Rambler's Top100
Статьи ИКС № 01-02 2013
Лилия ПАВЛОВА  29 января 2013

Цена защиты бизнеса

На фоне множащихся угроз и растущих объемов утечек данных бюджеты на информационную безопасность отнюдь не увеличиваются. Как в этой ситуации «инфобезопасникам» получать средства на развитие и поддержание своих систем и обосновывать свою позицию, обсудили участники круглого стола «Затраты на информационную безопасность. Много? Мало? Сколько надо?», организованного журналом «ИКС».

Как найти общий язык

В России бизнес и информационная безопасность исторически развивались в разных «системах координат». Поэтому обосновать затраты на ИБ бывает сложно. «Хорошая безопасность – это когда ничего не случается, – прокомментировал модератор круглого стола Михаил Емельянников (консалтинговое агентство «Емельянников, Попова и партнеры»). – А когда ничего не случается, трудно показать свою работу». Как же перевести на язык бизнеса ИБ-терминологию, и нужно ли это делать?

Есть два пути преодоления этого «языкового барьера», считает Илья Трифаленков («Ростелеком»). Либо бизнес в лице директоров компании освоит терминологию безопасности (есть примеры, когда руководители высокого уровня способны оперировать такими понятиями, как «криптография», «межсетевые экраны», «резервное копирование», «защита от DDoS-атак» и пр., правда, в основном в силу личного интереса), либо «безопасники» выучат язык бизнеса и смогут объяснить, каким рискам подвергнется бизнес, если не будут приниматься меры информационной безопасности. Второй путь – наиболее реальный и становится мейнстримом, полагает И. Трифаленков.

 Илья Трифаленков («Ростелеком»)
 Александр Шубин (банк «Возрождение»)
Александр Шубин (банк «Возрождение»)
 Е.Артасов, "Телеинком" и М.Суконник, Radware
 Александр Кириллов («Северсталь»)
Дмитрий Устюжанин («ВымпелКом»)
Павел Волков (ARinteg)
Однако обучение должно быть взаимным. Подобно тому, как «безопасники» учат язык бизнеса, нужно обучать информационной безопасности и ее терминологии весь персонал компании, от руководства до рядовых сотрудников. Александр Шубин (банк «Возрождение») уточнил, что обучение должно вестись дифференцированно для разных категорий сотрудников – топ-менеджеров, основного персонала, айтишников и сотрудников, к ИТ формально отношения не имеющих. Для каждой категории необходим свой процесс обучения. Скажем, первому лицу надо на уровне презентации быстро и сжато дать понимание того или иного вопроса, актуального в данное время. Для топ-менеджеров информация может быть более развернутой, но тоже строго дозированной. Чем ниже уровень, тем более широкие могут даваться знания. При этом оптимальным будет использование дистанционного обучения. «Тогда и смета, и состояние ИБ в компании будут хорошие», – резюмировал А. Шубин.

Еще один путь – привлечение внешних консультантов. Александр Сикорский (МТС) подчеркнул, что в части оценки рисков для руководства компании бывает более важно получить информацию не от своих сотрудников, а от консалтинговой компании, которая провела соответствующее независимое исследование. Причем компания должна иметь вес и известность в этой области. «Как правило, на основе таких убедительных результатов руководство склоняется в правильную сторону», – заключил А. Сикорский.

Как обосновать бюджет

В обосновании затрат на ИБ существуют два основных подхода – методический и практический. В первом случае используются методики и показатели эффективности (ТСО, BCP, ROI и др.), во втором оценка делается без детальных расчетов на основе best practice (исходя из того, что стоимость системы ИБ должна составлять примерно 10–20% стоимости КИС). Говоря о преимуществах и недостатках каждого подхода, М. Емельянников заметил, что с точки зрения безопасности первый подход реализовать сложно: «Какой возврат инвестиций может быть от замка, повешенного на дверь гаража? Здесь только затраты, и они никогда не вернутся». Поддерживая эту позицию, Михаил Суконник (Radware) указал, что следует сначала делать отбор, опираясь на best practice, а потом сравнить выбранные решения с помощью тех или иных методик. «Но говорить об окупаемости этих решений нельзя, – уверен М. Суконник. – Надо помнить, что это – безопасность. Единственное, на что можно опираться, – недопущенный ущерб от атак, а это зачастую миллионы долларов».

