Рисковать или не рисковать, вот в чём вопрос

Мировые практики риск-менеджмента в российской ИБ применяются пока весьма ограниченно. Причина тому – отсутствие объективной необходимости - «безопасникам» хватает забот с выполнением требований локального законодательства. Однако ситуация на глазах начинает меняться.

Тема риск-менеджмента появилась на российском рынке информационной безопасности уже достаточно давно, но она по-прежнему остается актуальной и «свежей». Причем, если раньше это был просто модный тренд, о котором много говорили, но мало кто применял на практике, то теперь – это насущная необходимость  и объективная реальность для бизнеса.

«Подход к обеспечению ИБ с точки зрения лучших практик является наиболее простым, требующим минимальных знаний и ресурсов. Но при этом он позволяет обеспечить защиту лишь на минимальном базовом уровне – от наиболее «типовых» и «простых» угроз. А это лишь вершина айсберга», - считает Вячеслав Железняков, руководитель департамента информационной безопасности компании Softline.

На самом деле фактический уровень защищенности в наибольшей степени зависит от особенностей процесса обработки информации в конкретной организации. От того, насколько критичны рассматриваемые бизнес-процессы и обрабатываемая в них информация, как распределены роли и права доступа к конкретным системам. Насколько эффективно осуществляется контроль, какими знаниями обладают сотрудники компании, какова их мотивация и т.п.

«При этом мы не говорим об анализе рисков, как о формальном и сложном процессе, который необходим для выполнения определенных требований. А как об общем подходе, который основан не на гипотетических предположениях, а на реальных знаниях об актуальных угрозах и состоянии информационной системы организации. Этот подход применим в организации любого размера и в любой отрасли», - продолжает эксперт.

Процесс, соответствие или опыт

Одним из ключевых тезисов, озвученных специалистами Softline, наверное, можно считать то, что риск-менеджмент применительно к ИБ - это процесс, базирующийся на знании, т.е. на опыте. И направлен он на защиту инвестиций, вложенных в инфраструктуру информационных технологий компании. А, учитывая всё возрастающую роль ИТ в бизнесе, можно утверждать, что и на защиту инвестиций в сам бизнес.

Однако, многое из сферы высоких технологий, в т.ч. и ИБ, далеко не всегда измеримо и понятно регуляторам, финансистам и менеджерам. А, как известно, тот, кто платит деньги, тот и заказывает музыку. В результате описанный процесс для этой категории заинтересованных лиц трансформировался в периодически проводимый аудит на соответствие тем или иным нормативным актам, которые и являются квинтэссенцией опыта риск-менеджеров.

Александр Заровский, эксперт по управлению информационными рисками InfoWatch, продолжает тему: «ИБ-риски формируются по определенным моделям, каковых сегодня существует порядка десяти. Управление такими рисками строится по следующему принципу – модель, к которой принадлежит тот или иной потенциальный риск накладывается на организацию с целью анализа по определенному набору метрик. Результаты такого анализа дают возможность сформировать план мероприятий по минимизации существующих в организации на данный момент времени рисков. План периодически пересматривается, поскольку модели достаточно подвижны – они меняются с изменениями в самой организации (смена кадров, приоритетов бизнеса, финансовой стратегии т.д.) Сегодня существует целый комплекс технологий, позволяющих управлять рисками ИБ. Они всем известны – это антивирусы, файерволы, dlp-системы, средства контроля доступа, средства информационного аудита и пр. Совокупность применения таких технологий с подходящей для каждой компании моделью рисков дает наиболее точный результат».

Рисками следует управлять

Таким образом, набор доступных базовых технологий защиты известен, как  известны их достоинства и недостатки. Соответствующие специалисты имеют информацию о том, каков может быть ущерб от инцидентов ИБ. Есть набор обязательных к исполнению нормативных актов. Остается от этого набора знаний перейти непосредственно к реализации системы управления ИБ (СУИБ). На что при этом обычно ориентируются? Каких решений не хватает?

Анна Костина, руководитель группы систем менеджмента ИБ компании «Инфосистемы Джет», уверена: «Зачастую компании, которые задумываются о построении систем управления ИБ, обращаются к стандарту ISO/IEC 27001, а не к отраслевым стандартам, к примеру. Основная причина – развитая система международной сертификации по ISO/IEC 27001. Помимо этого, отраслевые стандарты в части требований к системам управления информационной безопасностью в настоящее время зачастую ссылаются или копируют требования ISO/IEC 27001».

Существует множество подходов и стандартов в области управления рисками ИБ: качественные, количественные, простые, псевдонаучные, «бумажные», автоматизированные и т.д. Однако, прежде чем выбирать какой-либо из уже описанных подходов, организация должна определить для себя цель управления рисками ИБ. И дальше уже отталкиваться от знания этой цели и выбирать подход (или комбинировать разные подходы), оптимально подходящий для достижения этой цели.

