Для телекоммуникационной отрасли информационная безопасность (ИБ) является составным элементом бизнеса и постепенно становится частью общей системы управления предприятием. Причем в этом сегменте существует намного более четкое понимание ее значимости, чем во многих других отраслях, поскольку нарушение работы информационных систем сказывается непосредственно на бизнесе оператора и чревато серьезными убытками. Хорошо организованная система ИБ дает телекоммуникационной компании конкурентные преимущества, повышает инвестиционную привлекательность и эффективность управления, улучшает бизнес-процессы и имидж. Роль ИБ в совершенствовании услуг оператора обсуждалась на одном из недавних семинаров Jet Infosystems, где рассматривались вопросы информационной безопасности в телекоммуникационной отрасли.
ИНТЕГРАЦИЯ И СТАНДАРТЫ
В большинстве телекоммуникационных компаний базовая инфраструктура ИБ уже построена, и специалисты заняты не столько вопросами безопасности, сколько задачами обеспечения дополнительных конкурентных преимуществ за счет реализации различных услуг для клиентов, включая защиту от спама, противодействие атакам DoS, поиск уязвимых мест в сети клиента. При разумном подходе к информационной безопасности, в частности, внедрении систем управления идентификационными данными пользователей, можно добиться сокращения операционных расходов.
Интеграционный подход становится все более популярным: он охватывает системы безопасности, управления, операционной поддержки (OSS). Например, Gartner считает, что традиционная «лоскутная автоматизация» со временем уступит место объединению всех систем в рамках единой многосервисной среды. Кроме того, такие системы могут интегрироваться с системами управления предприятием и охватывать уровень бизнес-процессов.
Как отмечает Мария Медведева, директор CA по управлению информационной безопасностью в регионе EMEA, деятельность ее компании подчинена идее управления информационными системами независимо от типов аппаратных и программных средств, а выпускаемые продукты нацелены на реализацию комплексного управления корпоративной средой ИТ (Enterprise IT Management, EITM) и охватывают широкий спектр решений — от продуктов по управлению идентификацией, доступом и различных систем ИБ до управления сетью и ITIL. Платформа интеграции CA предусматривает не только интеграцию различных технических подсистем ИБ с помощью SDK, но распространяется и на бизнес-процессы заказчиков, включает услуги консалтинга.
Jet Infosystems активно использует разработки партнеров (Symantec, Check Point, Sun Mic-rosystems) и выступает в роли консультанта при внедрении системы управления информационной безопасностью (СУИБ) в соответствии с международным стандартом BS ISO/IEC 27001:2005. По существу, этот стандарт представляет собой модель системы менеджмента — набор организационных мероприятий и процедур управления. Стандарт ISO/IEC 27001 имеет много общего со стандартом управления качеством и основан на лучшей мировой практике. Он выпущен British Standards Institute (BSI) в 2005 г. и нацелен на эффективное управление безопасностью. Таким образом, в первую очередь он затрагивает организационную, а не техническую составляющую ИБ, и определяет необходимые для этого ключевые процессы.
По словам Бориса Симиса, директора центра информационной безопасности Jet Infosystems, СУИБ значительно снижает риски ущерба для активов компании. Если раньше у заказчиков не было четкого понимания, для чего именно нужна такая система, то теперь, с реализацией все большего числа проектов, ситуация существенно изменилась. СУИБ, интегрированная с корпоративными системами управления, позволяет упорядочить правила ИБ в компании, формализовать ответственность всех участников, выявить основные угрозы бизнес-процессам, а в случае сертификации на соответствие стандартам — продемонстрировать партнерам и клиентам высокий уровень надежности.
В настоящее время Ассоциация документальной электросвязи (АДЭ) разрабатывает российский рекомендательный стандарт безопасности базового уровня для операторов связи (аналог отечественного стандарта ИБ для банковской отрасли). В случае его принятия он станет основой для взаимодействия операторов и их работы с клиентами, однако потребуется значительная работа, чтобы прийти к варианту, устраивающему участников рынка. Как отмечают эксперты, стандарт будет иметь принципиальные отличия от ISO/IEC 27001. Между тем, сертификация по международным стандартам безопасности является для оператора обязательной для выхода на зарубежные рынки. Именно поэтому в МТТ, например, выбрали такую сертификацию, а не разработку внутрикорпоративного стандарта ИБ (на основе ITIL). МТТ получила сертификат на соответствие стандарту ISO/IEC 27001 в феврале, и, как отмечают в компании, это потребовало серьезной работы.
