Глупо ставить бронированную дверь на шалаш
14 ноября 2005
Рубрика: Интервью.
Автор: .
pic

Наш корреспондент Анвар Назаров встретился со старшим консультантом компании Делойт и Туш СНГ, автором ряда публикаций в журналах издательства «Открытые системы» и книги «Информационная безопасность предприятия» издательства «БХВ-Петербург» Искандером Конеевым, Certified Information Systems Security Professional (CISSP), и взял у него интервью для нашего журнала.

Корреспондент: — Искандер Рустамович, скажите, пожалуйста, как Вы оцениваете уровень защищенности корпоративных ИТ-систем в компаниях Узбекистана? В какой мере компании этого региона нуждаются в системах защиты информации?

Искандер Канеев: — Без сомнения, крупные компании Узбекистана – такие, как, например, международные банки, уже имеют у себя развитую систему безопасности, это отраслевой стандарт. Банк не пройдет аудиторскую проверку на должном уровне, упадет его рейтинг, если информационные технологии не соответствуют определенному уровню безопасности. Что касается средних и малых предприятий, то, на мой взгляд, они только начинают подниматься на первый уровень зрелости. Но здесь необходимо отметить, что информационная безопасность не статична. То есть нельзя провести разовые мероприятия по безопасности и, достигнув определенного уровня, успокоиться и остановиться. Формула жизненного цикла: спланируй-сделай-проверь-исправь — имеет в конце стрелку, возвращающую цикл к первому шагу. То есть любой самой развитой организации необходимо регулярно проводить переоценку состояния информационной безопасности (Check-Проверь) самостоятельно либо с привлечением квалифицированных экспертов. Это означает, что и предприятиям с развитой информационной безопасностью необходимо заниматься ею регулярно.

Большинство вопросов, с которыми ко мне обращаются, сводятся к тому, какое техническое решение следует приобрести, чтобы все было в порядке. Видимо, здесь есть определенная вина производителей продуктов по безопасности, которые порой рекламируют свое решение как стопроцентную гарантию от инцидентов по безопасности. Можно предположить, что предприятие с таким сугубо техническим подходом будет постепенно перемещаться вверх по модели зрелости, накапливая опыт, но, к сожалению, делая множество нецелевых или малополезных инвестиций, прежде чем достигнет соответствующего уровня.

На низком уровне развития у информационной безопасности предприятия есть три негативных направления:

безопасности нет вообще, каждый пользователь защищает свой компьютер как может, сеть не защищает никто
функции безопасности выполняют 1-2 системных администратора, которых все воспринимают, как «этот компьютерщик с ВЦ», и не относятся серьезно
служба безопасности существует, но видит себя только как репрессивный орган с задачей «поймать тех, кто читает в Интернете анекдоты, и наказать».

Понятно, что в этих случаях наладить работу таким образом, чтобы она была продуктивной, трудновато. Единственный выход – приглашение стороннего эксперта, который сможет ускорить прохождение по модели зрелости и организовать работу должным образом.

Подводя итог, можно сказать, что уровень защищенности организаций различный. А потребность региона в решениях по безопасности ярко характеризует принятие рядом стран региона в последние годы законов об электронно-цифровой подписи. Это шаг, определенным образом характеризующий развитие государства и его экономики по отношению к информационным технологиям. А такое развитие влечет за собой риски, на которые нужно адекватно реагировать.

Корр.: — Как можно охарактеризовать рынок систем ИТ-безопасности для компаний малого и среднего бизнеса в Узбекистане?

И.К.: — В настоящее время на рынке присутствует спрос на технические решения по безопасности. Соответственно есть и предложения, в том числе и от компаний широко известных в мире как поставщики передовых аппаратных или программных продуктов защиты информации. Огорчает, что пока нет высокого спроса на услуги и решения по управлению информационными рисками. А ведь именно управление рисками должно определить — какое техническое решение применять.

Выбор технического решения это последний шаг в нашем процессе. Попытка начать с приобретения и внедрения готового технического решения может привести к тому, что будет снижен вовсе не самый критический риск и средства будут потрачены в значительной степени зря. Поскольку редкая организация способна сразу выделить средства на приобретение всех необходимых технических решений, необходимо также предусмотреть правильное распределение средств между группами рисков. Глупо ставить бронированную дверь на шалаш, рассуждая, что стены мы поставим в следующем году, когда будут деньги.

Поэтому мне бы хотелось, чтобы компании различных уровней – среднего, малого и крупного — в Узбекистане и в Центральной Азии осознали необходимость управления рисками, и спрос на эту услугу вырос и предшествовал спросу на технические решения.

pic

Корр.: — Как Вы считаете, с чего и как обычно начинается осознание необходимости внедрения систем информационной безопасности в бизнесе?

