Мостик от продуктов и решений к сервис-ориентированному предоставлению услуг

Рынок услуг в сфере информационной безопасности демонстрирует сегодня неплохие показатели. По оценкам CNews, сегмент услуг в сфере ИБ в 2006 г. вырос на 12% по сравнению с показателями 2004 г. и составил 34% общего объема выручки рынка ИБ. Данный факт является вполне закономерным, так как если рассматривать в качестве примера рынок ИТ, то в нем миграция в сервисы началась гораздо раньше. Основной причиной стало уменьшение прибыли чистой дистрибуции. Заказчики выдвигают все более сложные требования в связи с усложнением бизнес-процессов и осознанием важности такого корпоративного ресурса, как информация. В свою очередь, ИТ-компании предлагают клиентам необходимый ряд сопутствующих услуг — консалтинг, проектирование, аутсорсинг. Рассмотрим более подробно основные причины смещения акцента с продуктов и решений на услуги.

Рынок услуг в сфере информационной безопасности демонстрирует сегодня неплохие показатели. По оценкам CNews, сегмент услуг в сфере ИБ в 2006 г. вырос на 12% по сравнению с показателями 2004 г. и составил 34% общего объема выручки рынка ИБ. Данный факт является вполне закономерным, так как если рассматривать в качестве примера рынок ИТ, то в нем миграция в сервисы началась гораздо раньше. Основной причиной стало уменьшение прибыли чистой дистрибуции. Заказчики выдвигают все более сложные требования в связи с усложнением бизнес-процессов и осознанием важности такого корпоративного ресурса, как информация. В свою очередь, ИТ-компании предлагают клиентам необходимый ряд сопутствующих услуг — консалтинг, проектирование, аутсорсинг. Рассмотрим более подробно основные причины смещения акцента с продуктов и решений на услуги.

Насыщение пользователей техническими (программными, аппаратными, программно-аппаратными) средствами защиты информации. Сейчас потребителями приобретено достаточно средств для решения любых по объему и сложности задач в сфере информационных технологий, в том числе для обеспечения целостности, доступности и конфиденциальности обрабатываемой информации. Но это вовсе не означает, что продукты не будут продаваться. Во-первых, насыщенность рынка в целом — это «средняя температура по больнице», и конкретный потребитель всегда будет в чем-то нуждаться. Во-вторых, меняется уровень технологий, появляются новые угрозы, которые потребуют новых технических средств обработки, хранения и защиты. В-третьих, на рынок все сильнее влияют регуляторы.

Сегодня можно наблюдать переход от защиты процессов и сегментов к концепции защиты бизнеса. Чтобы быть эффективной, защита должна быть комплексной, основанной на оценке и анализе рисков, нацеленной, в первую очередь, на повышение устойчивости бизнес-процессов и снижение рисков. Кроме того, она должна быть гибкой и управляемой. Именно такое понимание порождает очевидную потребность не только в программно-аппаратных средствах, но и в целом ряде сопутствующих услуг.

Соответствие требованиям государственных и отраслевых регуляторов, требованиям внутренних политик. Модное слово compliance у всех на слуху, что неудивительно. Сегодня компании стремятся выполнять не только собственные, прописанные в политиках требования безопасности, но и требования государственных и отраслевых регуляторов. Соответствие требованиям законодательства и регуляторов — на первом месте в списке приоритетов организаций. Если говорить о подготовке к соответствию требованиям регуляторов, то теоретически можно это сделать и самостоятельно — требования лежат в открытом виде, и существуют рекомендации по их выполнению.

Осознание полезности применения «лучших практик». В сфере информационной безопасности лучшими практиками является серия стандартов ISO 2700X, точнее, стандарт ISO/IEC 27002:2005 (ISO/IEC 17799:2005) «Информационные технологии. Методы обеспечения безопасности. Правила управления информационной безопасностью». Данный стандарт представляет собой подробное руководство, в котором прописаны практически все составные элементы обеспечения ИБ и процедуры управления ею. Много полезного можно найти и в ITIL и COBIT. В первом описывается сервисный подход к предоставлению информационных услуг и построение информационных систем, во втором — рекомендации по повышению эффективности управления как информационными технологиями в целом, так и информационной безопасностью.

Опишем основную логику и последовательность услуг по ИБ, которые должны быть реализованы.

