Дорожная карта специалиста по ИБ

В первой части статьи проводится анализ решений по информационной безопасности (ИБ) с точки зрения специалиста по ИБ предприятия (банка). А также предлагается анализ решений и услуг по ИБ, доступных в Украине.

Поставщики решений на рынке информационной безопасности Ук раины
ольшинство специалистов по информационной безопасности (ИБ) наверняка посещали профильные мероприятия (семинары, конференции) и сайты компаний, которые позиционируют себя как консультанты, аудиторы и
поставщики оборудования и услуг в сфере защиты информации. Условно их можно разделить на две большие группы – иностранные компании (или их представительства) и локальные украинские компании. Это вовсе не означает,
что украинские компании занимаются только отечественными решениями в сфере ИБ. Большинство из них предлагают, в основном, зарубежные
решения по информационной безопасности. Данная классификация не говорит ни хорошо, ни плохо о той или иной компании. Отличия между отечественными и иностранными игроками заключаются лишь в подходах к реализации
проектов, уровне подготовки персонала, правовых вопросах и ценовой политике.
Довольно часто персонал украинских компаний имеет квалификацию не ниже, а иногда и выше, чем иностранные специалисты, знаком с местным законодательством и реальными проблемами заказчиков.
Ценовая политика у украинских компаний немного гибче, чем у иностранных коллег, так как последние находятся, как правило, в определенных кор-
поративных рамках в вопросах формирования цены. Вполне естественно, что и подходы к реализации проектов у украинских компаний более приближены к «боевым» условиям ведения бизнеса на Украине.
Если большинство вышеописанных различий далеко неочевидны, то основным следует считать, что все украинские компании, работающие более или менее серьезно на рынке ИБ, являются лицензиатами Государственной Службы специальной связи и защиты информации Украины (ГССЗЗИ) в сфере технической защиты информации или в области криптографической защиты информации, либо имеют лицензии на оба вида деятельности. Таким образом, одним из основных критериев при подборе компании для реализации проекта по ИБ можно считать наличие лицензии на деятельность в сфере защиты информации, выданной ГССЗЗИ Украины. Это дает определенную гарантию заказчику, что компания имеет специалистов и оборудование для проведения работ в сфере ИБ надлежащим образом.
Более корректно разделять поставщиков решений и услуг по другим признакам. А именно, по их позиционированию на рынке. Хотя достаточно сложно на сегодняшний день провести четкие границы, все же попытаемся отделить зер-
на от плевел.
Целесообразно выделить такие виды компаний в области ИБ:

• разработчики продуктов (программных и аппаратных);
• системные интеграторы решений по ИБ;
• дистрибьюторы продуктов ИБ;
• консультанты по ИБ;
• аудиторы в сфере ИБ;
• компании, предоставляющие тренинги по ИБ;
• страховые компании в сфере ИБ;
• масс- медиа и информационные ресурсы в сфере ИБ.

