В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
В первую очередь, попробуем разобраться, действительно ли отраслевые ИБ-стандарты диктуют правила игры или же они вторичны, и рынок в сфере оказания услуг и внедрения средств информбезопасности прекрасно чувствует себя и без обязательной необходимости для компаний приведения к "комплайнсу" и его последующего поддержания.
Риски ИБ в настоящее время существенны, и, как правило, их реализация приводит компании к прямым потерям, иными словами - к утрате денежных средств. Косвенные потери в виде снижения репутационной составляющей имиджа компании также имеют место быть в случае реализации ИБ-риска. Что делает компания в случае реализации ИБ-риска, который привел к существенным для нее потерям? Конечно, она "тушит пожар": проводит мероприятия, по факту реализации которых вероятность повторения произошедшего будет активно стремиться к нулю. Сначала проводится расследование произошедшего инцидента с целью выявления незащищенной области, или, иными словами, уязвимости. Есть два основных способа сделать это: своими силами или же с привлечением контрагентов. С учетом того, что эксперты подобного уровня достаточно дороги как специалисты, и немногие компании держат таких людей в штате, обычно привлекаются внешние эксперты из компаний-контрагентов. Проведение внешней экспертизы - это стандартная практика для большинства компаний. После того, как выявлена уязвимость, установлены способы ее реализации, необходимо проведение работ по ее устранению и повышению уровня ИБ в целом. Этот этап в большинстве случаев реализуется с привлечением вендоров, интеграторов и консалтеров ИБ-области. После выполнения работ по внедрению тех или иных технических средств и процессов в области ИБ хорошей практикой считается проведение финального аудита, в который обязательно включаются так называемые пентесты – тестирования на проникновение. К ним также чаще всего привлекаются аудиторы, работающие на рынке ИБ. Таким образом, в рассмотренном кейсе участники рынка услуг ИБ без работы и, соответственно, заработка не остаются.
Следующий фактор, оказывающий влияние на рынок информационной безопасности, – это активный переход от "бумажной" безопасности к реальной. Все большее число компаний начинает заботиться о своей репутации и имидже, в том числе и как безопасной компании, которой клиенты могут доверить свои денежные средства, информацию и данные, обслуживание своих сервисов и так далее. Отсюда – добровольное стремление реально соответствовать "лучшим практикам" мировых и отечественных ИБ-стандартов. Как следствие – огромные проекты в сфере ИБ, проведение регулярных аудитов, привлечение лучших консультантов данной области. Во многих компаниях разрабатываются так называемые стратегии ИБ с многолетними "дорожными картами" их реализации. Подобные проекты очень положительно влияют на рынок ИБ. Но есть одно "но" - они возникают, как правило, в крупных компаниях или же там, где уровень осознания руководством важности вопросов информационной безопасности и соответствующих рисков довольно высок. Одной из основных проблем обоснования подобных проектов является то, что информационная безопасность в компаниях монетизируется, главным образом, только за счет уменьшения возможных потерь по факту предотвращения реализации тех или иных угроз (снижения рисков) и фактической прибыли не приносит. А риски, в свою очередь, могут как реализоваться, так и нет: подобные рассуждения часто являются стоп-фактором для развития направления ИБ в компании. Таким образом, рынок информационной безопасности условно делится на две части: к одной можно отнести компании, которые осознают необходимость развития у себя ИБ-области, к другой – те, которые еще к этому не пришли. Справедливости ради, следует отметить, что с каждым годом первых становится все больше.
Требования законодательства РФ и обязательных отраслевых стандартов также можно назвать драйвером активного развития рынка ИБ. В последних версиях данных стандартов все чаще речь идет о реальной информационной безопасности: создании и поддержании необходимых процессов и процедур, внедрении технологических решений и комплексных платформ, регулярном проведении аудитов и оценки рисков. Для ряда компаний появление подобных требований является призывом к действию – "комплайнс" необходимо обеспечивать, особенно когда речь идет о законодательстве и регуляторах. Но при этом всем хорошо известный подход многих компаний – "написан документ – следовательно, есть процесс" – также имеет место быть, хотя и постепенно изживает сам себя. Рассмотрим, к примеру, требования обеспечения ИБ по 382-П (Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств): проводимые Банком России проверки выполнения данного положения показали, что наличие всего лишь документа в качестве подтверждения соответствия тому или иному требованию не позволяет компании считать это требование у себя выполняемым. Помимо этого, должен быть реализован соответствующий процесс: становится обязательным сбор свидетельств его фактической реализации и т.д. При отсутствии подобных данных общие результаты проведенной оценки соответствия требованиям 382-П (так называемая самооценка, или внутренний аудит на соответствие требованиям Положения 382-П) ставятся под сомнение со всеми вытекающими из этого последствиями. Аналогич ным образом обстоит дело и со стандартом СТО БР ИББС (Стандарт Банка России по информационной безопасности). Если продолжить тему законодательства в рассматриваемой области, то закон 152-ФЗ "О персональных данных" с его постоянными изменениями до сих пор представляет собой хорошее поле для оказания консалтинговых услуг и реализации масштабных проектов. Например, в настоящий момент довольно актуальны проекты, связанные с запретом хранения персональных данных граждан России в зарубежных ЦОДах.
Еще один фактор развития рынка – проведение в компаниях добровольных сертификаций, например по популярным сейчас стандартам PCI DSS или ISO 27001. Цели получения данных сертификаций могут отличаться для разных компаний. Одни считают необходимым наличие самого сертификата – "бумажки", которая позволяет реализовывать новые проекты и повышает имиджевую составляющую компании на рынке. В других случаях это связано с пониманием компанией всех требований, рисков и потребностью в реальном соответствии им. В результате это приводит к возникновению крупных проектов по приведению инфраструктуры организации в соответствие нормативам, последующему аудиту и подтверждениям статуса лицензиата.
При этом стандарты и "лучшие практики" ИБ, создаваемые по прецедентным моделям, всегда несколько отстают от текущей действительности. Во многих компаниях, где риски ИБ регулярно оценивают и снижают теми или иными способами, потребность в проектах ИБ по факту выхода новой версии стандарта или даже просто нового стандарта практически отсутствует: все уже и так реализовано.
Таким образом, наличие и развитие стандартов в области ИБ диктует условия прежде всего для компаний с невысоким или средним уровнем зрелости ИБ и помогает поднимать состояние защищенности в целом по отраслям до определенного уровня, так называемого "среднего показателя". Рассмотрим, к примеру, базовый уровень обеспечения ИБ: такие технические средства защиты, как антивирусные продукты или антиспам-системы, уже давно внедрены в подавляющем большинстве компаний. Современные версии наиболее популярных стандартов требуют от компаний наличие процессов контроля утечек информации, антифрод-процессов, полного контроля событий ИБ в собственной инфраструктуре и своевременного выявления инцидентов и реагирования на них. Это новый, более зрелый уровень, и компании постепенно будут до него "подтягиваться", вынужденно или же осознанно, с пониманием всех сопутствующих рисков.
Подводя итог, можно говорить о том, что конъюнктура рынка ИБ сегодня зависит как от существующих и возникающих в данной области рисков, их критичности и масштабности, так и от необходимости соблюдения требований и стандартов ИБ большим числом компаний.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2015