В MTT считают, что стандарт, подобный ISO/IEC 27001, получит широкое распространение. Года через три-четыре большинство телекоммуникационных компаний будут иметь систему управления ИБ, согласованную со стандартом ISO/IEC 27001, и необходимый сертификат соответствия. Однако уже сейчас он становится фактическим стандартом для телекоммуникационных компаний, хотя и не «привязан» именно к данной отрасли. По сути, сертификат на соответствие ISO/IEC 27001 — это сертификат на организацию управления ИБ, подтверждающий высокое качество работы и наличие реально построенной системы безопасности.
Интеграция технических систем управления безопасностью помогает снизить затраты. Популярное решение — построение единой системы сетевой идентификации (Identity Management) и интеграция систем управления доступом, использующих разрозненные хранилища информации о пользователях, основанные на множестве разнородных систем. Оно позволяет реализовать управление жизненным циклом идентификационной информации, единую регистрацию в сети (Single Sign-On, SSO), способствует внедрению ролевой модели доступа и автоматизации работы с пользовательскими учетными данными. В MTC подобная система основана на решении Sun Java Identity Manager и интегрирована с существующей системой документооборота и Oracle HR. Одновременно она служит целям аудита: вся информация о доступе сохраняется в журнале. В решении Sun используются специальные программные адаптеры к управляемым системам, которые функционируют на сервере управления и не требуют программных агентов или создания метакаталогов. Как отмечают в МТС, это помогло снизить нагрузку на администраторов, существенно сократить затраты на управление и аудит, улучшить поддержку пользователей.
Что касается опасений относительно появления единой точки отказа при реализации подобных систем централизованного управления, то в МТС полагают, что такие риски минимальны, так как всегда остается возможность обхода системы за счет организации нескольких точек входа и независимого использования отдельных подсистем управления идентификацией в случае сбоя.
РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ
Все чаще подразделения ИБ отвечают и за «непрерывность бизнеса» и за обеспечение работы сервисов ИТ. Методология оценки риска применима как к непрерывности работы систем ИТ, так и к конфиденциальности и защите информации. Примеры CA, где управление хранением данных и ИБ считают двумя важнейшими сегментами, тесно связанными друг с другом, и Symantec, ставшей после покупки Veritas в 2005 г. крупнейшим поставщиком решений защиты информации, подтверждают, что идея взаимосвязанности процессов обеспечения защиты, безопасности и доступности данных получила признание в отрасли. Однако при этом возникает проблема разделения ответственности между подразделениями ИТ и ИБ. Многие убеждены, что ответственность за восстановление ресурсов ИТ должны нести сотрудники, которые их обслуживают, а не подразделение безопасности. По мнению других, именно отделу ИБ следует заниматься сохранением важных для бизнеса информационных активов, а также их защитой от любых угроз (случайных или преднамеренных воздействий) — такой подход предусматривается в стандарте ISO/IEC 27001, вменяющем в обязанность подразделению ИБ наблюдение за всеми этими процессами.
Борис Симис полагает, что нештатные ситуации выходят за рамки компетенции подразделения ИТ — это сфера ответственности отдела ИБ и консалтинговой группы обеспечения непрерывности сервисов ИТ, которая отвечает за планы аварийного восстановления и собирает информацию об управлении рисками. Исходя из опыта, эксперты считают, что наиболее жизнеспособная схема заключается в таком разделении полномочий между подразделениями ИБ и ИТ, когда первое играет организующую роль и отвечает за методологию, инициирует процессы оценки рисков и анализа возможных ущербов для бизнеса, а второе, обеспечивающее работоспособность информационных технологий, вовлекается в процесс позднее. Причем обычно подразделение ИБ входит в подразделение ИТ, а не наоборот. Грамотное управление рисками, умение правильно оценить их и определить потенциальные потери дает значительное конкурентное преимущество.
Однако в разных компаниях существует разная организационная структура, и чаще всего разделение полномочий зависит от того, как ситуация оценивается руководством. Иногда подразделение ИБ входит в отдел контрольно-ревизионных служб или работает в качестве независимой структурной единицы. Каждый вариант имеет свои достоинства и недостатки. В любом случае отдел ИБ должен оставаться в рамках своей компетенции. В «Вымпелкоме» пошли по пути организационной интеграции: обеспечение непрерывности ИТ отнесено к сфере ИБ. Через Help Desk незначительные проблемы решаются напрямую, а инциденты, касающиеся ИБ, фиксируются и передаются в соответствующие службы; при этом ведется специальная база данных инцидентов. Отдел обеспечения непрерывности бизнеса отвечает и за поддержку систем безопасности.
