1. Каковы на сегодняшний день наиболее актуальные и значимые для российских компаний угрозы их внутренней информационной безопасности?

2. Как сегодня в России обстоят дела со стандартизацией типовых подходов к устранению этих угроз? Существуют ли стандарты, призванные упростить заказчикам жизнь при формировании политики внутренней информационной безопасности?

3. Как влияют государственные регуляторы на процесс формирования единого отраслевого стандарта внутренней информационной безопасности? Существует ли необходимая для разработки стандарта нормативно-правовая база?

4. Аутсорсинг проблем внутренней информационной безопасности - за и против. Каково Ваше экспертное мнение?

5. Тенденции и перспективы.


Photo Андрей Калашников,
директор Центра технологий безопасности,
IBS

1. Давайте сначала определимся с терминами. Вообще говоря, не существует "внутренней" и "внешней" информационной безопасности. Существуют "внутренние" и "внешние" угрозы и соответствующие меры противодействия им. Как правило, любая информационная система состоит из следующих компонентов: программного, аппаратного и информационного обеспечения, обслуживающего персонала и пользователей. Угрозы, источниками которых выступают указанные компоненты, можно считать "внутренними" по отношению к системе, а все остальные - "внешними". В такой трактовке наиболее актуальными и значимыми, как это ни печально, оказываются угрозы, источником которых выступают пользователи системы и ее обслуживающий персонал. Из материалов различных исследований, посвященных информационной безопасности (проведенных, например, компаниями KPMG и Ernst & Young), известно, что большинство угроз (до 80%) - внутренние, и в подавляющем большинстве случаев их источниками становятся сотрудники компаний. Эта же тенденция отмечается в ежегодных докладах МВД России, посвященных правонарушениям в сфере информационной безопасности.

Поэтому компании, пытающейся защитить свою информацию, во главу угла необходимо ставить не технические или программно-аппаратные меры, а прежде всего - меры организационные, включающие активную работу как с пользователями, так и с обслуживающим персоналом информационных систем.

2. Безусловно, такие стандарты существуют. В первую очередь к ним можно отнести международные стандарты ISO/IEC 15408 "Открытые критерии оценки безопасности информационных технологий" и ISO/IEC 17799 "Практические правила управления информационной безопасностью". Существуют государственные стандарты, например, германский стандарт BSI, а также стандарты различных организаций и ведомств.

Нельзя не отметить и положительные тенденции в нашей стране, связанные с принятием государственного стандарта ИСО/МЭК № 15498-2002 и предполагаемый перенос на российскую почву международного стандарта ISO/IEC 17799.

3. Хотелось бы еще раз подчеркнуть, что не стоит говорить о "внутренней" и "внешней" информационной безопасности по отдельности, поскольку только комплексное решение проблем защиты информации может привести к успеху. Поэтому, как уже было сказано, определенная основа для стандартизации есть. К сожалению, существующий в нашей стране уровень развития нормативной правовой базы нельзя признать достаточным, хотя положительные сдвиги, происходящие в последние несколько лет, внушают оптимизм.

4. Конечно, очень бы хотелось переложить свои проблемы на чужие плечи, однако в случае защиты от внутренних угроз сделать это вряд ли удастся, хотя возможность использования аутсорсинга для решения проблем защиты от внешних угроз принципиальных вопросов не вызывает. Объяснение этому достаточно простое. Фактически любая компания, пользующаяся, например, услугами сервис-провайдера, одновременно неявно (а иногда и явно) использует и систему обеспечения безопасности этого сервис-провайдера, которая таким образом становится первым эшелоном защиты информационной системы компании. В этом случае передача компанией части сервисов безопасности, обеспечивающих защиту от внешних угроз, в аутсорсинг представляется вполне возможной, хотя и не всегда оправданной. Попытка же передачи в аутсорсинг сервисов безопасности, обеспечивающих защиту от внутренних угроз, просто приведет к тому, что количество обслуживающего персонала, имеющего доступ к системе, увеличится, причем контроль действий этого персонала со стороны компании будет еще более затруднен, чем контроль действий собственных сотрудников.

5. Если говорить о рынке информационной безопасности, то наиболее перспективными направлениями в 2006 г. представляются: аудит и консалтинг в области информационной безопасности в соответствии с действующими российскими и зарубежными стандартами; разработка и реализация защищенных и сертифицированных локализованных программных платформ на основе ОС Microsoft и Linux; создание комплексных систем информационной безопасности от единого производителя; разработка и реализация сертифицированных систем управления информационной безопасности. Одним из важнейших событий может оказаться принятие федерального закона о персональных данных.


Photo Денис Зенкин,
директор по маркетингу,
InfoWatch

1. Один из важнейших аспектов внутренней ИТ-безопасности - защита конфиденциальной информации от инсайдеров, в частности, от умышленных или неосторожных действий персонала, ведущих к утечке, уничтожению и искажению данных. Самые мощные средства идентификации позволяют избежать неавторизованного доступа к корпоративной информационной системе, однако после этого сотрудник получает карт-бланш на любые действия, которые практически не контролируются. В таких условиях инсайдер может безнаказанно передать враждебным организациям сведения, представляющие коммерческую, банковскую, государственную, любую другую тайну. Результат таких действий может вылиться в ущерб имиджу компании в глазах заказчиков, партнеров и инвесторов, вплоть до существенных финансовых потерь и даже банкротства.

Наиболее показательный пример - CardSystems Solutions, гигантский процессинговый центр в США, который допустил утечку данных 40 млн кредитных карт: в течение последующих месяцев все клиенты отказались от его услуг, и компания была вынуждена объявить о банкротстве. Не менее показательный пример можно найти в российской действительности: для составления цифрового портрета любого гражданина достаточно один раз посетить электронный рынок и купить базы данных министерств и ведомств. Мало того что под угрозой оказывается частная жизнь человека, такое положение дел дискредитирует страну в глазах мировой общественности. Кто будет иметь дело с государством, которое не может уследить за данными своих собственных структур? Вряд ли такую страну назовут надежным партнером.

