Информационная безопасность перерастает в безопасность бизнес-процессов

13.11.2008

Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет», рассказал CNews о своей точке зрения на процессы, происходящие на рынке ИБ России.

CNews: Много говорится о том, что наступает новый этап в ИБ: переход от инфраструктурных решений к обеспечению безопасности бизнеса. Согласны ли вы с этим?

Игорь Ляпунов: Да, в определенном смысле, согласен. Но необходимо пояснить: рынок инфраструктурных решений в области информационной безопасности не исчезает и не сокращается, он показывает стабильный рост. Антивирусы, межсетевые экраны, системы предотвращения атак все также востребованы.

Что меняется, и меняется достаточно быстро, так это постановка задач безопасности, определение приоритетов, подход к реализации проектов. Например, наши флагманские направления, такие как DLP или системы борьбы с внутренним мошенничеством, в технических вопросах опираются на традиционные решения. Это – и управление доступом, и мониторинг операций, и контроль конфигураций.

Сейчас информационная безопасность из защиты конкретных сетей, серверов, информационных ресурсов, превращается в безопасность бизнес-процессов, поддерживаемых информационными технологиями. А это уже неразрывно связано с безопасностью бизнеса, с задачами, решаемыми в рамках достижения бизнес-целей компаний.

CNews: Некоторые отечественные компании готовятся к одновременной сертификации по серии процессных стандартов ISO 27001, 20000, 14000, 9000 и т.д. Как вы считаете, почему?

Игорь Ляпунов: На мой взгляд, это достаточно логичный сценарий – все стандарты серий 27000, 9000, 20000, 14000, 18000 являются процессно-ориентированными и так или иначе между собой гармонизированы. Фактически, они образуют интегрированную систему менеджмента. Для организаций, идущих по этому пути, это выгодно и дает серьезные преимущества.

Но в процессах сертификации любых систем менеджмента есть определенные подводные камни. И, в первую очередь, это высокая вероятность оставить систему менеджмента «на бумаге». В процессе подготовки к сертификации готовятся регламенты, положения, срочно выстраиваются какие-то организационные конструкции, процессы, которые предъявляются аудиторам. В результате — компания получает сертификат, потом ажиотаж стихает, и жизнь организации возвращается в старое русло.

По опыту наших проектов по построению систем менеджмента, подготовки к сертификации наших заказчиков, могу сказать, что часто забываемый этап внедрения процессов в организации – самый трудоемкий и долгий. Шаг от «бумажного» процесса, необходимого для сертификации, к реально действующему процессу – очень сложен. Для него необходим принципиально иной уровень зрелости. Многих заказчиков мы проводили через этот этап в течение нескольких месяцев или даже лет, постепенно превращая формальные процессы в «боевые», приносящие реальную отдачу бизнесу.

CNews: По вашему мнению, насколько сейчас перекликаются понятия «информационная безопасности» и «непрерывность бизнеса»?

Игорь Ляпунов: До недавних пор задачи обеспечения безопасности, непрерывности ИТ-сервисов и непрерывности бизнеса находились в разных плоскостях. Это были разные области и разные зоны ответственности внутри компаний.

Сейчас, я считаю, они сближаются. И достаточно быстро. Ведь в их основе лежит понимание все тех же бизнес-рисков, управление ими, минимизация до приемлемого уровня и т.д. Например, для оператора связи совершенно все равно по какой причине произошел сбой на опорной сети, не предоставляется сервис клиентам или почему недоступна информационная система – из-за сетевой атаки или пожара в серверной. Важна адекватная, быстрая реакция и скоординированные действия, направленные на восстановление бизнес-процессов организации.

CNews: Как, на ваш взгляд, можно оценить уровень возврата инвестиций в безопасность? Какие показатели сейчас приемлемы для бизнеса?

Игорь Ляпунов: Если говорить о возврате инвестиций в безопасность, расчете ROI, то мы приходим к сложной и противоречивой теме. Посчитать ROI от внедрения, например, межсетевого экрана, антивируса, системы обнаружения атак или какого-то другого технического решения, объективно невозможно, а если это и делается, то это большое лукавство.

Как таковой, возврат инвестиций возможен только на уровне решения бизнес-задач. Это то, о чем говорилось выше. Только когда решение направлено на устранение или сокращение бизнес-рисков, возможен конкретный расчет.

