Между тем разрозненные системы информационной безопасности не способны стать надежным заслоном против действий злоумышленников, да и общий уровень защищенности отечественных предприятий оставляет желать лучшего, что не может не беспокоить их руководителей. Поэтому и сегодня у системных интеграторов в области ИБ остается — хотя и сузившееся — поле для деятельности. «Корпорация ЮНИ» предлагает целый ряд услуг в области информационной безопасности — от аудита до готовых решений. О том, какие проблемы вскрывает аудит систем ИБ и какие сложности возникают при реализации проектов ИБ, в интервью нашему журналу рассказывает Игорь Камолов, заместитель директора департамента системной интеграции «Корпорации ЮНИ».
Журнал сетевых решений/LAN: Каким образом кризис сказался на состоянии рынка средств информационной безопасности?
Игорь Камолов: Естественно, такое глобальное экономическое явление, как мировой финансовый кризис, не могло не отразиться на российском рынке информационной безопасности. Прежде всего, это сказалось на следующих двух аспектах. Во-первых, с конца 2008 года и фактически весь 2009-й новые проекты в области обеспечения информационной безопасности были или «заморожены», или вовсе закрыты. Во-вторых, все финансовые ресурсы, выделенные на ИБ, направлялись на поддержание того, что было создано до кризиса. Сейчас, даже если какие-то новые проекты и ведутся, они небольшие и рассчитаны на краткосрочную реализацию.
LAN: Какие проблемы и вопросы в области информационной безопасности беспокоят российских заказчиков в первую очередь?
Камолов: Ситуация достаточно стабильная. Компании, которые уделяли внимание вопросам обеспечения ИБ в течение пяти предыдущих лет, в основном, уже закончили развертывание ключевых компонентов систем информационной безопасности. Наиболее часто задаются вопросы относительно защиты от инсайдеров — от потерь конфиденциальной информации в результате ее неправомерного использования своими же сотрудниками. Другая распространенная проблема — объединение имеющихся подсистем ИБ в единую управляемую систему. Полагаю, что и после окончания финансового кризиса эти две задачи останутся актуальными.
LAN: «Корпорация ЮНИ» занимается аудитом ИБ. Какие проблемы в области защиты информации чаще всего выявляет такой анализ?
Камолов: С точки зрения рядового пользователя, система ИБ накладывает ряд ограничений на его действия в информационных системах и, как любое ограничение, «мешает» ведению бизнеса. У пользователя возникает желание «упростить» себе жизнь — это выражается в задании «слабых» паролей, хранении идентификаторов в ящике рабочего стола и т. д. Хуже того, и системные администраторы нередко довольствуются обеспечением функционирования автоматизированной информационной системы, руководствуясь принципом «ничего не трогай, пока все работает», не уделяя при этом достаточного внимания вопросам безопасности.
С организационной точки зрения, главная проблема — оторванность систем ИБ от реально существующих в компаниях бизнес-процессов. В результате взаимо-связь между бизнесом и обеспечением его безопасности отсутствует, хотя, по логике вещей, ИБ представляет собой один из элементов производственной деятельности, который позволяет повысить эффективность ведения бизнеса. На момент сдачи проекта по созданию системы ИБ такая взаимосвязь более или менее достигается, но в дальнейшем не сохраняется, поскольку бизнес со временем меняется: у него появляются новые потребности, новые коммуникации и новые средства обработки информации, но все эти перемены не находят отражения в регламентах функционирования систем ИБ.
LAN: В каких случаях компании обращаются к аудиту ИБ?
Камолов: Какую-то четкую закономерность выявить сложно. Если оставить в стороне вопрос предпроектного обследования для выполнения требований закона «О персональных данных», то у коммерческих организаций такая потребность возникает в ограниченном числе ситуаций, например, когда бизнес покупается или продается. Фактически, аудит ИБ делается с целью оценки активов компании. Другим поводом для обращения к такой услуге обычно оказывается архитектурное изменение в ИС. Тогда заключение специалиста позволяет понять, что можно оставить, а что нужно сделать заново и каким образом все это скомбинировать. Иными словами, в данном случае высококлассный специалист привлекается для оптимизации расходов.