2. К сожалению, пока Россия в этом плане отстает от общемировых тенденций. В США и Европе уже действуют законы, регламентирующие защиту конфиденциальной информации. В качестве примера можно упомянуть "Акт Сарбейнса-Оксли", Basel II, GLBA, HIPAA, ISO 17799 и многие другие. Подобные нормативы играют двойную роль. Во-первых, они описывают требования к сохранности данных и ответственность за нее; во-вторых, дают рекомендации по достижению соответствия этим требованиям. В отсутствие таких нормативов компаниям пришлось бы выступать в роли первопроходцев и каждой по отдельности, методом проб и ошибок, находить оптимальный вариант реализации защиты. Что, собственно, и происходит в России.

У нас в этот ряд можно поставить только стандарт Центрального банка "Обеспечение информационной безопасности организаций банковской системы РФ". Это первый и пока единственный российский стандарт, описывающий требования к системе управления информационной безопасностью и к ее жизненному циклу. Что важно, этот первый блин не только далек от "кома", но и во многом превосходит западные аналоги. Я надеюсь, что рано или поздно такой же подход будет реализован в других отраслевых и федеральных стандартах. Они дадут российским компаниям готовую методологию защиты конфиденциальной информации, повысят эффективность принятия решений, увеличат конкурентоспособность и улучшат их имидж в глазах зарубежных партнеров.

3. Сегодня можно говорить разве что о самых общих толках о необходимости такого общефедерального стандарта, далеких от практической реализации. Необходимость регулирования защиты данных существует. Закон в состоянии ответить компаниям на актуальные вопросы: что и как защищать, а также определить ответственность должностных лиц за несоблюдение требований. В нашем распоряжении успешный опыт ЦБ РФ в отраслевой стандартизации кредитно-финансового сектора, схожие западные акты. России не надо быть первопроходцем, достаточно адаптировать существующие знания для разработки общефедерального стандарта.

4. Без аутсорсинга в решении проблем внутренней ИТ-безопасности, хотя бы частичного, обойтись невозможно. Это слишком сложная задача, требующая колоссального опыта, знаний и ресурсов, которые практически невозможно мобилизовать в рамках одной организации. С другой стороны, опасна и иная крайность - полное делегирование всего спектра работ стороннему исполнителю.

На мой взгляд, истина лежит посередине, а именно в тесном контакте и разделении ролей между заказчиком и подрядчиком. Никто не знает особенностей корпоративной информационной системы, бизнес-специфики, целей и результатов внедрения лучше сотрудников организации. И только в сочетании с ресурсами внедренца эти преимущества могут дать ожидаемый результат - эффективную защиту конфиденциальной информации.

Это мнение подтверждают и мировые тенденции. По данным IDC, всего 2% организаций используют полный аутсорсинг информационной безопасности, а число приверженцев противоположной модели в 2005 г. снизилось на 7% и составило 50%.

5. Особенность сегодняшней ситуации в области защиты от внутренних ИТ-угроз состоит в парадоксальном противоречии. Российские компании выражают серьезную озабоченность проблемой, осознают таящиеся в ней опасности, однако не предпринимают ровным счетом никаких практических шагов к ее решению. Наше исследование "Внутренние ИТ-угрозы в России 2005" показало, что всего лишь 2% организаций используют специализированные технические средства защиты. Вместе с тем 83% респондентов подтвердили, что планируют их внедрение в течение ближайших трех лет. Казалось бы, ситуация выглядит обнадеживающей, но пока это лишь декларации. Дойдет ли дело до воплощения идей в практических шагах?

Существенную помощь мог бы оказать федеральный стандарт, описывающий цели, методологию и результаты политики информационной безопасности. По сути, сейчас компании находятся в замешательстве: как реализовать защиту? Ведь у нас практически нет примеров успешной реализации, а ставки слишком высоки.

Если проект-первопроходец окажется провальным или даже частично провальным, то полетят головы ИБ-специалистов, мало не покажется. В итоге подавляющее большинство предпочитает не рисковать. Несмотря на это, мы с оптимизмом смотрим в будущее: внутренней ИТ-безопасности будет уделяться не меньше внимания, чем защите от внешних угроз.


Photo Андрей Волков,
ведущий аналитик департамента программной интеграции,
"Ай-Теко"

1. Актуальность угроз информационной безопасности для российских компаний определяется рядом факторов, которые отражены в материалах "Доктрины информационной безопасности Российской Федерации". О важности этих факторов мы можем судить и по собственной практике работы с заказчиками. Хотелось бы отметить следующие причины возникновения угроз. Во-первых, это появление на внутреннем российском рынке товаров и услуг множества отечественных и зарубежных коммерческих структур - производителей и потребителей информации, средств информатизации и защиты информации. Бесконтрольная деятельность этих структур по созданию и защите систем сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации создает реальную угрозу безопасности России в экономической сфере.

Аналогичные угрозы возникают и при бесконтрольном привлечении иностранных фирм к созданию подобных систем, поскольку при этом складываются благоприятные условия для несанкционированного доступа к конфиденциальной экономической информации и для контроля за процессами ее передачи и обработки со стороны иностранных спецслужб.

И наконец, критическое состояние предприятий национальных отраслей промышленности, разрабатывающих и производящих средства информатизации, телекоммуникации, связи и защиты информации, приводит к широкому использованию соответствующих импортных средств, что создает угрозу возникновения технологической зависимости России от иностранных государств.

2. С 1 января 2004 г. вступили в силу отечественные стандарты, соответствующие по своим требованиям Common Criteria: ГОСТ Р ИСО/МЭК 15408-1-2002, ГОСТ Р ИСО/МЭК 15408-2-2002, ГОСТ Р ИСО/МЭК 15408-3-2002. Согласно проекту "Программы национальной стандартизации" (ПНС-2005), в 2006 г. в России планируется прямое введение международных стандартов ИСО/МЭК 17799. Уже появились российские компании, получившие сертификат BS 7799:2, что свидетельствует о начале интереса к официальной сертификации.

Распоряжением Банка России №Р-609 18.11.2004 принят и 1 декабря 2004 г. впервые введен стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения".