Многие заказчики предпочитают поручать разработку концепции построения системы информационной безопасности системным интеграторам, специализирующимся в этой области. Однако большинство считает, что эксплуатировать ее нужно самим. Между тем компаниям не всегда хватает на это собственных ресурсов. В таком случае можно подумать об аутсорсинге — эта тема активно обсуждается вот уже почти четыре года. Во всем мире аутсорсинг ИБ как особый вид бизнеса составляет лишь малую долю рынка аутсорсинга в целом, однако на волне растущей популярности этих услуг, многие компании проявляют к нему интерес. Целесообразно ли отдавать обеспечение ИБ на аутсорсинг?
ОБРЕЧЕННЫЙ АУТСОРСИНГ
Еще три года назад «Ассоциация защиты информации» прогнозировала ежегодный рост отечественного рынка аутсорсинга ИБ на 25% до 2007 г. Однако до сих пор вопрос передачи функций ИБ стороннему подрядчику остается открытым. Многие считают, что данный рынок находится в зачаточном состоянии, тем более что количество клиентов исчисляется единицами. Хотя он уже более зрелый, чем год-два назад, компании предпочитают не тратиться на это, а без понимания заказчиком их насущной необходимости такие услуги продвигать нельзя.
Безопасность предполагает прежде всего доверие. Однако коммерческие структуры предпочитают самостоятельно защищать свои данные доступными им способами. Если охрану зданий и физическую безопасность они «отдают на аутсорсинг» с готовностью, то в ИБ ситуация совершенно иная. Информация имеет более критичное значение для бизнеса, чем физический доступ. Для передачи сторонней организации такого ценного ресурса рынок пока не созрел. К тому же операторы и клиенты не защищены законом, например, в случае утечки данных.
Услуги аутсорсинга ИБ, предлагаемые оператором связи для своих клиентов, могут включать мониторинг активности средств защиты периметра сети (межсетевые экраны, системы обнаружения и предотвращения атак), анализ трафика Internet (фильтрация URL, антиспам и антивирусная защита), а также услуги SSL VPN и управления аутентификацией. Фильтрация трафика Web провайдером (позволяющая клиенту получать «чистый трафик») является одной из наиболее перспективных услуг. По оценкам Кирилла Викторова, руководителя группы внедрения отдела программных решений Jet Infosystems, за три года прибыль от такого решения примерно вдвое превысит затраты на него, а стоимость услуги составит 10% от стоимости доступа в Internet. Однако настойчивые доводы операторов пока не находят понимания у заказчиков.
Экономия — не главная выгода услуг аутсорсинга ИБ, да к тому же и достигается не всегда. Однако дороговизна, неэффективность, отсутствие конкурентных предложений — все это мешает их развитию. Тем не менее, рынок обречен на аутсорсинг ИБ, поскольку для обеспечения должного уровня информационной безопасности просто не хватит специалистов. По мнению Кирилла Викторова, начальника департамента программных продуктов Jet Infosystems, компании готовы тратить на ИБ уже не 10% бюджета ИТ, а даже 15% и более.
Для компаний телекоммуникационной отрасли (операторов связи, провайдеров услуг) комплексные интегрированные системы ИБ обеспечивают защиту сетевой инфраструктуры и позволяют предлагать клиентам дополнительные услуги. В области ИБ специализируется около десятка крупных российских системных интеграторов, перенимающих зарубежный опыт и совершенствующих собственные подходы и методологии. Усложнение и укрупнение информационных систем в больших компаниях, изменение характера угроз, интеграция России в международную экономику и предстоящее вступление в ВТО — эти реалии сегодняшнего дня требуют, чтобы методы хранения и использования информации были приведены в соответствие с международными нормами и подкреплены международными сертификатами. А значит, необходимо решать новые технические и организационные задачи обеспечения ИБ, включая защиту телекоммуникационных сетей и информационных активов для обеспечения непрерывности бизнеса и информационной безопасности клиентов.
Сергей Орлов — обозреватель «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.