Михаил Пышкин: «Сегодня клиенты хотят ожидаемое время реакции на угрозы безопасности»
На вопросы CNews ответил Михаил Пышкин, директор по направлению информационной безопасности компании INLINE Technologies.
CNews: Какие характерные изменения вы отмечали на российском рынке ИБ в 2005 г.?
Михаил Пышкин: Среди тенденций рынка необходимо отметить его рост и усложнение как в части требований заказчиков к исполнителям работ, так и в части проработки технических решений и их интегрируемости. При создании систем безопасности компании стремятся использовать передовые методики, основанные на международном опыте и которые отлично зарекомендовали себя как «лучшие практики». Отдельно стоит упомянуть техническую поддержку и сервисное обслуживание. Сегодня клиенты хотят ожидаемое время реакции в случае сбоев, быстрый выезд и решение проблем на своей территории в сложных случаях, а также привлечение помощи вендоров с высокими приоритетами решения возникших проблем.
CNews: Изменилось ли отношение отечественного корпоративного сектора к вопросам обеспечения информационной безопасности под влиянием международных стандартов?
Михаил Пышкин: Об этом можно судить, в частности, по росту количества сертификатов, полученных российскими компаниями. С начала 2006 года четыре компании получили сертификат по ISO/IEC 27001:2005. При этом еще большее количество компаний находится в процессе создания систем управления безопасностью в соответствии с международными стандартами. Многие компании запустили в прошлом году процессы разработки наиболее важных для них элементов систем управления: управление операционными рисками, управление инцидентами безопасности, планирование непрерывности ИТ-сервисов и организационно-распорядительного обеспечения. Так что новые сертификаты не за горами.
CNews: Стандарт ISO 27001 определяет требования к системам управления безопасностью. Насколько его содержание близко российским заказчикам в настоящий момент?
Михаил Пышкин: Управление безопасностью на основе международных стандартов наиболее интересно в настоящий момент крупным отечественным компаниям, которые независимо от сферы бизнеса стремятся после многочисленных слияний и поглощений привести свои ИТ-сиcтемы к единым корпоративным стандартам и при этом используют международный опыт как в управлении безопасностью, так и в управлении ИТ-сервисами.
Одновременно они хотят понимать эффективность инвестиций в те или иные решения, т.е. рассматривают управление именно как измеряемый процесс, отталкиваясь при этом от анализа рисков и произошедших инцидентов безопасности.
В свете публичного обсуждения российских аналогов международных стандартов – ГОСТ Р ИСО/МЭК 17799 и 27001 – можно говорить только о росте внимания к этим работам.
CNews: Сегодня на рынке много решений различного назначения, в отношении которых можно употребить словосочетание «управление безопасностью». Какие их них наиболее востребованы на российском рынке?
Михаил Пышкин: Исторически с этим термином у многоих ассоциируются программные или технические средства, обеспечивающие решение отдельных задач. Но ни одно из этих средств на сегодняшний момент не может решить всех проблем управления информационной безопасностью. Поэтому на первое место выходят не технические, хотя их ипользование и важно, а организационные вопросы – ведь если люди не хотят правильно управлять безопасностью, использование технических средств не поможет, а только затруднит их работу. С точки зрения технических мер наибольший интерес, как мне кажется, сегодня проявляется к системам управления рисками и системам управления инцидентами безопасности, включая системы Help Desk, системы управления событиями безопасности, мониторингу событий безопасности, анализу защищенности, регистрации сбоев ИТ-систем, проактивному предотвращению проникновений.
CNews: Безопасность данных – это не только информационная безопасность. Как вы оцениваете, в этом свете, востребованность решений, обеспечивающих непрерывность бизнеса?
Михаил Пышкин: Непрерывность бизнеса – это комплексное понятие, которое включает много составляющих. Однако вопросы, связанные с непрерывностью критичных ИТ-сервисов, как прикладных систем, так и обеспечивающих, очень важны в общем комплексе работ. Организации должны понимать, насколько быстро им необходимо восстановить в случае аварии или сбоя те или иные бизнес-приложения в зависимости от их места в общей цепочке бизнес-процесса. При этом допустимое время простоя должно быть по возможности установлено в исчисляемых критериях допустимого ущерба. Все это влечет за собой определение взаимосвязей и взаимовлияния одних систем на другие и формированию привязанного ко времени подробного плана восстановительных работ.