Резюмируя вышесказанное, можно отметить, что в России сейчас ведется активная деятельность по стандартизации услуг в области информационной безопасности.

3. Развитием "Концепции национальной безопасности Российской Федерации" применительно к информационной сфере является "Доктрина информационной безопасности Российской Федерации". В данной доктрине информационная безопасность определяется как состояние защищенности национальных интересов России в информационной сфере, обеспечивающее ее формирование и развитие в интересах граждан и государства.

Принимая во внимание важность вопросов создания и развития нормативной базы в области информационной безопасности, Госстандарт России, Гостехкомиссия России, Минобороны России, Минсвязи России и другие ведомства провели комплекс работ, направленных на развитие стандартизации и сертификации в области информационной безопасности. В частности, разработано и утверждено 22 национальных и межгосударственных стандарта (ГОСТ и ГОСТ Р), семь Руководящих документов (РД) Гостехкомиссии России, 40 отраслевых стандартов (ОСТ) и пять нормативных документов Минобороны России (ОТТ МО), касающихся вопросов защиты информации от несанкционированного доступа, электромагнитных излучений, классификации средств и систем защиты, показателей защищенности и т. д.

Сформированы, зарегистрированы в Госстандарте России в установленном порядке и функционируют шесть систем сертификации в области информационной безопасности, включая систему сертификации средств защиты информации по требованиям безопасности информации; системы сертификации средств криптографической защиты информации, средств и систем информатизации. Кроме того, действуют системы сертификации ФСБ в области информационной безопасности.

Действующие национальные стандарты и другие нормативные документы по стандартизации в области информационной безопасности позволяют решать проблемы защиты информации в автоматизированных системах, информационных системах, вычислительных и телекоммуникационных сетях, обеспечивать проведение испытаний и сертификацию компонентов и средств ИТ на соответствие требованиям информационной безопасности.

Однако действующая отечественная нормативная база не в полной мере гармонизирована с международными стандартами. Это может послужить препятствием к интеграции России в мировое информационное сообщество.

Для гармонизации отечественных стандартов с международными в России в 2002 г. приняты ГОСТ Р ИСО/МЭК 15408-2002 "Критерии оценки безопасности информационных технологий" на основе прямого применения международного стандарта ИСО/МЭК 15408-99 (3 части). В 2002-2004 гг. был разработан комплекс нормативных документов по стандартизации (РД Гостехкомиссии) на основе прямого применения международных стандартов ИСО/МЭК, включая: руководство по разработке профилей защиты и заданий по безопасности; руководство по регистрации профилей защиты; методику оценки профилей защиты и заданий по безопасности.

4. Аутсорсинг - это выполнение сторонней организацией определенных задач или реализация некоторых бизнес-процессов, не являющихся частью бизнеса компании, но необходимых для ее полноценного функционирования. Каждая из компаний, задаваясь вопросом, пользоваться услугами аутсорсинга в сфере информационной безопасности или нет, взвешивает все плюсы и минусы этого решения. Среди достоинств аутсорсинга можно назвать следующие:

  • отсутствие капитальных затрат - аппаратная платформа и ПО предоставляются аутсорсером;
  • фиксированные платежи - это очевидное преимущество при жестком бюджете для подразделений ИТ и информационной безопасности;
  • большой опыт аутсорсера - относительно типовые решения, значительный опыт в развертывании механизмов безопасности;
  • круглосуточная поддержка и мониторинг решений;
  • стоимость решения низка, так как делится между всеми клиентами.

С другой стороны, существуют определенные проблемы, которые мешают пользоваться сервисом, предоставляемым компаниями-аутсорсерами. Вот четыре наиболее важные из них: отсутствие доверия к поставщику услуги, низкое качество услуг, недостаточный спектр услуг, тарифная политика. Задача компании "Ай-Теко" как аутсорсера - стремиться к решению этих проблем.

5. Увеличение расходов на информационную безопасность наблюдается во всех развитых регионах. Поставщики аппаратных и программных средств отмечают большой рост продаж систем, нацеленных на защиту корпоративных сетей и обеспечивающих безопасность приложений. При этом отдача на инвестиции в сфере информационной безопасности оказалась более высокой, чем ожидалось.

Задача обеспечения информационной безопасности вышла за узкие технические рамки, когда все решалось установкой антивирусной программы и межсетевого экрана. Сегодня это многоаспектная программно-технологическая, организационно-управленческая и социально-экономическая проблема, которая предполагает развитие достаточно сложного и самостоятельного сегмента ИТ-рынка.

Трудно предсказать, какие виды угроз будут представлять наибольшую опасность в ближайшие годы, поскольку характер угроз постоянно меняется. Злоумышленники отказываются от крупных, многоцелевых атак, направленных на прорыв защиты периметра сети, и все чаще проводят небольшие, сфокусированные атаки против клиентских систем.

Каким же образом следует строить ИТ-инфраструктуру, чтобы она отвечала современным требованиям к уровню готовности предоставляемых услуг и целостности информационных ресурсов? Базовая ИТ-инфраструктура должна противостоять угрозам и смягчать последствия атак, позволяя быстро восстанавливать работоспособность ИТ-систем в случае сбоев. Для этого она должна объединять средства управления безопасностью, данными, сервисами и приложениями. Все эти аспекты в равной степени важны, поэтому ключевым словом для разработчиков должно стать слово "интеграция".

В настоящее время все большее число заказчиков готовы к классическим интеграционным проектам, их уже не устраивает набор отдельных продуктов, им нужна полнофункциональная интеграция, единая система управления ИБ и контроля над всей системой. Такие проекты находятся на стыке ИТ и безопасности и требуют знаний в различных областях: базы данных, операционные системы, специальные прикладные системы. В частности, мы как компания-интегратор рассматриваем каждое решение не только как законченный, самостоятельный компонент работы, но и как часть единой ИТ-системы заказчика.

В ближайшее время разработчики программных продуктов возьмут курс на разработку единой платформы для обеспечения безопасности и доступности информации.


