Rena TimirgaleevaКогда компания достигает определенных успехов в своем бизнесе, возникает реальная угроза ее информационной безопасности и непрерывности бизнеса, связанной с интересом, который к ней начинают проявлять конкуренты. Данные аспекты не только определяют актуальность защиты информации, но и становятся важнейшей частью формирования современной системы безопасности и непрерывности бизнеса. Этот вопрос особенно актуален в период информационной эпохи, которая активными темпами сменяет постиндустриальную эпоху. Технологическую революцию переживает весь мир, что заставляет компании отвечать на ее вызовы [1–7]. Совершенно очевидно, что для успешного противодействия угрозам информационной безопасности и непрерывности бизнеса необходимо, прежде всего, понять основу данного явления, а затем – искать пути решения.
Данные аспекты определили актуальность и цель исследования, которая заключается в выявлении проблем обеспечения информационной безопасности и непрерывности бизнеса и поиске возможных направлений их решения.
Как показало исследование рассматриваемой проблемы, современный бизнес не может существовать без информационных технологий [8, 9]. Общеизвестный факт, что около 70% мирового совокупного национального продукта определенным образом зависит от информации, которая хранится в информационных системах. Ни у кого не вызывает сомнения и тот факт, что повсеместное внедрение компьютеров кроме безусловного удобства привело к серьезным проблемам, одной из которых является проблема защиты информации и обеспечения безопасности бизнеса.
Говоря об отечественном бизнесе в данном аспекте, отметим, что в России, к сожалению, не проводятся исследования, направленные на выявление нарушений информационной безопасности бизнеса. Связано это с тем, что компании, пострадавшие от хакерских атак, стараются не афишировать данные факты, а это не позволяет выявить несанкционированные проникновения в их информационные сети.
Вместе с тем из появляющихся в средствах массовой информации данных по этой проблеме следует, что имеется большое разнообразие слабых точек в защите информационных атак [10–12]. Кроме того, хакерами часто выступают люди, не имеющие даже специального образования в данной сфере.
Итак, прежде всего, необходимо определиться с тем, какая именно информация может представлять интерес для конкурентов. Важность решения данной задачи заключается в том, что от ее решения зависит эффективность формируемой системы защиты безопасности и непрерывности бизнеса. В данном аспекте необходимо провести SWOT-анализ бизнеса, который позволит выявить конкурентные преимущества, представляющие интерес как для собственного бизнеса, так и для конкурентов [13]. При этом необходимо учесть, что в качестве конкурентных преимуществ могут быть технологии, схемы движения финансовых и материальных потоков, стратегии развития, новые продукты, персонал, клиенты, партнеры и т. д.
Кроме того, нужно учесть, что данная деятельность будет иметь смысл только в том случае, если информация, которую следует защищать, представляет действительный интерес со стороны конкурентов и усилия по ее защите будут экономически целесообразны.
Также необходимо выявить, какую информацию, в каком объеме, с какой периодичностью и в каком виде все-таки нужно представлять во избежание других негативных последствий, среди которых наиболее серьезные – появление недоверия со стороны контактной аудитории (потребители, партнеры, органы государственного управления и регулирования, деловая среда бизнеса, инвесторы).
Что касается выявления лиц и организаций, для которых представляет интерес информация о бизнесе, то здесь следует отметить, что основную опасность для бизнеса с точки зрения обеспечения его информационной безопасности представляют именно конкуренты, стремящиеся завоевать как можно большие объемы рынка [14, 15]. Также необходимо отдельное внимание уделить таким элементам безопасности и непрерывности бизнеса, как возможность уничтожения и искажения информации, копирование конфиденциальной информации, закрытие или ограничение доступа к информации, необходимой компании, несанкционированный доступ к ней и т. д.
Отдельно следует учесть тот факт, что в компаниях малого и среднего бизнеса до сих пор вопросы защиты информации и непрерывности бизнеса решаются в рамках автоматизации деятельности и не выделяются в отдельное направление [16]. При таком подходе в данных компаниях ИТ-руководители одновременно отвечают и за информационную безопасность. Кроме того, не все подобные компании имеют ИТ-руководителей в своей организационной структуре.
Исследование позволило выявить два наиболее актуальных вопроса, решение которых оказывает непосредственное влияние на реализацию проектов компаний, направленных на обеспечение информационной безопасности и непрерывности бизнеса:
- стоимость необходимых продуктов и услуг;
- сохранение бюджета на безопасность.
За последние три года стоимость необходимых продуктов и услуг выросла в среднем на 10–20% в основном за счет роста цен по отрасли на программное обеспечение. Вместе с тем имеет место и тот факт, что продавцы ИБ-продуктов (защищенные с точки зрения требований информационной безопасности продукты) практикуют гибкую ценовую политику, когда цена регулируется исходя из бюджета и потребностей конкретного заказчика. Такой гибкий подход позволяет продавцам ИБ-продуктов удерживать приемлемый для себя уровень прибыльности и сохранять рыночную долю.
