Praemonitus praemunitus1: кредо профессионалов в области информационной безопасности

О взглядах компании "ИНФОРИОН" на решение наиболее актуальных задач в области обеспечения ИТ-безопасности рассказывает ее ведущий специалист Александр Иржавский.

- Какие, на Ваш взгляд, существенные изменения произошли на рынке ИБ-услуг за последний год?

- Во-первых, несмотря на широко обсуждаемое кризисное состояние экономики, существенного провала рынка ИБ не заметно. Более того, многими  игроками с нескрываемым  оптимизмом обнародуются данные о росте числа потенциальных заказчиков как о долгосрочной тенденции в этом секторе экономики. В качестве локомотива подобного явления, несомненно, следует назвать Федеральный закон "О персональных данных" и возрастающую активность государственных регуляторов в данной сфере. Но это не единственный фактор, позволяющий говорить как минимум о неснижающемся интересе организаций и предприятий к обеспечению ИБ, а скорее - о росте озабоченности собственников сохранностью информационных активов. В период экономической нестабильности растет актуальность сбережения той информации, на которой выстраивается основной бизнес компаний, - сведений о клиентах, технологических ноу-хау, внутренних планов по оптимизации структуры производства и преодолению кризисных явлений и т.п. Вот это и подталкивает руководителей к тому, чтобы пересмотреть свои взгляды на информационную безопасность как на рядовой обеспечивающий процесс.

Еще один фактор - замораживание ресурсоемких ИТ-проектов и перераспределение средств в пользу поддержания существующей инфраструктуры на должном уровне, в том числе приведение системы обеспечения информационной безопасности в соответствие современным требованиям защиты от угроз ИБ.

Наконец, преодоление кризиса для многих компаний в таких отраслях, как, например, телеком или страхование, связано с расширением портфеля услуг, предоставляемых на базе современных информационных технологий, а их внедрение в бизнес-процессы требует одновременно и обеспечения высокого уровня защищенности информации, циркулирующей в соответствующих системах.

-  Несложно было предположить, что Вы не сможете обойти тему защиты персональных данных. "ИНФОРИОН", как компания-интегратор, имеет свою позицию по данному вопросу?

- Да, конечно. Во-первых, мы считаем, что не следует пугать операторов персональных данных ответственностью, предусмотренной законодательством за обработку ПДн, организованную не должным образом. Множество открытых дискуссий вокруг 152-ФЗ и нормативных актов регуляторов существенно повысили степень зрелости операторов в этом вопросе, и от интеграторов ждут не перечисления статей кодексов, а конкретных предложений по выполнению требований законодательства в этой сфере. Теперь все чаще перед нами ставят задачу не просто создать систему защиты персональных данных, но и оптимизировать затраты на ее реализацию, а это, согласитесь, не всегда так просто, как кажется на первый взгляд.

Во-вторых, за недосказанностью нормативно-правовых актов скрывается пространство для маневра и творчества, и использовать такие возможности, оставаясь в правовом поле, - хороший и интересный способ сэкономить для заказчика хотя бы часть средств, отпущенных на обеспечение безопасности персональных данных. Да и технические требования, изложенные в методических документах регуляторов, в большинстве своем на поверку оказались не столь заковыристыми, как это представлялось год назад. Гораздо сложнее зачастую преодолеть именно организационные трудности, например, изменить существующие бизнес-процессы заказчика таким образом, чтобы, с одной стороны, не пострадал основной вид деятельности оператора персданных, а с другой - были соблюдены требования законодательства. Поэтому единство и взаимодополнение организационной и технической составляющей является для нас важнейшим принципом построения систем защиты ПДн.

Наконец, отмечу необходимость взвешенного подхода в построении систем защиты перс-данных, который предполагает адекватность принимаемых мер по обеспечению ИБ и рациональное расходование ресурсов. Отчасти это достигается широким использованием в составе СЗПДн уже имеющихся у заказчика программно-технических средств и организационно-распорядительной документации. Все решения по организации защиты ПДн (управленческие, организационные, технические) должны носить продуманный характер и приниматься с учетом мнения различных специалистов заказчика и интегратора - руководителей, инженеров, юристов. Практика показывает, что наилучший результат достигается тогда, когда учитываются все особенности защищаемого объекта и специфика ведения бизнеса оператором персональных данных: свои тонкости есть в каждой отрасли.