Photo Андрей Петухов,
директор департамента систем информационной безопасности,
"АйТи"

1. Современные информационные системы можно сравнить с укрепленными крепостями, которые готовы выдержать любой удар извне, но обитатели их в любой момент могут открыть ворота или спустить лестницу со стен. Сегодня уже сложилось серьезное отношение к внутренним угрозам, главным образом по причине скандальных появлений в открытом доступе и продаже баз данных различных компаний и организаций. Причем западные эксперты к внутренним угрозам относят любую угрозу, реализованную с компьютера, находящегося в составе информационной системы, тогда как, на мой взгляд, в эту категорию следует включать прежде всего угрозы, исходящие от легальных пользователей, которые причиняют вред, действуя в рамках своих полномочий.

Стратегический арсенал средств защиты от внутренних угроз неизменен - контроль и ограничение. Западные производители решений в области информационной безопасности - Symantec, Check Point - и отечественные - например, InfoWatch, - активно разрабатывают инструменты анализа и корреляции "подозрительных" действий пользователей. Основу этих средств составляет мониторинг пользовательской активности и отслеживание различных цепочек транзакций их прикладной деятельности. Например, в зону внимания этих решений обязательно попадет ситуация, в которой сотрудник стал копировать либо редактировать большие объемы информации.

Другое магистральное направление защиты от внутренних угроз предполагает максимально допустимое ограничение полномочий и фактических возможностей пользователей. Это достигается постепенным переходом на терминальные технологии и работу со средствами, динамически оптимизирующими состав реально необходимых полномочий.

Третья категория решений направлена на контроль действий администраторов. В настоящее время целый ряд мировых производителей предлагает решения, которые позволяют если не ограничивать серьезно, то тотально отслеживать действия этой группы пользователей.

2. Типовые подходы к устранению именно внутренних угроз в России специально не стандартизируются, правильнее говорить о стандартизации информационной безопасности как таковой. Два года назад вступил в действие закон о техническом регулировании. Он предполагает разработку и утверждение на федеральном уровне технических регламентов, которые будут действовать в ранге законов. Сейчас обсуждаются два технических регламента, которые, на мой взгляд, закроют многие вопросы в области организации защиты данных. Эти документы регламентируют не столько готовое решение, сколько процесс его разработки, и, следуя рекомендациям технических регламентов, заказчик и исполнитель обязательно придут к созданию системы с одинаково понимаемым уровнем защиты.

В настоящее время в качестве государственного стандарта действует аналог ISO 15488, который в числе прочего затрагивает аспекты обеспечения внутренней информационной безопасности. Однако он не диктует каких-либо жестких требований. И хотя при формировании политики внутренней безопасности с ним можно сверяться, в целом практика его применения пока ограничена.

3. Нормативно-правовая база в области обеспечения безопасности весьма неоднозначна. К примеру, обзор баз различных информационно-справочных систем показал, что слово "тайна" в отечественной юридической лексике употребляется с 62 определениями и соответственно имеет 62 различные интерпретации, начиная от наиболее привычных, таких, как государственная или банковская тайна, до "узкопрофессиональных" - например, адвокатская или врачебная тайна. Естественно, что разрабатывать стандарт для каждой из них нет необходимости.

Наиболее проработаны аспекты обеспечения гостайны. Влияние госрегуляторов также ощутимо в отношении категорий "конфиденциальные данные" и "информация ограниченного распространения", но оно не затрагивает вопросов противодействия угрозам нарушения целостности или достоверности информации. В частности, нормативы по защите от контентных угроз отсутствуют вовсе. В какой-то степени отсутствие таких нормативов компенсирует существующая система сертификации тех или иных средств на предмет допустимости использования.

Что касается прочих "отраслевых" категорий тайн, то они регуляторами государственного уровня почти не регламентируются. Исключение, пожалуй, составляет банковская сфера, где разработка стандартов защиты данных инициирована Центробанком. Стандарт "Обеспечение информационной безопасности организаций банковской системы РФ" регламентирует процессы обеспечения информационной безопасности, описывает необходимые требования и выдержал уже вторую редакцию.

На мой взгляд, разрабатываемые технические регламенты, учитывая их гибкость, могут стать базовым инструментом стандартизации для всех категорий "тайн", независимо от их отраслевой принадлежности.

4. Отдавать на аутсорсинг процессы обеспечения внутренней безопасности целесообразно только в том случае, если эта функция не является базовым компонентом основного бизнеса. Аспекты внутренней информационной безопасности настолько интимны, что, однажды доверив сторонней компании исполнение определенных процессов, можно стать ее заложником, потому что сменить аутсорсера будет мешать особая ценность предоставляемой ему информации. В то же время серьезным аргументом в пользу привлечения аутсорсера служит его объективность. Можно быть более или менее уверенным, что он будет непредвзято отслеживать нарушителей и сообщать обо всех действиях, невзирая на их статус внутри компании.


Photo Михаил Савельев,
начальник отдела продвижения решений,
"Информзащита"

1. Действительная основная угроза - низкая осведомленность сотрудников об информационной безопасности. Именно из нее вытекают все остальные проблемы в этой области: от эпидемий червей до кражи конфиденциальных данных. Именно их, пользователей, неосмотрительные действия приводят к тому, что на компьютеры организации проникает всякая зараза.

Судя по прессе, сейчас проходит волна борьбы с подключаемыми USB- и тому подобными устройствами. Это действительно проблема, но пока она находится в стадии активного обсуждения. Вроде бы нас уже убедили, что бороться с этим надо, но многие пытаются принимать какие-то меры в условиях, когда еще ничего не сделано для собственно разграничения доступа к той самой защищаемой информации. В результате получаем калитку в чистом поле.

В то же время профессионалов сейчас больше всего волнует проблема так называемых ботов, т. е. уже взломанных компьютеров. В последнее время активизировалась торговля такими компьютерами. Беда заключается в том, что против этой угрозы бессильны межсетевые экраны и антивирусы. А сеть зомбированных компьютеров только и ждет команды от своего "хозяина", чтобы провести атаку на указанную им жертву.

2. Стандарты, которыми можно руководствоваться, безусловно, существуют. Среди них прежде всего хочется назвать ISO 17799 и 27001, которые можно рекомендовать использовать в качестве некоторого шаблона, а также отраслевой стандарт ЦБ РФ.