С другой стороны, повышение стоимости ИБ-продуктов заставило заказчиков изменить и собственный подход к выбору конкретных управленческих решений, направленных на обеспечение информационной безопасности и непрерывности бизнеса. Так, в каждой пятой компании увеличились сроки реализации ИБ-проектов, а также удлинился процесс выбора ИБ-продуктов. При этом 14% заказчиков начали в обязательном порядке тестировать решения до их приобретения, чего раньше не практиковалось.
11% компаний стали заказывать пилотный проект, позволяющий заказчикам либо убедиться в правильности сделанного выбора, либо сравнить несколько предлагаемых рынком продуктов. Основное преимущество пилотного проекта заключается в том, что он, как правило, является бесплатным для заказчика. Кроме того, специалисты компании-заказчика имеют возможность в максимальной степени познакомиться с возможностями внедряемых ИБ-продуктов, осваивают и настраивают их под собственную инфраструктуру. Они также могут отказаться с минимальными негативными последствиями от эксплуатации тех ИБ-продуктов, которые не отвечают требованиям. Также специалисты компании имеют возможность оценить соответствие ИБ-продуктов техническому заданию и собственным ожиданиям, они понимают и оценивают удобство пользования системой.
Следует отметить, что за несколько последних лет изменились критерии выбора ИБ-продуктов в двух направлениях:
- компании-заказчики стали больше внимания уделять локализации. Несмотря на отсутствие прямого запрета на поставку иностранных решений, отечественные разработчики оказываются в более выгодной ситуации;
- предметом более вдумчивого изучения для компании-заказчика стала стоимость решения. При этом речь идет не о «прайсовой стоимости», а о совокупной стоимости владения (ТСО – Total Cost of Ownership).
Со своей стороны отметим важность именно стоимостного подхода к выбору решения. Но несмотря на это большинство компаний-заказчиков не используют не только стоимостную оценку, но и еще одну такую важную метрику, как ROI (return of investment – окупаемость инвестиций), которая, кроме прочего, учитывает еще и эффективность закупаемого ИБ-продукта.
Такое отношение к рассматриваемым метрикам со стороны компаний-заказчиков вызвано прежде всего тем, что между «прайсовой ценой» и ТСО разница достаточно большая.
Увеличение стоимости ИБ-продукта вызвано, с одной стороны, удлинением цепочки «разработчик – потребитель», а с другой – и тактикой самих разработчиков, которые делают цену привлекательной для заказчиков с одновременным увеличением платы за техническую поддержку, а также ограничивают срок действия лицензии. Такой подход со стороны разработчиков приводит к более высокой общей стоимости ТСО. Для иллюстрации вышеприведенной информации отметим, что, например, в сегменте DLP стоимость технической поддержки варьируется от 20–30% (большинство вендоров) до 50% годовой стоимости лицензий. При этом и стоимость технической поддержки разбивается также на части путем отделения стоимости работ по обновлению ИБ-продуктов и стоимости работ собственно на поддержку. Именно такой подход разработчиков к политике ценообразования на свои продукты и услуги, когда учитываются дополнительно услуги по установке, настройке решений и других работ, ведет к тому, что стоимость ТСО становится существенно выше первоначальной «прайсовой стоимости» ИБ-продуктов даже напрямую от разработчиков. Таким образом, с целью сокращения издержек и разработчики, и потребители стараются больше пользоваться прямыми каналами.
Не стоит оставлять без внимания такую проблему, как квалификация партнеров или отсутствие интереса с их стороны. Данное обстоятельство не позволяет внедрять действительно сложные решения корпоративного уровня. Еще одна важная проблема – политика финансирования информационной безопасности и непрерывности бизнеса компании. Исследование показало, что в целом большинство компаний не склонно сокращать расходы на ИБ в ущерб уровню информационной безопасности и непрерывности своего бизнеса.
Нельзя оставить без внимания и такой важный аспект, как кадры для обеспечения информационной безопасности и непрерывности бизнеса. Во многих компаниях ощущается нехватка квалифицированных кадров, а в некоторых компаниях вообще отсутствуют выделенные в организационной структуре ИБ-подразделения. Также проблематично найти качественного ИБ-специалиста с должным опытом и необходимым для соответствия должности образованием. Еще один важный момент, связанный с кадровым обеспечением, – конфиденциальность информации, к которой имеет доступ ИБ-специалист. Особенно данный фактор оказывает серьезное влияние в случае увольнения данных работников. Также значимой проблемой является увеличение объема работы ИТ-специалистов, вызванное несколькими объективными факторами, которые руководство компаний не берут во внимание, оценивая затраты на обеспечение информационной безопасности и непрерывности бизнеса:
- увеличение количества и качества угроз; нежелание руководства в целях экономии автоматизировать часть работ или отдавать их на аутсорсинг;
- усложнение и удлинение процесса выбора необходимых ИБ-продуктов и ИБ-услуг, что вызвано большим количеством предложений со стороны разработчиков;
- недостаточное количество сотрудников службы ИБ, за счет чего растет нагрузка на каждого из специалистов.