И тут для каждого направления показатели свои. Например, в проектах внедрения систем борьбы с мошенничеством для операторов связи период возврата инвестиций меньше года. В аналогичных системах, но для кредитно-финансовой сферы по различным видам мошенничества – от года до трех, а для решений по управлению доступом – порядка двух лет.

CNews: По вашему опыту, сильно ли отличается построение системы управления ИБ (СУИБ) в разных вертикальных рынках - например, в телекоме и нефтегазе?

Игорь Ляпунов: Да, мы подготовили к сертификации по ISO 27001 порядка десяти наших заказчиков, например, страховую компанию РОСНО. Сейчас у нас идет очень большой проект по построению системы управления безопасностью и ее сертификации в одном международном банке.

Если пытаться вывести общее правило или «принцип построения безопасности» для всех организаций, то, здесь я окажусь неоригинален: любые решения должны идти от анализа рисков. И чем этот анализ будет достовернее, чем вернее будет определен тренд, тем эффективнее будут инвестиции в информационную безопасность.

А вообще, каждая страховая компания, каждый банк или оператор связи уникален, любой из них находится на своей ступени развития и зрелости, испытывает те или иные проблемы, требующие скорейшего разрешения. Методология построения СУИБ является одинаковой, но практическое воплощение очень индивидуально, а подчас бывает неожиданным и заранее непредсказуемым.

CNews: Отмечается все более глубокая конвергенция ИБ со средствами технической безопасности: видеонаблюдением, СКУД и т.д. Каков, на ваш взгляд, вклад этого сегмента в бизнес современного среднестатистического интегратора?

Игорь Ляпунов: Все-таки объектовая безопасность — это отдельный рынок, со своими игроками. Если у интегратора и есть подразделение, занимающееся объектовой безопасностью, то оно, как правило, отделено от информационной безопасности. Решения же, лежащие на стыке, интересны и становятся востребованными, но с точки зрения бизнеса – вклад пока очень скромный.

CNews: Какие сегменты российского бизнеса вам наиболее интересны? Что вы можете предложить каждой группе?

Игорь Ляпунов: Традиционно, у нас всегда были сильные позиции в нефтегазовом секторе, промышленности и в государственных организациях. Также мы активно работаем с кредитно-финансовыми организациями и телекоммуникационными компаниями. Сейчас наша компания активно наращивает компетенции на этих рынках и расширяет портфель решений.

При этом для каждого из сегментов рынка предлагаются специализированные отраслевые решения. Так, например, для кредитно-финансовых организаций у нас есть услуги по управлению операционными рисками, системам борьбы с мошенничеством. В начале года получен статус Qualified Security Assessor, определенный стандартом PCI DSS. Сейчас мы реализуем проекты по аудиту целого ряда банков на соответствие PCI DSS и приводим их в соответствие с требованиями этого стандарта.

В начале года получен статус Qualified Security Assessor, определенный стандартом PCI DSS. Сейчас мы реализуем проекты по аудиту некоторых банков на соответствие PCI DSS и приводим их в соответствие с требованиями этого стандарта.

Для операторов связи наша компания предлагает специализированные OSS/BSS решения, связанные с безопасностью бизнеса, а также системы защиты для технологических сетей. Из решений, диктуемых регуляторами рынка, активно развивается направление по защите персональных данных.

CNews: Продолжаете ли вы развивать свои собственные продукты – ПО и ПАК?

Игорь Ляпунов: Да, наши разработки Z2 и Тропа сейчас активно развиваются. Это специализированные нишевые решения, которые востребованы целым рядом крупных государственных заказчиков. А линейка продуктов Дозор-Джет™ – сильный игрок рынка DLP. Сейчас мы выпустили еще одно решение для контроля за веб-почтой.

CNews: Не могли бы вы поделиться планами компании на будущее?

Игорь Ляпунов: Фокус нашего развития – это решения в области безопасности бизнеса, процессно-ориентированные решения. В этом году нами заложен серьезный фундамент для быстрого роста новых направлений, вывода на рынок интересных и востребованных услуг. Из наиболее перспективных решений я бы выделил системы управления операционными рисками, продукты для борьбы с мошенничеством, интегрированные системы управления доступом, а также решения класса GRC (Governance, Risk, Compliance).

Сейчас в Центре информационной безопасности нашей компании работает более 120 человек. В этом году мы провели целый ряд организационных изменений, которые были направлены на совершенствование и оптимизацию внутренних процессов, повышение качества наших решений и сокращение сроков реализации проектов.

CNews: Спасибо.