«Например, если перед организацией стоит задача первоначального определения критичных активов и критичных процессов, то в данной ситуации может быть применен подход, когда сначала проводится качественная оценка рисков для всех активов или процессов, а затем, для наиболее критичных из них проводится более детальный количественный анализ рисков ИБ. Если в организации только внедряется процесс управления рисками, то можно, опять же, начать с качественного анализа рисков, а затем, с ростом зрелости процесса и вовлеченности владельцев бизнес-процессов, владельцев активов и руководства, постепенно перейти на количественный анализ рисков ИБ и т.д.», - советует Анна Костина

Ориентир на лучшие мировые практики

В англо-саксонской модели бизнес вынужден уделять огромное внимание безопасности - есть требование обязательного информирования субъектов персональных данных об утечках, есть репутационные потери, прямо отражающиеся на благосостоянии компании. Международные стандарты и лучшие практики в области ИБ – ISO 27001, Basel, SOX и пр. – выступают неким универсальным индикатором, показателем надежности. Если компания сертифицирована по ISO 27001, с ней можно иметь дело.

Андрей Волков, руководитель департамента информационной безопасности компании Oberon, делится наблюдениями: «Мировые практики в российской ИБ применяются пока весьма ограниченно. Причина тому – отсутствие объективной необходимости, «безопасникам» хватает забот с выполнением требований локального законодательства. Очевидно, впрочем, что с вовлечением российских организаций в мировую экономику ситуация изменится. Рост популярности международных ИБ-стандартов и практик в ближайшее время будет прямо зависеть от того, насколько активно российский бизнес пойдет на запад. Не только экспортеры сырья, но и банки, ритейлеры, сотовые операторы, производители программного обеспечения осваивают зарубежные рынки, где отношение к ИБ куда как серьезнее, нежели в нашей стране».

Осталось понять, в какую сторону движутся эти самые лучшие практики с тем, чтобы в нужный момент не потерять ориентацию? Раз уж в этом анализе заговорили о таком параметре риск-менеджмента, как измеримость, весьма любопытно ознакомиться с суммами инвестиций, вкладываемыми вендорами и инвесторами в это направление ИБ. Очевидно, что сегмент будет развиваться именно их усилиями.

На наш, взгляд, наиболее показательными являются данные венчурных фондов, основным показателем успешности которых является умение работать с рискованными активами. Интересуют ли инвесторов вложения в такой раздел информационной безопасности, как риск-менеджмент? Оказывается, не в пример отечественным разработчикам, еще как.

Хронология венчурных инвестиций в риск-мененджмент (помесячно)

Источник: http://www.crunchbase.com

С одной стороны, ничего удивительного – нюх «акул Силиконовой долины» никогда не подводил. Инвестиции, хотя и замедлились в условиях кризиса, но отнюдь не остановились. Основные раунды пришлись на 2007-2009 года, т.е. с учетом типичного инвестиционного цикла в 3 года можно ожидать в ближайшее время либо масштабных сделок по слиянию, либо появления новейших решений у «новых» вендоров.

Крупнейшие получатели венчурных инвестиций в риск-мененджмент (помесячно)

Источник: http://www.crunchbase.com

Продукты, разрабатываемые вышеприведенными вендорами на основе рискованных инвестиций в совокупности с R&D современных лидеров ИТ-рынка, судя по суммам, вложенным в них, показывают, что экономить на ИБ американская экономика не собирается.

«На фоне принятия в США резолюции о создании инфраструктуры для ведения и отражения кибервойн, в этом нет ничего удивительного. Одной из основополагающих причин стало детальное расследование инцидента на Иранской АЭС, где впервые был применён вирус нового поколения – кибероружие. Эти события обозначили новый виток в ведении мировой политической и скрытой борьбы, где киберугроза приравнивается к реальной, и ответные меры могут быть вплоть до применения наступательного вооружения», - считает Олег Глебов, специалист департамента маркетинга компании «Информзащита».

Риски виртуальных и мобильных инфраструктур

Не будем рекламировать создаваемые продукты, назовем лишь некоторые направления разработок – это compliance, управление ИБ в облачных и мобильных средах, атаки из социальных сетей, расследование компьютерных инцидентов и компьютерных преступлений. Что думают по этому поводу эксперты?

Рустэм Хайретдинов, заместитель генерального директора InfoWatch, высказывает свою точку зрения: «Расследование компьютерных инцидентов и компьютерных преступлений несет в себе один из основных принципов защиты любого актива – принцип неотвратимости наказания (причина должна быть найдена, а виновник наказан). Другая задача – ответить на вопрос: «что нужно предпринять, чтобы подобное не повторилось».

