100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №38 "Чужие специалисты по защите лучше своих"08.05.2009 10:11
Подобный материал:
1   ...   24   25   26   27   28   29   30   31   ...   69

Миф №38 "Чужие специалисты по защите лучше своих"08.05.2009 10:11


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Есть известная поговорка «Нет пророка в своем Отечестве» и информационная безопасность, как нельзя лучше, иллюстрирует ее. Компании очень часто обращаются к услугам внешних консультантов в области информационной безопасности. И дело тут не только в банальной нехватке ресурсов или квалификации, которая является основной причиной обращения к аутсорсингу ИБ. Именно внешний консультант часто считается независимым и видящим то, на что собственная служба ИБ закрывает глаза или просто не видит по уже названной причине отсутствия времени и опыта. И, конечно же, внешний консультант незаменим при формировании рекомендаций, под которые затем будут выбиваться бюджеты на информационную безопасность. Но так ли уж хорош внешний консалтинг? Стоит ли к нему прибегать?

Из названных 4-х причин (нехватка времени, отсутствие квалификации, независимость и влияние), пожалуй, только нехватка времени не вызывает никаких вопросов. Задач перед службой ИБ стоит много, а кадров не хватает (нередки ситуации, когда безопасностью занимаются 2-3 человека на организацию с сотнями и даже тысячами сотрудников и компьютеров) и набирать их никто не дает. Единственный вариант - пригласить внешнюю компанию, которая возьмет на себя различные задачи, например, разработку нормативной документации, проведение аудита и т.д.

С отсутствием квалификации уже не так все однозначно. Да, у вас ее может не быть. Но есть ли она у внешних специалистов? Это очень большой и непростой вопрос. На конференции РусКрипто 2009, Михаил Хромов из Лукойл-Информа привел такое определение консалтинга ИБ - «это такая форма ауторсинга, при которой дизайн системообразующих процессов определяют специалисты, понимающие в бизнесе и «внутренней кухне» организации меньше ее собственных сотрудников».

И я склонен согласиться с такой постановкой задачи. Разумеется, есть множество ситуаций, когда внешний специалист разбирается в безопасности лучше, своих. Речь идет о настройках каких-либо средств защиты, о разработке регламентов, легитимных с точки зрения российских регуляторов, о реагировании на инциденты или проведении аудита системы безопасности. Но это все типичные процессы, которые не имеют никакой отраслевой или прикладной специфики. Стоит только подняться с уровня инфраструктуры на уровень бизнеса, как мы сталкиваемся с тем, что внешний консультант уже не разбирается в сути защищаемых им процессов. Возьмем, к примеру, рекомендацию внешнего консультанта об установке в поликлинике генераторов шума и иных систем блокирования утечек по электромагнитным излучениям и наводкам (ПЭМИН). С точки зрения отечественного законодательства это вполне реальная рекомендация для защиты персональных данных (а данные о здоровье относятся к особо охраняемой категории информации). Но учитывал ли внешний консультант, предложивший такую рекомендацию, что в поликлинике есть рентгенографический кабинет и активно используются приборы холитеровского мониторирования, на работу которых могут негативно повлиять средства ПЭМИН?

Другой пример - система дистанционного банковского обслуживания, для защиты которых от мошенничества предлагаются различные системы отражения атак, многофакторной аутентификации, электронной цифровой подписи, шифрования, межсетевые экраны прикладного уровня и т.д. и т.п. С точки зрения специалиста по безопасности все эти средства нужны и важны, но... нельзя забывать и про специфику банковской отрасли. Например, как мобильный телефон, с которого осуществляется доступ к Интернет-банку, заставить общаться по удовлетворяющим законодательству механизмам криптографической защиты и ЭЦП? Обычный мобильный телефон просто не позволит решить такую задачу - у него нет ни технической возможности поставить нужное ПО, ни его ресурсов не хватит для данной задачи. А вот тематика профилирования поведения банковских клиентов у нас совершенно не развита, а ведь это существенно усложнит мошенникам их деятельность. Я уже не говорю про такие темы, как защита ERP, SCADA, SCM и т.п., которые пока выпадают из внимания специалистов ИБ, но очень востребованы заказчиками.

С независимостью тоже не все в порядке. Если «большая четверка» и просто консалтинговые компании действительно могут считаться независимыми, то многих российских ИБ-интеграторов, одновременно предлагающих и услуги и продукты конкретных вендоров, независимыми называть не получается. Разработав рекомендации по устранению тех или иных недостатков, та же компания рекомендует купить технические решения, не всегда подходящие для устранения выявленных проблем, но зато продаваемые этим же интегратором. Одно дело, когда консалтинг является дополняющим или способствующим продажам продуктов производителя. И совсем другое дело, когда консалтинг преподносится как вендор-независимый.

С влиянием же ситуация и вовсе парадоксальная. Не имея собственного влияния в компании, служба ИБ пытается его получить за счет внешнего консультанта, становясь его заложником. Тем самым собственные специалисты по безопасности попадают в замкнутый круг, который не позволяет им сконцентрироваться на демонстрации собственной ценности для бизнеса, компании и ее подразделений. Хотя надо заметить, что и внешние консультанты по ИБ (исключая, может быть, «большую четверку») очень редко когда обладают достаточным влиянием на руководство своего заказчика. И чем крупнее заказчик, тем меньше влияния у российского консультанта.

 

К чему мы пришли? Внешний специалист по безопасности - это не панацея от всех бед и не способ решения всех стоящих перед службой ИБ задач. У аутсорсинга есть своя область применения и свои ограничения, которые надо четко понимать и взвешивать, прежде чем обращаться к его помощи. Какими требованиями должен обладать внешний специалист по безопасности, к которому можно обратиться за помощью? Их немного, но за каждым скрывается целый пласт следствий и особенностей. Во-первых, внешний специалист должен обладать не просто квалификацией в области ИБ, а именно отраслевой экспертизой. Причем в течение достаточно большого промежутка времени. Во-вторых, внешний специалист должен быть действительно независимым (если мы говорим о консалтинге). Сегодня таких компаний на российском рынке практически нет и каждый «консультант» старается до кучи продавать еще и какие-то программные (как правило) или программно-аппаратные решения по безопасности. Можно с высокой степенью вероятности предположить, что именно эти решения и будут предлагаться им в качестве решения обнаруженных им же проблем. В-третьих, не стоит полностью полагаться на решения и рекомендации внешнего специалиста. Не он, а вы отвечаете за безопасность своей компании. И именно вы будете отвечать, если что-то пойдет не так. Поэтому внешний специалист может привлекаться для сбора информации или подготовки решения, но право принятия этого решения должно оставаться за вами. И, в-четвертых, надо четко понимать области, в которых сейчас имеет смысл привлекать внешних специалистов в России. К их числу можно отнести:

· Обучение по ИБ.
· Аудит, обследования, тесты на проникновения, анализ защищенности и иные способы оценки соответствия каким-либо требованиям или стандартам.
· Разработка организационно-распорядительной документации в области безопасности, требуемая отечественными и международными регуляторами.
· Различные НИОКР по ИБ (выбор системы защиты, разработка правил корреляции и т.п.).

Остальные направления аутсорсинга ИБ в России пока не так развиты, как хотелось бы, и найти достойного партнера не так то просто. А учитывая отсутствие достаточного количества игроков этого рынка и отсутствие конкуренции, говорить о качественном уровне услуг аутсорсинга пока рановато.