версия для печати
Рисковать или не рисковать, вот в чём вопрос

Рисковать или не рисковать, вот в чём вопрос

Мировые практики риск-менеджмента в российской ИБ применяются пока весьма ограниченно. Причина тому – отсутствие объективной необходимости - «безопасникам» хватает забот с выполнением требований локального законодательства. Однако ситуация на глазах начинает меняться.

Тема риск-менеджмента появилась на российском рынке информационной безопасности уже достаточно давно, но она по-прежнему остается актуальной и «свежей». Причем, если раньше это был просто модный тренд, о котором много говорили, но мало кто применял на практике, то теперь – это насущная необходимость  и объективная реальность для бизнеса.

«Подход к обеспечению ИБ с точки зрения лучших практик является наиболее простым, требующим минимальных знаний и ресурсов. Но при этом он позволяет обеспечить защиту лишь на минимальном базовом уровне – от наиболее «типовых» и «простых» угроз. А это лишь вершина айсберга», - считает Вячеслав Железняков, руководитель департамента информационной безопасности компании Softline.

На самом деле фактический уровень защищенности в наибольшей степени зависит от особенностей процесса обработки информации в конкретной организации. От того, насколько критичны рассматриваемые бизнес-процессы и обрабатываемая в них информация, как распределены роли и права доступа к конкретным системам. Насколько эффективно осуществляется контроль, какими знаниями обладают сотрудники компании, какова их мотивация и т.п.

«При этом мы не говорим об анализе рисков, как о формальном и сложном процессе, который необходим для выполнения определенных требований. А как об общем подходе, который основан не на гипотетических предположениях, а на реальных знаниях об актуальных угрозах и состоянии информационной системы организации. Этот подход применим в организации любого размера и в любой отрасли», - продолжает эксперт.

Процесс, соответствие или опыт

Одним из ключевых тезисов, озвученных специалистами Softline, наверное, можно считать то, что риск-менеджмент применительно к ИБ - это процесс, базирующийся на знании, т.е. на опыте. И направлен он на защиту инвестиций, вложенных в инфраструктуру информационных технологий компании. А, учитывая всё возрастающую роль ИТ в бизнесе, можно утверждать, что и на защиту инвестиций в сам бизнес.

Однако, многое из сферы высоких технологий, в т.ч. и ИБ, далеко не всегда измеримо и понятно регуляторам, финансистам и менеджерам. А, как известно, тот, кто платит деньги, тот и заказывает музыку. В результате описанный процесс для этой категории заинтересованных лиц трансформировался в периодически проводимый аудит на соответствие тем или иным нормативным актам, которые и являются квинтэссенцией опыта риск-менеджеров.

Александр Заровский, эксперт по управлению информационными рисками InfoWatch, продолжает тему: «ИБ-риски формируются по определенным моделям, каковых сегодня существует порядка десяти. Управление такими рисками строится по следующему принципу – модель, к которой принадлежит тот или иной потенциальный риск накладывается на организацию с целью анализа по определенному набору метрик. Результаты такого анализа дают возможность сформировать план мероприятий по минимизации существующих в организации на данный момент времени рисков. План периодически пересматривается, поскольку модели достаточно подвижны – они меняются с изменениями в самой организации (смена кадров, приоритетов бизнеса, финансовой стратегии т.д.) Сегодня существует целый комплекс технологий, позволяющих управлять рисками ИБ. Они всем известны – это антивирусы, файерволы, dlp-системы, средства контроля доступа, средства информационного аудита и пр. Совокупность применения таких технологий с подходящей для каждой компании моделью рисков дает наиболее точный результат».

Рисками следует управлять

Таким образом, набор доступных базовых технологий защиты известен, как  известны их достоинства и недостатки. Соответствующие специалисты имеют информацию о том, каков может быть ущерб от инцидентов ИБ. Есть набор обязательных к исполнению нормативных актов. Остается от этого набора знаний перейти непосредственно к реализации системы управления ИБ (СУИБ). На что при этом обычно ориентируются? Каких решений не хватает?

