Обзор подготовлен	При поддержке

Денис Зенкин: Услуги являются важнейшей составной частью ИБ-проекта

О роли услуг и организационных мероприятий в обеспечении информационной безопасности предприятия рассказывает CNews Денис Зенкин, директор по маркетингу компании InfoWatch.

CNews: Рост сектора ИТ-услуг в России значительно опережает показатели других сегментов отечественного рынка ИТ. Как бы вы охарактеризовали динамику развития услуг в сфере ИБ? Какие факторы определяют, на ваш взгляд, рост этого сервисного направления?

Денис Зенкин: Быстрое развитие отечественного рынка ИТ-услуг однозначно демонстрирует синхронизацию России с общемировыми тенденциями. Информационные технологии давно перестали быть «коробкой с полки» — сегодня в их фарватере находится гигантский спектр сопутствующих сервисов, совокупность которых зачастую превосходит по сложности и стоимости продуктовую часть проекта. Эта особенность тем более очевидна в области ИБ: для надежной защиты предприятия недостаточно установить программное и аппаратное обеспечение. Без проведения соответствующих организационных мероприятий любая защита будет малоэффективна.

Чем крупнее организация, тем большее значение приобретают ИБ-услуги. Они позволяют соединять разрозненные элементы защиты в единую систему, налаживать связь с существующими бизнес-процессами, обеспечивать адаптивность и масштабируемость решения, контроль изменений, обучение персонала и соответствие специфическим требованиям заказчика. По сути, именно услуги являются важнейшей составной частью ИБ-проекта — без них защиту корпоративной сети можно сравнить с оснащенным по передовым технологиям танковым корпусом, но без командира, топлива и с неподготовленным личным составом.

Мы уверены, что в будущем доля услуг в общей структуре затрат на ИБ продолжит расти. Этому будут способствовать как субъективные факторы (осознание заказчиками необходимости интеграции ИБ в информационную систему), так и объективные — с усложнением корпоративных ИС усложняется и технология ее защиты, причем крупные организации требуют специфического, индивидуального подхода со стороны поставщиков.

CNews: Какая доля бюджета ИБ, по вашим оценкам, сегодня в среднем приходится на услуги в российских компаниях? Как изменялся этот показатель за последние годы, по вашим наблюдениям?

Денис Зенкин: В России этот показатель имеет непропорционально низкое значение. На фоне 50-60% доли затрат на ИБ-услуги в бюджетах американских и европейских компаний отечественные компании, по нашей оценке, выделяют на это направление в среднем всего 20-30%. Многие организации пытаются справиться с интеграцией систем ИБ своими силами, некоторые ограничиваются банальной установкой ПО без реализации сопутствующих организационных мер. Такой подход свидетельствует о начальном этапе отношения к ИБ. В наиболее развитых международных корпорациях он завершился 5-7 лет назад.

Несмотря на это, нельзя не отметить существенный прогресс российских компаний. За последние годы мы наблюдаем позитивную тенденцию более серьезного отношения к ИБ-услугам. Организации вплотную подошли к осознанию того, что сложные ИБ-проекты могут быть эффективно внедрены исключительно в тесном сотрудничестве с нишевыми профессионалами. Почти все настоящие заказчики InfoWatch за последние 2 года практически удвоили бюджет на услуги в области информационной безопасности. Это позволило им перейти от метода пожаротушения ИБ-инцидентов к долгосрочному планированию рисков и, по сути, сменить статус покорного «слуги Случая» на полноправного хозяина положения.

CNews: Какие услуги, из вашей практики, наиболее востребованы на рынке ИБ?

Денис Зенкин: На данный момент, безусловно, лидирующие позиции на рынке ИБ-услуг занимают специализированные сервисы по установке и настройке систем ИТ-безопасности. Вместе с тем, задача эффективного функционирования крупной, особенно территориально распределенной компании с большим набором разнообразных информационных систем выводит на первый план необходимость создания централизованной, автоматизированной системы управления ИТ-безопасностью. В этой связи все большим спросом пользуются комплексные ИБ-услуги.

Наглядным примером такого подхода является сотрудничество InfoWatch с крупной отечественной энергетической компанией. На первом этапе проводится аудит ИС, в результате чего получается общая картина состояния системы, степени ее влияния на бизнес-процессы, и текущее положение в области управления информационной безопасностью. На следующем этапе разрабатываются общие принципы и подходы к обеспечению ИБ, которые закрепляются во внутрикорпоративном нормативном документе — «Политика информационной безопасности». Политика должна учитывать производственную специфику компании, результаты аудита и охватывать все подразделения заказчика. Ее жизненный цикл включает механизмы принятия решений и постоянной актуализации.

Внедрение политики информационной безопасности требует создания «Плана защиты» — документа с поэтапным, в соответствии с принципом «сверху — вниз», описанием шагов по интеграции политики в бизнес и управленческие процессы организации. Придерживаясь «Плана защиты», в сотрудничестве с соответствующими службами заказчика InfoWatch разработал и внедрил более 10 дополнительных нормативных документов, включая «Положение о конфиденциальности информации», «политику реагирования на инциденты информационной безопасности», «политику работы с мобильными компьютерами».