Для руководства государственных организаций, по словам Владимира Поихало (Федеральный фонд обязательного медицинского страхования), наиболее веский аргумент при обосновании бюджета на ИБ – нормативные требования регуляторов и деятельность проверяющих органов. Однако бизнесу скорее понятны другие доводы, считает Александр Хрусталев (МГТС). «Любая информация имеет определенную стоимость, любой простой выльется в потери, – убеждал он. – Соответственно, представляя решение по информационной безопасности руководству, нужно объяснять риски в денежном выражении: сколько потеряет компания при DDoS-атаке и т.д. Если риски ИБ перевести в деньги, разговор станет более конструктивным».

Методический и практический подходы, по мнению А. Сикорского, следует разумно сочетать. Наличие рисков и вероятность их реализации с помощью определенных методик можно трансформировать в вероятность потерь тех или иных финансовых средств. Другое дело, если подразделение обосновывает свою деятельность тем, что показывает, какие риски уже предотвращены и ущерба на какую сумму удалось избежать. В этом случае используются другие методики, опираясь на которые можно обосновывать затраты на дополнительные средства защиты.

В числе методик, понятных бизнесу, можно назвать матрицы рисков. Так, Александр Кириллов («Северсталь») рассказал, что предприятие, которое он представляет, с прошлого года ведет масштабное внедрение комплексной системы снижения издержек бизнеса. Составной частью системы является информационная безопасность, а общий подход предусматривает составление матрицы рисков, включающей характеристики рисков, вероятности их реализации и стоимостную оценку последствий этой реализации. Такие матрицы созданы на нескольких уровнях иерархии системы – и бизнес получил понятную картину и по бизнес-процессам, и по функциональным блокам, и по необходимым затратам.

Для обоснования бюджета на ИБ необходимы стратегия или хотя бы тактический план развития и поддержания уровня информационной безопасности в компании, учитывающие направления развития бизнеса. «Например, бизнес осваивает новые территории, где требуется внедрить определенные средства защиты, или создаются новые бизнес-единицы, новые сервисы. В этих случаях нужно провести анализ рисков и показать, что при запуске такого-то сервиса нужны такие-то вложения, – пояснил Дмитрий Устюжанин («ВымпелКом»). – Это позволит сформулировать бизнес-обоснование внедрения тех или иных средств или процессов ИБ. С другой стороны, развитие бизнеса обусловливает развитие ИТ – и план развития информационной безопасности должен учитывать ИТ-стратегию компании. И третье направление – обоснование затрат на поддержку уже существующих систем».

Как оценить риски

Говоря о рисковой методологии, о конкретных технических средствах обеспечения ИБ, о категориях подлежащих защите активов, следует учитывать динамическую природу этих объектов, считает Павел Волков (ARinteg). «Мир рисков можно разделить на две части. Есть часть аналитическая – мнение эксперта о том, что является объектом защиты, каковы требования к нему, что является рисковым сценарием и как ему противодействовать, – прокомментировал П. Волков. – И есть часть событийная – фактическая, говорящая о том, что на самом деле происходит в защищаемой системе. Поэтому если мы говорим об эффективной системе обеспечения ИБ, об обоснованном бюджете, нужно не только учитывать регуляторные требования, не только грамотно считать риски и правильно согласовывать с бизнесом стоимость активов, но и соотносить события, которые происходят с защищаемыми активами, с нашим прогнозом. Современное развитие SRM/SPM- и SIEM-систем уже позволяет достичь хорошего уровня объективизации оценки рисков и, соответственно, существенно приблизиться к обоснованному уровню затрат на ИБ, стоит только захотеть».