Анна Костина, руководитель группы систем менеджмента ИБ компании «Инфосистемы Джет», уверена: «Зачастую компании, которые задумываются о построении систем управления ИБ, обращаются к стандарту ISO/IEC 27001, а не к отраслевым стандартам, к примеру. Основная причина – развитая система международной сертификации по ISO/IEC 27001. Помимо этого, отраслевые стандарты в части требований к системам управления информационной безопасностью в настоящее время зачастую ссылаются или копируют требования ISO/IEC 27001».

Существует множество подходов и стандартов в области управления рисками ИБ: качественные, количественные, простые, псевдонаучные, «бумажные», автоматизированные и т.д. Однако, прежде чем выбирать какой-либо из уже описанных подходов, организация должна определить для себя цель управления рисками ИБ. И дальше уже отталкиваться от знания этой цели и выбирать подход (или комбинировать разные подходы), оптимально подходящий для достижения этой цели.

«Например, если перед организацией стоит задача первоначального определения критичных активов и критичных процессов, то в данной ситуации может быть применен подход, когда сначала проводится качественная оценка рисков для всех активов или процессов, а затем, для наиболее критичных из них проводится более детальный количественный анализ рисков ИБ. Если в организации только внедряется процесс управления рисками, то можно, опять же, начать с качественного анализа рисков, а затем, с ростом зрелости процесса и вовлеченности владельцев бизнес-процессов, владельцев активов и руководства, постепенно перейти на количественный анализ рисков ИБ и т.д.», - советует Анна Костина

Ориентир на лучшие мировые практики

В англо-саксонской модели бизнес вынужден уделять огромное внимание безопасности - есть требование обязательного информирования субъектов персональных данных об утечках, есть репутационные потери, прямо отражающиеся на благосостоянии компании. Международные стандарты и лучшие практики в области ИБ – ISO 27001, Basel, SOX и пр. – выступают неким универсальным индикатором, показателем надежности. Если компания сертифицирована по ISO 27001, с ней можно иметь дело.

Андрей Волков, руководитель департамента информационной безопасности компании Oberon, делится наблюдениями: «Мировые практики в российской ИБ применяются пока весьма ограниченно. Причина тому – отсутствие объективной необходимости, «безопасникам» хватает забот с выполнением требований локального законодательства. Очевидно, впрочем, что с вовлечением российских организаций в мировую экономику ситуация изменится. Рост популярности международных ИБ-стандартов и практик в ближайшее время будет прямо зависеть от того, насколько активно российский бизнес пойдет на запад. Не только экспортеры сырья, но и банки, ритейлеры, сотовые операторы, производители программного обеспечения осваивают зарубежные рынки, где отношение к ИБ куда как серьезнее, нежели в нашей стране».

Осталось понять, в какую сторону движутся эти самые лучшие практики с тем, чтобы в нужный момент не потерять ориентацию? Раз уж в этом анализе заговорили о таком параметре риск-менеджмента, как измеримость, весьма любопытно ознакомиться с суммами инвестиций, вкладываемыми вендорами и инвесторами в это направление ИБ. Очевидно, что сегмент будет развиваться именно их усилиями.

На наш, взгляд, наиболее показательными являются данные венчурных фондов, основным показателем успешности которых является умение работать с рискованными активами. Интересуют ли инвесторов вложения в такой раздел информационной безопасности, как риск-менеджмент? Оказывается, не в пример отечественным разработчикам, еще как.

Хронология венчурных инвестиций в риск-мененджмент (помесячно)