Если инцидент не классифицируется как преступление, то ИБ - службы могут обойтись внутренним расследованием, результатом которого часто является доказательство вины. Внутренние расследования сводятся к изучению и предоставлению руководству некоторых электронных доказательств причин инцидента и вины сотрудника. Именно требования к сбору доказательств (процедуре, доказательству невозможности изменения и т.д.) являются водоразделом между компьютерными инцидентами и компьютерными преступлениями.

«Сбором и предоставлением следствию вещественных доказательств занимаются исключительно спецслужбы, в то время как корпоративные службы ИБ на это права не имеют. Связываться со спецслужбами службы информационной безопасности, как правило, решаются в случае мошенничества с системами дистанционного банковского обслуживания, когда со счетов клиентов пропадают реальные деньги или в случаях, когда дело касается информации, составляющую тайну, охраняемую законом», - продолжает Рустэм Хайретдинов.

Стоит ли удивляться интересу инвесторов к такой пока «пустой» рыночной нише в такой стране юристов, как США?

Что касается облачной безопасности и угроз, исходящих от социальных сетей, Наталья Касперская, генеральный директор InfoWatch, откровенна: «Количество и масштаб преступлений через интернет растет гигантскими темпами. Например, число угроз (вредоносных программ, приложений и т.д.) для социальных сетей только за 2010 год увеличилось минимум в 2 раза по сравнению с показателями предыдущих годов в совокупности. Несложно представить, насколько опасны такие каналы распространения вирусов, особенно если учесть миллиардную аудиторию подобных сетей. Пока технические средства облачной защиты недостаточно совершенны».

Есть любопытные примеры из Евросоюза. Например, на наш рынок уже вышел стартап из Германии, который совместно с Microsoft работает на таком весьма непростом сегменте управления ИБ-рисками, как Access Rights Management.

Стефан Брак (Stephan Brack), CEO компании Protected-networks, рассказывает: «Решение 8MAN позволяет увидеть, кто имеет доступ к наиболее важным документам в компании при помощи всего одного клика мыши. Собирая данные с файлохранилищ, серверов MS Sharepoint и Active Directory, можно получить исчерпывающую информацию о том, кто и к каким данным имеет доступ, даже в сетях самых крупных компаний со сложнейшими инфраструктурами».

8MAN использует новейшие технологии Microsoft для визуализации прав доступа и их структуры в Active Directory. Это позволяет руководителям отделов мгновенно проверять правильность всех настроек. Среди клиентов за несколько лет работы уже числятся весьма маститые бренды.

Чтобы не рисковать, иногда приходится менять модель бизнеса

Не дремлют и в Чехии. Эта страна потихоньку выходит в мировые лидеры в сегменте управления безопасностью периферийных устройств. Можно часто слышать о подвигах на антивирусном фронте, о построении супер-защищенного периметра. А вот отрапортовать о построении безопасной инфраструктуры печати офисных документов… Обычно об этом просто забывают или не хотят вспоминать. В этой связи можно привести в пример разработки компании MyQ.

Елена Жуплатова, генеральный директор «APT Дистрибьюшен», рассказывает: «В нашей сфере деятельности (поставка оборудования для печати, копирования и сканирования) потребности заказчиков в конфиденциальной печати способны существенно менять саму модель бизнеса. Если страховой компании или банку для соблюдения закона "О персональных данных" необходимо добиться, чтобы при печати информация о клиенте не попала в чужие руки, то нам нужно суметь сконструировать для такого заказчика решение, значительно выходящее за рамки простой поставки принтеров или МФУ, пусть даже и с простеньким механизмом парольного доступа».

Резюмировать данный анализ хотелось бы мнением Анны Костиной: «Кризисные годы существенно изменили бизнес-процессы многих компаний, в том числе, и связанные с ИБ. Организации стали более тщательно следить за расходами и за прозрачностью использования ресурсов. Все чаще встают вопросы о том, насколько эффективны и результативны  решения по обеспечению ИБ, которые уже внедрены в компании? Можно ли без покупки и внедрения новых мер, а следовательно, и без новых затрат, скорректировать работу уже внедренных средств защиты для наиболее успешного выполнения задач, поставленных бизнесом перед подразделениями ИБ? Как определить, что вносимые изменения и корректировки приводят к требуемому результату?»

Актуальность решения этих вопросов подталкивает специалистов по информационной безопасности к необходимости более глубокого понимания бизнеса и к использованию собственных управленческих механизмов. Одним из наиболее эффективных инструментов, с помощью которого можно получить ответы на поставленные выше вопросы – процесс анализа и оценка рисков ИБ.

Это и то, что в настоящее время организации все большее внимание уделяют оптимизации расходов и предотвращению прогнозируемых и непрогнозируемых потерь, делают построение процесса управления рисками ИБ и интеграции его в общекорпоративный процесс управления рисками все более и более востребованным. Благо новинок в этой сфере ожидается немало.