Далеко не всегда мировой опыт удается применить на российском бизнес-ландшафте — эта мысль, а также национальные особенности развертывания решений в области информационной безопасности оказались в центре внимания участников круглого стола, организованного
Проблемы, которые возникают при внедрении информационных систем, в значительной степени обусловлены противостоянием разных целей и задач подразделений в компании.
Например, эксплуатационные и проектные подразделения к внедрению новых решений относятся по-разному. Как правило, служба эксплуатации, а также служба ИБ нацелены на то, чтобы сохранить организацию в максимально стабильном состоянии и не допустить изменений в информационной системе. В то же время все мероприятия, направленные на внедрение новых ИТ, предполагают вывод системы из равновесного состояния. По мнению Виктора Галактионова, директора департамента управления архитектурой и главного системного архитектора АКБ «РосЕвроБанк», это диалектика проектных подразделений и подразделений эксплуатации: «В этой борьбе, ведущейся с переменным успехом, как раз и происходит развитие всех организаций. Любое изменение в бизнес-процессах — это всегда потрясение для сотрудников. Люди, как и система, тяжело это переносят. Так было 10–15 лет назад, и так продолжается по сей день, поэтому при реализации проекта просто необходимо учитывать подготовку оппонентов».
Еще один момент, который до начала кризиса возможно был менее актуален, связан с порогом вхождения в мир ИТ-инноваций: под влиянием экономической ситуации в последние два года заметно обострился интерес бизнеса к оценке окупаемости ИТ. В частности, снизился финансовый порог — сумма, с которой начинается серьезный разговор с бизнесом относительно ИТ-инвестиций. Если раньше бизнес требовал согласовывать инвестиции только в достаточно крупные, масштабные проекты, то теперь даже приобретение простых аппаратных устройств приходится обосновывать перед руководством. Как следствие, еще более важными стали такие характеристики ИТ-проектов, как их эффективность, снижение издержек и рисков.
Многие участники круглого стола высказали уверенность в том, что при внедрении ИТ-решений и решений в области информационной безопасности на предприятиях и в организациях разных отраслей и в разных странах мира возникают схожие проблемы, да и причины неудач не имеют яркой национальной особенности. Тем не менее практически все участники были едины во мнении о том, что при внедрении западных продуктов риск получить отрицательные результаты гораздо больше. В первую очередь он связан с ценой этих решений. Поэтому, в частности, Виктор Галактионов считает, что западным компаниям стоит задуматься о специальном ценообразовании для России и создании «облегченных» версий решений, которые позволяют снизить начальные затраты на приобретение и поскорее начать изучение и освоение продукта. После того как удастся продемонстрировать его достоинства руководству, количество лицензий можно будет увеличить.
Мифы и реальность ИБ-проектов
При реализации любого ИТ-проекта существуют три задачи, и они накладывают определенные ограничения. Первая — обеспечение гибкости развертываемых ИБ-решений. Дело это непростое, но необходимое, поскольку нужно обеспечить защиту бизнес-процессов, которые любая организация стремится делать как можно более эффективными и понятными. Вторая задача — приведение ИБ в соответствие внутренним политикам. Поскольку любые политики накладывают свои ограничения, то реализация ИБ наверняка снизит эффективность бизнес-приложений и может отрицательно повлиять на эффективность бизнес-процессов. Третья задача — обеспечение требований государственных регулирующих органов.
Чтобы реализовать любой проект по защите информации, выработан стандартный подход, описанный в любой специальной литературе. Все это давно и хорошо известные вещи, но в России почему-то считают, что подобными практиками можно пренебречь либо от них отклониться.
Казалось бы, что может быть проще — следовать проверенным методикам и использовать их опыт? В основе всех методик лежат данные, которыми владеет компания. К сожалению, по оценкам, которые привел Алексей Чередниченко, директор по продажам компании «МакАфи Рус», 72% отечественных организаций вообще не знают, какие персональные данные хранятся внутри организации, где они физически находятся, кто может с ними работать, как они попадают в организацию и как ее покидают. «Инвентаризация критичных данных в большинстве организаций отсутствует, — сетует Чередниченко. — В результате нам приходится строить системы, опираясь на какие-то мифические представления о данных. Во многих организациях существуют политики ИБ, но при этом классификатор данных по степени их критичности отсутствует и нет описания критериев, по которым можно идентифицировать данные в зависимости от их важности».
В результате вместо проверенного мировой практикой подхода «сверху вниз» в России в большинстве случаев наблюдается обратный подход в построении систем ИБ: если в западной практике, как правило, отталкиваются от данных, от степени их критичности и от оценки рисков, имеющих отношение к этим данным, то в России «исповедуется» так называемый кусочно-лоскутный метод «снизу вверх» — за основу проекта берутся какие-то конкретные технологии, которые пытаются внедрить в условиях данной организации, слабо понимая при этом, насколько это будет приемлемо и эффективно для тех данных и бизнес-процессов, которые существуют в компании. Реальное понимание приходит только после длительной эксплуатации этих систем и реинжиниринга отдельных процессов.
