Обзор подготовлен	При поддержке

Андрей Голов: Сегодня наиболее востребованы услуги по построению и модификации систем управления безопасностью

О роли систем управления безопасностью, а также важности комплексного подхода к обеспечению защиты информации рассказал CNews Андрей Голов, руководитель направления ИБ компании TopSBI.

CNews: В какой мере отразилось, на ваш взгляд, замедление темпов роста ИТ-рынка России на отрасли информационной безопасности?

Андрей Голов: Несмотря на замедление темпов роста ИТ-рынка России, на рынке услуг информационной безопасности наблюдается настоящий взрыв. Сегодня в любом реализуемом проекте, при создании любой информационной системы вопросы обеспечения ИБ являются основополагающим моментом.

Еще не так давно средства защиты информации зачастую являлись данью моде, то сегодня, в связи с ростом масштабов компьютерных угроз, они являются одним из важнейших критериев выживаемости бизнеса. Существуют примеры, когда многие компании обжигались, пренебрегали средствами защиты и извлекли из этого урок. Среди них есть и банки, и промышленные компании. Для многих наших клиентов информационная безопасность стоит чуть ли не на первом месте в списке вопросов по сохранению бизнеса и его нормальному функционированию.

Кроме того, постоянный рост числа уязвимостей вынуждает компании все время модернизировать свою защиту, что также влияет на динамику рынка. В частности, в последнее время большое внимание уделяется проблеме внутренних угроз, возникающих как в результате действий инсайдеров, так и не умышленных нарушений. Широкое распространение портативных устройств и работа с ними на рабочем месте приводит к тому, что заражение корпоративной сети происходит в результате подключения к ней, например, инфицированного ноутбука. Сегодня, по некоторым оценкам, до 87% всех инцидентов ИБ — внутренние. Если необходимость защиты периметра уже никто не вызывает сомнения, то внутренняя безопасность только начинает развиваться. Сегодня защиты от внутренних угроз и нарушений пользуется очень большим спросом.

CNews: Как проходит процесс стандартизации отрасли? Заметно ли его влияние на рынок?

Андрей Голов: В последние несколько лет принимается все больше и больше различных законодательных актов по защите информации, и все больше интереса проявляется к ним со стороны клиентов. Не так давно Центральный Банк России выпустил стандарт по обеспечению информационной безопасности в кредитно-финансовой сфере, носящий рекомендательный характер, ранее был принят национальный стандарт ИСО/МЭК 15408. В прошедшем году был всплеск интереса к стандарту ISO 17799, что вполне закономерно. Если раньше система безопасности представляла собой комплекс технических и программных средств, то сегодня многие начинают понимать, что такая система не может решить проблемы ИБ без надежной системы управления. Постепенно в сферу ИБ приходит анализ рисков, что естественно повышает внимание организаций к стандартам ИБ. В стандартах ИБ есть и «национальная специфика». Например, для выхода компании на американский фондовый рынок необходимо соответствие акту Sarbanes-Oxley. У нас есть клиенты, системы безопасности которых мы готовили в соответствии с этим стандартом.

CNews: С чего должна начинаться работа по внедрению систем ИБ? Какова роль консалтинга в сфере ИБ?

Андрей Голов: В конце девяностых годов заказчикам в основном требовалась установка программных аппаратных комплексов. Поэтому на сегодняшний день эти заказчики просят нас не просто модернизировать их системы защиты информации, но и организовать управление ими.

Современные продукты и делают защиту более гибкой и позволяют лучше управлять системой безопасности. Большое количество инцидентов обусловлено, как раз, отсутствием у компаний систем управления инцидентами ИБ, которые смогли бы в результате зарегистрировать инцидент, среагировать и произвести преграждающие действия. Сейчас 90% наших заказчиков просят услуги именно в этой области, т.е. покупку программно-аппаратных комплексов они берут на себя, а от нас ожидают профессиональной организации работы комплексной системы.

Наши специалисты уже накопили значительный опыт построения и сопровождения систем ИБ на предприятиях различных отраслей и знают все тонкости настройки систем защиты, адекватные масштабам и особенностям угроз для конкретного вида бизнеса.

CNews: Часто ли отечественные компании обращаются к вам за услугами аудита использующихся у них информационных систем и проведением тестов на проникновение?

