Павел Мельников: «Продукты для оценки защищенности информационных систем должны получать оперативные данные из средств защиты, системных журналов, корпоративных приложений и с бумажных носителей» |
Связано это с тем, что защита лишь потребляет ресурсы, но практически не приносит прибыли. Поэтому сотрудники этого подразделения вынуждены каждый раз объяснять, что деньги, потраченные на них, работают должным образом и защищают корпоративную инфраструктуру от потерь.
Для доказательства эффективности работы службы информационной безопасности предлагается использовать различные показатели, которые позволили бы определить, насколько качественно она исполняет свои обязанности. О возможных показателях или метриках рассказал на круглом столе Александр Бондаренко, директор по развитию компании Leta. По его словам, для оценки можно использовать метрики, которые предлагаются в различных стандартах безопасности и управления. Один из таких стандартов — ISO/IEC 27004, который как раз и отражает идеологию метрик информационной безопасности. В нем определены как базовые метрики, которые можно просто измерять, так и производные, являющиеся комбинацией нескольких других. Из базовых и производных метрик собираются так называемые индикаторы, по которым можно судить о состоянии защищенности компании. Аналогичная идеология измерения эффективности заложена и в банковском стандарте COBIT 5, и в требованиях Банка России по защите платежных систем (СТО БР ИББС).
Метрики и индикаторы можно использовать не только для оправдания своей деятельности, но и для оперативного управления безопасностью, для этого стоит воспользоваться метриками защищенности, основанными на данных из существующих систем защиты. К сожалению, нет универсального инструмента для автоматизации оперативного сбора и анализа подобных данных: в каждом защитном продукте или у каждого производителя средств защиты есть собственные панели управления, однако определить для них внешние метрики, которые позволяли бы оперативно контролировать состояние защищенности не только инфраструктуры, но и самих корпоративных приложений, сложно. Есть более развитые и дорогие системы управления событиями информационной безопасности (Security Information and Event Management, SIEM), а также продукты для управления риском и подготовки отчетов, однако они, как правило, тяжелы в настройке и сопровождении, поэтому оправданны только для крупных информационных систем.
В то же время требования российских регуляторов, международных платежных систем, аудиторов, да и самого рынка относятся практически ко всем компаниям, которые нуждаются в простых и легко настраиваемых инструментах контроля защищенности информационной системы. По словам Павла Мельникова, директора по развитию компании Pointlane, необходимость в получении сведений о работе систем информационной безопасности возникает также в случае проведения внутреннего аудита, по запросу головной организации в соответствии с законом, для сокращения расходов и их контроля, а также по желанию самих сотрудников отдела инфомационной безопасности. Поэтому продукты для оценки защищенности должны получать оперативные данные из средств защиты, системных журналов, корпоративных приложений и с бумажных носителей. Такие системы должны показывать, насколько эффективно ИТ-служба проводит установку обновлений, осуществляет управление правами доступа пользователей, реагирует на инциденты и реализует другие функции оперативного обслуживания средств защиты. В большинстве случаев сотрудникам отдела информационной безопасности приходится все делать с помощью офисных приложений, не используя средств автоматизации для получения сведений напрямую из корпоративных систем и баз данных. Именно поэтому определить эффективность работы служб безопасности бывает очень сложно, а уж управлять ею удается только немногим компаниям.