Распечатать

Как проверить безопасность

Cnews, 27 декабря 2011 г. В рамках обзора «Рынок ИТ-услуг 2011» вышла статья об аудите в области информационной безопасности, в которой выступил Федор Грубов, начальник отдела консалтинга и аудита департамента информационной безопасности «Энвижн Груп». 

27 декабря 2011

Рынок аудита информационной безопасности (ИБ) растет высокими темпами. Этому способствует активное внедрение в России западных стандартов. Но процесс идет "со скрипом". Из-за большого количества нестыковок и противоречий в нормативных документах, проводить аудит по-прежнему не просто.

Объемы рынка аудита ИБ начали увеличиваться в 2009 году и сейчас составляют существенную долю всего рынка ИБ в целом. "Это продиктовано в первую очередь вставшей перед российскими заказчиками необходимостью соответствовать требованиям регуляторов по направлениям защиты персональных данных и стандарта защиты в индустрии платежных карт PCI DSS", – поясняет руководитель направления экспертного консалтинга компании "Инфосистемы Джет" Даниил Чернов. Кроме того, по его словам, в последние годы рынок аудитов ИБ существенно вырос благодаря появлению новой версии стандарта СТО БР ИББС 1.0

"Есть всплеск проектов по аудиту на соответствие стандарту PCI DSS, потому что с 2012 года ожидается, что его требования станут обязательными для всех организаций, обрабатывающих данные держателей банковских карт", – подтверждает начальник отдела консалтинга и аудита департамента информационной безопасности "Энвижн Груп" Федор Грубов.

Положения, на основе которых проводится аудит ИБ

Однако опрошенные CNews эксперты не смогли оценить объемы рынка аудита ИБ в абсолютных цифрах: "Рынок информационный безопасности вообще, и аудитов ИБ в частности, закрытый. Поэтому любые его оценки на самом деле не более чем попытка попасть пальцем в небо", – объясняет технический директор компании Leta Александр Бондаренко. Тем не менее, об объемах рынка и динамике его развития косвенно свидетельствует выручка игроков. "В выручке бизнес-направления информационной безопасности аудит ИБ занимает около 50–60%, причем последние несколько лет это направление развивалось очень интенсивно", – отмечает директор бизнес-направления информационной безопасности компании "Микротест" Дмитрий Савченко. Технический директор компании "Кабест" Иван Бурдело более конкретен: "Рынок аудита ИБ, так же как и рынок услуг ИБ в целом, в этом году показал динамичное развитие, и, по нашим оценкам, вырос на 50–60%. 70-80% наших проектов начинаются с аудита ИБ".

Клиенты интеграторов оказались еще менее разговорчивыми. Большинство крупных компаний, куда агентство CNews обратилось за комментариями, либо проигнорировали вопрос, либо категорически отказались раскрывать данные по аудиту своих систем информационной безопасности. "По нашему мнению, услуги внешнего аудита ИБ сегодня являются весьма востребованными, потребность в этих услугах будет только увеличиваться, учитывая рост количества преступлений в сфере высоких технологий и постоянно возрастающую ценность информации", – ограничился общими словами начальник отдела безопасности и защиты информации банка "Стройкредит" Андрей Голоненко. Также немногословен оказался руководитель управления информационной безопасности "Алор" Олег Самусенко: "Научно-технический прогресс не стоит на месте и развивается бурными темпами и, как следствие, развивается и обратная сторона – появляются все новые и новые возможности утечки информации. Получается своеобразная гонка и, конечно, никто не хочет быть в ней проигравшим. Поэтому услуга сейчас так востребована на рынке".

"Незамыленный" взгляд

Основное преимущество стороннего аудита ИБ – это возможность взглянуть на безопасность глазами внешнего наблюдателя (аудитора). "Очень часто у специалистов, которые занимаются безопасностью внутри компании, что называется, "теряется бдительность" и создается ложное ощущение надежности используемых подходов к защите", – рассказывает Александр Бондаренко. "Основное преимущество – это получение объективной независимой оценки текущего уровня состояния ИБ, что, помимо выполнения некоторых формальных требований, дает возможность посмотреть на организацию основных процессов ИБ свежим взглядом со стороны", – соглашается Федор Грубов.

