Вопросы безопасности являются для ИТ-директоров непрестанной головной болью. При этом проблема заключается не в новых угрозах, плохо защищенном ПО или даже новых реляторных требованиях. Зачастую становится проблемой найти общий взгляд с руководителем собственной службы безопасности.
Как показали результаты исследования, проведенного PricewaterhouseCoopers, лишь в трети компаний политика безопасности полностью соответствует бизнес-целям, а еще 46% говорят о «частичном соответствии». Но если руководство служб информационной безопасности, а также бизнес- и ИТ-подразделений не имеют общих целей, невозможно создать цельную программу управления безопасностью и рисками.
Отсутствие общих взглядов на вопросы безопасности является одной из основных причин того, что финансирование этого направления редко когда бывает достаточным. Руководителям просто не удается договориться, какие из рисков являются наиболее значимыми и требуют минимизации.
На самом деле, определение точки разумных инвестиций и обеспечения достаточной безопасности, скорее, относится к разряду интуитивных решений, чем аналитики. Достоверных данных для анализа недостаточно – хотя бы потому что никто в России не обязан раскрывать данные об утечках. Цифрам, названным аналитикам отрасли, заказчики зачастую не верят, упрекая тех в намеренном запугивании и преувеличении рисков.
Встречаются и расчеты, обосновывающие, что многие риски бизнесу легче просто принять, чем хоть как-то вкладываться в превентивную защиту от них. Например, подтвержденный масштаб потерь от утечек настолько несопоставим с общим оборотом банков, что акционерам проще не замечать таких проблем.
«Я бы немного перефразировал: на самом деле пока что определение точки достаточности инвестиций в безопасность – настолько сложная аналитическая задача, что решения зачастую приходится принимать на уровне интуиции», — признает Леонид Хлопин, директор департамента ИТ компании «АМС-Групп». Это очень сложная тема, и, наверное, самая творческая на данном этапе развития ИТ: при анализе приходится учитывать не только электронные информационные системы, но и всю информационную среду компании в целом.
Эта задача сложная и неблагодарная, но интересная. И решать ее надо именно комплексно, а не отдельными проектами, когда создаются отдельно система видеонаблюдения, контроля доступа на территорию, система безопасности информационных систем. При комплексном подходе решение экономически будет более точнее соответствовать точке баланса «затраты – эффективность».
Как подчеркивает Хлопин, можно определить несколько основных подходов к построению контролируемой информационной среды компании:
• Ранжирование информации по степени ее конфиденциальности и риска ее несанкционированного перемещения. Ранжирование возможного уровня экономических потерь в соответствии с рангом информации.
• Регламентация правил работы с информацией в соответствии с рангом. Выделение контуров безопасности «жизненного пространства» информации.
• Определение групп лиц, генерирующих, обрабатывающих, пользующихся информацией, а также лиц, обеспечивающих ее транспортировку и хранение, в соответствии с контурами.
• Локализация в пределах одного контура безопасности генерации, обработки и использования информации, относящейся к категории особо конфиденциальной. Минимизация численности персонала, работающего с данной информацией.
Расчет возможного экономического ущерба — нетривиальная задача, и, скорее всего, подход должен быть индивидуальным для каждой компании.
«Конечно, очень правильно построить с помощью специалистов модель угроз и по ней работать. В то же время, если ИТ-директор вовлечен в проблематику бизнеса, он уже понимает степень чувствительности той или иной информации для бизнеса, вероятность атак на те или иные информационные ресурсы – именно это в первую очередь принимается во внимание», — говорит Михаил Петров, директор департамента ИТ оргкомитета Сочи 2014.
Во многом способы решения проблем зависят от того, решаются ли все вопросы в рамках ИТ или выделяются в параллельную структуру, подчиняющуюся службе безопасности. И тот, и другой путь имеют свои и плюсы, и минусы. Если реализацией занимается ИТ-департамент, то исполнение и контроль находится в одних руках, и кроме как периодическими аудитами качество безопасности не проверить. Если ИТ и безопасность разделены, то клинча, как показывает практика, между этими ветками избежать не удается: соблюдение требований безопасности будет накладывать ограничения на ИТ-проекты.
«»Золотой середины», к сожалению, достичь получается далеко не всегда. Она заключается в выработке конструктивного взаимодействия между дирекциями по ИТ и ИБ», — резюмирует Хлопин. Как обычно, очень многое зависит от конкретных людей и их профессионализма.