Илья Медведовский: «Информационной безопасностью заниматься придется. И лучше делать это рано, чем поздно»

В начале мая в Ташкенте прошел семинар «Практическое применение международного стандарта управления информационной безопасностью ISO 17799 и Анализ рисков информационных систем компаний». Его вел автор методики, кандидат технических наук, исполнительный директор компании Digital Security (РФ, Санкт-Петербург) Илья Медведовский. Подробнее о содержании семинара можно прочитать здесь. А мы попросили г-на Медведовского ответить на некоторые вопросы по теме.

Илья Давидович Медведовский, 33 года, образование – Санкт-Петербургский технический университет, факультет технической кибернетики. Директор компании Digital Security (РФ, Санкт-Петербург), кандидат технических наук. Автор серии книг «Атака на Интернет», «Атака через Интернет», «Атака из Интернета», автор более 40 статей в печатных изданиях (BYTE/Россия, LAN, Открытые Системы, ИнфоБизнес, Системы безопасности).

- Есть ли смысл в том, чтобы не проводить сертификацию, но все же обратиться к консультантам по повышению информационной безопасности?
- Сертификация по международному стандарту менеджмента безопасности дает компании следующие преимущества:
Во-первых, если компания провела сертификацию своей системы информационной безопасности, это показатель ее репутации и надежности. Соответственно, растет ее капитализация на рынке, улучшается отношение клиентов и бизнес-партнеров.
Во-вторых, компания получает эффективную, надежную и прозрачную систему информационной безопасности; а менеджмент компании получает гарантию третей стороны (аудитора), что безопасность компании находится на уровне, соответствующем лучшим международным практикам.
Отвечая на ваш вопрос – да, возможен и такой путь – не проводя официальную процедуру сертификации, привлечь внешних консультантов для аудита и в дальнейшем следовать их рекомендациям. Хотя в этом случае можно говорить только о повышении текущего уровня защищенности – на капитализацию, репутацию компании это не влияет, так как отсутствует формальный сертификат.

- Что вы посоветуете небольшим фирмам, которые не могут позволить себе оплату услуг консультанта, но, тем не менее, хотели бы добиться повышения уровня своей информационной безопасности?
- Читать сам стандарт – желательно в оригинале! Его ценность – в едином подходе к управлению безопасностью, основанном на оценке рисков, который применим и к небольшой и к крупной компании. Стандарт ISO 17799/ISO 27001 не диктует жестко, как надо поступать, он лишь определяет основные требования к системе управления безопасностью. Из рекомендованного ISO 17799 набора мер защиты каждая организация может выбрать те, что соответствуют специфике ее деятельности и ценности той информации, которой она владеет.

- Допустим, компания все же пошла на значительные расходы по созданию и сертификации своей системы управления информационной безопасностью. Но это ведь не является 100% гарантией от угроз?
- Конечно, и никто не даст вам такую гарантию. Цели управления системой информационной безопасности: во-первых, свести вероятность происшествий до приемлемого уровня; во-вторых, создать механизмы адекватного реагирования и восстановления. Угрозы будут всегда. Но, например, существует статистика Gartner Group согласно которой при возникновении инцидентов стоимость акций тех компаний, у которых не существовало плана непрерывного ведения бизнеса, сильно снижается и до первоначального уровня не восстанавливается. Акции же компаний, имеющих данный план, сначала также падают, но в результате предусмотренных заранее мероприятий не только быстро возвращаются к первоначальному уровню, но и превышают его.

- Из того, что было сказано на семинаре, можно сделать вывод, что значительную роль в повышении уровня защищенности компании играет аудит информационной безопасности. Если проводить аналогию с финансовым аудитом – лицензируется ли деятельность по ИТ аудиту? Какие фирмы могут его проводить? По каким критериям?
- В РФ пока не существует ни законодательного регулирования этого вида деятельности, ни установленных стандартов по аудиту. В идеале на выходе аудиторской проверки безопасности информационной системы заказчик должен иметь комплексный отчет о состоянии ИС с описанием потенциальных угроз (организационных и технологических), анализом рисков, оценкой стоимости информации и рекомендациями по повышению защищенности до приемлемого уровня. Определение этого уровня тоже входит в задачу консультантов, разумеется, по согласованию с руководством компании. Сегодня нет иного подхода к безопасности, кроме как в терминах рисков и вложений – сколько стоит ваша информация и сколько необходимо потратить на ее защиту.

Что же касается рынка этого вида услуг, то он очень узкий и закрытый. Это рынок репутаций, в нем действует небольшое число – может быть чуть более десяти компаний, которые можно разделить на три группы.

Первая – это крупнейшие международные консалтинговые фирмы. Специализируются на финансовом аудите, но в состав услуг входит и аудит безопасности, который проводится в течение одного дня по их внутренним стандартам, в форме опроса сотрудников компании-заказчика.

Вторая группа – интеграторы, поставщики готовых решений. Это могут быть или классические ИТ-интеграторы, или специализированные интеграторы в области ИБ (которых на рынке единицы). Минус любого интегратора при проведении аудита – нарушение принципа независимой третьей стороны. Его рекомендации по повышению уровня безопасности могут зависеть от того, какие конечные решения он считает для себя выгодным затем предложить заказчику.

И, наконец, третья группа – небольшое число консалтинговых компаний, специализирующихся именно на аудите информационной безопасности. Например, наша компания использует собственную методику, которая практически совпадает с методикой проведения аудита информационной безопасности Агентства Национальной Безопасности США (АНБ). При построении модели угроз и проведении анализа информационных рисков мы применяем методологию анализа информационных рисков ГРИФ. Тесты на проникновение мы проводим по собственной оригинальной методике, созданной на основе методик OSSTM (Open-Source Security Testing Methodology) и NIST.

- Судя по тому, что вы уже второй раз проводите семинар в Узбекистане, считаете ли вы наш рынок перспективным для своих услуг?
- Мы всегда стараемся мыслить стратегически. Ваш рынок нам интересен. У вас в стране не так уж мало крупных компаний, для которых вопросы информационной безопасности должны находиться в числе приоритетных. Эффект от внедрения системы управления информационной безопасностью подсчитывается просто – какие активы могут быть потеряны, если произойдет нарушение безопасности. Поэтому я не считаю, что наши услуги не будут востребованы на узбекском рынке. Ваши компании не могут развиваться изолированно от мирового сообщества, а значит, информационной безопасностью заниматься придется. И лучше делать это рано, чем поздно.

Соб. инф.