Аудит призван либо подтвердить, что обеспечена надежная защита, либо открыть глаза на реальное положение дел. "В привлечении сторонней компании для проведения аудита ИБ есть плюсы по сравнению с проверкой системы ИБ собственными силами. Во-первых, у специализированной компании больше сил и средств для проведения всестороннего исследования. Во-вторых, у сотрудников стороннего аудитора отсутствует какая-либо заинтересованность и есть возможность оценить все свежим, незамыленным взглядом", – заключает Андрей Голоненко. Конечно, если нет требований на проведение внешнего аудита, собственная служба ИБ компании может проводить такой аудит самостоятельно, но это потребует немалых людских ресурсов, а независимость такого аудита может быть сомнительной.

"В большей степени услугами аудита пользуются организации финансового сектора – банки, страховые компании, процессинговые центры, – отмечает Федор Грубов. – Это и понятно – для них обеспечение безопасности данных своих клиентов является критически важным. Тем более что многие требования наших регуляторов, которые сейчас носят рекомендательный характер (тот же СТО БР или ФЗ-152), в скором времени станут обязательными для всех и надо быть к этому готовым". Вопросы ИБ важны для компаний самых разных отраслей, от ядерной промышленности и до ритейла. Большую часть проектов инициируют крупные организации – обладатели сложных распределенных ИТ-инфраструктур. "В нашей практике есть заказчики среди энергетических, телекоммуникационных компаний. Наблюдается интерес среди банков, консалтинговых компаний, ритейла", – делится опытом Иван Бурдело. Но в целом понимание необходимости аудита систем ИТ и ИБ проявляется в большей степени среди компаний, чьи головные офисы или предприятия находятся в центральном регионе страны. Когда возникает задача провести аудит ИБ в небольшой, удаленной от центральной части России, компании или филиале, часто обнаруживается, что недостатков в организации информационной безопасности нет, потому что практически нет самой ИТ-инфраструктуры. Либо наоборот, при существующей ИТ-инфраструктуре их чересчур много.

Пароль 123

Все меры обеспечения ИБ делятся на три типа: технические, организационные и законодательные. Последние, по сути, регламентируют первые две разновидности. И почти слабые места продиктованы недостатками в организации. Ведь закупить оборудование, найти компанию, которая установит его, – несложно, вопрос только в деньгах. С организационными мерами все сложнее. К ним относятся: ведение режима, регламента, разработка и утверждение политик ИБ, постоянный контроль. Компании сложно все это реализовать. Среди причин и непонимание, и противостояние, и рутинность. Дмитрий Савченко приводит пример, когда в процессе аудита одной компании выяснилось, что пароль на компьютере главного бухгалтера состоял из одной буквы, и это первая буква ее имени. "Когда задали вопрос: "Почему?" Она ответила: "А мне никто не говорил, что должно быть больше!" С одной стороны, это проблема технологическая, но на самом деле – организационная", – заключает Дмитрий Савченко.

Нередко при выборе аудитора основным критерием является стоимость его услуг. "Наш опыт работы говорит, что аудиторы, работающие по низким ставкам, выявляют далекие от реальности проблемы ИБ. Часто такие компании привлекают для работы студентов или недостаточно опытных фрилансеров; зачастую такие компании не имеют собственной практики ИБ и лицензии на проведение работ, поэтому нанимают субподрядчиков. В результате заказчик приходит к нам", – рассказывает о проблемах рынка Иван Бурдело. При этом далеко не всегда клиенты следуют рекомендациям аудиторов, а иногда и вовсе пытаются оспорить результаты проверок, ссылаясь на аудит сторонней компании, сетует Дмитрий Савченко: "Если это сертификационный аудит, то мы сообщаем, что есть определенные замечания, которые напрямую противоречат получению сертификата. В таком случае можно обратиться к другой компании, которая повторно проведет аудит, однако вряд ли она не заметит эти недостатки".