Отдельного внимания и соответствующего решения требует проблема сетевых средств обеспечения информационной безопасности и непрерывности бизнеса, которые можно рассматривать с позиции двух аспектов:
- сертификация средств криптографической защиты информации, обеспечивающих защиту всех каналов связи участников взаимодействия;
- сертификация межсетевых экранов, обеспечивающих защиту доступа к электронным сервисам информационных систем участников взаимодействия.
Особенно данная проблема касается необходимости обеспечения безопасности системы межведомственного электронного взаимодействия единой сети, объединяющей все федеральные и региональные информационные системы и обеспечивающей доступность государственных электронных услуг. При этом основные проблемы связаны с увеличением числа подключаемых систем. При этом следует отметить, что данная проблема порождена таким фактором, как стандартизация. Несмотря на попытки стандартизации, подключаемые системы бывают часто разными, что приводит к многочисленным проблемам в процессе их интеграции в единую сеть. Сложность решения данной проблемы заключается в том, что опыт решения нарабатывается фактически в действующей сети, что тормозит ее работу. Кроме того, в результате такого оперативного вмешательства снижается управляемость и надежность функционирования отдельных элементов системы. В итоге – реализованная архитектура сети, в которой центральный узел играет ключевую роль и участвует практически во всех этапах взаимодействия, становится очень уязвимым к отказам любых систем данного узла.
Кроме того, проблема усложняется за счет того, что по мере увеличения числа подключенных систем буквально в геометрической прогрессии растет количество обращений, обрабатываемых в единой сети. Это касается также расширения перечня информации, которая должна передаваться между организациями-участниками в электронном виде. Так, например, Распоряжением Правительства РФ от 29 июня 2012 г. № 1123р было определено уже 40 категорий сведений, подлежащих передаче через систему межведомственного электронного взаимодействия.
Для более реального осмысления сложности и масштабности данной проблемы отметим, что система межведомственного электронного взаимодействия сегодня включает 85 федеральных, 1300 региональных и 8600 муниципальных органов власти, а также более 1000 кредитных организаций, что в целом составляет более 12 тысяч участников с тенденцией роста их числа. Такое количество участников единой сети в итоге дает более 5 миллиардов запросов в год, которое также имеет тенденцию к активному росту.
Увеличение количества запросов ведет к увеличению числа обращений к системе, которое составляет в среднем более одного миллиона в час. Такое количество обращений и запросов оказывает негативное влияние на деятельность всех участников единой системы, приводит к более частому появлению нарушений в работе отдельных компонентов системы, и особенно ее центрального узла. Таким образом, мы видим, что данная проблема порождает новую – необходимость повышения надежности средств обеспечения информационной безопасности и непрерывности бизнеса, которой до сегодняшнего времени еще не уделяется необходимого внимания. А ведь решение данной проблемы может быть не самым сложным – необходимо предусматривать наличие резервных каналов связи, которые можно и нужно использовать не только при возникновении отказа основного канала, но и как превентивную меру – для балансировки нагрузки между каналами.
Также хорошим решением должно стать выявление приоритетных трафиков и управление полосой пропускания информации, проведение полномасштабного нагрузочного тестирования и проверка работы кластеров горячего резервирования устройств безопасности.
Отметим, что подобные работы по модернизации систем межведомственного электронного взаимодействия направлены на решение целого ряда важных задач, связанных с обеспечением информационной безопасности и непрерывности бизнеса:
- повышение надежности процессов электронного взаимодействия и пропускной способности единой системы;
- совершенствование механизмов контроля и мониторинга единых сетей;
- снижение трудозатрат на подключение новых элементов (компонентов) к единой системе.
Так, уже запланированы и определенным образом решаются вопросы перехода на геораспределенную архитектуру, в результате чего каждый узел системы способен замыкать на себя обслуживание части участников взаимодействия, сохраняя при этом информационную и функциональную целостность единой системы.
Рассмотренные проблемы являются наиболее существенными и требуют поиска соответствующих решений. Как видим, все выявленные методы защиты информации и непрерывности бизнеса следует условно разделить на такие большие группы, как технические, организационно-экономические и управленческие. Не вдаваясь в особенности технических методов, отметим, что в основе организационно-экономических и управленческих методов должны быть комплексные и экономически обоснованные программы обеспечения непрерывности бизнеса. При этом следует разделять бизнес-процессы компании: основные, которые ориентируются на производство продукции/услуг, представляют ценность для потребителя и обеспечивают получение дохода для компании; обеспечивающие, которые, по сути, являются вспомогательными и предназначены для обеспечения выполнения основных бизнес-процессов.