Сегодня еще слышны отголоски шумихи о том, что вступление России в ВТО могло бы узаконить ISO 17799 в качестве единого стандарта безопасности, что сделало бы аттестованные на соответствие ему организации более привлекательными для западных партнеров, но пока на самом Западе это явление распространено не очень широко. Это подтверждает и недавнее исследование Ernst & Young, которое показало, что лишь 18% опрошенных компаний с оборотом менее 1 млрд долл. сертифицированы или формально приняли этот стандарт в своей внутренней политике, лишь 17% опрошенных компаний выдвигают в качестве требования к контрагенту независимую проверку состояния его безопасности.

3. Начнем с того, что государство пытается регулировать лишь вопросы обработки собственной информации (государственной тайны) и некоторой части конфиденциальной информации (в соответствии с особым перечнем). Нормативная база для разработки политик безопасности и внутренних регламентов есть, но пока можно лишь сказать, что действующие в этой области документы, которые по большей части принимаются с огромным отставанием от существующих реалий, выступают в качестве сдерживающего фактора для развития систем обработки данных. Кроме того, порой в этих документах отсутствует преемственность, что абсолютно выбивает из колеи с трудом приспособившихся к ним специалистов, так как подчас невозможно провести соответствие между уже принятыми мерами безопасности и новыми требованиями к системе защиты.

4. Это очень сложный вопрос. С одной стороны, аутсорсинга в этой области как такового вроде бы нет. Практически в каждой компании есть отдел информационной безопасности, на который возложены функции защиты организации от всевозможных угроз. С другой стороны, уже подавляющая часть организаций заказывает услуги по разработке политики безопасности, по внедрению и аудиту систем защиты, по расследованию различных инцидентов и т. п. у специализированных компаний. Регулярное получение антивирусных баз и сигнатур атак для средств IDS/IPS - это тот же аутсорсинг.

Если же аутсорсингом называть полную передачу управления средствами защиты в руки внешних специалистов, то он, вероятно, получит широкое распространение нескоро. Но причина тут не в доверии, а в финансах. Пока договор с аутсорсером не станет во много раз дешевле, чем содержание собственного штата (с учетом издержек на обучение и оперативность реакции), - о таком виде аутсорсинга говорить бессмысленно.

5. Скорее всего, через некоторое время рынок безопасности должен начать переходить от рынка продуктов к рынку решений и услуг. Ведь безопасность существует не ради того, чтобы ограничить пользователей в правах на доступ к информации и запретить им общаться по ICQ. Безопасность должна помочь организации избежать части рисков, связанных с утечками важной информации, с принятием неправильных управленческих решений на основе искаженных данных и с частичной потерей работоспособности вследствие сбоев в ее информационной системе. А для этого необходимо выявить наиболее уязвимые места в операционных процессах обработки данных, адекватно оценить риски и предложить способы их минимизации. При этом предлагаемые методы зачастую могут и вообще не замыкаться на конкретные средства защиты.


Photo Дмитрий Рагушин,
руководитель направления информационной безопасности,
ДСИ ЛАНИТ

1. Наиболее серьезная угроза внутренней безопасности любой компании - собственный персонал. Самый очевидный способ получить доступ к конфиденциальной информации - воспользоваться услугами сотрудника компании, работающего с этой информацией легально. При этом можно сколько угодно ограничивать доступ к принтерам, использование флэш-накопителей и т. п. Для того чтобы нанести ущерб в миллионы долларов, бывает достаточно одного телефонного звонка. Использовать технические средства, конечно, нужно, но они лишь дополнение к правильной стратегии работы с персоналом.

2. В данный момент за основу принимается группа стандартов ISO, в частности ISO 17799. При этом нужно понимать, что это далеко не панацея. Внедрение положений таких стандартов требует высокой квалификации сотрудников компании, отвечающих за информационную безопасность, а также почти всегда приводит к привлечению внешнего консультанта, чьи услуги стоят недешево. На первых этапах гораздо важнее стремиться к созданию в компании атмосферы "понимания проблем безопасности" (security awareness). В этот процесс должны быть включены все сотрудники без исключения, вне зависимости от их квалификации. Базовые принципы обеспечения информационной безопасности должны быть сформулированы в понятной широкой аудитории форме и доведены до каждого.

3. Стандарт ISO 17799 должен быть утвержден как ГОСТ в 2006 г. ЦБ РФ принял во второй редакции стандарт обеспечения информационной безопасности организаций банковской системы, разработанный на основе ISO 17799, ISO 27001 и CobiT.

4. На мой взгляд, трудно выделить аутсорсинг именно внутренней информационной безопасности. Есть устойчивая тенденция к развитию рынка аутсорсинга информационной безопасности в целом. Компаниям-заказчикам это выгодно вследствие экономии средств, выделяемых на создание и совершенствование собственной системы информационной безопасности, а также повышения квалификации сотрудников. С другой стороны, существующее законодательство не позволяет четко определить ответственность аутсорсинговой компании за невыполнение обязательств перед клиентом. Проблемы именно внутренней информационной безопасности несколько более сложны для передачи на аутсорсинг, так как их разрешение требует работы с персоналом, проведения организационных мероприятий, а не только внедрения и обслуживания технических средств.

5. Я считаю, что основной тенденцией станет постепенное вовлечение в процесс внедрения современных стандартов в области информационной безопасности все более широкого круга предприятий и организаций. Высокие технологии открывают огромные возможности для развития бизнеса, но при этом создают и новые угрозы. Есть и другой аспект проблематики внутренней информационной безопасности. Помимо возрастания рисков самой компании, все строже становится законодательная ответственность за разглашение информации, ставшее причиной ущерба, нанесенного третьим лицам. Компании теперь должны защищать не только свою информацию, но и данные своих клиентов. Таким образом, на мой взгляд, нас ждет интенсивный дальнейший прогресс этого направления деятельности и рост рынка соответствующих услуг и решений.


