Любая эксплуатируемая система с течением времени эволюционирует, и рано или поздно может наступить критический порог, когда система еще работает, но неизвестно, как она будет работать завтра, если возникнет угроза безопасности. Чтобы это выяснить, следует
В условиях, когда информационная система создается не исходя из требований бизнеса, а исходя из знаний и опыта ИТ-подразделения или системного администратора, привлечение опытного системного интегратора тоже не всегда спасает ситуацию, поскольку всякий интегратор — это продавец, который заинтересован в максимальной цене сделки, а не в строгом соблюдении стандартов и критериев заказчика. Сторонний свежий взгляд на систему может вскрыть уязвимости, которые штатным ИТ-специалистам просто уже не видны.
«Любая система безопасности нуждается в пересмотре. Мнение высшего менеджмента о том, что безопасность — это только затраты, стоит игнорировать. Служба безопасности защищает инвестиции бизнеса и тем самым сберегает его деньги. Это важный критерий, особенно в условиях кризисных явлений», — считает старший консультант по информационной безопасности компании Sysnet Алексей Гребенюк.
«Именно поддержка бизнеса делает аудит информационной безопасности значимым. К сожалению, далеко не все руководители понимают значение этого аудита как средства выявления отклонений от поставленных бизнес-целей, считая его поиском недостатков проверяющим органом, и поэтому не готовы пользоваться таким удобным инструментом бизнеса. На практике же подразделения фактически ставят задачу сами себе. К тому же подразделения внутреннего аудита, которые должны осуществлять оперативный аудит, до сих пор не очень хорошо разбираются в специфике работы департамента ИТ, а тем более — отдела информационной безопасности — и весь практический аудит отдают на откуп этим подразделениям, что сводит на нет само понятие аудита как процедуры получения объективных свидетельств независимым сборщиком», — признается консультант-аналитик «Лаборатории Касперского» Роман Косичкин.
Остается открытым вопрос порядка и частоты проведения аудита информационной безопасности. По словам руководителя направления консалтинга компании Aladdin Евгения Модина, строгого регламентированного порядка проведения аудита нет, а имеющиеся документы носят рекомендательный характер, за исключением стандарта PCI DSS. Поэтому каждая организация вправе самостоятельно определять порядок проведения аудита. Без аудита процесс управления информационной безопасностью является неполноценным. Лучшим можно считать вариант, когда аудит информационной безопасности имеет четыре уровня: ежедневный аудит информационных систем сотрудниками службы информационной безопасности; периодический аудит, например, согласно требованиям СТО БР ИББС-1.0-2006, осуществляемый внутренними аудиторами; внеплановый аудит, проводимый сотрудниками службы информационной безопасности (возможно с привлечением сторонних специалистов) в случае инцидента, связанного с информационной безопасностью; внешний периодический аудит, осуществляемый независимыми аудиторами.
«В большинстве случаев бизнес выступает куратором проекта. Соответствие требованиям законодательства и внешних регуляторов (например, закону Сарбейнса—Оксли, PCI DSS, закону о персональных данных) — обязательное требование, непосредственно влияющее на ведение бизнеса. В необязательных случаях аудит — регулярная проверка систем информационной безопасности, направленная на поддержание необходимого уровня защищенности. Порой результаты проверки могут быть веской причиной для модернизации систем информационной безопасности, а также стать частью внутреннего аудита информационных систем компании в целом. Факторами, влияющими на частоту проведения аудита информационной безопасности, могут быть изменение требований законодательства, внешних регуляторов», — считает руководитель направления информационной безопасности компании Energy Consulting Андрей Голов.
Эту точку зрения готов дополнить начальник управления информационной безопасности банка «Ренессанс Капитал», эксперт комитета информационной безопасности Ассоциации российских банков Александр Невский: «Бизнесом движет желание дальнейшего успешного развития, что без соблюдения обязательных требований регуляторов тех рынков, на которых работает компания, невозможно, ведь в противном случае вас ожидают штрафы, административная ответственность и иные проблемы. То есть аудит информационной безопасности стал необходимостью и продиктован, как правило, отнюдь не заботой о новых угрозах и уязвимостях, которым подвержены информационные системы компании. В России не так много прогрессивных менеджеров, отдающих себе отчет в значимости этих рисков».
