Вряд ли сегодня существует хоть один вид бизнеса, который может эффективно функционировать без использования информационных технологий (ИТ). Однако использование ИТ привносит с собой новый вид рисков, связанных с угрозами информационной безопасности (ИБ). Утечка конфиденциальных данных, вирусы, хакеры, спам — всех этих проблем почти невозможно избежать, так как их существование обусловлено самим применением ИТ в бизнесе. Тем не менее этими рисками можно управлять.
Уровень осознания угроз ИБ сегодня настолько высок, что соответствующие меры защиты закладываются в проект создания ИС с самого начала. Если средства ИТ уже развернуты на предприятии, то процесс минимизации рисков ИБ состоит во внедрении специальных решений и создании соответствующей политики ИБ. Как бы то ни было, ИС компании в какой-то момент времени принимает вид, наиболее оптимальный для защиты от угроз ИБ.
К сожалению, после этого многие профессионалы в сфере ИБ умывают руки. Однако корпоративная ИС представляет собой постоянно меняющуюся структуру, четко реагирующую на изменения бизнес-процессов. Эволюция самой организации тут же отражается на ИС, в которой расширяется спектр решаемых задач, функций и сервисов. В ходе этих изменений часто теряется нить ИБ.
Между тем она должна пронизывать проект не только с самого начала, но и сопровождать все без исключения этапы модернизации ИТ-инфраструктуры. В противном случае в ИС появляются бреши, а соответствующие риски ИБ настолько возрастают, что перекрывают все выгоды от использования ИТ вообще. Нелишним будет добавить, что некоторые угрозы ИБ способны поставить под вопрос само выживание компании, нанести прямые колоссальные финансовые убытки или кардинальным образом нарушить непрерывность бизнес-процессов. Одной из таких угроз является кража конфиденциальных данных, которая, например, компании Chipotle обошлась в $5,6 млн, ChoicePoint — $11,4 млн, DSW Shoe Warehouse — $6,5 млн, а для CardSystems Solutions окончилась банкротством.
Таким образом, многие компании уже пришли к осознанию необходимости создания выделенной службы ИБ.
Службы информационной безопасности
Согласно исследованию компании InfoWatch и портала по ИБ SecurityLab.ru, опросивших в начале осени более 1000 респондентов, функции контроля ИС российский бизнес почти в половине случаев возлагает на выделенные отделы ИБ (46%).
Однако еще в исследовании «Внутренние ИТ-угрозы в России 2004», в ходе котор InfoWatch персонально опросила около 400 российских компании в начале 2005 года, этот показатель был очень мал (всего 16%), причем подавляющее большинство организаций из этого числа (94%) заявили, что служба ИБ была создана в течение последних двух лет. До этого защитой данных занимались отделы ИТ, лишь незначительная часть которых (23%) имела выделенного сотрудника для решения проблем ИБ. Столь бурный рост показателя однозначно указывает не просто на синхронизацию российской действительности с глобальной тенденцией, но и свидетельствует о ее опережении. Так, согласно исследованию State of Information Security Survey 2005 компании PricewaterhouseCoopers, лишь 27% иностранных респондентов подтвердили существование выделенных отделов ИБ.
Вместе с тем Россия все еще отстает от мировой практики места службы ИБ в иерархии организации. Ключевая роль информационной безопасности в ИС, а следовательно, и в поддержке бизнес-процессов в целом диктует необходимость наделения данной службы большими полномочиями, расширения сферы ее ответственности и выведения на качественно новый уровень подчиненности. Однако всего четверть респондентов назвали первое лицо компании непосредственным куратором вопросов ИБ в организации. Самую большую долю ответов набрала служба ИТ (30%), а служба общей безопасности — 18%. Еще 27% участников исследования заявили, что руководство службой ИБ делегировано другим подразделениям.
Здесь российский бизнес отстает от западного, где в 46% организаций служба ИБ подотчетна первому лицу компании и в 36% — директору по ИТ.
Хотя Россия опережает другие страны с точки зрения внедрения выделенных отделов ИБ, она все еще отстает от глобальных тенденций по месту этой службы в структуре организации. Это также подтверждает факт превалирующей подчиненности отделу ИТ. Объективно сфера ИБ произошла из ИТ, и на этапах становления специалисты по ИТ совмещали обе функции. Однако с развитием технологий, ростом роли ИТ в бизнес-процессах,усложнением корпоративных ИС и увеличением значения ИБ последняя была выделена в самостоятельную область.
По прогнозам аналитического центра компании InfoWatch, в будущем, несомненно, станет наблюдаться дальнейшая реализация тенденции переподчинения отдела ИБ первому лицу организации. Этого требует актуальная необходимость повышения роли ИБ в корпоративной ИС и усиление стратегической роли направления. Таким образом, компании смогут переключиться с тактики пожаротушения на системный подход по прогнозированию и учету рисков ИБ.
Управление изменениями информационных систем
Эффективное управление изменениями является одним из важнейших факторов стабильной работы любой ИС, вне зависимости от ее масштаба и качественных характеристик.
