Искандер Конеeв: В ближайшее время ИТ-безопасность превратится из полезной опции в конкурентное преимущество

Искандер Конеeв: В ближайшее время ИТ-безопасность превратится из полезной опции в конкурентное преимущество

Своим видением ситуации, сложившейся на рынке информационной безопасности, поделился с CNews Искандер Конeев, менеджер департамента консалтинга компании "Делойт", эксперт в области ИБ.

• Сегодня много говорится о гармонизации российского и мирового законодательства в области ИБ. По вашему мнению, о чем идет речь?
• Мир становится меньше и доступнее, использование интернета расширяет возможности не только для позитивной деятельности, но и, к сожалению, для преступлений. Уже перестали быть экзотикой варианты, когда преступник, имея гражданство одной страны, физически находится в другой, при этом производит злоумышленные действия против субъекта (человека или организации), находящегося в третьей, используя информационные ресурсы (скажем, сервер), находящийся в четвертой стране. Понятно, что для успешного расследования подобного действия, поиска улик и, в конечном счете, наказания, необходимо чтобы, как минимум, эти четыре страны оценивали преступную активность одинаково.

В менее угрожающем варианте мы можем столкнуться, например, с проблемой, когда компания, имеющая офисы и работников в разных странах, должна собрать в одном месте (одной базе данных) информацию о своих сотрудниках или клиентах. Различия в требованиях по сбору, хранению или передаче персональных или схожих данных могут создать неразрешимую проблему.

Можно приводить и другие примеры, но все они сведутся к необходимости использовать одни и те же термины, понятия и принципы по которым будет организована ИБ. На наш взгляд, основная идея гармонизации законодательства должна быть направлена именно на это.

• Считаете ли вы, что Россия идет в области разработки стандартов ИБ особым путем или все же имеют место интеграционные процессы? В каких случаях должны работать свои нормативные акты, а в каких можно использовать международные?
• Видимо, в этом вопросе необходимо соблюдать разумное равновесие. Базовые принципы построения ИБ одинаковы и целесообразнее воспользоваться наработанным опытом существующих центров по разработке нормативов ИБ, чем изобретать собственный велосипед.

Между тем, по нашим наблюдениям, методы применения принципов и стандартов в России порой отличаются от тех, которые используются, скажем, на Западе. Это значит, что в прикладных вопросах, особенно там, где затрагиваются специфические отраслевые аспекты, мы должны учитывать и отражать в нормативных актах свои особенности.

В качестве примера можно привести достаточно подробную регламентацию ролей и обязанностей, которые уже давно существуют в западных компаниях. В таких условиях принцип ИБ, сформулированный даже в достаточно общем виде, чаще всего, найдет правильного ответственного субъекта. В текущих российских условиях, когда порой функции ИБ продолжают выполнять системные администраторы, обычно требуется более подробное описание и тщательная регламентация.

• Тема построения систем управления ИБ и их сертификации для российского бизнеса достаточно нова, поэтому часто слышны ссылки на "лучшие мировые практики". На ваш взгляд, что именно под этим понимается?
• На наш взгляд, следует вообще разделить понятия сертификации и "лучшей практики". В процессе сертификации или аудита ИБ обычно происходит проверка определенных параметров по довольно жесткой, но в то же время ограниченной схеме. Например, проверяется "наличие формализованной политики безопасности предприятия" или "выделенного подразделения, отвечающего за вопросы ИБ на предприятии". Понятно, что наличие этих параметров и их реальная эффективность могут различаться. То есть, если в ответ на вопрос "Есть ли у вас политика безопасности?" представитель предприятия предъявляет документ под названием "Политика безопасности", то формально он положительно отвечает на требования сертификации или аудита. Но насколько эффективна эта политика?

Вот тут приходит понятие "лучшая практика", которая описывает нам, что должно быть указано в политике, чтобы она была эффективна. Поскольку специфика работы конкретного предприятия может быть очень индивидуальна, и руководство может иметь свое видения даже очевидных понятий, "лучшие практики" носят обычно рекомендательный характер.

В этом различие между сертификацией, которая определяет "что должно быть", и лучшей практикой, которая рекомендует "как сделать эффективно".

• Есть два пути развития стандартизации — разработка отраслевых стандартов или универсальных. По вашему опыту, это взаимоисключающие подходы или нет?
• Без сомнения, это взаимодополняющие, а не взаимоисключающие подходы. Достаточно взглянуть на список ссылок или источников качественного отраслевого стандарта, и мы увидим, что множество принципов взято из универсальных стандартов.

