В конце марта в Москве прошла конференция "Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти", организованная Ассоциацией Документальной Электросвязи. Конференция стала первым тематическим мероприятием АДЭ, полностью посвященным проблемам информационной безопасности.

Проблема…

Сегодня повседневная деятельность все большего числа компании в значительной степени связана с функционированием информационных систем. Если же организации активно используют в работе технологии электронного бизнеса, то от этих систем подчас зависит и само их существование. Тем не менее далеко не все руководители могут в полной мере понять и оценить те риски, с которыми связана столь сильная зависимость. В результате все чаще приходится слышать истории о том, как компьютерная преступность становится причиной перебоев в работе и убытков в бизнесе. Финансовые потери или ущерб, наносимый репутации компании, заставляет руководителей задумываться над тем, что делается и что должно быть сделано для обеспечения безопасности информационных систем и бесперебойного функционирования бизнеса.

Одним из решений этой проблемы становится привлечение независимых консультантов и специалистов. На прошедшей конференции, пожалуй, впервые в самом фокусе внимания оказались не столько технологические проблемы обеспечения информационной безопасности, сколько темы консалтинга и аутсорсинга услуг в этой сфере. Детальный анализ этого аспекта наиболее полно был представлен в докладе Мишель Мур из компании "Эрнст энд Янг". Обзор мирового рынка информационной безопасности, сделанный на основе данных исследований компании IDC, позволил выделить четыре основных направления услуг в этой области: консультационные услуги (оценка безопасности, диагностика системной защиты, анализ архитектуры, разработка стратегии, сертификация и т. д.); услуги по внедрению систем безопасности (консультации по подбору программно-аппаратного обеспечения, сетевая архитектура безопасности, интеграция, тестирование и др.); услуги по управлению безопасностью (круглосуточное управление безопасностью, мониторинг межсетевых экранов, VPN и систем обнаружения вторжений, реагирование на происшествия, услуги по расследованию киберпреступлений); услуги по обучению и подготовке персонала в области безопасности. В России же компании, работающие на этом рынке, в основном оказывают услуги только по внедрению систем безопасности. На нашем рынке еще нет стабильных, четко позиционированных провайдеров услуг по управлению информационной безопасностью и лишь некоторые отечественные компании предлагают консультации по ограниченному кругу вопросов.

На Западе…

Сухие, но красноречивые цифры свидетельствуют о том, что задачи информационной безопасности приобретают в мире все большее значение. По сведениям Немецкого агентства по информационной безопасности, обычное промышленное предприятие в среднем тратит на информационную безопасность около 5% годового бюджета, предназначенного на информационные технологии. В то же время в отчете JP Morgan Securities Inc. (U.S.) утверждается, что один доллар из каждых десяти, затрачиваемых на информационные системы, направляется на технологии обеспечения безопасности. В прошлом году агентство "Росбизнесконсалтинг" сообщило, что затраты на средства защиты от сетевых атак занимают все большую долю в статье расходов европейских компаний. По мнению аналитиков IDC, этот вид затрат составил приблизительно $2,1 млрд. в 2001 году и возрастет до $4 млрд. в 2004-м.

Усилят внимание к проблемам безопасности компании малого и среднего бизнеса, хотя выделяемые бюджеты будут по-прежнему невелики. В ответ на этот запрос рынка компании-разработчики приложений предложат ряд недорогих, но адекватных запрашиваемой стоимости продуктов. В целом же к 2005 году объем затрат на обеспечение информационной безопасности в мире утроится и составит $21 млрд.

Куда обратиться?

Итак, очевидно, что сегодня возникает масса новых факторов и угроз, инициирующих развитие технологий информационной безопасности и соответственно рынка услуг в этой области. Безопасность -- та область, о которой важно заботиться именно до того, как возникает реальная проблема, а значит, надо незамедлительно изучать рынок, знать те компании, которые подобные услуги предлагают. Во-первых, это сетевые и системные интеграторы, которые, имея соответствующий опыт, выходят на рынок с услугами в области разработки программного обеспечения и интеграции программно-аппаратных комплексов в имеющиеся корпоративные системы. Во-вторых, -- провайдеры услуг. Обычно именно они первыми появляются на рынке с предложением услуг в области управления, в том числе информационной безопасности. Третьи -- владельцы технологий. IDC упоминает компании, которые начинали работу на рынке в качестве владельцев технологии производства продуктов. Позже они расширили спектр предлагаемой продукции, включив в него ряд значимых услуг, и сегодня некоторые из них предлагают достаточно широкий набор услуг в области информационной безопасности. Четвертая группа компаний -- консультанты. Компании, работающие в сфере управленческого консультирования, также занимаются оказанием услуг в области информационной безопасности. Эти компании располагают опытом оценки и разработки стратегий и бизнес-процессов. При работе с проектами по информационной безопасности они применяют свой опыт разработки стратегии бизнеса, помогая клиентам лучше понять пути интегрирования технологий и процессов безопасности в свой бизнес. И наконец, пятая группа -- компании, позиционирующие себя непосредственно как специалистов по информационной безопасности (Pure Plays). Это фирмы, созданные исключительно с целью оказания услуг в области информационной безопасности, у них нет другого опыта. В отличие от системных интеграторов, управленческих консультантов или провайдеров услуг, доход специалистов в области информационной безопасности складывается в основном за счет узкоспециальных проектов.