Для того чтобы понять, что и как защищать, необходимо знать точное состояние системы по всем параметрам. Кроме того, внедрение централизованной системы управления изменениями позволяет сделать ИС прозрачной, отчуждаемой, максимально независимой от человеческого фактора и более адаптивной к изменениям деловых целей.
Примечательно, что 46% респондентов в совместном исследовании InfoWatch и SecurityLab подтвердили, что в их организациях существует политика управлениями изменениями ИС. Этот показатель поразительно точно коррелирует с долей компаний с выделенной службой ИБ (46%). Такая связь позволяет предположить, что серьезное отношение современной организации к вопросам ИБ влечет создание выделенного подразделения, которое становится проводником реализации эффективного механизма управления изменениями. 36% респондентов заявили об отсутствии такого механизма, и 18% затруднились ответить на вопрос. В целом аналитический центр InfoWatch считает такое распределение ответов весьма обнадеживающим.
Предварительные ожидания, основанные на эмпирической оценке положения дел, были гораздо более скромными. Полученный результат свидетельствует об очень высокой подготовленности российских организаций с точки зрения учета изменений ИС, что положительно сказывается на их уровне защищенности.
Не менее важный вопрос, напрямую влияющий на эффективность политики управления изменениями, связан с вовлеченностью подразделений в процесс принятия решений и распределением их ролей. Идеальная система командной работы отделов заключается в четком определении зон ответственности, функций и регламента взаимодействия.
Исследование показало, что почти в 2/3 случаев (69%) в этот процесс вовлечена служба ИТ. Со значительным отставанием далее следуют служба ИБ (31%), совет директоров (27%) и HR-служба (5%). 20% опрошенных заявили о причастности других подразделений, и только в 7% организаций в управлении изменениями ИС участвуют все перечисленные службы.
Полученные данные свидетельствуют о том, что российские организации находятся на начальном этапе реализации эффективной системы управления изменениями. Этот процесс должен обязательно включать подразделение-владельца конкретного информационного ресурса или сервиса, службы ИТ и ИБ. Идеальная схема взаимодействия, формализованная в международном стандарте ISO 17799, подразумевает, что владелец ресурса инициирует изменения, служба ИТ разрабатывает план реализации и после утверждения отделом ИБ претворяет их в жизнь. В то же время глобальные, стратегические изменения ИС должны также проходить согласование на самом высшем уровне — совета директоров или первого лица организации.
В российской действительности наблюдается несогласованность действий подразделений и довольно низкая вовлеченность специалистов по ИБ.
Результаты опроса наглядно показывают, что 62% российских организаций применяют технические средства и 57% организационные меры.
Более детальное изучение ответов показало, что в таком многовариантном вопросе респонденты этих групп почти полностью пересекаются. Следовательно, организации комплексно подходят к проблеме реализации управления изменениями — внедрение проходят одновременно обе составляющие.
Другим важным аспектом, характеризующим эффективность управления изменениями корпоративной ИС, является порядок составления и приема заявок. По сути, заявки инициируют изменения, а от их правильной обработки и контроля над исполнением зависит стабильность работы ИТ-инфраструктуры как с точки зрения соответствия бизнес-процессам, так и ИБ организации в целом. Данные исследования показывают, что письменная форма составления заявок закреплена в более чем половине российских организаций: 35% респондентов подтвердили наличие готовых шаблонов и правил составления, 21% ограничивается направлением формального письма в свободной форме.
Более глубокое изучение вопроса выявило, что в этих компаниях заявки централизованно принимаются владельцами ресурсов (45%) или же пересылаются в общую систему документооборота (11%). Эти результаты еще раз подтверждают, что свыше половины российских организаций понимают важность учета изменений и уже внедрили систему обработки заявок.
Тенденции
Приведенные выше данные оказались намного более перспективными, чем можно было предположить априори. Российские организации не только начали процесс внедрения правильных процедур в области ИБ и управления изменениями ИС, но и по некоторым параметрам даже обогнали общемировой уровень. Прежде всего это относится к созданию выделенных служб ИБ, ответственных за разработку и реализацию политики защиты информационных ресурсов.
Вместе с тем наблюдается и некоторый дисбаланс в этом направлении. В частности, место службы ИБ в структуре организации, распределение ролей в процессе принятия решений, взаимодействие подразделений. Также оставляет желать лучшего распространение технических и организационных средств управления изменениями и создание регламентов подачи и обработок заявок на изменения. Тем более что компаниям уже пора задуматься о следующем шаге — сращивании систем управления и контроля в единый механизм.
Вместе с тем в целом положение дел можно охарактеризовать положительно.
Выявленные тенденции свидетельствуют, что в краткосрочной перспективе Россия преодолеет эти препятствия и окажется в авангарде глобального мейнстрима. Уже сейчас можно сказать, что отечественные организации гораздо более устойчивы по отношению к враждебному сетевому окружению. Это подтверждают данные распространения вредоносныхпрограмм и ущерб от хакерских атак. Однако хаос и незнание состояния собственной ИС представляет собой не меньшую угрозу.
Реализация недостающих мер позволит эффективнее бороться с внутренними угрозами (в частности, хищением конфиденциальной информации), а также системно подходить к прогнозированию и проактивной защите.
Начать дискуссию