Среди руководителей предприятий, деятельность которых связана с обеспечением безопасности бизнеса, бытует мнение, что в России рынка услуг и продуктов для информационной защиты предприятий среднего бизнеса не существует. Попробуем разобраться, так ли это.
Сначала выделим характерные черты тех организаций, которые в России традиционно относят к числу «средних». Это коммерческие компании с численностью сотрудников до 300 человек и годовым оборотом в основном до 20 млн долл. Такая организация обычно имеет один офис, хотя не исключено и наличие нескольких филиалов в регионах. Ее информационная система (ИС) насчитывает 50—300 рабочих станций и включает в себя от 3 до 20 серверов. Функциональную основу ИС составляют несколько приложений, автоматизирующих основные бизнес-процессы. Чаще всего это системы бухгалтерии, электронной почты, доступа к Internet, службы сетевой печати и хранения файлов. В последние время начали появляться «модные» системы управленческого учета, внутрикорпоративные порталы и т. п.
Практически всегда в структуре предприятия среднего бизнеса имеется ИТ-подразделение, в задачи которого входят создание, модернизация, обслуживание корпоративной ИС и поддержание ее в состоянии, адекватном потребностям бизнеса. Кроме того, очень часто в нем есть отдельные сотрудники или профессиональные команды, занимающиеся разработкой программного обеспечения и закупками ПО, компьютеров, телефонов и прочей компьютерной и сетевой техники.
Важнейшей особенностью организации среднего бизнеса является отсутствие отдельного подразделения, отвечающего за защиту информации в корпоративной сети. При этом почти всегда в штате есть сотрудники, в обязанности которых входит обеспечение физической и экономической безопасности организации. Такой персонал чаще всего составляют бывшие сотрудники правоохранительных органов и иных силовых структур, которые имеют соответствующие знания, навыки и мировоззрение.
В силу подобного распределения полномочий безопасность информации представителей среднего бизнеса традиционно остается в руках ИТ-подразделений: они отвечают и за методическую базу (определение политик), и за реализацию мер по обеспечению ИБ, и за контроль их соответствия установленным политикам. Однако в понимании «классического» ИТ-специалиста защита информации сводится к установке межсетевого экрана на границе с Internet и антивирусного ПО одного из известных российских производителей. И хорошо, если антивирус установлен на всех компьютерах, а сотрудники заботятся о регулярном обновлении антивирусных баз данных! К сожалению, эти задачи имеют для ИТ-департамента намного более низкий приоритет, чем, например, организация непрерывного доступа в Internet руководства компании.
Такое положение дел во многом связано с тем, что, за редким исключением, руководители и сотрудники ИТ-подразделений не являются профессионалами в области защиты информации. Их знаний, почерпнутых из рекламы в открытых источниках и популярных компьютерных изданий, недостаточно для создания системы комплексных мер противодействия актуальным угрозам ИБ. Это подтверждается многочисленными фактами отсутствия в подобных организациях сколько-нибудь продуманной политики безопасности, не говоря уже об ее изложении в документированном виде.
Про такие понятия, как оценка рисков и управление ими, до недавнего времени в среднем бизнесе вообще мало кто слышал, да и сейчас трудно найти ИТ-специалиста, способного точно объяснить, что это такое и зачем требуется. На самом же деле, управление рисками — мощнейший механизм, позволяющий направлять усилия именно в те области, где ситуация является наиболее острой. Более того, его использование позволяет избегать необоснованных вложений средств в обеспечение безопасности информации.
Куда уходят деньги?
По опыту компании «Информзащита», подходы к вложениям в защиту информации у компании среднего бизнеса сводятся к тезису «чем дешевле, тем лучше». Отметим, этот подход не лишен смысла, поскольку при правильном использовании и настройке средств безопасности, встроенных в операционные системы и прикладное ПО, можно создать весьма надежную и малоуязвимую ИС. Вместе с тем данные средства необходимо правильно выбрать, настроить и использовать, а такую работу может выполнить лишь профессионал в области ИБ, чьи услуги подчас весьма недешевы. Примерами такого подхода к оптимизации средств защиты могут служить использование встроенных в сетевое оборудование Cisco Systems механизмов межсетевого экранирования, инсталляция свободно распространяемых или условно бесплатных средств защиты — межсетевых экранов на основе ОС Linux, FreeBSD, Outpost Firewall и т. д.