CNews: Как, в частности, вы оценили бы уровень спроса на аудит информационных систем со стороны отечественного бизнеса?

Денис Зенкин: Для крупных организаций внешний аудит стал почти стандартом де-факто для оценки состояния информационной системы и базисом для выработки рекомендаций дальнейшего развития ИБ. Этот процесс особенно важен для коммерческих организаций, в том числе для открытых акционерных обществ, где внешний аудит является требованием прозрачности корпоративного управления. Отсутствие независимого аудита также является препятствием для размещения акций на фондовых биржах, так что недостатка спроса в этой области не наблюдается. Вместе с тем, у заказчиков все еще нет единого мнения — зачем это нужно и как это делать.

CNews: Как часто, при работе с российскими заказчиками, вы сталкиваетесь с наличием в компании грамотной политики безопасности?

Денис Зенкин: Наличие политики ИТ-безопасности сейчас является обязательным элементом практически для каждой крупной организации. Однако, во многих случаях, она носит формальный характер, недостаточно отражает реальные внутренние процессы и не соответствует целям организации. Более того, иногда случается, что политика оказывается лишним бюрократическим механизмом, который тормозит развитие организации. Зачастую бывает проще начать все сначала, с чистого листа, нежели исправлять существующие внутренние нормативные документы.

Несмотря на это, нам все чаще приходится сталкиваться с «грамотными» ИБ-политиками. Среди российских организаций быстро растет осознание, что без внедрения централизованного, системного подхода к обеспечению ИБ информационная система более похожа на колосса на глиняных ногах. В этом случае даже незначительный инцидент в состоянии парализовать работу организации и вызвать огромные убытки.

CNews: Каким вопросам при организации защиты уделяется, на ваш взгляд, недостаточное внимание? Чем может быть обусловлено подобное «легкомыслие»?

Денис Зенкин: Важнейший элемент защиты, определяющий ее эффективность — это комплексный подход. Практически все компании уже имеют на вооружении антивирусы и межсетевые экраны. Однако сегодня наблюдается существенный «просад» в области внутренней ИТ-безопасности. Это касается как технических средств, так и организационных мер. По данным InfoWatch всего 1% российских компаний использует специализированные системы по защите конфиденциальных данных. Вместе с тем, в глобальных масштабах эта угроза сейчас уверенно занимает первые позиции в списках самых больших опасностей для бизнеса. Лучшее тому подтверждение — исследования PriceWaterhouseCoopers, Ernst&Young, Deloitte Touche Tohmatsu и CSI/FBI.

Причина такого отношения к проблеме кроется, прежде всего, в незрелости рынка и неготовности заказчиков к внедрению соответствующих решений. Наши данные показывают, что компании вполне понимают угрозу, но просто не знают, как ее можно решить существующими инструментами. С другой стороны, громкие скандалы в связи с утечкой конфиденциальной информации из государственных и коммерческих организаций стимулируют рост интереса к этой специфической области. Мы наблюдаем резкое увеличение количества обращений заказчиков касательно решений InfoWatch. В краткосрочной перспективе этому рынку придется пройти весь путь становления, который уже преодолели, например, антивирусы и антиспамовые продукты. Правда, в сложившихся условиях этот путь придется преодолевать в самые сжатые сроки.

CNews: Какие меры, по вашим оценкам, необходимы, чтобы свести к минимуму вероятность утечки информации в организации?

Денис Зенкин: Для надежной защиты конфиденциальной информации необходима реализация комплекса мер технического и организационного характера. Прежде всего, важно внедрить автоматизированные системы мониторинга наиболее распространенных каналов утечки — электронной почты, web-трафика, съемных накопителей информации.

Ключевой момент в выборе решения заключается в его соответствии специфическим бизнес-требованиям организации. Как понять является ли письмо конфиденциальным? Это можно сделать только в случае разработки специальной базы данных ключевых фраз для конкретного заказчика. Необходимо также "понимание" системой мониторинга всех применяемых форматов файлов и разумное разграничение прав пользователей с целью исключить понятие «супер-пользователя».

Организационная сторона проекта включает создание и внедрение корпоративной политики ИТ-безопасности, положения о конфиденциальности, модификации трудовых договоров, тренинг персонала и т.д. В обратном случае затраты на такое решение не смогут окупиться — секретная информация все равно будет просачиваться из корпоративной сети.

CNews: Каков опыт InfoWatch в области проведения консалтинговых проектов в сфере ИБ?

Денис Зенкин: Более половины бизнеса InfoWatch приходится на услуги в области ИБ-консалтинга. В частности, компания принимала участие в разработке и модернизации политики информационной безопасности для «ВымпелКома», ГидроОГК, Государственного таможенного комитета. Среди наших заказчиком также крупнейшая в мире нефтетранспортная компания — «Транснефть», Министерство экономического развития и торговли РФ. Каждый проект внедрения наших решений сопровождается реализацией комплекса организационных мер, которые позволяют органично интегрировать систему ИБ в существующую ИТ-инфраструктуру заказчика.

CNews: Спасибо.