Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Рынок услуг ИБ «взлетел»

Российский рынок услуг в сфере информационной безопасности переживает стадию роста. За три года доля услуг выросла с 5 % до 35 %.

Одним из факторов роста спроса на услуги в области информационной безопасности является увеличение количество компаний, достигших определенной стадии своего развития. Беспорядочная закупка различных технических средств информационной безопасности в расчёте на то, что простое их внедрение качественно защитит бизнес, прошла. Многие организации пришли к пониманию, что эффективность работы программно-аппаратных средств напрямую зависит от того, насколько система информационной безопасности интегрирована в общую информационную систему компании, а также от того комплекса сопутствующих организационных мероприятий, т.е. комплекса услуг по ИБ, которые были проведены. В первую очередь к подобному пониманию, а также к реальной реализации масштабных комплексных проектов пришли крупные компании, весь бизнес которых серьёзно зависит от репутации и доверия к ним клиентов, акционеров и инвесторов, и чьим серьёзным активом является информация, а также её конфиденциальность.

Активное развитие рынка услуг, по мнению большинства экспертов, началось в России только в 2004 г. По оценкам компании «Информзащита» в 2003 г. доля услуг в общем объеме ранка не превышала 5 %, тогда как по итогам 2005 г. составила 30 %-35 %

Динамика изменения доли услуг на рынке ИБ

Источник: «Информзащита»

Чем сложнее и масштабней информационная система предприятия и чем больше в ней используется разнообразных платформ и приложений, тем соответственно она уязвимее. Эта ситуация усугубляется ещё и возрастающей агрессивностью внешней среды. Поэтому для таких компаний всё большее значение начинают приобретать услуги по информационной безопасности, которые ориентируют их на внедрение и использование так называемого «упреждающего подхода», позволяющего значительно сократить затраты на реагирование в случае инцидентов и в результате повысить общий уровень безопасности организации.

На сегодняшний день на рынке существует большое количество компаний, готовых оказывать услуги в области информационной безопасности. Большая часть из них фокусируются на предоставлении той или иной определенной услуги или некоего небольшого набора услуг, это так называемые «нишевые» компании. Другие же организации, и их на порядок меньше, имеют возможность предоставить клиенту широкий спектр всевозможных услуг по информационной безопасности, начиная от неких разовых «коробочных» решений и заканчивая сложными и масштабными комплексными вариантами, оптимально подобранными под тот или иной проект и особенности клиента.

Классификация услуг

Прежде чем начать подробный разговор о наиболее популярных на сегодняшний день услугах по информационной безопасности полезно для наглядности расположить их по уровню сложности исполнения и комплексности. В понятие «уровень сложности» входит совокупная оценка трудозатрат на выполнение работ и требуемая квалификация исполняющего её специалиста.

Уровень сложности и комплексности услуг ИБ*

* – На данном графике услуга по аудиту рассматривается как проверка текущего состояния информационной безопасности на соответствие определенным заданным требованиям. Но если говорить об аудите как и о комплексе мер по устранению выявленных несоответствий, то он автоматически может быть приравнен к такой услуге как создание системы защиты информации.

В свою очередь, исследование показало, что компании заинтересованы в наибольшей степени услугами по анализу информационных рисков, сопровождению внедренных систем и техническому проектированию. Таким образом, в ближайшем будущем можно ожидать рост спроса именно на эти услуги.

Потребность компаний в услугах ИБ

Источник: «Информзащита», 2006 год

«Коробочные» услуги

Начнем с наиболее простых услуг по информационной безопасности, а именно типовых «коробочных» услуг. К этой категории в первую очередь относятся такие услуги как сканирование сети, тест на проникновении и «honey pot».

Сканирование сети подразумевает оценку текущего уровня защищенности узлов корпоративной информационной системы компании, на которых функционирует системное и прикладное ПО, с помощью специализированных программных средств. Также осуществляется обнаружение потенциально опасных уязвимостей в конфигурации и настройках оборудования и программных средств информационной системы. Данная процедура достаточно проста в исполнении, но и по её итогам заказчик получает лишь некий общий срез существующего состояния системы с точки зрения её безопасности.