Хочется также отметить интересный факт: некоторых заказчиков не устраивает состав требований, заложенных в нормативную базу по защите ПДн, и - не удивляйтесь - нас просят расширить состав механизмов ИБ, включаемых в систему защиты. В итоге создается более масштабная комплексная система обеспечения информационной безопасности (СОИБ), частью которой является СЗПДн. То есть так или иначе приходится использовать многое из портфеля наших услуг, не связанных с защитой персональных данных.

-  Расскажите кратко об этих услугах.

-  О двух из них - создании СЗПДн и комплексных СОИБ - я уже упомянул. Мы также проводим аудит ИБ, причем используем для этого свою оригинальную методику и целый пакет инструментальных средств. Наши выводы по результатам аудита - это не только констатация фактов наличия уязвимостей и недостатков, но и практические рекомендации по их устранению. Очень часто в ходе аудита достигается побочный, но весьма полезный для заказчика эффект, а именно: проявляются недостатки архитектуры обследуемых информационных систем или ИТ-инфраструктуры. Наши рекомендации помогают решить смежные проблемы, связанные, например, с производительностью сети или прикладных сервисов. Для этого используются процедуры нагрузочного тестирования, которые мы выполняем с помощью специализированного аппаратно-программного комплекса собственной разработки.

Как часть аудита ИБ или как самостоятельное мероприятие выполняем тесты на проникновение. Используем актуальные в среде злоумышленников приемы и техники, стараясь оперативно изучать их в рамках профессионального самообразования.

Востребована услуга по разработке организационно-нормативных документов, которая ведется в формате отдельного проекта в преддверии создания крупной СОИБ либо при создании нормативной основы для применения имеющихся у заказчика средств защиты (зачастую такая необходимость возникает как следствие перекоса системы безопасности в сторону технологий без учета организационных моментов).

Одна из наших специализаций - телекоммуникационная отрасль. Для операторов связи у нас есть широкий спектр решений, позволяющих не только обеспечить защиту собственной инфраструктуры, но и реализовать дополнительные виды обслуживания за счет услуг ИБ, предоставляемых клиентам.

В части разработки собственных решений помимо уже упомянутого комплекса нагрузочного тестирования нами созданы и поставляются в рамках соответствующих проектов программные продукты INFORION-SNC и INFORION-SSF, предназначенные для защиты информации, обрабатываемой в системах SAP/R3.

Самое инновационное направление в нашей деятельности - участие в НИОКР по различным аспектам информационной безопасности. В этом направлении мы успешно сотрудничаем как с государственными, так и с коммерческими организациями.

Наконец, мы готовы реализовать для наших заказчиков и отдельные частные решения по обеспечению ИБ. Например, спроектировать и развернуть защиту электронно-почтовой системы от вирусов и спама или провести расследование инцидента информационной безопасности.

-   Насколько востребованы такие частные решения?

- Небольшой, но стабильный спрос на них есть. Хотя, конечно, мы предлагаем в основном комплексные решения, залогом высокого качества которых является сотрудничество с основными поставщиками оборудования и ПО, а также тесная работа с коллегами, среди которых особо хочу отметить нашего давнего партнера - ФГУП "ЗащитаИнфоТранс". Кооперация в сотрудничестве, прежде всего, открывает новые возможности для решения задач, поставленных заказчиками, и позволяет использовать опыт всех специалистов, занятых в команде единомышленников.

-  Что бы Вы поставили во главу угла при решении всего круга задач обеспечения информационной безопасности?

- Защита информации - это в первую очередь деятельность, направленная на удовлетворение потребностей бизнеса в формировании безопасного окружения управленческих и производственных процессов. Информационная безопасность должна быть не самоцелью, не "вещью в себе", а понятным и безотказным сервисом, созданным в интересах поддержания необходимого уровня защищенности информационных активов.

Не следует забывать о единстве технологий и организационных мер. Их сбалансированность - залог управляемости всей системы обеспечения ИБ.

Думаю, что наилучшие истории успеха появляются тогда, когда защита является проактивной. Praemonitus praemunitus, предупрежден - значит вооружен. Именно защита от актуальных угроз и эшелонированность обороны на наиболее опасных направлениях обеспечат необходимую эффективность.

-   Александр, нечасто специалисты по ИБ цитируют латинские изречения...

-  Что ж (улыбается), если мудрость древних дошла до современных дней - возьмем ее на вооружение и в нашей работе!