Этот подход сложно оспорить, однако в жизни, как водится, реализовать его не так-то просто. «Я работаю в страховой компании, и мне всегда казалось, что страхование умеет оценивать риски, – поделился своими проблемами Артем Кроликов («АльфаСтрахование»). – Когда мы начали оценивать риски, мы изучили 20 методик и выбрали, по нашему мнению, наиболее понятную. Сформулировали риски, представили их руководству. И столкнулись с тем, что среднестатистический бизнес-пользователь проведенную оценку рисков (а она была выполнена качественно!) оказался не способен воспринять. Бизнес либо игнорирует риски, либо принимает их. Теперь я вынужден составлять некий документ о том, как бизнес должен обрабатывать риски, что он может и чего не должен делать в том или ином случае».

Еще одна проблема – собственно «событийная часть». «К сожалению, по России у нас нет статистических данных – например, сколько за определенное время произошло попыток взлома внешнего периметра банка, – констатировал Андрей Калашников (Сберкред Банк). – А в отсутствие статданных, которые можно предъявить руководству и обосновать затраты на безопасность, мы вынуждены пугать бизнес регулятором, как это делает, например, федеральный фонд обязательного медицинского страхования». С ним согласен А. Кириллов, подчеркнувший, что на профессиональном информационном поле у «безопасников» крайне мало фактов.

Информационный вакуум отчасти объясняется соображениями той же безопасности, однако именно сообща «безопасники» могут получить неплохие результаты. Например, модель угроз для ДБО была разработана группой экспертов из разных банков. «Первое, к чему мы с коллегами пришли, – пора отказываться от расчета рисков до конкретного объекта, надо говорить о рисках процесса в целом и рассматривать угрозы с точки зрения нарушения той или иной характеристики этого процесса, – отметил Павел Головлев (СМП Банк). – Второе: мы решили не привлекать внешних консультантов». В итоге представители банков мозговым штурмом составили перечень рисков, актуальных для ДБО, создали перечень защитных мер, которые требуются для компенсации этих рисков, и получили приемлемую и понятную схему модели угроз.

Почему не хватает денег

Нередко даже в случае утверждения бюджета на ИБ-проект «неожиданно» возникает необходимость в существенных дополнительных затратах, которые изначально не планировались и на которые нет ресурсов. И. Трифаленков назвал две основные причины таких ситуаций: «Первая связана с действиями регулятора. К примеру, мы выполняли работы по созданию систем защиты персональных данных по классам К1, К2, К3 и К4, и в один прекрасный день все критерии этих классов государство изменило. Возникла нестыковка тех затрат, которые планировались, и тех, которые пришлось планировать. Второй причиной может стать переход проекта из стадии реализации в стадию поддержки и эксплуатации. Как правило, при переходе от CAPEX к OPEX что-то теряется, потому что занимаются этими двумя стадиями разные подразделения и мостик между ними проследить не всегда получается».

Еще одна причина потребности в дополнительных затратах кроется в недоговоренностях на стадии составления технического задания. «Система внедряется в соответствии с техзаданием, но на стадии "пилота" бизнес-подразделение решает расширить функционал системы сверх оговоренного в ТЗ. Вопрос рассматривается на самом верхнем уровне. В результате заказчик обращается к исполнителю, который отвечает: любой каприз за ваши деньги, и зачастую подписывается дополнительное соглашение к договору», – проиллюстрировал ситуацию А. Шубин.

Подводные камни могут обнаружиться и в системе планирования проектов самой компании, считает П. Головлев. «Наверняка всем знакома ситуация, когда вдруг "из ниоткуда" возникает еще один проект от другого бизнес-заказчика, который развивался параллельно. На выходе они сталкиваются и оказываются перпендикулярны – тут приходится быстро "на коленке" что-то собирать, и это приводит к дополнительным затратам на оба проекта», – отметил он.

Кто принимает вызов BYOD

По данным аналитиков, в 2011 г. число мобильных уязвимостей выросло на 93% и мобильные вирусы впервые представили реальную угрозу для бизнеса. Можно ли в этих условиях создать действительно эффективную систему информационной безопасности? Как сообщил М. Емельянников, есть компании, в которых не то что в сеть не войдешь со своего телефона, но сами телефоны, планшеты, флешки сдаются на проходной и хранятся в специальных ячейках.

