• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Инфобез в триединстве и борьбе

В триединстве составляющих информационной безопасности (организационная, кадровая, технологическая) сегодня просматриваются мотивы басни про лебедя, рака и щуку. Но конец сказке обещан просто по Кампанелле.

Камо грядеши, правила игры?

«По каким правилам будем играть?» – этот традиционный вопрос рынка информационной безопасности (ИБ) к регулятору обрастает новыми тревогами и надеждами. Законодательная база – в процессе изменений; ФЗ-152 и ФЗ-149, постановления Правительства РФ №№ 781, 424, 754, нормативные акты ФСБ и ФСТЭК не снимают многочисленных вопросов, связанных с персональными данными, госуслугами в электронном виде, сертификацией средств информационной безопасности, лицензированием деятельности в этой области. А как быть с регулированием информационной безопасности в наплывающих «облаках»?.. 

Рынок коммерческих облачных вычислений в России только зарождается, однако он неизбежно будет расти, сошлись во мнении участники дискуссии «Все как сервис», организованной в рамках деловой программы форума «ИнфоБезопасность 2010». При этом, как отметил М. Эмм (НИП «Информзащита»), применение технологий обеспечения безопасности в «облаках» затрудняется их «родовыми свойствами»: границы системы, обеспечивающей вычисления, размыты – и невозможно выделить периметр защиты. И все же проблема разработки технологии с мигрирующими по «облакам» механизмами защиты – скорее не проблема, а интересная задача и новая тема для вендоров (особенно интересная в силу того, что новые темы на рынке ИБ появляются не так уж часто).  

Сложнее будет решить вопросы взаимоотношений провайдера и потребителя услуг. По словам С. Вихорева («Элвис-Плюс»), и в традиционной бизнес-модели на организационные проблемы приходится 80% всех проблем безопасности, а в «облаках» они обострятся еще сильней, и разрешить их можно будет только двумя способами: путем создания технических механизмов, дающих пользователю возможность вести постоянный мониторинг выполнения соглашений с провайдером, или путем налаживания между пользователем и провайдером доверительных отношений, подкрепленных юридически.

Но самой «запущенной» была признана регуляторная тема. По мнению М. Эмма, нормативная база у нас в стране в части не то что cloud computing, но даже виртуализации отстает от уровня развития технологий лет на 10–15. «Поэтому, – заметил он, – отдав данные в «облако», вы должны понимать, что даже если вы сэкономили кучу денег, дальше надо будет объяснять регуляторам, как вы обеспечите их защиту, как организуете обработку этих данных, – и затраты на объяснения могут перекрыть полученную экономию».

Как CIO и CSO сошлись на ринге

По данным проведенного PricewaterhouseCoopers исследования Information Security Breaches Survey 2010, в период экономического спада резко возросло количество нарушений безопасности в компаниях по вине персонала. Так, 92% респондентов из больших компаний и 83% из небольших признались, что в прошлом году имели инциденты, связанные с нарушениями безопасности (рост почти в два раза за два года); у 46% респондентов из больших компаний имели место утечки конфиденциальных данных по вине персонала, из них 45% были очень серьезными или чрезвычайно серьезными. Как отметила З. Попова (УЦ «Информзащита»), эффективность работы по предотвращению нарушений политик информационной безопасности во многом зависит от слаженности работы специалистов различных подразделений – служб безопасности, кадровых служб и ИТ-департаментов компаний. Однако, как показал шутливый лишь отчасти брейн-ринг CIO vs CSO, организованный в рамках форума, достичь такой гармонии – задача вполне серьезная.

