступность (в какой-то период времени) является наиболее серьезной угрозой для бизнеса. По нашей статистике более 50% компаний, подвергшиеся взлому ИС и утечке важной информации, разорились в течение года после инцидента. По данным исследований, даже в наиболее продвинутых с точки зрения ИБ компаниях не менее 20% всех пользователей ИС – это «мертвые души». Они все еще имеют права доступа к определенным ресурсам, но сотрудниками компании уже давно не являются.

Только 50% компаний проводят регулярный аудит прав доступа в ИС компании, но даже они имеют возможность проводить такой аудит не чаще 1 раза в год. При этом атаки на информационные системы компании в буквальном смысле происходят со всех сторон.

Конкуренты работают извне, инсайдеры – изнутри. При этом,  «инсайдерские» инциденты или случаи взлома информационных систем сотрудниками компании бывают умышленными, а бывают непреднамеренными. К ним можно отнести и ошибки администрирования, которые неизбежно возникают по мере роста количества информационных систем, количества пользователей и, соответственно, количества точек администрирования.

Нельзя забывать и про бывших сотрудников, и про вчерашних партнеров, с которыми отношения прекратились, а вот возможности доступа к информационным ресурсам могли сохраниться. Отдельного решения требует вопрос подключения сотрудников к интернету и предоставления информационных сервисов через Web-интерфейс для работы мобильных пользователей, надомных сотрудников, филиалов и выездных офисов.

Оценка рисков не инвестирования

Очевидно, что необходимо контролировать различные возможности переносить информацию с компьютера на внешние носители. В свете всего вышесказанного корректнее оценивать не выгодность инвестиций в ИБ, а оценивать риски не инвестирования в ИБ.

Таким образом, вопрос целесообразности инвестиций в ИБ разделяется на две взаимодополняющие области: необходимые инвестиции и выгодные инвестиции. С одной стороны, необходимо защитить ИС от рисков, и в этом случае, эффективность инвестиций необходимо сопоставлять с ущербом, который понесет компания в результате наступления того или иного события, умноженном на вероятность наступления этого события.

С другой стороны, инвестиции в конкретные решения, повышающие защищенность информационной среды предприятия, могут вести к действительному сокращению затрат на выполнение определенных работ. В этом случае, выгодность инвестиций в ИБ действительно можно и нужно оценивать по показателям ROI (return on investment).

Например, ROI при внедрении программных решений класса AIM (Access and Identity Management) для централизованного контроля доступа к ИС может составить 300% за 3 года для компании, эксплуатирующей 10 бизнес-приложений и имеющей порядка 1000 внутренних и внешних пользователей.

Андрей Кормильцев, директор департамента ИТ компании «Черус», рассказал, что «внедрение централизованной системы контроля и управления правами доступа к информационным системам у одного из клиентов – крупной торговой компании-дистрибьютора, позволило сократить затраты на администрирование информационных систем более, чем в 10 раз, с 360 тыс. $ до 20 тыс. $ в год.

Централизованное управление жизненным циклом учетных записей пользователей ИС плюс автоматическая выдача прав доступа к ИС в соответствии с заранее прописанными ролями и политиками безопасности позволила сократить время регистрации или удаления одного пользователя во всех ИС до нескольких секунд. Помимо этого, внедрение решения  позволило свести ошибки администрирования к минимуму и уменьшить численность персонала».

Таким образом, можно утверждать, что продуманные инвестиции в ИБ действительно позволяют снизить и контролировать риски, связанные с потерей информации. Это во-первых.  А, во-вторых, инвестиции в ИТ выгодны, т.к. позволяют получить ощутимый экономический эффект от внедрения определенных решений и систем.

TCO или ROI?

Конечно, любая компания, так или иначе, вкладывает средства в обеспечение ИБ, потому что антивирусное ПО или межсетевые экраны используют всеми, у кого есть персональные компьютеры, локальная вычислительная сеть и доступ в интернет. Но в последние два года ситуация с требованиями по обеспечению ИБ изменилась кардинально.  В настоящий момент обязанности организаций по обеспечению информационной безопасности продиктованы рядом российских законов: «О персональных данных», «Об информации, информационных технологиях и о защите информации», принятых в июле 2006 года.

Помимо Федеральных законов, существуют «Специальные требования и рекомендации по технической защите конфиденциальной информации», выпущенные Федеральной службой по техническому и экспортному контролю. В финансовой сфере действуют стандарты Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» и ряд рекомендательных международных стандартов, соответствие которым является необходимым условием для успешной конкуренции в отрасли: Basel II, ISO 17799 и т.д.

Соответственно, требования по обеспечению ИБ относятся абсолютно ко всем компаниям, как большим, так и малым. Все компании обладают информацией о персональных данных сотрудников, принятых на работу (даже если эта информация по старинке хранится в канцелярских папках, необходимо обеспечить специальные меры по ее защите).

Тем более компании, предоставляющие услуги гражданам - банки, операторы связи, страховые компании, а также государственные фонды и учреждения формируют  БД, содержащие персональную информацию о физических лицах: паспортные данные, почтовые адреса, номера мобильных телефонов, номера банковских счетов, кредитные истории и т.д. обязаны обеспечить строгую конфиденциальность этих данных.

Вопрос о том, как оценивать затраты на ИБ остается открытым, и до сих пор используются разные методики. По мнению Владимир Ульянова, руководителя аналитического центра Perimetrix, «в общем случае, показатель TCO полезен при оценке инвестиций по обязательной программе (обновление тех же антивирусов и межсетевых экранов). Показатель же ROI лучше подходит для демонстрации бизнес-выгод от инвестиций в ИБ (автоматизация процессов, внедрение новых систем)».

В настоящий момент можно говорить о том, что в первую очередь компании финансовой сферы осознали необходимость комплексного подхода к обеспечению информационной безопасности и приведению всей инфраструктуры и бизнес-процессов в соответствие с требованиями нормативных документов и стандартов.

Среди финансовых учреждений наиболее высок интерес к решениям по криптографической защите информации, решениям по управлению и контролю доступа к ИС, а также актуальна тема аудита инфраструктуры на соответствие требованиям международного стандарта по безопасности ISO  17799.  Но все это требует денет. А они, как известно, любят счет!

Мария Манова

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS