Контакты
Подписка
МЕНЮ
Контакты
Подписка

Наступила пора оценивать риски. Печатается в авторской редакции

В рубрику "Защита информации и каналов связи" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Наступила пора оценивать рискиПечатается в авторской редакции

Какими критериями следует пользоваться при выборе средств защиты информации в 2015 г.? Настоящая статья посвящена одному из возможных подходов к решению данной проблемы
Алексей Сабанов
Заместитель генерального директора ЗАО "Аладдин Р.Д."

Обостряющаяся международная обстановка напомнила руководителям предприятий о необходимости руководствоваться в управлении бизнесом организации таким эффективным средством, как менеджмент рисков (МР). Современные реализации МР включают в себя управление информационной безопасностью (ИБ) в качестве обязательной составляющей, поскольку информационные технологии (ИТ) из средств поддержки бизнеса для многих отраслей стали средствами организации бизнес-процессов, а для некоторых предприятий – реальной движущей силой, при этом роль ИТ на развитие бизнеса непрерывно возрастает. Утечки или потеря части корпоративной информации могут затормозить развитие организации, а зачастую и разрушить бизнес. В связи с этим эволюционируют в сторону непрерывного повышения и требования к средствам защиты информации. Сегодня заказчику нужна не таблетка от "головной боли", связанной с какой-то частной проблемой ИБ, а комплексные решения, не только закрывающие проблемы ИБ, но и дающие приемлемые характеристики по совокупной стоимости владения в течение 3–5 лет. Не менее важными сегодня являются такие параметры систем защиты информации (СЗИ), как многоуровневая поддержка 24х7 (включающая вендорский уровень), надежность и совместимость с инфраструктурой предприятия, системным и прикладным ПО, а также с находящимися в эксплуатации СЗИ других поставщиков. Рассмотрим эти вопросы подробнее.

Менеджмент рисков ИБ

В крупных и средних организациях, в которых руководство понимало необходимость учета рисков и до осени 2014 г., МР находится на разных уровнях развития, однако, как правило, включает рассмотрение проблем влияния защиты информации на развитие и поддержку непрерывности бизнеса. В частности, в таких организациях имеется подразделение, отвечающее за ИБ, утвержден ряд основополагающих документов, таких как концепция ИБ, модель угроз, категорирование ресурсов, приказы, регламенты, внедрены системы защиты информации (СЗИ). К сожалению, при этом далеко не на всех предприятиях собственно защита информации полностью строится на основе анализа и управления рисками. Отчасти это связано с тем, что методы анализа рисков применительно к сфере ИБ недостаточно развиты. Так, в ГОСТ Р ИСО 31010–2011 приводится 31 метод оценки рисков, из них на практике с той или иной степенью успеха для задач управления рисками ИБ применяется не более 5. Тем не менее, можно уверенно прогнозировать, что степень освоения практических подходов МР в сфере защиты информации в связи с кризисными явлениями будет интенсифицироваться.


Как можно сформулировать задачу менеджмента рисков применительно к выбору СЗИ? Например, это могут быть оценки рисков до и после внедрения, анализ рисков процессов внедрения и эксплуатации, оценки приемлемого уровня и переноса рисков.

Сегодня заказчику нужна не таблетка от "головной боли", связанной с какой-то частной проблемой ИБ, а комплексные решения, не только закрывающие проблемы ИБ, но и дающие приемлемые характеристики по совокупной стоимости владения в течение 3–5 лет

Проблемы надежности

Сейчас много говорят и пишут о надежности. Однако в сфере ИБ системных исследований надежности в принципе мало, а определение критериев и комплексной оценки качества СЗИ пока не проводилось, во всяком случае, результатов таких исследований в открытых источниках найти невозможно. Несмотря на это, почти каждый разработчик пишет в своих рекламных буклетах "у нас самое надежное решение". Вопрос качества СЗИ далеко не праздный, особенно ввиду начинающегося затяжного кризиса, в котором выживут, в первую очередь, те компании, которые уделяли в своей деятельности по проектированию, разработке и качеству своих продуктов самое пристальное внимание. Из множества определений надежности выделим самое весомое: надежность – это качество, развернутое во времени. Это касается не только самих СЗИ. Надежность компании–разработчика также является весьма важной характеристикой при выборе решений, однако заказчика интересует, в первую очередь, не столько разработчик, сколько качество самого продукта. Заметим, что далеко не все СЗИ имеют проверенные надежностные характеристики. Что имеется в виду? Оценки надежности и безопасности СЗИ также следует исследовать, начиная с оценки рисков. Оценки надежности позволяют определить вероятность и своевременность выполнения функций безопасности СЗИ, коэффициент готовности, ремонтопригодность, среднее время простоя и т.д. В критически важных отраслях в течение длительного времени уже ведутся работы по исследованию надежности ПО и программно-аппаратных комплексов. Одним из примеров является ОАО "РЖД", где даже разработаны соответствующие отраслевые стандарты. На открытом рынке средств ИБ в исследовании надежности делаются только первые робкие и пока неуверенные шаги. Но за этим – будущее отрасли. Выбор разработчика и системы СЗИ в недалеком будущем также будет выполняться с позиций анализа рисков.

Оценки надежности позволяют определить вероятность и своевременность выполнения функций безопасности СЗИ, коэффициент готовности, ремонтопригодность, среднее время простоя и т.д.

Проблемы совместимости

Одной из нередко встречающихся проблем на этапах внедрения и эксплуатации СЗИ является проблема совместимости. Внедряемое решение (СЗИ) не всегда "ложится" в существующую инфраструктуру. Железо – импортное. Системный софт, как правило, также импортный. Некоторая часть СЗИ, внедряющихся на российском рынке, использует перехваты управления и отдельных команд, изменения таблиц адресов вызовов и т.п. Когда совместно начинают функционировать несколько СЗИ, использующие такие механизмы, неизбежны конфликты, которые зачастую не так просто устранить. Это обстоятельство также должно учитываться при выборе того или иного решения.

Проблемы импортозамещения

Не все так просто. В результате пресловутой приватизации и последовавшего развала значительной части отечественных промышленных предприятий мы потеряли темпы развития микроэлектроники. Восстановить быстро и подняться на достойное место в мире вряд ли удастся в короткие сроки. Наши попытки выбиться в мировые лидеры по производству системного программного обеспечения также должны пройти определенные этапы развития, включая шишки, которые набивают все. Поэтому позволю себе ввести термин "мягкое импортозамещение", к которому постепенно приходят многие разумные головы. В чем суть этого термина? Не секрет, что даже в военной отрасли изделия делаются с применением импортных комплектующих. Подобно этому, российские разработчики собирают из кубиков (своих и чужих) свои решения. Только чужие "кубики" не обязательно должны быть американского производства. В юго-восточной Азии и ряде других стран производят примерно такие же "кубики", которые можно и нужно проверять перед применением в тех или иных решениях.


Полное импортозамещение – долгий и трудный путь. На данном этапе, согласно концепции "мягкого импортозамещения", можно рассмотреть разумные полумеры. Например, в отсутствие отечественных чипов придется использовать импортные, но проверять на соответствие требованиям. Российская компания производит СЗИ с применением таких чипов. Она и отвечает за их функционал, отсутствие недекларируемых возможностей и качество.

Наши попытки выбиться в мировые лидеры по производству системного программного обеспечения также должны пройти определенные этапы развития, включая шишки, которые набивают все. Поэтому позволю себе ввести термин "мягкое импортозамещение"

Проблемы поддержки эксплуатируемых решений

Значительная часть СЗИ, имеющих сертификаты ФСТЭК России, включают в себя импортные аппаратные и программные средства. Как правило, их сертифицируют и распространяют через партнеров российские компании, имеющие лицензии на разработку. Рассмотрим типичную ситуацию с применением таких решений. Интегратор, внедривший такое СЗИ, заключает договор с заказчиком о поддержке первого (а иногда и второго) уровня. Поддержку следующего уровня оказывает российский вендор. Однако зачастую он не имеет доступа к исходным кодам и внутренней документации зарубежного производителя. Поэтому некоторая часть запросов на техническую поддержку с первого уровня переходит на второй, потом на третий. Российский производитель оформляет заявку на такой запрос в виде тикета, ответ на который ждут последовательно все уровни поддержки и заказчик. Среднее время ожидания решения проблем в подобных случаях исчисляется неделями. Это обстоятельство необходимо учитывать при выборе описанных СЗИ. Теперь представьте себе, что в режиме санкций вам, как заказчику, отказано в решении проблемы… Такие возможности также необходимо оценивать в рамках всестороннего анализа рисков.

При выборе СЗИ с импортными аппаратными и программными средствами впоследствии некоторая часть запросов заказчика на техническую поддержку с первого уровня переходит на второй, потом на третий. Среднее время ожидания решения проблем в подобных случаях может исчисляться неделями

Перспективные технологии

Задумывался ли кто-нибудь над вопросом, какую технологию считать перспективной? Принято увязывать понятие перспективной технологии прежде всего с ее новизной и повышением универсальности использования, или, как модно сейчас говорить, инновационностью. Существуют ли критерии, по которым те или иные "инновационные" решения действительно можно отнести к перспективным? Например, считается ли технология перспективной только потому, что она, как сотовая связь, может послужить еще, как минимум, 10–15 лет? По такому критерию можно отобрать свыше десятка технологий… В полной мере это относится и к рынку ИБ. Аналитика рынка СЗИ пока не развита. Обзоры (пример – Исследование "Рынок информационной безопасности Российской Федерации" + Обзор рынка информационной безопасности Украины, 2013 год) появляются редко. Пока к опубликованным обзорам не всегда возникает чувство объективности и доверия. По итогам размышлений можно дать простой совет: и в данном случае выбор может основываться на анализе рисков, во всяком случае, такой совет не повредит правильному выбору.

Заключение

Рассмотренные аспекты, безусловно, не охватывают всех проблем, возникающих при выборе тех или иных средств защиты. Тем не менее, предлагаемый подход может помочь заказчику сформулировать задачу выбора СЗИ в терминах оценки рисков.

Опубликовано: Каталог "Системы безопасности"-2015
Посещений: 8230

  Автор

Алексей Сабанов

Алексей Сабанов

Заместитель генерального директора ЗАО "Аладдин Р.Д."

Всего статей:  1

В рубрику "Защита информации и каналов связи" | К списку рубрик  |  К списку авторов  |  К списку публикаций