Мы все живем в информационно-зависимом обществе. Информация является одним из основных конкурентных преимуществ предприятия. Корреспондент ИА «Клерк.Ру» Алексей Титов побеседовал о проблемах информационной безопасности с Василием Поповым, специалистом по информационной безопасности дирекции по безопасности и режиму НПО «ЭЛСИБ».
Василий, поясните, что представляет собой управление информационной безопасностью предприятия?
Как правило, топ-менеджеры российских предприятий рассматривают проблему защиты (я даже не говорю об управлении, а только лишь о защите, как о неком условном понятии) конфиденциальной информации преимущественно с технической точки зрения. При этом решение проблемы часто связывается только с приобретением и настройкой специализированных аппаратно-программных средств защиты. Если быть более точным, то я говорю о средствах управления обновлениями, средствах межсетевого экранирования, средствах построения VPN, средствах контроля доступа, средствах обнаружения вторжений и аномалий, средствах резервного копирования и архивирования, средствах мониторинга безопасности, средствах защиты от спама и т.п. Но очевидно, что этого недостаточно.
На мой взгляд, проблемы информационной безопасности, в первую очередь, связаны с отношением к информации и информационным технологиям в компании в целом. Главное, чтобы в компании относились к информации и ИТ, как к одному из ключевых активов, наравне с человеческими, финансовыми, физическими активами, активами интеллектуальной собственности и взаимоотношений. Если информациию и информационные технологии в компании не относят к ключевым активам, то IT-система представляет собой некую изредка управляемую или совсем неуправляемую структуру, в которой имеется некоторое количество IT-специалистов, развивающих информационные технологии компании в меру сил, прямо пропорциональных мощи применяемых инструментов умноженных на интеллект самих айтишников. В этом случае успех каких-либо проектов в сфере IT и информационной безопасности зависит в первую очередь от авторитета продвигающего проект менеджера и от его близости к высшему руководству.
Что мотивирует топ-менеджмент компании всерьез заняться обеспечением информационной безопасности предприятия?
К основным мотивам топ-менеджеров относятся выполнение требований собственников компании, российского законодательства, клиентов и партнеров, подготовка к сертификации по ISO, получение конкурентного преимущества и т.д.
На разработку концепции и политики безопасности и сопутствующих документов должны быть направлены от 60% всех усилий по обеспечению безопасности компании, так как это полностью соответствует принципу экономической целесообразности, является одновременно как самым дешевым, там и одним из самых эффективных способов. Это основа, на которой строится вся система обеспечения безопасности. Кроме того, принятая в компании политика информационной безопасности дисциплинирует сотрудников и позволяют создать культуру безопасности компании, но при одном непременном условии: эти требования должны быть обязательными для исполнения и быть обеспеченными исполнительным спонсорством со стороны топ-менеджеров компании.
Обозначьте основные источники угроз для отечественных предприятий.
Анализ, выявление и классификация возможных источников угроз – это вторая важная функция административного уровня обеспечения безопасности. Наверное, имеет смысл поговорить лишь о некоторых «универсальных» источниках угроз, которые одинаковы для большинства компаний.
Как ни странно, но главным источником угроз являются сами сотрудники компании, или, если использовать модную терминологию – инсайдеры. При этом необязательно должен присутствовать злой умысел. Неумышленные, ошибочные действия могут нанести не меньший вред.
По разным источникам, свыше 50% потерь связаны именно с умышленными или неумышленными действиями сотрудников. Самые лучшие и современные программно-аппаратные средств защиты не могут обеспечить стопроцентную безопасность, именно поэтому зарубежные компании делают упор на организационную составляющую, на развитие корпоративной культуры через разработку и внедрение политик безопасности. Почетное второе место, естественно, занимают вирусы, троянские программы, программы-шпионы и т.д. Одним словом, различные уязвимости информационных систем в целом и отдельного программного обеспечения в частности приводят к полной или частичной утрате, искажению информации или к несанкционированному доступу (утечке). На третье место я бы поставил банальные корзины для бумаг. Вопрос нелегко решить даже при наличии уничтожителей бумаги. Здесь опять на первый план выходит организационная составляющая – развитие корпоративной культуры. Хотелось бы отметить, что развитие корпоративной культуры более эффективно, чем любая система наказаний, потому что для наказания необходимо обнаружить и зафиксировать факт нарушения. Далее продолжать, наверное, нет смысла. Источников угроз великое множество, включая и различные стихийные бедствия, отказы оборудования и т.д.