А у нас

Компании, работающие на российском рынке, находятся в определенном смысле в более выгодном положении, поскольку имеют возможность наблюдать за тем, каким образом западные компании преодолевают проблемы роста в новой экономике, и соответственно учиться на чужих ошибках. В 2001 году "Эрнст энд Янг" провела региональное исследование в области информационной безопасности и выяснила, как компании в России и странах СНГ оценивают проблемы в области информационной безопасности. В ходе исследования было опрошено более ста компаний, работающих в сферах высоких технологий, промышленности, услуг, телекоммуникации, банковском бизнесе и энергетике. В упомянутом докладе Мишель Мур были приведены основные результаты этого исследования. Компании, работающие на нашем рынке, применяют различные технические средства обеспечения безопасности, самым «распространенным» из которых являются антивирусные программы. Широко используются также межсетевые экраны, которые установлены у 76% опрошенных компаний. Существенно меньшее внимание уделяется организационным мероприятиям по обеспечению безопасности, таким, как создание специализированного отдела ИТ, разработка официальных правил и процедур использования компьютерной техники и регулярный анализ уязвимых мест. Лишь примерно половина опрошенных компаний подтвердила использование этих мер. Весьма важно то, что у 67% опрошенных компаний имеются программы поддержания деятельности компании в непредвиденных ситуациях.

С какими же проблемами реально сталкиваются отечественные компании? 65% процентов опрошенных сообщили о нарушениях компьютерной безопасности в течение последнего года, причем половина случаев связана с хакерскими атаками, такими, как проникновение в систему извне, несанкционированный доступ изнутри компании, атаки с целью вызвать отказ в обслуживании, саботирование сетей и данных. За последний год 26% опрошенных столкнулись с отказом в работе важнейших корпоративных систем.

При этом менее 50% компаний имеют штатных сотрудников по обеспечению безопасности и официальные правила и процедуры по использованию компьютерной техники.

По последним данным…

Всемирное исследование «Эрнст энд Янг» в области информационной безопасности за 2002 год, в ходе которого было опрошено 459 директоров по информационным технологиям и руководителей компаний в 17 странах, позволяет сделать некоторые выводы о современной ситуации в мире и соответственно прогнозировать развитие этого направления в России. Итак, сегодня только 40% организаций уверены, что они в состоянии обнаружить атаку на свои ИС, такой же процент опрошенных компаний не расследуют случаи нарушения информационной безопасности, 75% испытывали неожиданные сложности с доступом к важнейшим корпоративным системам. Тем не менее планы обеспечения непрерывной деятельности существуют всего в 53% организаций. Только 41% опрошенных обеспокоены уязвимостью систем к атакам изнутри. Весьма красноречиво и то, что 66% указывают на недостаточную информированность сотрудников как на препятствие в эффективном обеспечении безопасности, и менее 50% имеют программу обучения и повышения информированности по вопросам безопасности. Парадоксально, но подобная картина наблюдается на фоне понимания того, что количество уязвимых для безопасности мест будет расти -- 60% опрошенных ожидают увеличения финансовых и репутационных рисков по мере расширения информационного обмена.

На основе представленных данных г-жа Мур сделала ряд весьма значимых, в том числе для российских компаний, выводов и отметила, что для решения сложившихся проблем руководители компаний должны обеспечить последовательный, комплексный подход к вопросам информационной безопасности во всей организации, учитывать возможности технологий, процессов и кадровых ресурсов, иметь четкое представление о затратах и отдаче от вложенных средств, предпринимать регулярные меры по проверке эффективности систем и процедур, разработать план оценки рисков и систем информационной безопасности.

Руководители компаний обязаны понимать, что вопросы информационной безопасности приобрели сегодня первостепенное значение для выживания всего предприятия и получения конкурентных преимуществ. Прошедшая конференция АДЭ, несомненно, способствовала этому пониманию в полной мере.