Photo Юрий Малинин,
проректор Академии информационных систем по направлению "Информационная безопасность",
группа компаний "Стинс Коман"

1. В последние годы внимание специалистов в вопросах обеспечения информационной безопасности все больше смещается от внешних к внутренним угрозам. Эта тенденция закономерна и обусловлена необходимостью комплексного подхода к решению вопросов информационной безопасности в компаниях, учитывающего не только современные технические решения, но и эффективное использование организационно-правовых мер, в том числе по отношению к сотрудникам.

Для полного понимания и выявления наиболее актуальных и значимых угроз внутренней информационной безопасности необходима их классификация. Например, классификация по видам угроз, по величине возможного ущерба, по вероятности и причинам возникновения, по характеру воздействия и т. д. Каждая компания индивидуальна, и степень значимости или ранжирование внутренних угроз для одной компании неприменимы для другой. Но в то же время практика показывает, что из всех существующих внутренних угроз информационной безопасности есть наиболее часто встречающиеся и значимые для большинства компаний, в том числе и для российских. Это доказывают и результаты аналитических исследований, основанные на опросах и статистических данных. Согласно данным проведенных в 2003-2005 гг. аналитических исследований (Ernst & Young, InfoWatch, CSI, CA, Websense и т. д.), наиболее значимы внутренние угрозы, связанные с неправомерными действиями сотрудников компании, которые приводят к нарушению конфиденциальности информации, ее утечке (краже), искажению и потере. Сложно определить стоимость информации, но для некоторых компаний потеря информации может стать критичной по отношению к бизнесу. Вспомните нашумевшие истории, связанные с утечкой персональных данных клиентов некоторых российских компаний. К значимым внутренним угрозам также можно отнести нецелевое использование сотрудниками ресурсов информационной системы компании, например, загрузку и использование ПО (в том числе скрытого вредоносного), медиафайлов и других данных, не имеющих отношения к работе. В итоге это может привести к нарушению работоспособности информационной системы компании.

2. В настоящее время в России многие компании ориентируются на существующую практику применения международных стандартов информационной безопасности. Следует отметить широкое применение в России международных стандартов BS 7799, ISO/IEC 17799. Напомним, что с 15 октября 2005 г. введен в действие новый британский и международный стандарт BS ISO/IEC 27001:2005 (BS 7799-2:2005), чему была посвящена международная конференция BS 7799 Goes Global в декабре 2005 г. в Лондоне. По опыту формирования российской делегации и организации "Русского дня в BSI" в рамках этой конференции могу отметить практический интерес крупнейших российских компаний (среди которых "Северсталь-групп", ГМК "Норильский никель", "Связьинвест", Газпромбанк, "Уралсвязьинформ") к опыту внедрения международных стандартов управления информационной безопасностью.

Кроме названных стандартов, существуют и другие, призванные помочь в формировании политики внутренней информационной безопасности компании. При этом каждый стандарт имеет свои достоинства, присущие только ему. Как пример можно привести немецкий стандарт BSI/IT Baseline Protection Manual ("Руководство по обеспечению безопасности ИТ"), отличающийся "немецкой практичностью". Также следует обратить внимание на стандарты CobiT (Control Objectives for Information and related Technology), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) и CRAMM (UK Government's Risk Analysis and Management Method).

Нельзя не упомянуть стандарт ISO 15408 Common Criteria for Information Technology Security Evaluation, принятый в России как ГОСТ-Р 15408/"Общие критерии оценки безопасности информационных технологий".

Полезны, а в некоторых случаях и необходимы для российских компаний при формировании политики внутренней информационной безопасности РД Гостехкомиссии России (ФСТЭК) и СТР-К ("Специальные требования и рекомендации по защите конфиденциальной информации"). СТР-К может использоваться и при проведении аудита безопасности автоматизированной системы для оценки полноты и правильности реализации организационных мер защиты информации в ней.

3. На сегодняшний день не существует единого отраслевого стандарта внутренней информационной безопасности. В принципе его не может быть по определению, если мы говорим именно о едином стандарте внутренней информационной безопасности для разных отраслей. Каждая отрасль имеет свои особенности, возможности и ограничения. В каждой отрасли могут быть разные требования к обеспечению внутренней информационной безопасности. Возьмем, например, отраслевой стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", принятый распоряжением ЦБР от 26.01.2006 № Р-27, в котором учтен опыт международных стандартов, в том числе ISO/IEC IS 17799-2005 и ISO/IEC IS 27001-2005. Политика информационной безопасности организаций банковской системы РФ, отраженная в этом стандарте, может отличаться от политики для организаций другой отрасли, например, для транспортной, хотя принципы формирования политики могут быть идентичными.

4. На мой взгляд, количество предложений на рынке услуг аутсорсинга внутренней информационной безопасности будет увеличиваться. Что касается качества - рынок сам определит качественных поставщиков данных услуг. Важно другое - вопрос доверия. Руководитель любой компании прекрасно осознает, что снижение риска нарушения внутренней информационной безопасности компании за счет передачи ее на полный аутсорсинг специализирующейся в этой области компании, в свою очередь, увеличивает риски, связанные с утечкой конфиденциальной информации, несмотря на соглашения о конфиденциальности и другие правовые документы. В части оказания определенного набора услуг, например, консультационных, в разрешении проблем внутренней информационной безопасности - нет сомнений, рынок будет развиваться. На российском рынке присутствуют компании, которые специализируются на решении таких задач. Но при этом, кроме организационно-правовых методов и способов решения проблемы внутренней информационной безопасности, они предлагают также современные технические решения, т. е. решают вышеназванные задачи комплексно.

5. Можно считать, что российские компании "первой сотни" прошли первую волну в решении вопросов информационной безопасности, которая в большей степени была связана с техническими решениями. В настоящее время для многих приоритетными становятся вопросы управления информационной безопасностью в компании, построения эффективной системы менеджмента. Думаю, для тех, кто сейчас движется в этом направлении, есть хорошие перспективы - это относится в первую очередь к игрокам рынка информационной безопасности, системным интеграторам, разработчикам средств управления информационной безопасностью, так как именно эта потребность у заказчиков в ближайшем будущем будет приоритетной. Это также подтверждается увеличением запросов и количества проводимых работ по подготовке к сертификационному аудиту по требованиям международного стандарта BS ISO/IEC 27001:2005 (BS 7799-2:2005) "Информационные технологии. Система управления информационной безопасностью. Требования".