Каковы основные подходы к организации информационной безопасности?
Развитие информационных технологий в России значительно опережает темпы разработки законодательной базы и руководящих документов в области информационной безопасности, действующих на территории нашей страны. Отставание российских стандартов и законодательной базы вынуждает использовать международные стандарты, точнее их адаптированные версии.
Политика информационной безопасности российских предприятий исходит из их стремления сохранить свои ресурсы. Отрадно, что сегодня российские предприятия не внедряют технологии защиты информации по принципу «внедрение ради внедрения», однако, на передний план выходят пугающие слова вроде «злоумышленник», «контрмеры», «уязвимости», «угрозы», а надо бы сказать просто: «мы стремимся уменьшить риски с целью сохранить ресурсы». Эта простая фраза означает, что главной целью систем безопасности отечественных компаний является обеспечение устойчивого функционирования, посредством предотвращения угроз безопасности и защиты законных интересов владельцев информации от противоправных посягательств на основе принципов разумной достаточности и экономической целесообразности. Все просто, но понимать это можно по-разному. В одной компании предотвращением угроз и защитой интересов будут заниматься бывшие сотрудники правоохранительных органов, в другой – бывшие IT-специалисты, в третьей – действующие системные администраторы. И у первых, и у вторых, и у третьих будет свое видение проблем и путей их решения, и с высокой долей вероятности можно прогнозировать, что комплексно взглянуть на проблему обеспечения безопасности возможно будет только с помощью внешних специалистов, что наиболее правильно и наиболее эффективно.
Назовите основные методы защиты, которые применяются на российских предприятиях.
Как я уже говорил, российские компании, большее внимания уделяют технической стороне вопроса – программно-аппаратным средствам, физической охране периметра, мероприятиям оперативного характера (подобно правоохранительным структурам) и т.д. Это относится не ко всем компаниям. Конечно, те компании, которые приближают управление к международным стандартам, меняют и методы защиты и многое другое.
Оцените уровень защиты российских предприятий, уровень применяемых технологий.
На мой взгляд, уровень защиты большинства российский компаний напрямую связан с внешними требованиями к безопасности. Компании с повышенными требованиями (имеющие банковские системы, биллинговые системы, ответственные производства и т.д.) имеют и высокий уровень безопасности. Зайдя в банк, офис крупной компании и т.п., мы можем визуально оценить уровень технических средств, обеспечивающих защиту внешнего периметра (средства контроля доступа, средства наблюдения и т.д.).
Для большинства прочих компаний, скорее всего, имеются проблемы обоснования необходимости затрат на повышение даже явно недостаточного уровня безопасности. Проблема определения экономически оправданных затрат прямо влияет и на уровень безопасности.
С высокой долей вероятности можно утверждать, что очень многие российские компании имеют достаточно надежные средства контроля над точкой соприкосновения локальной сети компании с сетью Интернет, но совершенно недостаточный уровень защиты внутри локальной сети. Ситуация меняется (и будет меняться еще более быстрыми темпами) в лучшую сторону, по мере того, как менеджеры компаний будут осознавать свою ответственность за эффективность управления.
Какова роль информационных технологий в области защиты предприятия?
В современном мире информационные технологии невозможно представить отдельно от информации. Соответственно, мероприятия по обеспечению безопасности не могут быть отделены от IТ. Я бы сказал, что информационные технологии можно рассматривать не только как один из ключевых активов компании, но и как один из самых важных инструментов обеспечения безопасности. Невозможно управлять IT без учета требований в области безопасности, как невозможно обеспечивать безопасность без учета требований IT. Не имеет большого практического смысла говорить о том, какова сейчас роль ИТ в области безопасности, давайте попробуем немного заглянуть в завтра, которое должно было наступить вчера.
В самом ближайшем будущем информационным технологиям будет отводиться все более важная роль во всех отраслях. Информация о продуктах, услугах, контрагентах, потребностях и т.д., будет становиться все более ценной, и именно информация будет обеспечивать не только конкурентные преимущества компании, но и стратегическую подвижность, а, следовательно, и требования к уровню безопасности будут возрастать. Повышенные требования безопасности будут приводить (и уже приводят сегодня) к образованию альянсов IT-специалистов и специалистов по безопасности. В идеале, в такие альянсы войдут и руководители бизнеса, т.е. принятие решений в области IT и безопасности будет становиться совместной ответственностью специалистов и бизнес-менеджеров.
Начать дискуссию