С одной стороны, служба информационной безопасности и ИТ-служба работают в интересах бизнеса своей компании в тесном взаимодействии друг с другом. С другой – конкурируют за влияние на бизнес. Как заметил со стороны CSO С. Котов, эксперт по ИБ, если у бизнеса возникают проблемы – он, принимая правильное решение, в первую очередь прислушается к своей службе безопасности. Его оппонент Б. Славин, председатель правления Российского союза ИТ-директоров, уверен, что сегодня вообще отделить бизнес от ИТ (по крайней мере, в банковской отрасли или в телекоме) невозможно: «Мы занимаемся информатизацией, а не технологиями и создаем инфраструктуру самого бизнеса. А информационная безопасность – это одно из необходимых свойств информации. Защищать информацию необходимо, но не в ущерб другим ее свойствам – актуальности и ценности». На что капитан команды «защитников» не без основания возразил: «ИТ – это технологическая основа бизнеса, причем всего лишь одна из технологических его основ, как и электроэнергия, и транспорт. И далеко не всякий бизнес остро нуждается в ИТ».

«Айтишники», среди которых на брейн-ринге были также представители компаний КИТ «Финанс» и «Росатом», предъявили серьезный счет к службам информационной безопасности: необоснованные ограничения доступности информации, связанные зачастую с недостаточным уровнем компетенции; бюрократизм и торможение инициатив ИТ-службы по развитию сервисов, дублирование проводимых ИТ-подразделением мероприятий по защите информации. Самым радикальным стало заявление, что ИТ-департамент вполне способен справиться со всеми задачами информационной безопасности и без службы безопасности как отдельной структуры.

Со стороны «безопасников» (в числе которых были сотрудники ОАО Инвестбанк «Открытие» и МТС) команде ИТ-директоров были предъявлены обвинения в том, что «айтишники» стараются завысить в глазах бизнеса свою роль в защите информации и вообще способность разбираться в ИТ (между тем утечки информации происходят сплошь и рядом, особенно в банках); нередко развитие новых сервисов инициирует именно служба безопасности, а ИТ-подразделения их тормозят, не желая брать на себя риски.

Впрочем, при всем накале словесных баталий оппоненты пришли к согласию по трем позициям. Во-первых, служба информационной безопасности предприятия не должна входить в состав ИТ-подразделения. Она может входить в службу экономической безопасности, но предпочтительный вариант – отдельная служба, взаимодействующая со всеми подразделениями и находящаяся в прямом подчинении у одного из заместителей первого лица компании. Вторая позиция – дефицит специалистов в области информационной безопасности, который можно будет восполнить только с годами и при условии системного подхода государства к обучению по специальности «специалист по ИБ» в вузах, колледжах и дру-гих образовательных учреждениях страны. 

Курс на информационный город Солнца 

Третью позицию, примирившую CIO и CSO, сформулировал Б. Славин. Позиция эта – футуристическая:

• Мы еще далеко не осознали, к сколь великим переменам в человеческих взаимоотношениях ведет информатизация; сейчас на поверхность пробиваются лишь первые ростки этих перемен: вдруг замечаем, что при возникновении локального конфликта информационная реакция оказывается важнее военной составляющей, или обнаруживаем, что социальные сети начинают влиять на нашу власть (на которую трудно кому-то повлиять).

• Новые отношения эпохи информатизации приведут к смене парадигмы информационной безопасности, которая будет развиваться по правилам, противоположным привычным сегодня правилам закрытия, запрещения, ограничения, ввода новых шифраций. Новые правила будут основаны на развитии мониторинга, открытой информации о том, кто куда и какой имеет доступ. Из двух направлений безопасности – замки и видеонаблюдение – второе займет главенствующее место, а информационная безопасность станет неотъемлемой чертой информатизации.

• В конце концов отпадет надобность в CIO и CSO – их функции перейдут к службе управления персоналом HR.

P.S. Пока же, до наступления всеобщего единения, руководители служб информационной безопасности решили создать собственное объединение, аналогичное СоДИТ, о чем и было объявлено после брейн-ринга. 

 ______________________________________________________________________________

В № 10’2010 на с. 19 допущена опечатка в названии компании. Следует читать: ADM Partnership.