Photo Михаил Романов,
руководитель отдела информационной безопасности,
"ТехноСерв А/С"

1. В настоящее время уже доподлинно известно, что основная угроза информационной безопасности исходит от так называемого внутреннего нарушителя. Более того, защита критичных информационных ресурсов от данного типа нарушителя - весьма непростая задача. Сложность решения данного вопроса связана с наличием у внутренних пользователей излишних прав и полномочий в системе.

2. К сожалению, в России ситуация со стандартизацией подходов к решению той или иной задачи весьма скверная. Теоретизировать можно достаточно долго, но в реальности выбор в пользу конкретного решения делается на основе размера бюджета на проект.

Что же касается стандартов, способных помочь заказчикам эффективно и адекватно выстроить систему информационной безопасности, то здесь ситуация выглядит более привлекательно. На наш взгляд, при формировании политики информационной безопасности будет полезен переработанный вариант стандарта ISO 17799 (ISO/IEC 27001), а также комплект зарубежных документов CobiT. К тому же в настоящее время ведется работа по адаптации стандарта ISO 17799 к российским условиям.

3. По поводу готовности отечественной нормативно-правовой базы создать некий единый вариант отраслевого стандарта сказать что-то сложно, но прецеденты такие есть. Примером может послужить стандарт Банка России.

4. В России ввиду исторически сложившихся условий в службах безопасности присутствуют люди, служившие раньше в различных органах, и, как правило, такие люди категорически против любых видов аутсорсинга внутренней информационной безопасности. К тому же при современном состоянии законодательной базы в данной области такой аутсорсинг может быть неприемлем и для аутсорсера. Тем не менее у аутсорсинга безопасности есть перспективы. Уже сейчас можно привести примеры, когда за средства безопасности периметра (как правило, средства обнаружения вторжений) отвечают специализированные компании. Такой подход сильно разгружает администраторов безопасности компании-заказчика. Таким образом, заказчик получает профессиональный сервис раннего обнаружения вторжений в режиме 24х7 без значительных затрат на создание собственного штата. Причем растет и количество компаний, которые могут предоставить такой сервис: если раньше на рынке была известна одна компания ISS, то сейчас такой сервис можно получить от Symantec, Intrusion, Stonesoft - как непосредственно, так и через представителей в России, что служит существенным фактором предоставления более качественных услуг на площадке заказчика.

5. Рынок информационной безопасности достаточно специфичен и в силу своей закрытости слабо поддается прогнозированию. Но с уверенностью можно сказать одно - в ближайшее время этот рынок станет более структурированным и будет постоянно расти. Данная тенденция наблюдается уже сегодня: все больше на рынке появляется интегрированных систем, решающих проблемы безопасности и предоставляющих сервисы безопасности, а сфера услуг информационной безопасности и узкоспециализированных продуктов будет расти как в качественном, так и в количественном отношении.


Photo Сергей Вихорев,
директор Аналитического департамента,
"Элвис-Плюс"

1. На этот вопрос лучше ответят специализированные компании, которые занимаются опросом респондентов и статистической обработкой результатов. Хотя надо отметить, что как нельзя создать панацею (лекарство от всех болезней сразу), так, наверное, не может быть угроз, актуальных сразу для всех. Как в поговорке: что русскому здорово, то немцу смерть. Актуальность угрозы зависит и от условий объекта, и от критичности информации, и от того, какова цель защиты (соблюдение конфиденциальности, или целостности, или доступности). И зачастую то, что опасно для одного, совершенно теряет смысл для другого.

Надо еще отметить, что к публикациям по проблеме актуальности угроз надо относиться критически, так как в них встречается путаница в определении самой угрозы, что еще больше вводит в заблуждение потребителя. К примеру, в одном достаточно свежем исследовании, проведенном компанией InfoWatch, отмечается, что лидируют такие внешние для организации угрозы, как "кража информации" (64%) и "вредоносные программы" (49%), а на фронте внутренних угроз в первую очередь называется "нарушение конфиденциальности" (100%) и "искажение информации" (54%). Но страшны не сами по себе вредоносные программы, а их последствия, каковыми, к примеру, могут быть уничтожение информации либо ее искажение (модификация) - об этом и надо говорить. Точно так же можно задать вопрос в связи с внутренними угрозами: а что, разве в результате кражи информации не произойдет нарушения конфиденциальности? Такие разночтения происходят от неправильной классификации самих угроз.

В таких исследованиях речь скорее идет не об угрозах, а о той или иной реализации угроз. Угроза - это опасность причинения вреда. Вот и получается, что для целей обеспечения конфиденциальности наиболее актуальны такие угрозы, как хищение или утрата информации и средств ее обработки, для целей обеспечения целостности - ее модификация (искажение) или навязывание ложной информации, а для целей доступности - блокирование информации или ее уничтожение. А вот как происходит, например, модификация информации - в результате воздействия вредоносных программ или ошибок персонала, - это уже следующий вопрос.

Мы в своей работе используем оригинальную методику, которая позволяет выявить актуальные для конкретного объекта и конкретных условий угрозы безопасности информации. По нашим наблюдениям, наиболее часто опасными (актуальными) угрозами для компаний оказываются хищение информации и ее модификация различными способами.

2. Прежде всего определимся, что такое "политика". В контексте проблемы безопасности информации англоязычное policy все-таки лучше переводить как "правила" (например, в словаре Мюллера это слово переводится и как "страховой полис" - документ, который содержит условия страхования, читай: правила страхования).

Обеспечение безопасности информации требует усилий многих сотрудников: от топ-менеджеров, осознанно принимающих кардинальные решения, до системного администратора, осуществляющего техническую поддержку информационной системы и настройку ее отдельных элементов. И каждому надо объяснить, как и что следует делать. Естественно, это должно быть понятно каждому, но нужно освещать разные аспекты для тех, кто принимает решение, и тех, кто их исполняет. По всей вероятности, сформулировать такие универсальные правила, которые были бы интуитивно понятны всем и которые можно было бы использовать и при формировании бюджета на обеспечение безопасности информации, и при настройке межсетевого экрана, - задача невыполнимая. И, следовательно, сами эти правила превращаются в некую достаточно сложную систему инструкций и регламентов.

