Евгений Климов несколько лет проработал начальником отдела информационной безопасности в крупных телекоммуникационных и горно-металлургических компаниях. Кроме того, он — вице-президент созданной в 2006 году ассоциации Russian Information Systems Security Professional Association (RISSPA), которая была создана для объединения профессионалов в области информационной безопасности (ИБ), обмена новыми идеями и опытом, повышения уровня квалификации ИБ-специалистов.
О своём опыте организации защиты информации в крупных российских компаниях и результатах деятельности RISSPA Евгений Климов рассказал научному редактору еженедельника PC Week/RE Валерию Васильеву.
PC Week: Какое место занимают сегодня ИБ-риски в российских компаниях?
Евгений Климов: Российский бизнес, как и международный, с каждым годом все более зависит от ИТ, которые все глубже проникают в бизнес-процессы, что, в свою очередь, порождает риски, связанные с защитой информационных ресурсов, т. е. с ИБ. По мере усиления ИТ-зависимости бизнеса растет значимость ИБ. Это относится к любой структуре (не только имеющей отношение к бизнесу), использующей ИТ. Руководители компаний самого высокого уровня со временем понимают это все лучше и диалог на темы ИБ стал проще и доступнее.
PC Week: А можно ли ИБ-риски как-то ранжировать в списке общих бизнес-рисков компании? Может, они не столь уж важны сегодня на фоне прочих, связанных с изменениями в экономической и политической обстановке или с природными катаклизмами, наконец?
Е. К.: Чтобы понять, какое место среди прочих занимают риски, связанные с ИБ, нужно знать, как бизнес-риски ранжируются в компании в целом, а это зависит от характера бизнеса. Например, Вы можете заранее сказать, какое место занимают финансовые риски в какой-либо конкретной компании?
PC Week: Предположу, что ведущее.
Е. К.: Почему же? В производственной компании ведущие позиции занимают производственные процессы и подразделения, соответственно, риски, связанные с производством, там на первом плане. А финансовый отдел обеспечивает их функционирование. Первое место занимают структуры, которые приносят компании деньги, поэтому и риски, связанные с непрерывностью их функционирования, важнее всех других — все остальные подразделения по отношению к ним являются обслуживающими.
PC Week: А может ли ИБ-служба занять позицию структуры, приносящей компании деньги, или это всегда обеспечивающее подразделение?
Е. К.: Если ИБ — профильная деятельность компании, это возможно. В целом ИБ связано с минимизацией возможных потерь. Определение рисков и их оценка — это лишь инструмент для принятия взвешенного решения о своевременных мерах по обеспечению непрерывности бизнеса.
Чтобы внедрять те или иные средства ИБ, нужно обосновать их необходимость. Проанализировав актуальные уязвимости и угрозы, ИБ-специалист оценивает связанные с ними риски. Разумеется, его оценки субъективны, но в любом случае он делает их с привлечением представителей других подразделений компании. С их участием оценивается и стоимость защищаемой информации.
В любой зрелой компании выделяется куратор направления ИБ из высшего топ-менеджмента, например заместитель генерального директора. Формируется рабочая группа, которая участвует в определении ИБ-рисков. Периодически она производит переоценку актуальности рисков и стоимости связанной с ними информации. Результаты работы группы предоставляют высшему руководству, которое на основе анализа рисков и плана их минимизации принимает решение о том, какой уровень рисков считать приемлемым на текущий период, и утверждает программу минимизации рисков. Такова классическая общепризнанная схема.
PC Week: А не порождает ли эта классическая схема в условиях нашей действительности так называемую “бумажную” ИБ? Ведь зачастую можно услышать, что бюджетирование ИБ в российских компаниях осуществляется по остаточному принципу и их ИБ-бюжеты раз в десять меньше, чем в компаниях из стран с развитой экономикой.
Е. К.: По остаточному принципу подразделения ИБ финансируют обычно там, где они подчиняются управлениям по ИТ и где, естественно, основной бюджет направляется на приобретение и поддержку “полезных” ИТ-систем, а на безопасность — что остается.
ИБ-служба должна быть независимой от ИТ. Например, аудиторы “большой четверки”рекомендуют в соответствии с лучшими мировыми практиками выделять ИБ в отдельное подразделение либо сделать её независимой от ИТ разными способами. Так, в банках ИБ часто относят к подразделению Сompliance (обеспечение соответствия нормативным требованиям), а у крупных телеком-операторов — к службе общей безопасности.
Когда подразделение ИБ становится административно независимым от ИТ, то и понятие финансирования по остаточному принципу пропадает. А в этой ситуации важную роль играют уже личные и профессиональные качества менеджера по ИБ, его умение эффективно провести (напомню, что обязательно с привлечением бизнес-подразделений) анализ ИБ-рисков и обосновать вложения в их минимизацию.