Можно сказать так, что универсальные стандарты определяют нам области или принципы ИБ, на которые необходимо обратить внимание, а отраслевые указывают, каким образом реализуется это внимание.

Скажем, разделение безопасности на конфиденциальность, целостность и доступность — это универсальный подход, а большая или меньшая концентрация на том или ином направлении и способы реализации этого сконцентрированного внимания, в зависимости от специфики работы — это отраслевой подход.

• Многие утверждают, что риск — менеджмент и безопасность — притянутые "за уши вещи". По вашему мнению, насколько оправдана эта связка? Чем она могла бы быть полезна бизнесу?

Есть поговорка, что невозможно управлять тем, что нельзя измерить. Если не затрачивать усилия и средства на анализ информационных рисков и построение системы их снижения (чем и занимается ИБ), то угрозы, связанные с информационными технологиями будут представлять собой некий черный ящик, который время от времени будет наносить определенный ущерб предприятию. Если бизнес согласен на такое положение вещей, то можно считать эти понятия "притянутыми за уши".

Встречаются ситуации, когда бизнес готов принять существующие риски и не намерен предпринимать никаких мер для их снижения. Но как минимум, для принятия такого решения, необходимо иметь достаточную информацию о существующих рисках и возможных последствиях их реализации.

• Считаете ли вы, что Стандарт ЦБ РФ в области безопасности — это дублирование уже существующих иностранных аналогов или это одно из средств борьбы государства за независимый отечественный банковский сектор?
• Тут как раз можно вернуться к вопросу об универсальных и отраслевых стандартах. Достаточно подробно ознакомиться с содержательной частью, чтобы увидеть, что это не дублирование, а как раз расширение универсальных стандартов (тех же ISO). Что же касается роли государства, то, на наш взгляд, это нормальное стремление к сохранению устойчивой работы финансовой системы, стоящее в одном ряду с такими мероприятиями, как, скажем, система страхования вкладов.
• Сертификация по ряду стандартов предполагает проведение аудита ИБ. Насколько у нас в стране развита эта услуга? Насколько, по-вашему, высок здесь уровень конкуренции?
• Видимо, тут можно говорить, о том, что существуют консультанты и аудиторы, готовые предложить услуги по проведению аудита ИБ. Но в чистом виде эта услуга встречается пока не так часто: она, либо входит составной частью в общий аудит предприятия, либо, если речь идет только об ИБ, является одним из первых этапов построения системы управления ИБ на предприятии.

Если же сертификация станет обязательной, то, вероятно, аудит станет отдельной востребованной услугой. Но, на наш взгляд, здесь необходимо избежать ряда негативных тенденций, которые могут появиться. Первая, когда предприятия вместо построения реальной эффективной системы ИБ будут строить систему соответствия требованиям сертификации, то есть рассматривать ИБ, как одноразовое мероприятие, направленное на прохождение сертификации. Вторая, когда аудиторы вместо оценки эффективности системы будут поточным методом проверять соответствие формальным признакам.

Что касается уровня конкуренции, то, как раз хотелось бы, чтобы он был высок, и заказчики могли бы выбирать из большого количества квалифицированных профессионалов, а не быть привязанными к короткому списку назначенных аудиторов.

• Встречались ли в вашей практике факты попыток сертификации систем управления ИБ со стороны среднего и малого бизнеса?
• "Делойт" регулярно проводит среди своих текущих и потенциальных клиентов опросы по ИБ, в которые, в том числе, входят и вопросы о перспективных планах и мероприятиях. Мы видим, что многие организации стали указывать вопросы сертификации в качестве планов на ближайшие 1-3 года. Однако, это в основном крупные организации. Что касается среднего и малого бизнеса, то, во всяком случае, в России такие факты пока не встречались.
• Если говорить о перспективах развития российского рынка ИБ, то, как бы вы охарактеризовали вклад в него стремлений компаний к аудиту и стандартизации, например, по ISO 27001, PCI или SOX?
• По оценкам наших экспертов, в ближайшее время безопасность превратится из полезной опции в конкурентное преимущество. Это значит, что среди списка предприятий, предлагающих схожий набор услуг (скажем, банков), клиент будет выбирать то, которое, в том числе, обеспечит клиенту уверенность, что его денежные средства или данные будут должным образом защищены.

Поскольку сам клиент не всегда обладает продвинутыми знаниями в ИБ, ему придется доверять системам сертификации в этой области, предприятия получат стимул к прохождению сертификации. Эта цепочка приведет к тому, что все большее количество предприятий будет заинтересовано в развитии ИБ.