В редких случаях финансовые средства, иногда достигающие десятков тысяч долларов, тратятся на продукты, которые по тем или иным причинам «понравились» ключевым фигурам организации. Как правило, причинами столь крупных закупок могут стать личные предпочтения ведущего ИТ-специалиста, рекламная «раскрученность» продукта либо выгодные предложения компании-продавца. Например, в одной из фирм для всех рабочих станций были закуплены средства криптографической защиты (СКЗИ) и аппаратные носители ключевой информации. И теперь на всех ее компьютерах установлены дорогие средства защиты, которыми мало кто из сотрудников пользуется, зато любой посетитель может достать из мусорных корзин выброшенные документы с конфиденциальной информацией.
В целом для инвестиций в построение систем, обеспечивающих безопасность информации компаний среднего бизнеса, характерен ряд негативных моментов. Во-первых, уровень защиты информации практически не повышается, так как соответствующие средства зачастую настраиваются и используются неграмотно (как в описанном примере). Во-вторых, при внедрении любого из этих средств руководители ИТ-подразделений и топ-менеджеры компании успокаиваются, считая, что проблем теперь не будет вообще или они окажутся незначительными. В-третьих, полностью игнорируются организационные меры, поскольку подразумевается, что технические средства решат все проблемы защиты благодаря лишь факту их присутствия. Наконец, обычно не рассматриваются несколько альтернативных вариантов решений для обеспечения безопасности информации.
Почему так происходит? Одна из главных причин — низкий уровень автоматизации представителей среднего бизнеса. Конечно, плохо, если прекратится доступ к Internet, электронной почте и сетевым принтерам. Однако пока компьютерная техника используется для облегчения работы сотрудников, а не как основное средство ведения бизнеса, это не критично — вероятный ущерб от компьютерных инцидентов вряд ли приведет предприятие к банкротству. Исключение составляют системы автоматизации бухгалтерского учета, которые почти всегда являются критически важными. А вот на Западе информационные системы, напротив, имеют жизненно важное значение для любой компании. Десятки фирм, имевших офисы в башнях-близнецах в Нью-Йорке, обанкротились после 11 сентября именно потому, что в результате страшной трагедии вся их корпоративная информация была уничтожена.
Кроме того, следует отметить низкий уровень осведомленности в вопросах защиты информации как сотрудников ИТ-подразделений, так и топ-менеджмента. Старая пословица «пока гром не грянет, мужик не перекрестится» очень точно отражает отношение к процессу обеспечения информационной безопасности. Из-за нацеленности руководителей ИТ-подразделений и топ-менеджеров на повышение эффективности бизнеса они очень слабо проявляют интерес к проблематике ИБ: защита информации не относится к разряду «чисто материальных» задач и до возникновения проблем, ведущих к финансовым потерям, ее актуальность «неочевидна».
В силу этого не оценивается адекватность существующего уровня информационной защиты возможным угрозам, отсутствуют методики и процедуры, регулирующие порядок выбора и приобретения соответствующих средств. Как правило, заказчики среднего звена не прибегают к функциональному сравнению даже свободно распространяемых средств защиты информации, а все закупки оборудования и ПО совершаются ИТ-менеджерами волюнтаристски, без анализа альтернативных вариантов с разных точек зрения.
Конкретные рекомендации
Что же делать компаниям среднего бизнеса, которым необходимо обеспечить надежную защиту важной информации без лишних затрат?