Второй вариант – это пригласить аудитора повторно, устранив проблемы. В таком случае платить придется меньше, так как компания будет проверять только те места, в которых были выявлены недостатки, в случае если повторная проверка проводится в короткие сроки. Если речь идет про несертификационный аудит, то в таком случае заказчик начинает задумываться о соотношении стоимости и получаемых выгод. Он сам решает, что для него критично, а что нет. "Однако в большинстве случаев заказчик все же следует нашим предписаниям", – оптимистично заключает Дмитрий Савченко.

Метод "научного тыка"

"Сегодня наиболее острая проблема методологии аудита ИБ связана с необходимостью наличия комплексного подхода. Он должен сочетать требования различных регуляторов и оценивать реальную защищенность", – считает Даниил Чернов. Сформировать подобный подход возможно только для компании, обладающей экспертизой и всесторонним опытом в каждом конкретном направлении аудита. В противном случае рекомендации окажутся бесполезными и невыполнимыми. Хотя абсолютно совпадающих результатов аудита одной организации не существует, признает Федор Грубов.

Если по стандарту PCI DSS несколько компаний будут проводить аудит банка, то их результаты будут пусть немного, но отличаться. В методологию заложен человеческий фактор, ввиду того что многие требования в стандартах не описаны конкретно. Если в последних версиях PCI DSS требования более-менее конкретизированы, то в стандартах серии ISO или СТО БР они звучат достаточно обще. И аудитор может понять их по-своему. Поэтому главной задачей разработчиков стандартов является повышение точности и ясности требований и критериев оценки. "Проблемы методологии во многом связаны с недостаточно правильным пониманием ключевых понятий. Так, не все заказчики понимают разницу между аудитом и обследованием", – приводит пример Иван Бурдело.

Аудит – это формальный процесс, оценка соответствия определенным стандартам. Например, для СУИБ это стандарт ISO 27001. Результатом аудита является отчет, в котором описаны выявленные несоответствия от существенных до незначительных, а также сильные и слабые стороны существующей системы управления ИБ. Аудиторы указывают на причины, а корректирующие действия по результатам аудита должен выработать сам заказчик. ИБ-интеграторы проводят обследование, это понятие шире и может включать в себя и проведение аудита, и составление рекомендаций, и планирование последующих действий по улучшению ситуации.

Главная методологическая проблема в области аудита ИБ в России – это отсутствие адекватной нормативной базы, хотя отечественные эксперты стараются брать все лучшее, что есть в западных стандартах. "Из-за большого количества нестыковок и противоречий даже регуляторы не всегда владеют полной картиной, и проводить аудит бывает очень непросто. Поэтому в первую очередь надо дорабатывать отечественную нормативную базу", – указывает Иван Бурдело. Например, есть методология аудита системы менеджмента качества, описанная в стандарте ISO 19011. Она вполне подходит и для аудита ИБ. Это очень четкий и логичный стандарт. "Еще один важный аспект, который можно отчасти отнести к методологии, – это языковый барьер, – добавляет Иван Бурдело. – Международные стандарты написаны на английском языке, который содержит огромное число терминов, и поэтому описания получаются краткими и емкими. При переводе часто происходит подмена понятий, объяснения получаются более длинными и запутанными, и от этого сами проблемы кажутся сложнее".

Начальник отдела консалтинга и аудита департамента информационной безопасности компании "Энвижн Груп" Федор Грубов считает, что некоммерческие партнерства, ассоциации и отраслевые организации играют важную роль в выработке и обновлении различных стандартов, в том числе в области ИБ. Из российских стоит отметить партнерство ABISS, которое развивает стандарт ЦБ. По его инициативе, в новой версии стандарта СТО БР учтены требования ФЗ о защите персональных данных. То есть в будущем при внедрении стандарта организация будет освобождена от проверки на соответствие закону. Это очень удобно – у банка появляется один отраслевой стандарт ИБ и один регулятор в области ИБ, а не несколько, как сейчас. Зарубежное сообщество PCI Security Standards Council (PCI SSC) сделало большое дело по развитию одноименного стандарта, регулярно выпускает его новые версии, конкретизируя требования. Это очень полезный стандарт, реально работающий и берегущий наши с вами финансы".