LAN: С какими трудностями при реализации проектов ИБ приходится сталкиваться системному интегратору?
Камолов: Проблемы, которые я назову, характерны, пожалуй, для всех интеграторов, которые занимаются крупными проектами. Основная сложность — неготовность самого заказчика к внедрению масштабных комплексных проектов в области ИБ. При проектировании системы необходимо выяснить, как реализованы в компании те или иные бизнес-процессы. Подобные вопросы почему-то вызывают немалые затруднения у заказчика. Принимаясь за проект, заказчик задумывается об этом меньше всего. Он полагает, что интегратор во всем разберется и все сделает самостоятельно.
На самом деле интегратор без помощи заказчика может реализовать только свое видение системы информационной безопасности — как бы он это сделал для себя. Однако бизнес у всех разный, поэтому и наше представление о нем необязательно будет совпадать с потребностью заказчика. В отсутствии обратной связи между заказчиком и интегратором и заключается основная трудность.
Вот характерный пример. На вопрос, как предполагается регулировать доступ пользователей в Интернет, я обычно не получаю вразумительного ответа, поскольку у немногих компаний имеется четко ранжированное распределение пользователей по уровню такого доступа. Проблема получения исходной информации в необходимом для качественного выполнения проекта объеме представляет основную трудность при реализации крупных проектов.
LAN: Как вы оцениваете уровень защиты информационной системы среднестатистической российской компании?
Камолов: Как я уже говорил, основные компоненты ИБ имеются практически в любой компании — как небольшой, так и крупной. Межсетевые экраны, антивирус и антиспам, фильтрация URL и т. д. — все эти средства широко применяются на практике. Я бы, правда, не стал утверждать, что эти компоненты функционируют идеально, но адекватная уровню бизнеса защита имеется. Однако реализация нескольких компонентов вовсе не гарантирует того, что вопрос обеспечения ИБ решен окончательно. Процесс интеграции разрозненных решений только начинается, и в этом контексте о серьезном уровне защиты говорить пока преждевременно — если система ИБ не представляет собой логически законченного решения, ее эффективность определяется, как и у любой цепи, самым слабым звеном.
LAN: В последнее время много внимания уделяется защите от утечек данных. Насколько эффективны, актуальны и практичны подобные решения?
Камолов: Действительно, на рынке имеется множество предложений для реализации этого компонента ИБ — и отечественные продукты, и зарубежные, — так что выбирать есть из чего. На техническом уровне эти средства позволяют обеспечить серьезный уровень защиты. Однако их эффективность зависит от того, как будет осуществляться поддержка. Как они настроены, и кто осуществляет их сопровождение — на эти вопросы каждая компания должна дать свой ответ.
Например, нет ни одной организации, где не использовался бы антивирус. Однако в каждой третьей из них этот продукт обновляется от случая к случаю. Естественно, в этом случае он мало полезен. Таким образом, многое зависит не от технического функционала, а от организационных мер — решение будет обеспечивать достаточный уровень защищенности, только если компания готова заниматься этим вопросом постоянно,
а не от случая к случаю. Для того чтобы проводить подобную работу, необходимо содержать или привлекать квалифицированных специалистов.
LAN: Как вы упоминали, одна из задач, которую компании стараются решить при реализации проектов ИБ — это объединение разрозненных средств ИБ. А в какой мере сама система ИБ интегрирована в общую систему безопасности?
Камолов: Вопрос очень интересный — меня, как специалиста, эта проблема всегда волновала. Вот простой пример. Система ИБ принимает мой электронный ключ при доступе в сеть, но при этом он может быть предъявлен и другим человеком — вследствие кражи, потери и т. д. Когда система контроля и управления доступом интегрируется с системой информационной безопасности, обе становятся на порядок надежнее. Но, насколько мне известно, каких-то крупных проектов и тем более готовых решений по такой интеграции на российском рынке нет.