В первую очередь, в качестве руководства к действию следует принять лозунг «Кто предупрежден — тот вооружен». Сегодня предлагаются учебные курсы и программы по обеспечению безопасности информации, ориентированные на ИТ-менеджеров и руководителей высшего звена, которые позволяют им за два-пять дней получить необходимую методическую базу. Стоимость таких курсов и потраченное время с лихвой окупятся при приобретении средств защиты и построении корпоративной системы ИБ.
Вторым шагом на пути к оптимизации финансовых затрат является оценка текущего уровня защищенности корпоративной ИС. Эта работа заключается в формировании требований к приемлемому (необходимому) уровню защиты путем ответов на следующие вопросы.
- Сколько денег вы потеряете, если реализуется тот или иной сценарий взлома, выйдет из строя компьютерная система или база данных?
- От кого/чего нужно защищаться? Возможные варианты ответов: от уборщицы, которая может шваброй выключить сервер, от энергетиков, зачастую отключающих электричество в этом районе города, от конкурентов, которым очень нужна информация о вашем новом продукте, и т. п.
- Что нужно защищать? Отвечая на этот вопрос, можно перечислить определенные серверы, базы данных, отдельные документы и пр.
- Адекватна ли существующая система защиты возможным угрозам и потерям? Что требуется сделать для достижения ее необходимого уровня? На этом этапе должно выясниться, где вы «перегнули палку», защищая отдельные ресурсы, а какие области ИС остаются практически беззащитными.
- Как надо защищать систему? Иными словами, что разумнее сделать с помощью технических средств, а чему лучше обучить людей?
- Сколько стоит такая защита? Вычисленную сумму стоит сопоставить все с теми же возможными финансовыми потерями.
Данную работу можно провести и своими силами, но мы рекомендуем привлечь одного, а лучше — нескольких независимых экспертов, что позволит получить более объективные результаты. Однако следует оценивать и целесообразность привлечения внешних экспертов: стоимость их услуг может оказаться более высокой, чем возможные финансовые потери компании от информационных инцидентов.
Если выяснилось, что ущерб от атак может быть велик, то, затратив определенную сумму на дополнительную оценку и проработку стратегии защиты, удастся серьезно сэкономить при ее реализации. Самое главное — чтобы выявленные потребности были реальными, а не надуманными. На основе результатов оценки формируются задачи, которые необходимо решать с использованием средств защиты информации.
Последним шагом является выбор средств защиты и, если нужно, их поставщика. Назовем эту процедуру «мини-тендером». Она представляет собой выполнение набора простых правил, гарантирующих закупку только необходимых средств защиты по приемлемым ценам:
- в «мини-тендере» должны участвовать несколько поставщиков (не менее трех);
- важно сформировать требования к средствам защиты информации, для каждого из которых должен быть сформулирован конкретный перечень задач;
- средства защиты нужно оценивать на основе как стоимостных, так и функциональных критериев. При этом весьма желательно учитывать не только закупочную цену таких средств, но и общую стоимость владения ими (расходы на обучение, содержание обслуживающего персонала, техническую поддержку, обновления и т. д.). Кроме того, необходимо учитывать затраты на установку и настройку поставляемого оборудования и ПО, поскольку даже самое дорогое и эффективное средство защиты бесполезно без грамотной настройки;
- как известно, сейчас популярен такой метод стимулирования продаж, как «откат». Для снижения риска неэффективных финансовых затрат, причинами которых являются «откат» или другие человеческие факторы, необходимо, чтобы составлением требований и оценкой предложений занимались одни люди (например, ИТ-менеджер), а контактами с поставщиками — другие, и чтобы они не зависели друг от друга в служебных отношениях. Во избежание «откатов» процесс «мини-тендера» можно отдать на аутсорсинг компаниям, специализирующимся на вопросах информационной безопасности. Нужно лишь проследить, чтобы в списке победителей не оказалось тех продуктов, которые продают эти же фирмы.
Все эти довольно простые, но очень действенные меры реально приведут к повышению эффективности финансовых вложений в обеспечение безопасности информации и позволят избежать лишних затрат.
Максим Эмм (maxus@infosec.ru) — заместитель директора по консалтингу компании «Информзащита»