Penetration testing (тест на проникновение) выглядит совсем иначе, хотя его зачастую сравнивают со сканированием. Тест на проникновение должен осуществляться опытными и высококвалифицированными аналитиками, которые по совместительству ещё должны быть неплохими хакерами.

Вообще, penetration testing представляет собой моделирование действий хакера по проникновению в информационную систему компании и позволяет обнаружить уязвимости в защите сети и осуществить показательный взлом. Существует несколько режимов тестирования. Они различаются по уровню информированности исполнителя о тестируемой системе (Black Box или White Box) и заказчика о проводимом тестировании (режим Black Hat или White Hat).

Режим White Box подразумевает, что проверяющим доступна самая обширная информация о сети компании — установленные защитные системы, используемое программное обеспечение и многое другое. Black Box–режим зачастую моделирует поведение хакера, которому известно лишь официальное название компании. В режиме White Hat исполнитель тестирования и заказчик работают в тесном контакте, всячески помогая друг другу. В Black Hat-режиме о проведении тестирования известно только руководителям отдела информационной безопасности и руководству самой компании.

Наибольший интерес с точки зрения реальной практики представляют именно Black-режимы. В таких условиях проверяющие должны действовать максимально скрытно, не давать обнаружить свою деятельность и при этом замести все свои следы. Это позволяет оценить уровень подготовленности администраторов безопасности, их готовность к обнаружению и отражению сетевых атак, а также реально измерить уровень оперативности всего подразделения ИБ в целом.

«Honey Pot» представляет собой еще одну интересную услугу, которую, в принципе, можно отнести к «коробочным». Заключается она во внедрение и сопровождение системы раннего предупреждения и прогнозирования атак, являющейся средством имитации фрагментов информационной системы заказчика. Она позволяет показать заказчику направленные против него акции сетевой разведки, реальные попытки совершения несанкционированных действий в отношении его информационной системы и возможные мотивы злоумышленников. Следует отметить, что подобная система не может рассматриваться как альтернатива системам межсетевого экранирования, антивирусной защиты и систем обнаружения вторжений (IDS, IPS). Применение указанных систем является необходимым для успешного отражения более чем 99 % существующих атак. «honey pot» же стоит рассматривать как средство для построения второго эшелона системы защиты от атак.

Все перечисленные выше услуги являются разовыми и направлены только на выявление уязвимостей, связанных с безопасностью существующей системы. Они не решают обнаруженных проблем заказчика, а лишь дают некую информацию об их наличии. Но стоит заметить, что при заказе подобной услуги заказчик всегда в итоге получает набор замечаний и рекомендации по устранению выявленных уязвимостей, а также по повышению общего уровня информационной безопасности информационной системы компании. И что делать с этими рекомендациями он решает сам.

К категории «коробочных» услуг также можно отнести сопровождение внедренных систем и повышение осведомленности сотрудников компании. Рассмотрим их по порядку.

Сопровождение внедренных систем является одной из наиболее актуальных для компаний услуг (более 50 % респондентов отметили эту услугу как наиболее востребованную). При этом наиболее важными качествами сервисной организации, оказывающей техническую поддержку, большинство респондентов назвали: своевременность решения проблем, а также качество поддержки. Также были отмечены такие качества как: работа в режиме 24*7, время и опыт работы компании на рынке. Оптимальным же вариантом организации грамотной техподдержки своим клиентам является создание круглосуточно действующего сервисного центра как отдельной структурной единицы в компании со штатом высококвалифицированных инженеров. А также предложение клиентам, в зависимости от уровня сопровождения, оптимального набора сервисов и услуг.