Целый ряд американских производителей занимаются этой проблемой давно, но в России системы контроля доступа зарубежного производства практически не используются. Такие системы внедрялись еще во времена режимных заводов, т. е. они появились значительно раньше межсетевых экранов и других средств ИБ. Готовые решения, которые можно было бы интегрировать после минимальной доработки и настройки, к сожалению, отсутствуют. Попытки «скрестить» две системы предпринимаются, но эти работы очень дороги и трудоемки вследствие сложности реализации подобной задачи с технической точки зрения.
LAN: Какие услуги безопасности имеют наилучшие перспективы с точки зрения аутсорсинга?
Камолов: Наиболее распространены услуги аутсорсинга ИБ, предоставляемые операторами связи, как например, защита почтового трафика, антивирусная фильтрация, защита от атак и т. д. Такие услуги можно назвать аутсорсингом
с натяжкой. Полноценный аутсорсинг ИБ встречается крайне редко и только как часть комплексного аутсорсинга ИБ службы заказчика. Связано это с тем, что заказчики, как правило, не готовы доверять функции по построению системы ИБ сторонним организациям. Так что пока рынок аутсорсинга в России не так развит, как в западных странах.
LAN: Как сказывается распространение технологий виртуализации на подходах к организации информационной безопасности?
Камолов: Я бы оценивал эту проблему не с технической точки зрения, а применительно к бизнесу. Если виртуализацию рассматривать как оказание бизнес-услуги, когда компания предоставляет сторонним организациям сервисы на базе собственного ЦОД, то здесь проблемы безопасности совсем не решены и остаются достаточно острыми. Имеющиеся программные средства позволяют обеспечить разграничение доступа к виртуальным машинам, управление ими, предотвращение вмешательства в их функционирование со стороны других ВМ. Да и сами производители продуктов виртуализации закладывают в свои решения механизмы безопасности, в том числе авторизацию, выделение полномочий и т. д. Но при этом открытым остается вопрос принадлежности физического сервера, на котором функционирует виртуальная машина, поскольку при наличии физического доступа к устройству можно преодолеть любую систему ИБ.
LAN: Закон о персональных данных, хоть и отложен, но ненадолго. Не окажется ли так, что необходимость срочного принятия мер станет причиной формального подхода к его исполнению, когда необходимые средства ИБ будут реализовывать «для галочки»?
Камолов: Я разделяю ваши опасения. Сам по себе закон, даже с учетом принятых поправок, обусловливает формальный подход к постановке и решению проблемы. Исходя из положений закона, предполагается, что персональные данные десяти тысяч пенсионеров намного ценнее персональной информации какого-нибудь олигарха. Грань, за которой количество переходит в качество, очень условна и неоднозначна. Однако с точки зрения логики и бизнеса эта ситуация абсурдна. И такой механический подход с насаждением каких-то категорий и классов представляется недостаточно продуманным. Поскольку компании не ощущают потребности в выполнении этого закона, они будут пытаться найти наименее затратный для себя способ решения проблемы. В таком контексте формальный подход для компаний представляется наиболее оптимальным.
Многие вряд ли пойдут дальше проведения предварительного аудита — этого будет достаточно, чтобы показать контролирующим органам, что вопросом занимаются. Каждый год такие проверки проводиться не будут, это физически невозможно. Конечно, какие-то минимально необходимые шаги все предпримут, о чем свидетельствует огромное количество заявок на аудит о соответствии закону о ПД. При этом удовлетворить все эти заявки в полной мере невозможно, даже если все компании, специализирующиеся на ИБ, будут заниматься решением только этой проблемы.
Случаи утечек ПД и разглашения критически важной информации имеются, но, как правило, компаниям проще договориться с пострадавшим сотрудником или клиентом, чем коренным образом изменить свою информационную систему для удовлетворения требований закона о ПД.