С другой стороны, участники рынка информационной безопасности готовы согласиться, что для бизнеса основной закон — это сам бизнес, коммерция. И если будет стоять вопрос выбора между соблюдением требований закона и бизнес-интересами, то бизнес выберет свои собственные интересы. Поэтому если специалисты или руководители служб информационной безопасности не смогут объяснить руководству свою значимость и важность аудита информационной безопасности — помимо того, что необходимо следить за соблюдением закона, — то в перспективе у таких специалистов, вероятно, не будет возможностей для аудита.
Кому доверять?
Одна из проблем сводится к тому, что аудит информационной безопасности до сих пор пытаются проводить «по учебникам» или рекомендациям специалистов, упуская из виду или намеренно забывая, что сегодня это достаточно сложный системный процесс проверки информационной системы на соответствие определенным требованиям, на которые, в частности, могут влиять слияния и поглощения компаний и пр.
«Простота новых технологий, с одной стороны, делает их привлекательными (яркий пример — беспроводные технологии), с другой — требует постоянного контроля окружения, сканирования на предмет посторонних подключений. Поэтому новые технологии, изменения в информационной структуре, подключения новых филиалов — все это существенные основания для внешнего, незашоренного взгляда на ИТ-инфраструктуру», — убежден Гребенюк.
Пару лет назад директор центра информационной безопасности компании «Инфосистемы Джет» Илья Трифаленков утверждал, что наступает время высокоуровневого аудита систем, методов и средств безопасности и построение моделей оценки рисков: «Следует ожидать все большего слияния процессов аудита и сопровождения системы, то есть аудита на постоянной основе как постоянно оказываемой услуги. Но для подобных изменений необходимо, чтобы руководство предприятий понимало важность анализа изменений. Высокоуровневый аудит становится командным видом спорта, в основе которого — удачно построенные взаимоотношения между заказчиком и исполнителем услуги. Только силами внешних консультантов эту проблему уже не решить».
Уместен вопрос: кто из игроков рынка информационной безопасности может справиться с задачей подобного высокоуровневого аудита информационной безопасности? Несмотря на то, что рынок информационной безопасности сформирован и все игроки известны, в условиях дефицита квалифицированных специалистов по-прежнему остается вопрос, кого следует приглашать для решения подобных задач, а от чьих услуг стоит отказаться.
Практика аудита информационной безопасности постоянно совершенствуется. К компетенциям аудитора предъявляются очень широкие требования — от знания основ бизнеса и его оптимизации, опыта проведения организационных преобразований до технических нюансов построения и эксплуатации информационной системы на практике. «Настоящих аудиторов не так уж и много. Критериями отбора аудиторов наряду со сертификатами должны быть опыт практической работы (не менее трех-пяти лет) и портфель успешно выполненных аудитов информационной безопасности (не менее 30—50)», — считает Петренко.
Кроме того, высокоуровневый аудит предполагает привлечение специалистов смежных областей. Как в этом случае избежать конфликта интересов? «Уже сегодня аудит на соответствие требованиям международных стандартов требует привлечения не только специалистов ИТ и информационной безопасности, но и кадровых подразделений, юристов, иногда — менеджеров высшего звена, — считает Гребенюк. — Эта услуга должна оказываться на постоянной основе. Конфликты при этом возможны, и их не избежать, поскольку работают люди, а люди, как известно, — самое труднопредсказуемое звено в любой системе безопасности. Но решение всегда можно найти. Для этого нужны взаимопонимание и добрая воля. Аудитор в данном случае только оценивает результат работ».
С ним согласен Невский, который убежден, что причина конфликтов лежит в области разделения сфер ответственности подразделений организации, недостаточной квалификации сотрудников: «Нередко аудитом информационной безопасности одновременно хотят (и считают, что могут) заниматься подразделения внутреннего аудита, информационной безопасности, экономической безопасности, информационных технологий. Причина банальна — борьба за власть и ресурсы организации, виновны в ней конкретные персоналии и недостаточно четкая формализация функций и задач подразделений».
Косичкин придерживается более оптимистичной точки зрения: «Специалисты из смежных областей привлекаются на уровне консультантов и поэтому ни о каких конфликтах речи идти не может. При аудите конфликты не возникают, они скорее всплывают наружу (причем только на этапе сбора сведений) из-за разного восприятия средним руководством своей роли в бизнес-процессах компании. Избежать же подобных конфликтов можно с помощью бизнес-тренингов для руководителей отдельных направлений организации, нужно воспитывать в руководителях понимание того, что любая их деятельность важна как часть деятельности компании и направлена на достижение основной бизнес-цели — извлечение прибыли».