Андрей Голов: Дело в том, что обычно за услугами в сфере защиты информации обращаются службы безопасности компаний, и, естественно, им не всегда хочется, чтобы проверяли их работу. Другой случай—когда запрос исходит от CIO или гендиректора, которым аудит просто необходим для получения независимой оценки состояния систем безопасности. Аудит позволяет упорядочить, категоризировать информационные потоки, структурировать их, провести детальный анализ системы управления ИБ и задокументировать все это для упрощения дальнейшего обновления и модернизации. Только после таких мероприятий можно приступать к построению системы управления ИБ или ее модификации.

Что касается тестов на проникновение, то это очень деликатная тема. У нас есть заказчики, для которых мы проводили такие тесты, но вам никто и никогда не скажет ни кто заказчик, ни какие результаты. Важность подобных мероприятий объясняется довольно просто. Этическое хакерство, требует специального подхода, специфического уровня мышления, несколько другого, чем у тех, который занимается защитой. У нас есть специалисты, хорошо знающие образ мышления компьютерных преступников, «стиль их работы», что позволяет нам правильно оценивать возможности и слабые места защиты. При проведении тестов на проникновении, на карту ставится репутация и опыт консультанта-исполнителя. При проведении тестов на проникновении важен результат — возможен ли «взлом» или нет. И результат таких работ вполне определенный.

Современные средства и подходы позволяют взломать девять систем защиты из десяти. Большую роль в защите играет общая грамотность всех сотрудников компании, потому что хакерами используются весьма разнообразные и изощренные методы. Если злоумышленник представляется по телефону сотрудником службы безопасности, а пользователь говорит ему пароль, то в этом случае не помогут ни межсетевые экраны, ни VPN, ни другие средства защиты. Комплексная безопасность должна включать и обучение сотрудников, и тренинги, и организационные мероприятия.

CNews: Каков, на ваш взгляд, уровень защиты крупных российских организаций и государственных структур?

Андрей Голов: Оценить уровень защищенности достаточно легко. Есть стандарты, критерии, алгоритмы для проведения таких оценок. Однако проблема гораздо шире. Например, я не сомневаюсь, что в Центральном Банке России хорошая служба безопасности, тем не менее, известно, что даже у них произошла утечка конфиденциальных данных

Если сравнивать уровень защиты в коммерческих организациях и госструктурах, уровень защиты примерно одинаков. Хотя проблемы все еще, существуют и связаны они с тем, что системы безопасности, в основном, ставились в конце 90-х годов, в области информационной безопасности заметны гигантские улучшения. С тех пор появилось множество новых уязвимостей, используется новое ПО, в котором опять же присутствуют уязвимости, поэтому нужны новые решения и продукты, которые будут, в первую очередь, носить превентивный характер. Предупредить инцидент гораздо легче и, тем более, дешевле, чем потом устранять его последствия.

Кроме того, много примеров, когда в компаниях установлено современные программно-аппаратные средства защиты, правильную настройку которых собственные специалисты осуществить не в состоянии. Многие вопросы опять же упираются в систему управления. Она, в том числе, включает анализ работы, проверку служащих, и в стандарте ISO 17799 все это прописано.

У меня оптимистичный прогноз. Я реально вижу улучшения, вижу, что люди озабочены проблемой сохранности информации. Подтверждением этих выводов может служить повышенный спрос в России на системы безопасности, системы резервирования, заказы на построение процесса Disaster Recovery. Что касается последнего направления — майский энергокризис в Москве существенно этому «способствовал».

CNews: А есть ли в России идеальные, на ваш взгляд, компании с точки зрения защиты информации?

Андрей Голов: Одну, почти идеальную, я знаю точно. Дело в том, что чем больше информационная система, чем она более распределенная географически и гетерогеннее по отношению к операционным системам, к железу, тем ей, естественно, тяжелее управлять и естественно тяжелее построить суперсистему безопасности. Поэтому если говорить об очень хороших системах ИБ, то я бы сказал, что они принадлежат к классу небольших систем, использующихся небольшими компаниями. Безусловно, это можно сделать и в случае больших компаний, но в этом случае необходимы hi-end продукты, опыт внедрения которых у нас также есть. Количество таких систем в России можно пересчитать по пальцам, хотя на западе их достаточно много. В первую очередь это объясняется высокой стоимостью таких систем, не такой высокой как ERP, но достаточно высокой для их широкого распространения в России.

CNews: Большинство крупных компаний расположены в Москве, и по отрасли ИБ это особенно заметно. Какова география ваших заказчиков? Насколько хорошо защищены регионы?

Андрей Голов: География наших заказчиков очень широка. У нас есть клиенты в России, Казахстане, Грузии. Особенность предоставления услуг по ИБ в том, что мы, например, не связаны таможенными условиями, поэтому обладаем высокой мобильностью, что очень важно.

