|
|
Обзор подготовлен
Финансовый кризис и последующий период восстановления заставили заказчиков усилить внимание к проблемам эффективного функционирования ИБ-решений. Помимо выполнения первоочередных требований со стороны регуляторов, бизнес начинает повышать качество управления ИБ.
Подход к проектам по внедрению решений в области защиты информации в России в докризисный период редко учитывал финансово-экономические показатели. Многие заказчики обращали внимание на стоимость владения системами в краткосрочной перспективе, ограничиваясь 1-2 годами, а сами решения выбирались для закрытия основных проблем с защитой от вирусных угроз, а также для удовлетворения требований регуляторов. Кризис привел к смене ориентиров – компании начали задумываться об эффективном менеджменте ИБ. Это означало подход к вопросу не только со стороны ИТ, но и со стороны бизнеса. На первое место постепенно выходят показатели окупаемости решения, эффективности и зрелости ИТ-систем в целом, а также конкретная отдача непосредственных расходов на ИБ для бизнеса.
Существует мнение, что вложения в ИТ, если у компании это не является профильным направлением, окупаются медленно, и поэтому от них сравнительно легко отказаться или уменьшить в условиях турбулентности рынков, когда перспективы самого бизнеса становятся неочевидными. В таком случае мероприятия по защите информации действительно не приносят компании-заказчику прибыль, поэтому их цель сводится к устранению рисков для бизнеса. Соответственно, просчитать эффективность ИБ-проектов можно тогда, когда есть четкая стратегия развития информационной безопасности. Однако до недавнего времени (и довольно часто сейчас) у бизнеса ее не было. Андрей Тимошенков, заместитель директора по развитию сервисов Softline Services, связывает это с тем, что службы ИБ в российских компаниях подчинены ИТ-департаменту и не используют бизнес-методики расчетов (TCO, ROI и т.д.). При этом между "ИБ-шником" и "ИТ-шником" по-прежнему существуют скрытые противоречия, так как ИТ-отдел, как правило, находится под "прессингом" топ-менеджмента, связанным с более эффективным выполнением операций и требованиями по снижению операционных расходов. Зачастую под эти "срезы бюджетов" попадают как раз решения ИБ, которые считаются неким "довеском" к ИТ. Пока руководители отделов ИБ находятся в такой подчиненной ИТ-службам позиции, им очень сложно выходить на топ-менеджмент и общаться с ним на языке TCO и инструментов эффективного измерения инвестиций в ИБ", - объясняет он.
Схожего мнения придерживается Алексей Лукацкий, менеджер по развитию бизнеса Cisco. Он открыто называет расчет ROI средств безопасности "областью фантастики", поскольку пока производитель, консультант или служба ИБ не смогут показать, сколько денег система защиты дает предприятию, ни о каком ROI речи и быть не может. А вместо этого демонстрируется снижение числа вирусов и атак. Подобное справедливо и для и модели TCO. Без привязки к конкретным бизнес-показателям сведения о том, например, что реальная стоимость внедрения и эксплуатации системы защиты будет в 6 раз выше прайсовой, лишены смысла.
"TCO, ROI или ТЭО, в основном, появляются в инвест-проектах, когда происходит их оценка. На мой взгляд, такие оценки часто весьма субъективны. Но когда необходимо обосновать единообразие решения, выбор одного вендора и т.п., такой подход целесообразно использовать. Также финансовые оценки могут приводиться при выборе конкурентных решений. Если говорить про операционную деятельность, связанную с освоением сверстанных статей бюджета, то там оценка финансовых показателей ИБ-решений обычно не проводится", - объясняет Андрей Голов, заместитель коммерческого директора компании "Информзащита". Тем не менее, как отмечает Андрей Бедрань, руководитель отдела защиты корпоративных сетей "Энвижн Груп", сейчас от заказчиков стало поступать довольно много запросов на разработку технико-экономического обоснования, что для ИБ-решений является довольно редкой задачей и весьма затратным мероприятием.
В условиях, когда заказчик требует обоснования стоимости ИБ-проекта, компании начинают использовать различные методики расчета эффективности. Современный клиент более детально вчитывается в техническое описание решения и более подкован, при этом он заинтересован в быстрых сроках возврата инвестиций от приобретаемого ПО. Опрос CNews показал, что в большинстве случаев специализированные интеграторы прибегают к сложившимся в ходе их работ практикам и ориентируются на международный опыт – стандарт ISO 27004, оценки возврата инвестиций в ИБ (ROSI) и т.п . Обычно подобная система оценки строится на критериях самого заказчика, на базе которой интегратор выводит свою методику под проект с учетом множества критериев и весовых коэффициентов. Эффективность в таком случае определяется тем, насколько снижены риски угроз ИБ, какими могут быть потенциальные суммы ущерба от реализации актуальных угроз и т.д. Также интеграторы считают приемлемой оценку с помощью аудита системы по истечении определенного времени с момента внедрения в ходе пилотного проекта.