Вот и получается, что термин "Политика безопасности информации" - собирательное понятие, представляющее собой некую совокупность взаимоувязанных нормативных документов, определяющих (или устанавливающих) порядок обеспечения безопасности информации в конкретной организации, а также выдвигающих требования по поддержанию подобного порядка. Исходя из этого, наверное, неправильно говорить о каком-либо едином стандарте в этой области. Можно сказать следующее: если речь идет о выработке требований к средствам защиты или функциям защиты, реализуемым ОС, СУБД и другим ПО, то целесообразно использовать методологию ГОСТ ИСО/МЭК 15408 ("Общие критерии") или аналогичные РД Гостехкомиссии России (ФСТЭК России). Правда, при этом надо очень четко представлять себе, какие угрозы имеются. Если речь идет о формировании списка мероприятий по управлению безопасностью, то нужно использовать рекомендации ISO/IEC 27001 ("ИТ.Технологии безопасности. Система управления ИБ. Требования") или аналогичный стандарт ISO 17799. Можно применить методологию CobiT. Но все это будет касаться только самых общих положений. Конкретные правила должны быть увязаны с жизнью организации и излагаться уже в различных регламентах, инструкциях, положениях и т. п., разработка которых в чем-то сродни искусству.

3. Опять-таки: что понимается под "единым отраслевым стандартом"? Для кого "единым" и для какой "отрасли"? Думаю, что в энергетике и медицине "стандарты" могут быть разными. Но так как с выходом закона "О техническом регулировании" все стандарты теперь носят только рекомендательный характер, то в нашем случае целесообразнее говорить о Технических регламентах. Насколько мне известно, в настоящее время в план разработки регламентов эти проблемы включены. Над созданием таких регламентов очень активно работают НИИ "Восход", Концерн "Системпром", Ассоциация ЕВРААС и некоторые другие. В Думе уже прошли общественные слушания по этому вопросу, но, к сожалению, пока разрабатываемые документы далеки от совершенства. Это неудивительно - опыта подготовки таких документов пока нет.

Влияние государства ("государственных регуляторов", каковыми можно считать ФСТЭК России и ФСБ России) ощущается в том, что они активно участвуют в подготовке Технических регламентов, но их позиция во многом базируется на лучшем российском и международном опыте в этой области. Нормативно-правовой базы на сегодняшний день достаточно, тем более что всегда есть возможность использовать положительный зарубежный опыт в этой области. Сложнее с терминологическим аппаратом. Получается как с термином "политика": зачастую перевод зарубежных рекомендаций, мягко говоря, не отличается аутентичностью текста.

4. Вопрос неоднозначный. С одной стороны, всегда есть соблазн отдать какую-то проблему в руки профессионалов. Это хорошо. Но в таком случае о системе защиты, применяемых мерах и средствах, слабых и сильных сторонах становится известно какой-то третьей стороне. Это плохо. Можно, конечно, разработать определенную систему взаимных договоров о соблюдении конфиденциальности, но специалисты-то чужие, и "не на каждый роток можно накинуть платок". В принципе аутсорсинг увеличивает риски, хотя и дает уверенность, что дело делают профессионалы.

Далее, обеспечение безопасности информации требует постоянного присутствия специалиста в организации, его доступа к весьма чувствительным с точки зрения безопасности объектам, общения с сотрудниками и пользователями информационной системы. Вот и получается, что специалист вроде бы "наш", а вроде бы и "не наш". Да и с экономической точки зрения такой аутсорсинг эквивалентен приему на работу "своего" специалиста. Так кого лучше кормить: своего или чужого? А если надо срочно принять серьезное управленческое решение по восстановлению нарушенной безопасности информации? Каковы взаимоотношения "не нашего" сотрудника и "нашего" начальника?

В вопросе передачи обеспечения безопасности информации на аутсорсинг многое зависит от решения руководства организации: готово ли оно идти на увеличение рисков, оправдано ли это экономически. Мне кажется, в этом вопросе должен быть достигнут разумный компромисс.

Особняком стоит проблема передачи на аутсорсинг обеспечения безопасности информации не внутри компании, а за ее пределами. К примеру, защита информации при ее передаче удаленному пользователю по сетям провайдеров. Мне кажется, что в этом вопросе можно смело положиться на добросовестность провайдера (конечно, если он берет на себя ответственность) в плане предоставления защищенных каналов обмена информацией.

5. Области применения ИТ будут постоянно расширяться, а следовательно, будет расти и потребность в обеспечении безопасности информации. Уже сейчас потребители начинают понимать, что надо защищать не только конфиденциальную информацию, но даже открытую, которая чувствительна к каким-либо изменениям.

Мы ожидаем, что в ближайшее время значительно увеличится потребность не только в средствах защиты, но и в услугах в этой области. Это и интеграция, и аудит безопасности, и экспертиза решений, и многое другое. Этому способствует и тот факт, что, по данным исследований компании InfoWatch (а мы это ощущаем в своей повседневной деятельности), Россия опережает общемировой уровень в области профессионального подхода к обеспечению безопасности информации.

Если говорить о перспективах развития технологий защиты, то, наверное, нельзя не упомянуть совершенно новые технологии, основанные на применении встроенных чипов безопасности (стандарт TPM, разработанный TCG), которые только-только появились на Западе, но уже начинают активно использоваться и в России.

Если говорить о перспективах расширения области применения, то можно ожидать, что проблемы безопасности информации будут все шире внедряться в нашу повседневную жизнь и охватывать все ее сферы: от государственного управления до обычных транзакций в продовольственном магазине, от сложнейших информационных систем до персональных смартфонов и сотовых телефонов.

Можно с уверенностью сказать, что рынок безопасности информации будет в ближайшее время расти и, может быть, даже опережающими по сравнению со всей ИТ-отраслью темпами.