Инвестор $, млн год месяц Разработчик
1 Benchmark Capital США 1,0 2011 1 США Skybox Security
2 Lightspeed Venture Partners США 1,0 2011 1 США Skybox Security
3 Accel Partners США 6,0 2010 12 Англия OpenGamma
4 FirstMark Capital США 6,0 2010 12 Англия OpenGamma
5 Draper Fisher Jurvetson США 6,0 2010 10 США iCix International
6 Starfish Ventures Австралия 6,0 2010 10 США iCix International
7 Brook Venture Partners США 2,0 2010 10 США Security Innovation
8 Bain Capital Ventures США 2,0 2010 3 США Rapid7
9 Leader Ventures США 4,0 2009 12 США DriveCam
10 Benchmark Capital США 2,0 2009 12 США Skybox Security
11 Lightspeed Venture Partners США 2,0 2009 12 США Skybox Security
12 Carmel Ventures Израиль 2,0 2009 12 США Skybox Security
13 Mitsubishi UFJ Capital Япония 2,0 2009 12 США Skybox Security
14 Rembrandt Venture Partners США 2,0 2009 12 США Skybox Security
15 Valley Venture Capital Израиль 2,0 2009 12 США Skybox Security
16 Oak Investment Partners США 25,0 2009 12 США SmartDrive Systems
17 New Enterprise Associates США 25,0 2009 12 США SmartDrive Systems
18 Draper Fisher Jurvetson США 5,8 2009 11 США iCix International
19 Sutter Hill Ventures США 12,0 2009 10 США Redseal Systems
20 Jafco Ventures США 12,0 2009 10 США Redseal Systems
21 Leapfrog Ventures США 12,0 2009 10 США Redseal Systems
22 Venrock США 12,0 2009 10 США Redseal Systems
23 OVP Venture Partners США 12,0 2009 10 США Redseal Systems
24 Insight Venture Partners США 19,0 2009 8 США DriveCam
25 Menlo Ventures США 19,0 2009 8 США DriveCam
26 Integral Capital Partners США 19,0 2009 8 США DriveCam
27 JMI Equity США 19,0 2009 8 США DriveCam
28 Triangle Peak Partners США 19,0 2009 8 США DriveCam
29 Accel Partners США 2,2 2009 8 Англия OpenGamma
30 North Bridge Venture Partners США 16,0 2009 8 США Reval.com
31 Commonwealth Capital США 16,0 2009 8 США Reval.com

Источник: http://www.crunchbase.com

С одной стороны, ничего удивительного – нюх «акул Силиконовой долины» никогда не подводил. Инвестиции, хотя и замедлились в условиях кризиса, но отнюдь не остановились. Основные раунды пришлись на 2007-2009 года, т.е. с учетом типичного инвестиционного цикла в 3 года можно ожидать в ближайшее время либо масштабных сделок по слиянию, либо появления новейших решений у «новых» вендоров.

Крупнейшие получатели венчурных инвестиций в риск-мененджмент (помесячно)

$, млн год месяц компания
1 276,0 2007 11 SmartDrive Systems
2 112,0 2007 3 DriveCam
3 100,0 2008 4 Imperva
4 95,0 2009 8 DriveCam
5 80,0 2007 5 ID Analytics
6 68,4 2007 5 Redseal Systems
7 68,0 2006 5 Imperva
8 60,0 2009 10 Redseal Systems
9 56,0 2007 7 Reval.com
28 50,0 2011 11 Rapid7
10 50,0 2009 12 SmartDrive Systems
11 44,0 2006 3 Skybox Security
12 36,0 2005 6 DriveCam
13 32,0 2009 8 Reval.com
14 18,0 2006 6 Ounce Labs
15 16,0 2008 9 Primatech
16 15,5 2006 2 ID Analytics
17 15,0 2008 9 Ounce Labs
18 14,4 2008 3 Storm Exchange
19 12,0 2010 12 OpenGamma
20 12,0 2010 10 iCix International
21 12,0 2009 12 Skybox Security
22 11,4 2005 1 BPS Resolver
23 8,9 2006 10 BPS Resolver
24 8,0 2007 8 TraceSecurity
25 7,2 2006 12 Storm Exchange
26 7,1 2008 5 Security Innovation
27 7,0 2008 9 Rapid7
29 5,8 2009 11 iCix International
30 4,0 2009 12 DriveCam

Источник: http://www.crunchbase.com

Продукты, разрабатываемые вышеприведенными вендорами на основе рискованных инвестиций в совокупности с R&D современных лидеров ИТ-рынка, судя по суммам, вложенным в них, показывают, что экономить на ИБ американская экономика не собирается.

«На фоне принятия в США резолюции о создании инфраструктуры для ведения и отражения кибервойн, в этом нет ничего удивительного. Одной из основополагающих причин стало детальное расследование инцидента на Иранской АЭС, где впервые был применён вирус нового поколения – кибероружие. Эти события обозначили новый виток в ведении мировой политической и скрытой борьбы, где киберугроза приравнивается к реальной, и ответные меры могут быть вплоть до применения наступательного вооружения», - считает Олег Глебов, специалист департамента маркетинга компании «Информзащита».

Риски виртуальных и мобильных инфраструктур

Не будем рекламировать создаваемые продукты, назовем лишь некоторые направления разработок – это compliance, управление ИБ в облачных и мобильных средах, атаки из социальных сетей, расследование компьютерных инцидентов и компьютерных преступлений. Что думают по этому поводу эксперты?

Рустэм Хайретдинов, заместитель генерального директора InfoWatch, высказывает свою точку зрения: «Расследование компьютерных инцидентов и компьютерных преступлений несет в себе один из основных принципов защиты любого актива – принцип неотвратимости наказания (причина должна быть найдена, а виновник наказан). Другая задача – ответить на вопрос: «что нужно предпринять, чтобы подобное не повторилось».

Если инцидент не классифицируется как преступление, то ИБ - службы могут обойтись внутренним расследованием, результатом которого часто является доказательство вины. Внутренние расследования сводятся к изучению и предоставлению руководству некоторых электронных доказательств причин инцидента и вины сотрудника. Именно требования к сбору доказательств (процедуре, доказательству невозможности изменения и т.д.) являются водоразделом между компьютерными инцидентами и компьютерными преступлениями.

«Сбором и предоставлением следствию вещественных доказательств занимаются исключительно спецслужбы, в то время как корпоративные службы ИБ на это права не имеют. Связываться со спецслужбами службы информационной безопасности, как правило, решаются в случае мошенничества с системами дистанционного банковского обслуживания, когда со счетов клиентов пропадают реальные деньги или в случаях, когда дело касается информации, составляющую тайну, охраняемую законом», - продолжает Рустэм Хайретдинов.

Стоит ли удивляться интересу инвесторов к такой пока «пустой» рыночной нише в такой стране юристов, как США?

Что касается облачной безопасности и угроз, исходящих от социальных сетей, Наталья Касперская, генеральный директор InfoWatch, откровенна: «Количество и масштаб преступлений через интернет растет гигантскими темпами. Например, число угроз (вредоносных программ, приложений и т.д.) для социальных сетей только за 2010 год увеличилось минимум в 2 раза по сравнению с показателями предыдущих годов в совокупности. Несложно представить, насколько опасны такие каналы распространения вирусов, особенно если учесть миллиардную аудиторию подобных сетей. Пока технические средства облачной защиты недостаточно совершенны».

Есть любопытные примеры из Евросоюза. Например, на наш рынок уже вышел стартап из Германии, который совместно с Microsoft работает на таком весьма непростом сегменте управления ИБ-рисками, как Access Rights Management.

Стефан Брак (Stephan Brack), CEO компании Protected-networks, рассказывает: «Решение 8MAN позволяет увидеть, кто имеет доступ к наиболее важным документам в компании при помощи всего одного клика мыши. Собирая данные с файлохранилищ, серверов MS Sharepoint и Active Directory, можно получить исчерпывающую информацию о том, кто и к каким данным имеет доступ, даже в сетях самых крупных компаний со сложнейшими инфраструктурами».

8MAN использует новейшие технологии Microsoft для визуализации прав доступа и их структуры в Active Directory. Это позволяет руководителям отделов мгновенно проверять правильность всех настроек. Среди клиентов за несколько лет работы уже числятся весьма маститые бренды.

Чтобы не рисковать, иногда приходится менять модель бизнеса

Не дремлют и в Чехии. Эта страна потихоньку выходит в мировые лидеры в сегменте управления безопасностью периферийных устройств. Можно часто слышать о подвигах на антивирусном фронте, о построении супер-защищенного периметра. А вот отрапортовать о построении безопасной инфраструктуры печати офисных документов… Обычно об этом просто забывают или не хотят вспоминать. В этой связи можно привести в пример разработки компании MyQ.

Елена Жуплатова, генеральный директор «APT Дистрибьюшен», рассказывает: «В нашей сфере деятельности (поставка оборудования для печати, копирования и сканирования) потребности заказчиков в конфиденциальной печати способны существенно менять саму модель бизнеса. Если страховой компании или банку для соблюдения закона "О персональных данных" необходимо добиться, чтобы при печати информация о клиенте не попала в чужие руки, то нам нужно суметь сконструировать для такого заказчика решение, значительно выходящее за рамки простой поставки принтеров или МФУ, пусть даже и с простеньким механизмом парольного доступа».

Резюмировать данный анализ хотелось бы мнением Анны Костиной: «Кризисные годы существенно изменили бизнес-процессы многих компаний, в том числе, и связанные с ИБ. Организации стали более тщательно следить за расходами и за прозрачностью использования ресурсов. Все чаще встают вопросы о том, насколько эффективны и результативны  решения по обеспечению ИБ, которые уже внедрены в компании? Можно ли без покупки и внедрения новых мер, а следовательно, и без новых затрат, скорректировать работу уже внедренных средств защиты для наиболее успешного выполнения задач, поставленных бизнесом перед подразделениями ИБ? Как определить, что вносимые изменения и корректировки приводят к требуемому результату?»

Актуальность решения этих вопросов подталкивает специалистов по информационной безопасности к необходимости более глубокого понимания бизнеса и к использованию собственных управленческих механизмов. Одним из наиболее эффективных инструментов, с помощью которого можно получить ответы на поставленные выше вопросы – процесс анализа и оценка рисков ИБ.

Это и то, что в настоящее время организации все большее внимание уделяют оптимизации расходов и предотвращению прогнозируемых и непрогнозируемых потерь, делают построение процесса управления рисками ИБ и интеграции его в общекорпоративный процесс управления рисками все более и более востребованным. Благо новинок в этой сфере ожидается немало.

Вадим Ференец


Евгений Чанышев

Евгений Чанышев:

Реальная безопасность важнее «бумажной»

На вопросы CNews ответил Евгений Чанышев, генеральный директор компании «Инфозащита».

CNews: «Инфозащита» нечасто упоминается в СМИ. Вы можете сказать несколько слов о компании и объяснить, с чем связана такая непубличность?

Евгений Чанышев: Действительно, мы не очень часто выступаем публично. Мы «выросли» из департамента информационной безопасности одной из российских финансово-промышленных групп. В 2006 году «Инфозащита» была выделена в отдельное юрлицо, а с 2008 года ведет деятельность независимо как специализированный системный интегратор по защите информации.

Исторически у нас сформировалось ядро ключевых заказчиков, мы концентрировали усилия на их проектах и не стремились к публичности. Новые заказчики приходили к нам по рекомендации. Ситуация изменилась в 2010 году, когда мы начали развивать направление SMB и расширять перечень предлагаемых услуг и решений. Сейчас у нас более 300 действующих заказчиков как из крупного корпоративного сегмента, так и из сегмента SMB.

CNews: Как решения и услуги в области информационной безопасности были востребованы вашими клиентами в 2011 году?

Евгений Чанышев: У «Инфозащиты» сложилось несколько специализаций, в которых она обладает одними из самых высоких компетенций на рынке — шифрование данных, фильтрация трафика и DLP, то есть защита от утечек конфиденциальной информации.

В последние годы эти решения все больше интегрируются между собой. Например, многие эксперты уже сейчас признают, что шифрование должно быть неотъемлемой частью DLP-систем, и часть разработчиков DLP-систем двигается в этом направлении. В последнее время мы существенно расширили перечень предлагаемых решений. Активно внедряем решения в области защиты баз данных, сбора и анализа событий безопасности (SIEM), сетевой безопасности.  

читать полное интервью

Toolbar | КПК-версия | Подписка на новости  | RSS