И.К.: — В своей книге «Информационная безопасность предприятия» я привожу несколько примеров, когда необходимо начинать мероприятия по информационной безопасности. Чтобы не повторяться, скажу кратко: как только в организации появилось что-то ценное, возникает потребность в информационной безопасности.

Отмечу, что порой информационную безопасность воспринимают только как набор программных мер, вроде установки нового антивируса или настройки операционной системы. Однако, если организация приобрела дорогостоящий сервер, то о нем надо позаботиться и как о физическом объекте, то есть разместить его в помещении с ограниченным доступом. А если организация производит в ходе своей деятельности интеллектуальную собственность, то необходимо позаботиться о документальном оформлении ее создания, хранения передачи и т.д.

К сожалению, иногда эти вопросы выпадают из поля зрения служб безопасности. Мне приходилось видеть в очень крупных организациях сетевые узлы (хабы), размещенные в коридоре или в туалете, потому что так удобнее.

По этой причине начинать работы по безопасности надо с приема на работу профессионального специалиста в этой области или с привлечения стороннего эксперта. В противном случае, спектр направления безопасности останется охваченным не полностью.

Корр.: — Если компания осознала необходимость внедрения таких систем, то исходя из каких критериев определяется выбор той или иной системы защиты информации в компании?

И.К.: — Критерий может быть только один – управление рисками. Условно говоря, если неприемлемый годовой риск по данной уязвимости данного информационного актива составляет 1000 условных единиц, то бессмысленно приобретать решение, которое в совокупной стоимости владения будет составлять сумму в 1100. Понятно, что суммы условные, кроме прямого материального ущерба, следует учитывать косвенные и т.д., но пример, я думаю, ясен.

Необходимо отметить, что управление рисками (особенно расчет количественных показателей) — это сложный процесс, требующий участия квалифицированных профессионалов, и потому он не может стоить дешево. Не все предприятия, особенно малые и средние, могут себе его позволить. Для этого существуют другие варианты.

Первый из них – это отраслевые стандарты. То есть организация не производит самостоятельно анализ рисков, а строит свою систему безопасности так же, как и аналогичные предприятия в своей отрасли. Скажем, сейчас невозможно представить компьютер без антивирусного пакета, а сеть с выходом в Интернет – без межсетевого экрана. Это означает, что эти технические средства, в минимальной конфигурации, можно приобретать без специальных мероприятий по управлению рисками, необходимо только выбрать то решение, которое подходит по соотношению цена-качество.

Второй способ – это проводить анализ рисков качественным способом. Когда вместо понятий «ущерб в 125000 условных единиц будет нанесен с вероятностью 0,75» будут использоваться понятия «существенный ущерб будет нанесен с вероятностью выше средней». Поскольку присвоение конкретных числовых данных это один из самых сложных этапов анализа рисков, сокращаются время и средства на проведение этого мероприятия. Таким способом оценка рисков получается приблизительной, но дает представление, на какие направления следует обратить более пристальное внимание.

Корр.: — Можете ли рассказать о перспективах развития рынка систем информационной безопасности для бизнеса в Центральной Азии и Узбекистана? Что, на ваш взгляд, препятствует грамотному внедрению систем информационной безопасности, особенно в малом и среднем бизнесе?

И.К.: — Развитие информационной безопасности невозможно в отрыве от информационных технологий в целом. Однако есть определенные знаковые события, одним из которых, например, является предоставление банками своим клиентам возможности осуществления финансовых операций удаленным способом – через Интернет или публичную телефонную сеть. Реализация такой услуги невозможна без ряда мероприятий по безопасности – регламентированный доступ плательщика к серверу банка, создание защищенного канала связи, аутентификация автора финансовой операции и т.д.

Насколько мне известно, такие услуги предоставляются рядом банков уже несколько лет. Это означает, что рынок безопасности существует и развивается. Расширение рынка интернет-услуг, мобильных сервисов и т.д. обязательно повлечет развитие рынка услуг и технических решений по безопасности.

Основным же препятствием, на мой взгляд, является недопонимание проблем, связанных с безопасностью. Даже специалисты по ИТ (программисты или системные администраторы) порой не до конца понимают весь спектр проблем защиты информации. Технические специалисты обычно упускают нормативные и юридические аспекты. Компьютерные специалисты забывают об обеспечении физической защиты. Делая резервное копирование, они не заботятся о регламентированном архивном сохранении и тестовом восстановлении данных. Проблемы можно перечислять долго, но решение может быть только одно – безопасностью должны заниматься профессионалы.

Корр.: — Большое спасибо Вам за содержательную беседу.

И.К.: — Спасибо. Успехов Вам и вашим читателям. А тех, кто захочет продолжить обсуждение проблем, связанных с информационной безопасностью, приглашаю на сайт www.security.uz, где я смогу ответить на дополнительные вопросы в частном порядке, либо выступить представителем организации, представляющей услуги по информационной безопасности.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В Одноклассники
ВКонтакте