"Управленцы хотят понимать, какие именно вопросы ИБ требуют первоочередного участия и финансовых вложений, насколько быстро окупаются внедряемые ИБ-решения и системы и нужны ли они в принципе. В свою очередь, "педантизм" заказчика в хорошем смысле этого слова с новой силой привлек интерес к услугам по разработке и адаптации различных методик оценки эффективности инвестиций в ИБ-решения", - замечает Иван Бурдело, директор департамента информационной безопасности компании "Кабест" группы "Астерос".
Однако, как отмечает Алексей Лукацкий, проблема расчета эффективности по-прежнему в том, что заказчики: "не всегда готовы оценивать безопасность в рублях, а не в длине используемых криптографических ключей или числе сигнатур системы предотвращения вторжений".
В определенной мере решить проблему управляемости ИБ-средств можно комплексно - с помощью внедрения систем управления информационной безопасностью (СУИБ). В основе СУИБ лежит установка системы управления рисками, которая дает руководителям инструментарий для принятия решений, в том числе, по поводу инвестирования в те или иные ИБ-продукты, страхования рисков, либо, наоборот. В рамках внедрения СУИБ по сути должно происходить внедрение риск-ориентированного подхода к управлению.
Опрошенные ИБ-интеграторы отмечают рост интереса к таким продуктам, что свидетельствует о зрелости рынка и подходов к менеджменту ИБ. Алексей Раевский, генеральный директор SecurIT, считает, что руководство предприятий начинает осознавать важность проблем ИБ и вникать в них. Олег Шабуров, старший системный инженер Symantec, по отношению к СУИБ использует эпитет "модный".
"Бизнес-процессы усложняются, ИТ-системы растут, соответственно, системы ИБ также совершенствуются, и без внедрения процессов ИБ уже невозможно обходиться, иначе системы ИБ становятся неуправляемыми и превращаются в набор инфраструктурных продуктов, - объясняет Андрей Голов. - Отсюда и приходит осознание внедрения решений по СУИБ. Если подход к внедрению СУИБ осознан и "выстрадан", а не является набором нормативной "макулатуры", то отношение к ИБ в компании меняется в лучшую сторону – появляется осознание целей и задач ИБ, их взаимосвязь с бизнесом".
Тем не менее, пока компаний, готовых к внедрению системы менеджмента ИБ, немного. "Особенной популярности у систем СУИБ в России пока нет, но заказчики начинают к этому приходить. Особенно крупные компании, так как у них большая и сложная инфраструктура, которую сложнее защищать. Как правило, у них выше цена утечки данных, либо реализации других угроз ИБ. На словах пока потребность возникает чаще, чем реализуется на деле", - замечает Дмитрий Савченко, руководитель направления системы и методы обеспечения информационной безопасности компании "Микротест".
Алексей Лукацкий приводит примеры того, что проектов сертификации СУИБ по линии стандарта ISO 27001 порядка 20, а вторая и третья ре-сертификация пройдены единичными компаниями. Кроме того, по его мнению, число интеграторов, предлагающих построение СУИБ на предприятии, превышает количество заказчиков, такую систему построивших. "СУИБ зачастую являются неотъемлемой частью внедряемых решений и проектов, требования к которой обусловлены потребностями и пожеланиями самих заказчиков. Внедрение СУИБ не столько меняет подход к управлению ИБ, сколько упрощает его, делает более прозрачным, гибким и масштабируемым", - утверждает Роман Кобцев, директор департамента развития и маркетинга "Элвис-Плюс".
"Внедрение СУИБ – само по себе дело хлопотное и требующее больших инвестиций, однако эти инвестиции окупаются повышением уровня зрелости процессов управления ИБ, в частности, и процессов управления компанией – вообще", - считает Андрей Тимошенков. Однако у популярности СУИБ есть и еще один эффект, о котором говорит Андрей Бедрань: "Данный опыт (в рамках подобных проектов в России – прим. CNews) позволяет заказчику отработать внедренные процедуры и почувствовать реальную отдачу от них. Это важно, так как не только позволяет другим заказчикам использовать положительный опыт коллег, но и даст возможность локализованным версиям стандартов класса "best practices" получить еще больший уровень доверия".
Российские ИБ-интеграторы отмечают, что для организации проектов по управлению информационной безопасностью на предприятиях сегодня не требуются специально разработанные отечественные стандарты. Алексей Раевский уверен, что существующие стандарты менеджмента ИБ вполне могут быть использованы в качестве основы для построения СУИБ в российских предприятиях, что подтверждается немногочисленными, но вполне уверенными успешными проектами. Роман Кобцев полагает, что интеграторам можно принять на вооружение существующие международные практики, а позднее, на основе полученного опыта уже разработать и принять собственный стандарт, наиболее полно адаптированный к отечественным реалиям. Андрей Голов предлагает участвовать в их создании регуляторам, поскольку они могут быть детализированы в зависимости от отрасли. Иными словами, как говорит Алексей Медведев, руководитель направления аудита и консалтинга Leta-IT, в области управления ИБ имеет смысл ориентироваться на стандарты, которые приняты в странах максимально эволюционировавших в этой области, поскольку они уже прошли через те проблемы, которые только могут появиться на развивающихся рынках.
Михаил Демидов