Нужно отметить, что пока зрелость немногих российских компаний достигла уровня планирования непрерывности бизнеса. В большинстве случаев компании интуитивно идентифицируют несколько систем и разрабатывают инструкции по восстановлению их работоспособности. При этом мало кто отталкивается от анализа рисков и анализа временной составляющей простоя данных систем, влияющих на бизнес компании. В целом причиной этого является отсутствие в нашей стране нормативных документов и руководств в этой области.
Но постепенно ситуация исправляется, в первую очередь в крупных отечественных компаниях со смешанных капиталом, для которых требования по реализации мер планирования непрерывности бизнеса устанавливаются зарубежными подразделениями и партнерами. Поскольку данный процесс на обязательной основе заложен в стандарты ISO/IEC 27001:2005 и 17799:2005, многие российские компании уже занялись этими работами.
CNews: В прошедшем году много внимания уделялось защите от утечки конфиденциальной информации. На ваш взгляд, соответствует ли предложение решений на этом рынке тому кругу вопросов, которые приходится решать компаниям?
Михаил Пышкин: Говорить о предложении решений по защите от утечки конфиденциальной информации целесообразно только тогда, когда у организации есть сформированный перечень данных, содержащих конфиденциальную информацию согласно законодательству, а также определены системы, в которых эти данные обрабатываются. К сожалению, многие организации до сих пор такие работы не провели. Поэтому начинать надо в первую очередь с консалтинга, т.е. помощи в определении применимого законодательства, его требований, а также в организационных работах по формированию нормативной документации и организационно-распорядительных документов.
Что касается решений, то пока их немного. При этом выбирать их нужно очень аккуратно, поскольку некоторые из них не сертифицированы на защиту конфиденцильной информации. Однако в свете последних изменений в закондательстве в части защиты конфиденциальной информации, я думаю, количество таких систем будет увеличиваться.
CNews: Создается впечатление, что оценка и управление рисками является той темой, о которой много говорят, но на практике мало что делают. Разделяете ли вы это мнение?
Михаил Пышкин: К сожалению, существует много неудачных попыток ряда организаций разобраться в этом вопросе и решить его своими силами. Одной из таких ошибок, на мой взгляд, является попытка сразу использовать количественные подходы к оценке рисков, т.е. к оценке активов и ущерба, например, в денежном эквиваленте. Многие не знают, что крупные иностранные компании отказались от этого подхода и используют иные способы. Другой ошибкой является мнение, будто, купив некое разрекламированное средство для анализа рисков, быстро можно закрыть этот вопрос. При этом компании зачастую не понимают, что сначала нужно создать процесс управления рисками, который, как невидимая кровеносная система, охватит всю организацию, что нужно разработать соответствующие документы, создать комитет по рискам и главное – назначить ответственным за этот процесс достаточно влиятельное в компании лицо.
CNews: Какие интересные проекты в сфере ИБ были реализованы вами за последнее время?
Михаил Пышкин:Компания INLINE Technologies успешно наращивает потенциал по информационной безопасности. Это выражается в усилении координации взаимодействия подразделений, занимающихся разными направлениями безопасности, в большом внимании, уделяемом обучению специалистов, и в постоянном повышении партнерских статусов у поставщиков решений по безопасности. В основе работ по информационной безопасности компания использует такие мероприятия, как всесторонний анализ рисков, проработку технологической интегрируемости и экономическую оценку эффективности систем безопасности. Для заказчиков компания регулярно проводит демонстрацию новейших продуктов и решений в своей интеграционной лаборатории, оснащенной в соответствии с требованиями производителей. Компании имеет также ряд собственных разработанных решений и продуктов по информационной безопасности.
Среди наиболее интересных и крупных стоит выделить проекты для Пенсионного фонда Российской Федерации и компании «Вымпелком». В прошлом году INLINE Technologies выиграла несколько конкурсов на создание корпоративных сетей передачи информации для Пенсионного фонда с элементами обеспечения надежной, оперативной и защищенной передачи данных между структурными подразделениями отделений Пенсионного фонда, а также обеспечения защищенного доступа пользователей к ресурсам АИС отделений Фонда.
В рамках реализованного в «Вымпелкоме» проекта построена сеть для безопасной передачи данных в масштабах всей страны. При этом проектирование и внедрение сети было выполнено с использованием всех разновидностей VPN-тоннелей. В данном проекте использован механизм интеграции двухфакторной аутентификации пользователей с существующими системами сети при удаленном доступе.