Начальник отдела ИБ ITTS Антон Ракитский дал второе интервью для информационно-аналитического журнала ICTNEWS. Статья «Защита информации: что советуют эксперты» с интервью вышла в журнале №3 (125) за 2016 г. Ниже приводим текст оригинального интервью, данного журналисту издания ICTNEWS.
Беседовала Валентина Шатуновская
1. Какие тенденции в области информационной безопасности (ИБ) наблюдаются в последнее время в мире и в Узбекистане (в плане угроз и средств защиты)?
Тенденции в целом общие для всех участников информационного пространства. Это рост проникновения ИТ во все сферы жизни, повышение сложности информационных систем, и как следствие, повышение зависимости от таких систем. То есть одновременно с удобствами ИТ появились и неизвестные ранее риски. Особенно хорошо взрывной рост технологий заметен, если почитать публикации 10-15 летней давности - виден рост скоростей передачи данных, производительности, объемов хранения, сложности систем. Также стремительно возрастает и сложность обеспечения ИБ.
2. Какие новые разработки в этой сфере появились за последнее время?
Говорить о каких-то революционных изобретениях и открытиях в области ИБ за последнее время (3-5 лет) не приходится. Ранее изобретенные механизмы обеспечения ИБ эволюционируют, совершенствуются. Производители средств обеспечения ИБ внимательно следят за трендами - множество решений по ИБ теперь реализуется с использованием облачных технологий. Параллельно развивается и методология обеспечения безопасности - выходят новые версии стандартов и руководящих документов.
3. Какие услуги в обеспечении информационной безопасности наиболее востребованы?
Информационная безопасность - целая отрасль. В неё входят и технические, и организационные, и методические решения. Само собой, что логично вкладывать в решения, дающие максимальную отдачу на единицу вложений. Вся сложность управления ИБ как раз и заключается в правильном выборе приоритетов при ограниченном бюджете. Если говорить именно об услугах, то самыми востребованными являются консалтинг и проведение независимых экспертиз. Не каждая организация может позволить себе иметь в штате профильного высококлассного специалиста по ИБ в штате. Но даже если такие специалисты на предприятии есть, очень важно получать независимый взгляд на проблему, у штатных специалистов со временем «глаз замыливается».
4. Какая сфера деятельности, на ваш взгляд, больше всего нуждается в обеспечении информационной безопасности?
Насколько важен для потребителя какой-то конкретный сервис, услуга, продукт - настолько же важна и его безопасности. Например, пользуясь услугами связи и интернета, мы рассчитываем, что услуги эти будут доступны нам в любое время дня и ночи и с должным качеством. Для этого операторы связи должны позаботиться о доступности сервиса, а это как раз один из критериев ИБ. Обращаясь за справочной информацией, мы надеемся, что она будет точной, без искажений - будет обеспечена её целостность. Сообщая свои персональные данные в банке, мы ожидаем, что доступ к ним получат только уполномоченные лица, то есть будет обеспечена конфиденциальность. Нельзя сказать, что что-то важнее. Задача предприятия - обеспечить приемлемый уровень ИБ, удовлетворяющий клиента и требованиям нормативов.
5. Ваша компания предоставляет услуги по ИБ в разных организациях. В чём основные отличия обеспечения ИБ в государственных учреждениях, финансовой сфере и коммерческих организациях?
Для государственных структур в большей степени характерна зависимость от требований нормативных документов, стандартов, инструкций. Многие слышали про различные грифы секретности, уровни допуска. Всё это элементы обеспечения безопасности. Бывает, что подобные строгие меры осложняют жизнь сотрудников, но такова плата за высокие требования уровня безопасности. Ведь информация, циркулирующая в таких организациях важна для страны в целом. Для коммерческих организаций важна в первую очередь финансовая составляющая обеспечения ИБ. Если затраты на ИБ превышают доходы - существование предприятия теряет смысл, вряд ли предприниматель будет работать себе в убыток. В то же время, если не тратиться на ИБ разбегутся клиенты, недовольные сервисом, а производственные секреты утекут к конкурентам. Тут важен баланс между уровнем ИБ и затратами на её поддержание. Для финансовых организаций (банки), операторов связи и подобных им организаций действуют оба фактора. С одной стороны, вопросы рентабельности, с другой требования регуляторов. Хочешь, не хочешь, а нужно в обязательном порядке обеспечивать режим банковской тайны, уровень доступности, качество сервиса - за этим следят уполномоченные органы и в случае нарушений можно понести убытки в виде штрафов, а то и вовсе - отзовут лицензию.
6. Что, на ваш взгляд, лучше – содержать в штате организации сотрудников по ИБ или обратиться за помощью к сторонней фирме?
В идеале на предприятии должно быть отдельное, максимально независимое подразделение по обеспечению ИБ, которое ещё и пользуется услугами внешних специалистов-аудиторов, экспертов для получения беспристрастной оценки своего труда. В условиях ограниченности штата разумным компромиссом может быть выделение группы сотрудников для обеспечения ИБ, которые будут привлекать внешних экспертов для периодических консультаций. Передать вопросы обеспечения ИБ полностью внешним исполнителям - вряд ли возможно. Вопросы ИБ в любом случае должны курироваться, поддерживаться, контролироваться высшим руководством самой организации.
7. Если информационной безопасностью занимается сторонняя организация, какие существуют риски, и как их избежать?
Пожалуй, основным риском в данном случае является утечка критичной для предприятия информации "на сторону". Также есть риск купить не то что заказывали, когда недостатки продукта или услуги выявляются слишком поздно. Единого простого решения этой проблемы нет. Как и при выборе других поставщиков и исполнителей - важен тщательный их отбор. И уж точно единственным критерием выбора не должна быть цена. Само собой, желательно подстраховаться и подписать соответствующие соглашения о неразглашении с исполнителями. Но полной гарантии не даёт и это. В качестве дополнительной меры по снижению рисков ИБ можно предложить привлечение третьей, независимой стороны при проведении выбора поставщиков. Внешние независимые эксперты должны быть достаточно компетентными, чтобы защитить интересы заказчика и не зависеть от поставщиков или исполнителей. Когда одна и та же компания и занимается консалтингом и продаёт профильные решения, очень сложно удержаться от соблазна советовать покупать у себя же.
8. Можете привести примеры из зарубежного опыта по эффективному обеспечению ИБ или же наоборот провальные решения в этой области?
Гарантировать полное обеспечение ИБ практически невозможно, всегда есть некоторый остаточный риск. Пример тому - многие громкие случаи, связанные с нарушение ИБ в крупных организациях, имеющих огромные бюджеты на ИБ. Информационная безопасность как отрасль вообще формируется на наших глазах, единых решений, дающих гарантированный результат тоже нет. Но, пожалуй, основным мотивом будущего ИБ становится понимание того, что информационная безопасность не удел только "узких специалистов", а всех нас. Должен будет повышаться общий уровень грамотности, технической культуры.