Но, очевидно, прогресс не остановить, и службам ИБ надо искать компромиссы с консьюмеризацией. В банковской сфере такого компромисса частично можно достичь, по словам А. Шубина, выдачей сотрудникам корпоративных мобильных устройств «после того, как с ними службами ИТ и ИБ произведены определенные действия». Тем не менее феномен BYOD проникает уже и сюда. Но одно дело защищать унифицированную инфраструктуру, где есть определенные стандарты, стоят известные серверы, рабочие станции с заданными операционными системами и приложениями, и совсем другое – впустить в корпоративную сеть пользователей неподконтрольных устройств со всем многообразием версий всех существующих ОС и их приложений.

Сами операторы мобильной связи, по большому счету приветствуя покупку смартфонов и планшетов, признают, что и для них BYOD стал головной болью. «Как корпорация мы тоже страдаем, – подтвердил Д. Устюжанин. – Если раньше руководитель службы информационной безопасности был человеком, который говорил нет, то сейчас ставить запреты практически невозможно даже в серьезных вопросах, даже в банках. С этим надо жить. Что делать в этой ситуации службе информационной безопасности? Мы сейчас рассматриваем решения класса MDM (Mobile Device Management), которые появляются на рынке. Как только решим этот вопрос для себя, будем такой сервис предоставлять и другим компаниям. Вообще мы внимательно рассматриваем сегмент предоставления сервисов безопасности. "Последняя миля" – это все чаще мобильный доступ, и я уверен, что операторы мобильной связи должны играть решающую роль в обеспечении безопасности этого доступа».

Так что же мы защищаем

Несколько лет назад, по словам Д. Устюжанина, служба информационной безопасности оператора получила от внешнего аудитора замечание, что «заточена» на защиту инфраструктуры, сетевых подключений и пр., в то время как защищать надо собственно информацию, данные. «Мы развернулись в этом направлении, не оставляя, разумеется, и прежнего, – сказал Д. Устюжанин. – А сейчас уже все понимают, что надо защищать сам бизнес и бизнес-процессы компании, обеспечивать мониторинг обстановки в киберпространстве вокруг ключевых информационных активов и реагировать на аномальные активности».

Любопытными данными поделился в этой связи М. Суконник: в прошлом году компания Radware проанализировала отчеты более 100 крупных корпораций по всему миру и обнаружила, что примерно в 36% случаев атака успешно проводится именно на системы, призванные защищать бизнес от атак снаружи (IPS, firewall, IDS). Таргетированные атаки, как указал М. Емельянников, свидетельствуют о том, что бизнес не так уж и защищен, если есть большое желание нанести ему ущерб в информационной сфере.

Одной из основных задач службы информационной безопасности, подчеркнул Виктор Минин (АРСИБ), должно быть выявление чувствительных компонентов бизнеса и их защиты. Это может быть и инфраструктура, и информация, и даже носители информации – люди. А. Шубин уточнил, что бизнес не существует без бизнес-процессов, как бизнес-процессы не существуют без информации. «Поэтому в основу надо положить классический принцип, которым в силу его рутинности не хотят заниматься ни айтишники, ни "безопасники", но который, как показывает практика, необходим. Это инвентаризация информационных ресурсов и технологических бизнес-процессов, – убеждал А. Шубин. – После того как инвентаризация проведена, необходима классификация информации, обрабатываемой в бизнес-процессах. И тогда становится ясно, что конкретно и где надо защищать в первую очередь, что во вторую и т.д.».

Главным критерием построения системы информационной безопасности являются бизнес и бизнес-процессы, в этом участники дискуссии были единодушны. Действительно, они защищают не хосты, не каналы связи, а бизнес-процессы, и главным инструментом защиты становится риск-менеджмент, на основании которого принимается то или иное решение. При этом ни в коем случае нельзя замыкаться внутри своего подразделения – надо работать с другими, в первую очередь бизнес-подразделениями, чтобы понимать, куда движется компания и что актуально сегодня. А чтобы с ними работать, придется учить бизнес-язык. «Если не сможете обосновать свои потребности – информационная безопасность будет финансироваться по остаточному принципу. Все это сильно меняет и задачи, и состав работ подразделений ИБ. Значит, надо менять понимание своего места в строю», – резюмировал М. Емельянников.

Подготовила Лилия ПАВЛОВА

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: