Эффективность систем безопасности определяется уровнем возврата инвестиций

Прежде всего надо ясно понимать,что комплексное внедрение ИБ, включая защиту от внутреннихзлоумышленников, — это сложный и преимущественно организационный, а нетехнический проект. «Когда речь идет о решениях масштаба предприятия, то любойкомплекс мер по обеспечению безопасности и в первую очередь по защите от инсайдеров требует тщательного изучения бизнес-процессов иопределения связанных с ними потоков информации, — говорит МихаилБашлыков, руководитель направления информационной безопасности компании КРОК. —Обеспечение ИБ по сути должно являться одним избизнес-процессов фирмы. Чаще всего организационными методами решается до 70%проблем защиты информации, остальные 30% остаются за техническими средствами».Существует даже мнение, что обеспечение комплексной ИБпредприятия ближе к внедрению ERP-систем, чем к инфраструктурным проектам.Дмитрий Голубцов, специалист направления Security Management компании CompuTel,утверждает, что по крайней мере в одном подобныепроекты схожи: «Внедрение систем информационной безопасности подразумеваетопределенный уровень зрелости компании. Успешное внедрение, как и в случаеERP-систем, невозможно без проведения высококачественного аудита и последующейреорганизации бизнес-процессов». Так же как и при внедрении ERP-систем, впроекте по обеспечению ИБ стоят задачи постановки процессов. В ответахэкспертов упоминались и реорганизация бизнес-процессов, и регламент системыуправления ИБ. «Безусловно, проблема ИБ не техническая, а системная, —соглашается менеджер по развитию бизнеса отдела информационной безопасностиАМТ-ГРУП Андрей Рогожин. — Например, важно добиться сознательногововлечения сотрудников в процессы внедренной на предприятии системы менеджментаИБ в соответствии с уровнем их административной ответственности и ролями,предусмотренными регламентами такой системы».

Но понятно, что подобное вовлечение сотрудниковпредусматривает и меры воздействия на них в случае нарушения регламентов. Если,допустим, чисто техническое развертывание Intrusion Detection System (IDS) илиантивируса вряд ли сможет нарушить права персонала предприятия, тоорганизационные меры — могут. Даже такая процедура, как мониторингэлектронной почты сотрудников, требует подписания целого ряда документов. Какруководству остаться в правовом поле, требуя соблюдения установленных правилИБ?

«Для того чтобы меры обеспечения ИБ заработали, необходимосоздать и довести до сведения сотрудников локальные нормативные акты, внедритьрежим коммерческой тайны, — считает Михаил Башлыков. —Неприкосновенность частной жизни закреплена конституцией, поэтому меры позащите от действий внутренних нарушителей требуют специальной юридическойпроработки. Рекомендуется в трудовых договорах оговаривать исключительные правафирмы на используемые средства коммуникации и соответственно получать согласиесотрудников на контроль их сообщений и отправлений». Дмитрий Голубцов полагает,что выбор средств воздействия должен основываться на корпоративной культуре икадровой политике конкретной компании: «Комплексная система ИБ позволяетопределить и зафиксировать, кто из сотрудников, когда и к какой системе получилдоступ. Нарушения корпоративных политик в области ИБ должны рассматриваться какадминистративные с принятием соответствующих мер».

В первый раз

К сожалению, в подавляющем большинстве современныхроссийских компаний комплексное внедрение организационного подхода кобеспечению ИБ и разработка мер воздействия, о важности которых говорятэксперты, будут проходить почти с нулевого уровня. Практически все предприятия,если мы исключим более «продвинутые» в этом плане телекоммуникационные ифинансовые, такого рода проектов пока не вели. Михаил Башлыков даже утверждает,что вообще каждый новый шаг в развитии системы ИБ можно считать первым:«Развитие ИБ должно идти последовательно, начиная с осознания существующихпроблем и внедрения базовых средств обеспечения ИБ. Далее следуетпоследовательно наращивать сложность внедряемых систем, комплексность проектови применение организационных мер, а также внедрять процессно- и риск-ориентированныйподход к обеспечению ИБ».

А вот Андрей Рогожин не видит особой беды в неопытностироссийских предприятий в области комплексных систем ИБ: «Как правило, для тогочтобы оценить технологию, достаточно провести пилотноетестирование и на практике увидеть преимущества и ограничения того или иногопродукта. Многие вендоры и интеграторы, предлагающиерешения по защите от утечек информации, идут на такое тестирование, посколькудля заказчика очень важно посмотреть работу предлагаемой системы в условиях,максимально близким к “боевым”».

Действительно, для оценки технических параметров системыдостаточно пилотной эксплуатации. Однако ворганизационной области и в постановке процессов «пилотом» не обойдешься.

Спонсор проекта

Если уровень организационных изменений при комплексномобеспечении ИБ действительно сравним с внедрением ERP-системы, каков же долженбыть руководящий рычаг, кто на предприятии должен быть заинтересован в проекте,чтобы эти изменения действительно могли осуществиться? И кто сейчас на самомделе является спонсором проектов ИБ? Михаил Башлыков из КРОКаданный вопрос увязывает с уровнем зрелости процессов ИБ в компании: «Какправило, это подразделения по информационной и экономической безопасности, атакже ИТ-подразделения. Реже в такой роли выступаетвысшее руководство фирмы или владельцы бизнеса, так как компании, имея передсобой определенные цели снизить совокупную стоимость владения ИТ-инфраструктурой и добиться максимально быстрого периодаокупаемости инвестиций в нее, сокращают затраты на первых стадиях внедрения иэксплуатации информационных систем. Вовлеченность руководства в процессуправления информационной безопасностью всё ещё невелика, поэтому успехреализации таких проектов во многом зависит от личной настойчивости и опытадиректора по ИТ или ИБ. Совсем скоро мы придем к тому,что особое внимание будет уделяться не просто внедрению систем защиты, но ирегламентированию и выстраиванию процессов безопасности. В последние годыситуация меняется в лучшую сторону».

Дмитрий Голубцов (CompuTel)связывает выбор спонсора проекта с целью проведения работ: «Если нужнопостроить систему для общего аудита и контроля деятельности компании, тозаказчиками таких проектов являются топ-менеджеры исобственники бизнеса, а в случае создания систем для предупреждения сбоев иборьбы с их последствиями спонсорами часто становятся руководители ИT-служб». Однако Андрей Рогожиниз АМТ-ГРУП более категоричен и считает, что только при поддержке топ-менеджмента комплексный ИБ-проектможет быть успешен: «Без реального спонсорства со стороны высшего руководстваорганизации проект по внедрению системы менеджмента ИБ имеет практическинулевые шансы на успех, так как только высшие руководители обладаютнеобходимыми административными и ресурсными полномочиями».

Критерии успеха

Наконец, любого руководителя интересуют критерии успешностипроекта по комплексному обеспечению ИБ. Как по его окончании можно оценитьрезультат работы компании-подрядчика? «Результативность системы информационнойбезопасности, как правило, измеряется степенью соответствия ожидаемогорезультата; это может быть перечень контрольных точек, таких как отсутствиеинцидентов, или снижение общего количества инцидентов, или получениесертификата соответствия, или прохождение аттестации, — отвечает МихаилБашлыков. — Эффективность же проекта определяется уровнем возвратаинвестиций, то есть оценкой, окупает себя система или нет». С этим в общем согласны все опрошенные нами эксперты. Среди ключевых показателей (контрольных точек) Дмитрий Голубцоввыделяет следующие: количество прецедентов в области ИБ, прозрачность процессовИБ, инфор­мированность сотрудников, соблюдение

Источник: Intelligent Enterprise http://www.iemag.ru/articles/detail.php?ID=6947