Что касается уровня защищенности компаний в Москве и регионах, то трудно сказать у кого уровень защиты выше, заметна лишь разница в компьютерном оснащении. Более того, зачастую региональные центры являются частями общей информационной системы, центр которой может находиться, например, в Москве. Сегодня все осознали, что безопасность является очень важным дополнительным сервисом, который обеспечивает работоспособность бизнеса.

CNews: Популярен ли аутсорсинг в сфере ИБ? Какие компании соглашаются отдать обслуживание своих систем на аутсорсинг, а кто старается обходиться собственными силами?

Андрей Голов: Я не знаю ни одной компании, которая бы отдала систему безопасности на аутсорсинг полностью. Например, у нас есть клиенты, отдавшие нам подсистему сетевой безопасности. Чтобы поддерживать серьезную систему, нужны квалифицированные инженеры. Вырастить своих достаточно дорого и долго, тем более велика вероятность, что потом они уйдут. Поэтому люди, конечно, склоняются к аутсорсингу, но при этом чаще всего отдают на удаленное обслуживание «периметр», а все что касается обслуживания, например, баз данных, то такие вопросы никогда не отдадут на аутсорсинг.

CNews: Какие наиболее интересные проекты были реализованы вашей компанией в прошедшем году?

Андрей Голов: Я могу только назвать наших клиентов в области информационной безопасности, не затрагивая детали собственно реализованных проектов. Среди клиентов TopS BI: «Трубная металлургическая компания», представляющая собой холдинг заводов, «Протек», крупнейшая фармацевтическая компания в России, «Даймлер-Крайслер», «GM-Автоваз», «Альфабанк», банк «Возрождение», «Ресо-гарантия». Если я буду продолжать список дальше, то это займет много времени.

В России мы единственная компания, которая является золотым партнером компании Check Point. Вендор назвал нас лучшим партнером по итогам 2004 г. Нам дали такой статус за наибольшее количество реализованных проектов, причем для различных систем, что говорит о нашей компетенции в этом вопросе. В TopS BI находится единственный в Европе центр компетенции продуктов Check Point, представляющий собой тестовую лабораторию. В ней установлены всевозможные средства защиты информации, там мы проводим интеграцию различных продуктов и бизнес-приложений, моделируем систему заказчика. Прежде чем установить систему клиенту, мы собираем ее на стенде в этой лаборатории. Это позволяет нам безболезненно для бизнеса заказчика установить и настроить систему защиты непосредственно на оборудовании клиента. Продукция Check Point стала «сердцем» наших решений, потому что она позволяет создавать интегрированные комплексные системы. Большинство продуктов других производителей заточено на работу с определенным оборудованием, тогда как решения Check Point совместимы с аппаратными платформами более чем 200 производителей, т.е. фактически со всеми представленными на российских предприятиях.

CNews: Какие тенденции будут определять развитие рынка информационной безопасности России в ближайшие несколько лет?

Андрей Голов: Прежде всего, стоит сказать, что будут развиваться системы управления безопасностью и расти спрос на них со стороны заказчиков. Еще одним важным моментом будет более активное применение анализа информационных рисков при построении систем защиты. Кроме того, больше внимания будет уделяться политике безопасности, обучению и информированию сотрудников о вопросах ИБ, поскольку это одно из слабейших мест на сегодняшний день.

Что касается программно-аппаратных комплексов, то здесь будет особое внимание уделяться внутренней безопасности и защите мобильных станций, компьютеров, КПК, потому что сейчас бизнес не ограничивается рамками одной корпоративной сети. Этот вопрос сейчас активно обсуждается, однако решений в данной области не так много, и появились они сравнительно недавно.

Чем больше система, тем тяжелее ей управлять, тем в ней больше дыр, которые могут найти и использовать злоумышленники. В случае построения больших систем особенно необходим весь комплекс услуг: аудит, построение, внедрение, поддержка. Здесь не годятся полумеры, выборочное решение проблем, которые сегодня кажутся особенно важными, оставляя остальные «на потом». Эффективность таких «заплаток» невелика и мы в своей практике стараемся категорически препятствовать «латанию дыр».

Я хочу сказать, что пора «латания» 90-х годов прошла, сейчас все больше обращаются за услугами по построению процесса управления, просят поставить систему целиком, настроить ее, заставить ее защищать, а не стоять «для галочки». Сегодня бизнес не хочет вкладывать деньги просто в информационную безопасность, а пытается понять куда, сколько и почему нужно эти деньги вкладывать.

CNews: Спасибо.