Оценка. Основная цель любой оценки — получение экспертного заключения о состоянии объекта или процесса. Когда мы говорим об оценке с точки зрения информационной безопасности, то подразумеваем проведение тех или иных работ, конечной целью которых является предоставление клиенту объективной информации о том, какие проблемы в области обеспечения ИБ существуют в компании, а также выдачу рекомендаций по решению выявленных проблем, приоритезацию работ в зависимости от их критичности, оценку сроков реализации и предполагаемой стоимости работ. Одним из примеров работ, по результатам которых можно судить об уровне защищенности компании, являются инструментальные сканирования с помощью специализированных программных средств и тесты на проникновение. В результате сканирований осуществляется обнаружение потенциально опасных уязвимостей в конфигурации и настройках оборудования и программных средств информационной системы. Данная процедура достаточно проста в исполнении, но и по ее итогам заказчик получает лишь общий срез состояния системы с точки зрения ее безопасности. Для оценки защищенности может использоваться и тест на проникновение, который представляет собой моделирование действий хакера по проникновению в информационную систему компании, позволяет обнаружить уязвимости в защите сети и осуществить показательный взлом. Результаты этих процедур помогают изучить и оценить фактический уровень безопасности, выявить возможные каналы несанкционированного доступа к ресурсам информационной системы компании с целью нарушения процесса ее функционирования или воздействия на ресурсы.

Разработка концепции ИБ, стандартов, политик и регламентов. Если по каким-то причинам такие документы в компании отсутствуют, то их следует обязательно создать для того, чтобы процесс обеспечения ИБ был регламентирован, строился по единым правилам и с использованием единых или совместимых технических решений. Это особенно важно для территориально-распределенных компаний, холдингов и т. п. Разработанные документы должны эффективно применяться, персонал должен четко знать и соблюдать все их положения и требования.

Построение и внедрение процессов. Обеспечение ИБ в компании — это непрерывно протекающий процесс, который содержит в себе ряд подпроцессов. В них задействованы определенные сотрудники, выполняющие свои роли. Любой процесс, чтобы не быть хаотичным и неуправляемым, должен быть описан, а реализуемые в его рамках процедуры — регламентированы. Например, в рамках процесса управления инцидентами разрабатываются основные принципы управления инцидентами и мониторинга событий ИБ, устанавливается организационная структура, распределяются роли участников процесса и их ответственности, реализуются регламентация процесса и его интеграция с другими процессами управления ИБ. Кроме того, могут быть внедрены следующие процессы: управление доступом, управление уязвимостями, управление операционными рисками, обеспечение непрерывности бизнеса и восстановление после аварий, построение и внедрение режима коммерческой тайны, режима защиты персональных данных.

Проектирование и внедрение. Для решения проблем, связанных с обеспечением ИБ и автоматизацией внедренных процессов, нужно осуществить выбор необходимых технических средств защиты и интегрировать их в инфраструктуру, согласно разработанному техническому проекту. Важнейшую роль на этапе внедрения играет выполнение настроек. Любые, даже самые лучшие, средства бесполезны и даже мешают работе, если настроены они неправильно. А правильная настройка возможна только при наличии опыта, которого при первом внедрении у заказчика нет. Следовательно, надо привлекать стороннюю компанию.

Сопровождение, техническая поддержка, аутсорсинг. Средства защиты требуют технической поддержки, регулярных обновлений, устранения возникающих в их работе сбоев. При смене или апгрейде платформы (аппаратной части и ОС) необходимо обеспечить корректную миграцию приложений. Если имеется в виду не какое-то отдельное средство защиты, а сопровождение системы, то здесь речь идет о других категориях, например обязательствах по срокам восстановления системы, срокам реагирования и частоте выездов представителей сопровождающей компании к клиенту. Возможен вариант постоянного нахождения сотрудника сопровождающей компании на территории клиента. Аутсорсинг может использоваться в ситуации, когда клиент не располагает достаточным количеством специалистов по поддержанию процесса функционирования системы ИБ и ее составляющих. В данном случае наиболее рутинные и трудоемкие задачи по мониторингу средств защиты могут быть переложены на стороннюю организацию.

Обучение. Обучение и повышение квалификации сотрудников — основные составляющие успеха любого процесса. Ответственные за функционирование новых систем и процессов сотрудники должны быть обучены работе с ними. Немаловажным моментом является и общее повышение осведомленности сотрудников организации в вопросах обеспечения безопасности. Как показывает печальная статистика, в среднем 70% внутренних инцидентов ИБ происходят по вине работников компании, треть происшествий — результат умышленных действий, остальное — следствие халатности и незнания основ информационной безопасности.

Сегодня на рынке существует немало компаний, готовых оказывать услуги в области информационной безопасности. Большинство из них фокусируется на предоставлении той или иной определенной услуги либо небольшого набора услуг, позволяющих закрыть только точечные участки, что, например, для крупных компаний явно недостаточно и, более того, неэффективно. Но на рынке присутствуют и другие игроки. Их намного меньше, но в силу своего опыта и имеющихся ресурсов они имеют возможность предоставить клиенту необходимый комплекс услуг по ИБ, оптимально подобранный под его особенности и потребности, позволяющий наиболее эффективно реализовать построение надежной защиты.

Виктория Шахова, Наталья Зосимовская, при содействии с www.cio-world.ru

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.