Повышение осведомленности стало особенно актуальным в последнее время. Сейчас многие говорят об инсайдерах и тех рисках, которым они подвергают компанию, в которой работают. Более 70 % инцидентов, связанных с нарушением информационной безопасности в организациях связано с человеческим фактором. Какие-то из этих инцидентов осуществляются целенаправленно злоумышленниками, а остальные исключительно по причине незнания или халатности сотрудников. В этой связи, именно для второго типа инсайдеров компании заказывают проведение мероприятий по повышению осведомленности пользователей в вопросах информационной безопасности.

Данные мероприятия предназначены в первую очередь для: развития и поддержания у пользователей информационных систем понимания того, какие проблемы безопасности могут возникнуть при использовании информационных технологий, и знаний как действовать в той или иной ситуации; осознания пользователями их обязанностей и ответственности по обеспечению защиты информации в информационной среде компании; повышения уровня знаний пользователей по основным правилам обеспечения информационной безопасности. Все эти мероприятия направлены на снижение риска возможных потерь.

Комплексные услуги

Аудит на соответствие стандартам в последнее время является очень популярной темой для обсуждения. На инициацию проведения аудита компанию может подвигнуть ряд причин. Во-первых, наличие сертификата о соответствии тому или иному стандарту зачастую является требованием партнёров, клиентов, законодательства или отраслевого стандарта. Во-вторых, бывают ситуации, когда в результате слияния или поглощения компаний необходимо оценить уровень безопасности информационной системы присоединяемого сегмента. И, в-третьих, например, внутренний аудит системы ИБ обычно проводится с целью выяснения руководством степени соблюдения внутренних нормативных требований по безопасности каким-либо филиалом или подразделением компании.

При решении провести аудит зачастую у заказчиков возникает сомнение относительно непредвзятости аудитора. Данные опасения касаются возможного навязывания компанией-аудитором каких-то своих продуктов или сервисов, не имеющих прямого отношения к самой процедуре аудита. Для того, чтобы избежать подобных сомнений и опасений, следует более четко ставить задачи: аудитор должен дать четкое заключение о состоянии информационной системы. А если он и предлагает решить выявленные недостатки, то требуйте от него качественных предложений — не средств, а методов решения проблем.

Рассмотрим такой популярный сегодня британский стандарт по информационной безопасности как BS 7799, о котором много говорят, но мало кто его реально применяет на практике. Всем известно, что он состоит из двух частей, каждые из которых были в своё время переданы в международную организацию по стандартам (ISO) и утверждены в качестве международных стандартов ISO 17799 и ISO 27001 соответственно. При этом до сих пор существует непонимание относительно сертификации на соответствие этим двум стандартам. Сертификация по ISO 17799 — не проводится. Этот документ представляет из себя лишь сборник, так называемых, «best practices» — лучших примеров мирового опыта в области информационной безопасности.

В свою очередь ISO 27001 требует прохождения сертификации на соответствие прописанным в нём требованиям. В данном стандарте как раз определены именно требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования документированной системы управления информационной безопасностью в контексте общего делового риска организации. В нем определены требования для реализации мер по обеспечению безопасности, приспособленные к потребностям отдельных организаций или их подразделений. Также нужно знать, что сертифицировать на соответствие данному стандарту можно и отдельно взятый бизнес-процесс, при условии, что он является жизненно-важным для компании.

В основном данный вид услуг интересен крупным компаниям, для которых важна долговременная стратегия развития системы управления информационной безопасностью, прозрачность, а также повышение степени лояльности и доверия со стороны западных клиентов, партнёров и инвесторов. Процесс подготовки компании к прохождению аудита и сертификации на соответствие ISO 27001 является довольно долгим и сложным и в зависимости от исходного состояния системы информационной безопасности компании может занять от 4 месяцев до года.

Одним из отечественных стандартов, к которому сейчас проявляется интерес со стороны банковских структур является стандарт, разработанный Банком России и который носит название: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Плюсы данного стандарта состоят в том, что он инициирован ЦБ РФ, учитывает специфику банковской системы РФ, постоянно дополняется методиками и примерами. Но есть и минусы, а именно: излишняя сложность методик оценки и внедрения и наличие всего несколько аккредитованных аудиторских компаний, имеющих право на проведение данного вида аудита. Но, не смотря ни на что, банки продолжают интересоваться этим стандартом и изъявляют желание его внедрить.

