Спецпроекты

Безопасность Стратегия безопасности

Эффективность ИБ: смогут ли бизнес и власть договориться?

Одновременно с ростом рынка информационной безопасности увеличиваются затраты компаний на ИБ. В этой связи обозначилась тенденция соединения усилий государства и бизнеса в вопросе эффективного и экономичного управления ИБ. Именно в этом эксперты видят резервы успешного противостояния киберкриминалу, особенно тогда, когда ИБ встроена в систему комплексной безопасности инфраструктурных отраслей экономики. Данная проблема обсуждалась на круглом столе "ИБ на страже бизнеса и госструктур", организованном CNews Analytics и CNews Conferences.

Если вернуться к терминологической базе, то под словом "система" изначально понимается суперпозиция "субоптимальности" (когда нельзя оптимизировать отдельные элементы системы, не ухудшая при этом характеристики системы в целом) и безопасности. Исходя из теории, можно достичь полной безопасности только при условии неработоспособности решения в целом, и наоборот. В реальности существует некий компромисс, найти который с каждым годом становится все труднее, так как ИТ-системы усложняются, а требования по безопасности никто снижать не собирается.

И это не теоретические изыскания, а реалии сегодняшнего дня, когда обеспечение ИБ становится все большим тормозом при внедрении новых информационных систем, что подтверждается выводами исследования, приведенными ниже.

Причины неосуществления инвестиций в новые технологии

Причины Актуальность
1 Потеря существенной бизнес-информации и вынужденные простои в результате сбоя систем 90% компаний считают эти риски главными исключительно при планировании, в то время как 60% считают эту проблему главной в целом.
2 Незаконное использование конфиденциальной информации 88% компаний рассматривают этот риск при планировании, а 58% респондентов подчеркивают, что это является их главной проблемой в целом.
3 Задачи соответствия нормативным стандартам и законодательным нормам; необходимость отслеживания этого соответствия Более 80% предприятий обеспокоены этим при планировании. От решения данных задач зависит также эффективное хранение и восстановление данных. 45% компаний считают, что могут столкнуться с проблемами, размещая информацию на временное хранение, в то время как 40% признают, что имеют неполные записи и контрольные журналы, которые могут привести к нарушению нормативных требований.
4 Распространение данных по различным удаленным подразделениям создает большие проблемы в управлении резервным копированием и/или управлением данных. 60% опрошенных считают, что это создает большие проблемы в управлении резервным копированием и/или управлением данных. Средний показатель уверенности в безопасности критически важной информации, распространяемой таким способом, составляет менее 70%, в каждом третьем случае хранения информации в удаленном офисе или у мобильного сотрудника эта информация подвергается данной угрозе.
5 Безопасность при использовании портативных устройств для хранения информации 68% предприятий видят в этом серьезную проблему.

Источники: CA, Freeform Dynamics, 2008

Вывод, который можно сделать на основе всего этого, - это необходимость использование риск-менеджмента для оценки эффективности внедрения той или иной информационной системы в целом и подсистемы ее безопасности в частности. Вячеслав Статьев подчеркивает, именно подсистемы управления рисками, а не некоего "ИБ-патча" к ИТ-решениям. Эксперт при этом апеллирует к исследованиям известнейших агентств.

Степень интеграции функций ИБ и управления рисками

Источник: Ernst&Young, 2007

В дальнейшем, при обсуждении вопроса риск-менеджмента, эту тему достаточно детально осветили Борис Скородумов, исполнительный директор ИБД АРБ и Михаил Левашов, начальник отдела ИБ КБ "Союзный".

Квинтэссенцией их докладов было то, что уже наступили те времена, когда риски, в частности операционные, стало необходимо не градуировать по принципу "малый – средний – большой", а вводить в практику их количественную оценку. Для чего? Для обоснования эффективности инвестиций в ИБ, которые стали в последнее время не просто заметными, а запредельными для ИТ-бюджетов, в частности, в банковском и телекоммуникационных секторах России.

Кроме того, прозвучало предложение в дальнейшем обсудить такую новую проблему, как "риски процесса информатизации". Как выразился Михаил Левашов, "Мы хотим управлять ИТ, но не знаем, чем управляем…".

Итог дискуссии подвел Велигура Александр, председатель комитета по информационной безопасности Ассоциации российских банков. По его словам, "использование количественного подхода при оценке рисков уже ни у кого не вызывает отторжения. Но здесь вопрос не в том, что мы ленимся или мы не компетентны, а в том, что те модели, которые сейчас есть, не всегда применимы. Проблема в том, чтобы добыть статистические данные, нужен некий период стабильности. Есть и вторая компонента – ущерб, который мы получаем. Очень часто он не оценивается количественно, что сводит на нет достижения статистиков.

И вот здесь надо понимать, зачем мы все это считаем? А для того, что бы на основе этих выводов можно было бы принимать управленческие решения. Иногда менеджерам нужна полная информация, а иногда достаточно некоего компромисса между количественными и качественными данными. Из этого и надо исходить сегодня при разработке политик ИБ и способов обеспечения соответствия нормативным актам, как со стороны государства, так и со стороны бизнеса".

Вадим Ференец / CNews Analytics


Презентации участников круглого стола

Презентация Вячеслав Статьев, РНТ:"Существует ли противоречие между функциональностью информационных систем и их безопасностью?"
Презентация Евгений Дружинин, "Крок": "Структуризация процессов управления информационной безопасностью для крупных предприятий или холдингов"
Презентация Виктор Минин, Ассоциация защиты информации
Презентация Вадим Ференец, CNews. "Информационная безопасность: сегодня и завтра"
Презентация Михаил Левашов, КБ "Союзный". "Актуальные вопросы обеспечения CISO информационной безопасности бизнеса"
Презентация Борис Скородумов, ИБД АРБ. "Рискориентированная информационная безопасность"
Презентация Скачать все презентации (архив)

Короткая ссылка