Каждый вид можно рассмотреть еще детальней, но верхушка айсберга примерно
такова. Еще раз необходимо подчеркнуть, что большинство компаний стараются
объединять эти функции, по-этому разделение достаточно условно.
Кроме приведенных ниже участников, на рынок воздействуют регуляторы (ГССЗЗИ Украины, НБУ, НКРС) и общественные или негосударственные объединения.
Вероятно, вы уже обратили внимание, что на диаграмме отсутствуют страховые компании. Дело в том, что на Украине отсутствует правовая база для классификации инцидентов ИБ, и нет четкого определения страхового случая по событию информационной безопасности. Страхуются лишь отдельные виды
рисков, косвенно влияющие на ИБ (стихийные бедствия и риски по качеству услуг и продуктов по ИБ). Таким образом, сейчас в Украине невозможно застраховать риски, связанные с технологическими ошибками (в том числе при реализации проектов), кибер-риски (уничтожение, искажение или повреждение данных, вклю-
чая невозможность защитить их конфиденциальность, неспособность защитить от несанкционированного доступа, использования, заражения вирусами, отказов в обслуживании и потерь прибыли). В отличие от Украины, в Европе и США такие риски страхуют и достаточно давно.
Рассмотрим каждую группу компаний более детально. Как видно из рисунка 1, большинство компаний занимается ласти ИБ (52%) и консалтингом в сфере ИБ (17%). Порядка 11% производят продукты и решения, которые впоследствии
остальные 79% (интеграторы, дистрибьюторы и консультанты) реализовывают заказчикам. Оставшиеся 10 % занимаются обучением специалистов, рекламой в сфере ИБ и аудитом информационных систем. Очевидно, что производители продуктов являются одними из основных столпов индустрии. В основной массе это представительства российских и других зарубежных компаний, которые производят антивирусное программное обеспечение (ПО), средства защиты от
несанкционированного доступа (НСД), средства криптографической защиты, ПО и оборудование для защиты периметра сети, оборудование для защиты от утечек конфиденциальной информации и др.
Постараемся описать, чем занимается системный интегратор. В идеале компанияинтегратор анализирует ИТ-инфраструктуру заказчика и предлагает комплекс технических решений по выявленным брешам в системе безопасности.
Далее специалисты интегратора подбирают набор оборудования и/или ПО для решения задач по ИБ, устанавливают и настраивают его для работы в конкретной среде. Как правило, персонал заказчика обучается приемам эксплуатации
оборудования и ПО и реакции на проблемы.
Консультанты по информационной безопасности анализируют бизнес-процессы
заказчика и взаимодействие систем в инфраструктуре, помогают организовать процессы управления ИБ и предлагают наиболее оптимальные варианты внедрения тех или иных решений, предложенных системным интегратором. Кроме этого, консультанты могут участвовать при внедрении продуктов и решений по ИБ в качестве экспертов и необходимы для оптимизации структуры
ИТ и ИБ под реальные бизнес-требования заказчика.
Дистрибьюторы продуктов и решений в идеале являются связующим звеном между разработчиками и интеграторами. Их основная задача - поддержка системного интегратора, в том числе консультантами при внедрении проекта. Иногда консалтинговые компании также пользуются услугами дистрибьюторов для непосредственной продажи заказчику ПО или оборудования, которое необходимо для реализации проекта по ИБ. Но в идеальной ситуации дистрибьюторы не взаимодействуют напрямую с заказчиком, они являются
своего рода универсальным складом для интеграторов и консультантов, которые в силу специфики того или иного проекта не могут содержать на складе все варианты дорогостоящего оборудования или ПО.
Компании, занимающиеся тренингами по ИБ, рассматривают их как дополнительные услуги к основному пакету (обычно тренинги по ИТ, консалтинг в сфере ИТ и т.п.). В основном полезны тренинги по организации отдельных аспектов системы управления ИБ или связанные с конфигурацией безопасности каких-то базовых платформ (операционных систем или систем управления
базами данных). Тренинги по конкретным продуктам желательно все-таки получать из первых рук, т.е. компаний интеграторов.
Аудиторские компании по ИБ в основном представлены представителями крупных зарубежных аудиторов с известными именами (так называемая Big4) несколькими украинскими компаниями. Большинство интеграторов и консалтинговых компаний также предлагают услуги аудита ИБ, но объективность такого аудита вызывает закономерные вопросы. Как правило, аудит ИБ специалисты рассматривают
только под углом этического хакинга (тестов на проникновение в систему) или сканирования на уязвимости. Однако это представление в корне неверно. Под аудитом ИБ понимается анализ текущего состояния бизнес-процессов компании, с точки зрения их соответствия задекларированным правилам, безопасности, порядку выполнения, соответствия законодательным требованиям и полезности для предприятия. При анализе рассматриваются ИТ-системы (ПО и ресурсы),
вовлеченные в процесс. Аудит ИТ (ИБ) опирается на процесс управления рисками, т.е. информационный актив с более высоким уровнем риска проверяется более интенсивно и чаще, чем информационные активы с меньшими рисками. В результате аудита менеджмент предприятия получает текущую картину по ИБ с рекомендациями по улучшению ситуации.
Масс-медиа и информационные ресурсы - естественный сегмент для рекламы на рынке ИБ. Обычно данный сегмент представлен специализированными периодическими изданиями (журналы, бюллетени) и компаниями, фокусирующимися на PR (организуют выставки, конференции и семинары).
Таким образом, приблизительная картина к кому и в каких случаях вам следует обращаться налицо. Если точно знаете, что вам нужно (например, 100 антивирусов на рабочие станции) – к дистрибьютору. Знаете приблизительно – к консультантам. Уже знаете и готовы внедрять комплексное решение – к системным интеграторам. Но весьма желательно перед началом проекта и после его окончания провести аудит и получить независимую оценку текущей ситуации. Перед внедрением проекта это необходимо для того, чтобы сравнить ваши
ожидания, заключение аудиторов и коммерческое предложение интеграторов. Кроме того, есть возможность проводить аудит аутсорсинговых компаний на предмет соблюдения ими обязательств перед вами, в том числе по защите вашей
коммерческой тайны.
Что предлагают поставщики решений?
Постараемся нарисовать карту услуг и решений по ИБ почти на все случаи жизни (или жизненного цикла вашей информационной системы). И понять, что и на каком этапе нам может понадобиться, а что нет и когда прибегать к услугам тех
или иных компаний, специализирующихся на ИБ.
С точки зрения ИТ инфраструктуры компании можно выделить несколько аспектов ИБ, требующих внимания со стороны специалиста по безопасности
Обратите внимание, что все остальные области, находящиеся в сфере внимания
специалиста по ИБ, опираются на организационные вопросы по управлению ИТ-
инфраструктурой в целом.
Большинство задач помогут решить консультанты в сфере ИБ. Обладая необходимыми методиками и специалистами, они могут помочь в течение месяца (в зависимости от размеров предприятия) решить большинство вопросов по организации и управлению информационными активами. Однако необходимо подчеркнуть, что без поддержки менеджмента самого предприятия, эти меры
будут носить формальный характер. Поэтому нужно обязательно привлечь менеджеров и владельцев предприятия к данному вопросу. Это в дальнейшем
поможет достичь взаимопонимания при внедрении проектов по ИБ в других областях. Основные решения и продукты по управлению доступом, обеспечению безопасности серверных платформ, надежности инфраструктуры, и мониторинга безопасности можно разбить на группы, как показано на рисунке 3. Частично, некоторые решения помогают решить вопросы по обеспечению непрерывности
бизнеса.
Итак, вне зоны нашего внимания остались продукты по управлению конфигурациями и кризисными ситуациями. Очевидно, что большинство продуктов и решений требуют дополнительных затрат на их установку и наладку. Кроме того, большинство из них требуют периодического обновления лицензии (обычно 1 раз в год), стоимость которой составляет от 15 до 20 % стоимости
продукта (иногда встречается ибольше). Также их цена учитывает количество устройств, подлежащих защите. Подчеркнем, что приступать к закупке подобного оборудования или ПО стоит лишь после следующих мероприятий:

• оценки рисков для информационных активов (программных и аппаратных);
• проведения внутреннего аудита ИТ-инфраструктуры;
• расчета показателей возврата инвестиций в ИБ;
• обязательно заручившись поддержкой менеджмента и владельцев информаци онных активов.

В первом и втором вопросах вам помогут консультанты по ИБ или можете выполнить данные мероприятия самостоятельно. Для расчета показателей возврата инвестиций в ИБ требуется собрать несколько коммерческих предложений от системных интеграторов, чтобы представлять порядок
стоимости системы и расходы на ее внедрение. Отдельные консалтинговые компании помогут вам также рассчитать параметры возврата инвестиций
(Return On Security Investments - ROSI), но они будут бессильны, если отсутствует оценка рисков для объектов защиты. Поэтому начинать следует именно с нее.
По требованиям международного стандарта по ИБ ISO 27001 все мероприятия по организации системы управления информационной безопасностью опираются на оценку рисков критических систем и приложений.
Попробуем составить карту консультационных услуг в сфере ИБ. Основными услугами, как правило, являются:

• услуги по организации процесса анализа рисков ИТ;
• услуги по организации систем управления ИБ;
• аудит состояния ИБ приложений, систем или инфраструктуры ИТ в целом;
• аудит аутсорсинговых компаний;
• услуги по внедрению и поддержке нормативных требований регуляторов или государства;
• услуги по организации непрерывности бизнеса;
• услуги по анализу защищенности информационных систем (не путать с аудитом состояния!);
• услуги по повышению осведомленности пользователей в вопросах ИБ;
• расчет показателей эффективности и возврата инвестиций в ИБ;
• обучение менеджеров и специалистов по вопросам ИБ.

Многие консультанты предлагают пакеты услуг, иногда включая вопросы аудита. В этом нет ничего плохого, если только далее консалтинговая компания не заинтересована продать вам определенный продукт или решение по ИБ.
В этом случае, будьте уверены, такой аудит будет выглядеть как «поход на рыбалку» (в обиходе западных коллег «fishing expeditions») и основная его задача – найти что-нибудь, что неправильно. Следует обращать внимание на резюме специалистов, которые проводят аудит или консалтинг. Желательно, чтобы их квалификация была подтверждена международными сертификатами (ISO
27001 internal/external auditor от BSI или CISA, CISM от организации Information Security Audit and Control Association – ISACA или другими).
Это ваше право – знать, кто получает доступ к конфиденциальной информации предприятия. Ведь схема сети вашей компании с адресами и устройствами – это конфиденциальная информация, не так ли? Существуют также элементы контроля качества работ и самих аудиторов, и консультантов. Например, Комитет по стандартам безопасности в индустрии платежных карт (PCI Security Standards Committee – PCI SSC) после сертификации может попросить вас об отзыве
на работы проведенные компанией, проводившей аудит. Также можно обжаловать действия компании в этом комитете и даже лишить ее лицензии.