Также интерес представляет стандарт, разработанный международными платежными системами VISA и MasterCard, а именно «Payment Card Industry Data Security Standard» (стандарт защиты информации в индустрии платежных карт). В России он пока что не получил широкой огласки, но в ближайшем будущем, если компания VISA сделает его обязательным для работающих с ней банков, процессинговых центров и торговых компаний он обретёт популярность. Решение о создании данного единого стандарта было принято международными платежными системами VISA и MasterCard в связи с ростом числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена. Стандарт объединяет программы Account Information Security (AIS) и Cardholder Information Security (CISP), разработанные VISA и программу Site Data Protection (SDP), разработанную MasterCard. На их основе создан единый набор мер и требований, соблюдение которых призвано поспособствовать сохранности значимой конфиденциальной информации. Нежелание компаний, работающих с платёжными системами VISA и MasterCard, защищать конфиденциальную информацию, касающуюся счетов клиентов и операций по ним, может привести к финансовым потерям из-за мошенничества, а также снижению доверия потребителей. Поэтому в рамках требований Стандарта предусматриваются ежегодные аудиторские проверки, а также ежеквартальные сканирования сетей компаний.

Анализ рисков, согласно исследованию, является одной из наиболее актуальных услуг (более 50 % респондентов указали данный вид услуг в перечне наиболее востребованных их компаниями). Это связано с тем, что информационные технологии значительно расширили возможности бизнеса. Но новые возможности всегда сопряжены с новыми рисками, подобно тому, как в финансовой сфере более высокая доходность означает более высокую степень риска. Чем сложнее информационная система, тем выше риск осуществления по отношению к ней различных угроз: например, проникновения в систему извне или несанкционированного доступа изнутри компании с целью финансового мошенничества или хищения коммерческой информации. Когда возможный ущерб от потенциальных угроз достаточно велик, необходимо внедрять адекватные и экономически оправданные меры защиты.

Каждая компания, поставляющая данный вид услуг обладает собственной методикой для анализа рисков, основанной на тех или иных стандартах безопасности. Результаты же проведенного анализа послужат руководством к формированию экономически обоснованной стратегии обеспечения информационной безопасности, которая будет учитывать не только технологические риски, но и риски организационного характера, связанные с основными бизнес-процессами компании. Также заказчик получает конкретные рекомендации по усовершенствованию существующей системы информационной безопасности, учитывающие как текущее состояние предприятия, так и возможности его дальнейшего развития.

Создание системы защиты информации в корпоративной информационной системе заказчика относится к наиболее сложным комплексным услугам. Основными целями создания подобной системы в компании являются: создание единой политики информационной безопасности; обеспечение защиты внутренних критичных информационных ресурсов при обеспечении доступа к ним внутренних и внешних пользователей; обеспечение качественно нового уровня информационного взаимодействия между удаленными подразделениями (если таковые имеются) и головным офисом компании; повышение надежности и защиты информационных и телекоммуникационных решений в связи с повышением требований к доступности и достоверности информации; реализация комплексного подхода к обеспечению информационной безопасности при взаимодействии внутри корпоративной сети и при доступе к внешним информационным ресурсам. В данную услугу может ходить различное количество подуслуг, которое должно быть необходимым и достаточным для каждого конкретного проекта и согласовывается весь это перечень индивидуально с каждым заказчиком.

Подводя итоги можно сказать, что факт осознания многими компаниями того, что систему информационной безопасности следует интегрировать в общую информационную систему организации, является неоспоримым. Реализация же подобной интеграции невозможна без специализированных услуг по ИБ. Следует ещё добавить, что увеличение рынка услуг будет сопряжено с развитием и укрупнением бизнесов самих компаний, т.к. будут укрупняться и усложняться их информационные системы, и, соответственно, доля затрат на услуги в общем бюджете на информационную безопасность будет возрастать.

Зосимовская Наталья