Существует и другой подход, который условно можно назвать «как у соседа»: после того как одна организация внедрила систему, другие тоже чувствуют необходимость сделать нечто подобное. Это характерно для предприятий, работающих в одной сфере.
Третий метод, самый простой и не вызывающий разночтений, — отталкиваться от имеющегося количества денег. Это наиболее характерная ситуация, когда служба ИБ находится в подчинении у ИТ-руководства. Если оно при этом не утруждает себя четким разделением ответственности с ИБ, то ИБ финансируется по остаточному принципу. К сожалению, когда наступают плохие времена, такой подход доминирует.
Александр Невский, руководитель департамента информационной безопасности КБ «Ренессанс Кредит», смотрит на проблему более оптимистично: по его мнению, развитие российского рынка в последние пять – семь лет доказывает успешность западных практик, внедренных в среду российского бизнеса. «В 1998 году мне пришлось проводить аудит ИБ в банке, в котором я тогда работал, — вспоминает Невский. — Исходя из своего опыта, мы составили отчет и считали, что проделали замечательную работу. О каком-то построении системы менеджмента ИБ не было и речи. Никакой централизованной модели управления не существовало, да мы и не понимали, что это такое. Но потом пришли международные компании и вместе с ними — стандарты COBIT. Тогда и появилось понимание того, что может существовать некая методология, которая лежит в основе построения системы ИБ».
Кроме того, по мнению Невского, очень важно, как организован процесс внедрения в организации, кто кому подчиняется, чтобы это не превратилось во вражду между подразделениями и не свелось к перетягиванию бюджета на свою сторону: «Если же ИТ и ИБ на одном уровне подчиняются руководству, то вы делаете одно дело и находите общий язык с ИТ, так как вышестоящее лицо отчитывается перед акционерами или советом директоров, и ему важен результат, а не противостояние служб».
Каверзные вопросы
Как концепции информационной безопасности и прочие внутренние нормативные документы и регламенты способствуют применению лучших практик или, наоборот, их сдерживают?
Удивительно, но многие участники круглого стола признались, что подобного документа — концепции ИБ — у них в компании нет. Более того, они считают его лишним, так как любую концепцию ИБ можно сформулировать буквально в трех-четырех предложениях. Если концепция изложена на 40–50 страницах, то, скорее всего, она переписана с концепции другой организации или компании, такие документы мало кто внимательно читает. Некоторые считают этот документ секретным — это типично российский подход, и он, судя по всему, вскоре канет в Лету. Ему на смену приходит стратегия ИБ, которая разрабатывается совместно с бизнес-стратегией организации и ИТ-стратегией. На ее основе формируются планы, где указывается, когда и какие продукты и решения предполагается внедрять в организации, и исходя из этого обосновываются бюджеты.
«У нас повсеместно принято подменять понятия. Даже в публичных выступлениях и в СМИ то или иное понятие трактуют не так, как следует, — сетует Алексей Чередниченко. — В последнее время мне приходится постоянно сталкиваться с тем, что слова “концепция ИБ” у большинства профессионалов вызывают отторжение, потому что концепция — это вообще ничто, концепцией можно назвать все что угодно, следовательно, этот документ никак не может мотивировать или тормозить развитие ИБ».
Как сделать так, чтобы бизнес получил позитивное представление о роли службы ИБ?
Как правило, специалисты по ИБ свою деятельность оценивают положительно, когда ничего не происходит. (Аналогичным образом ведет себя судья на футбольном поле во время матча: чем он незаметнее, тем лучше.) Когда ситуация в плане ИБ остается спокойной, в какой-то момент руководство перестает понимать, за что этой службе платят деньги, ведь и так ничего не происходит. Таким образом, вопрос осведомленности руководства остается одним из актуальных.
Известны случаи, когда о работе сотрудников службы ИБ узнавали все бизнес-пользователи (например, когда в результате применения политик безопасности работа компании существенно тормозилась). Зачастую эта проблема остается не только на стороне службы ИБ (скажем, если сотрудники ИТ-подразделения, забыв предупредить службу ИБ, что-то изменили в настройках бизнес-приложения или вносили изменения в ситуации срочного обеспечения работоспособности системы). В современных условиях, когда всем службам приходится постоянно просчитывать последствия своих действий для бизнеса, такие инициативы уже не пройдут — сегодня требуются иные, тщательно взвешенные и продуманные подходы к обеспечению информационной безопасности и минимизации связанных с ней рисков.