PC Week: Кто, на ваш взгляд, должен выступать движителем развития направления ИБ — бизнес, ИТ-специалисты, ИБ-специалисты, регуляторы?
Е. К.: По моему убеждению, движителем в области ИБ должно выступать государство. Почему, например, в США и Европе развито направление ИБ? Там очень строгие законы, которые регулируют эту область и обязывают каждую компанию иметь в штате специалистов, занимающихся вопросами ИБ. И все компании проверяются внешними службами на соответствие требованиям законов в области ИБ. Результаты таких проверок предоставляются партнерам, которые прекращают сотрудничество с компанией, усмотрев несоответствие регулятивным требованиям. В России ИБ в большинстве случаев бизнесу не интересна — он заинтересован лишь в получении прибыли.
PC Week: А как же упомянутые вами связанные с ИБ репутационные риски, потеря клиентов и партнеров?
Е. К.: В России клиенты и партнеры в таких ситуациях не убегают. Нет у нас реальных репутационных рисков. Можно вспомнить немало примеров, в том числе и опубликованной в СМИ информации об утечках данных, например, из телеком-компаний. Разве эти компании перестали после этого работать или у них резко сократилось количество клиентов?
PC Week: А причины этого в чем?
Е. К.: В нашем менталитете и порождаемых им последствиях. Попробуйте обратиться в суд и отстоять свои интересы в области защиты информации. Получится у вас сделать это с желаемым результатом? В настоящее время, уверен, нет.
PC Week: А в нашей стране кто реально является движителем развития направления ИБ?
Е. К.: У нас к государству добавляются еще эксперты из стран с развитой экономикой. Если в российской компании пытаются построить по-настоящему эффективную систему менеджмента, то делают это на основе лучших международных практик, в которые ИБ входит как обязательная составляющая. Кстати, создание такой системы во многом может изменить отношение к ИБ в компании.
PC Week: Вы довольно долго работали начальником отдела информационной безопасности. Как вы охарактеризовали бы главную стратегическую задачу человека, занимающего такую должность?
Е. К.: Стратегия руководителя ИБ-службы заключается в том, чтобы выстроить эффективную систему управления ИБ с минимальными затратами. При оценке эффективности ИБ нужно обязательно учитывать, что ИБ-служба в своей работе отталкивается от стоимости информационных активов и участвует в бизнес-процессах компании.
PC Week: А какие повседневные дела занимают основную часть рабочего дня начальника ИБ-отдела?
Е. К.: Система управления ИБ раскладывается на множество компонентов: парольную и антивирусную политику, политику установки обновлений, “чистых столов” и т. д. В рамках всех этих политик устанавливаются регламенты и процедуры их контроля, в соответствии с которыми составляется план-график работы ИБ-подразделения на месяц, полгода, год. В рамках этого плана и ведется текущая работа подразделения и его руководителя. Руководитель ИБ-службы ежедневно занят контролем выполнения операционных планов ИБ-отдела, составлением отчетности для высшего руководства, текущими ИБ-проектами.
PC Week: Как вы оцениваете уровень ИБ-зрелости российского бизнеса сегодня?
Е. К.: Исходя из опыта общения с представителями ведущих предприятий российского бизнеса, можно заключить, что с каждым годом ситуация в области ИБ в компаниях нашей страны улучшается. Под показателем зрелости я понимаю, в том числе, степень поддержки ИБ со стороны руководства, которое все больше осознает место и значение ИБ в структуре бизнеса. Это положительно сказывается и на бюджетах подразделений ИБ и на эффективности их деятельности. Вместе с тем мне известно немало примеров, когда в компаниях разного профиля об информационной безопасности не думали до тех пор, пока их с банковских счетов не исчезали крупные суммы денег. После чего сразу начинались поиски специалистов для организации деятельности служб ИБ в компании.
PC Week: Какие формы мероприятий по тематике ИБ вы считаете наиболее эффективными для российских заказчиков ИБ-продуктов?
Е. К.: Форма мероприятий в области ИБ может быть любой. Важно, чтобы участник и посетитель получал от них что-то полезное для себя. В последнее время все чаще слышу скептические отзывы: одни и те же доклады от одних и тех же докладчиков. Нужен некий контроль качества, ведь организаторы и спикеры должны быть заинтересованы в том, чтобы посетители захотели прийти на их мероприятие. Необходимы площадки для профессиональных дискуссий.
Во многом проводимые сегодня мероприятия в области ИБ не соответствуют запросам специалистов. На мой взгляд, в настоящее время они больше ориентированы не на потребности ИБ-заказчиков, а на освоение спонсорских средств. Это во многом связано с избалованностью заказчиков: у нас слабо реализуется принятая за рубежом практика платного участия в мероприятиях. В такой ситуации организаторам остается искать спонсоров, а те в свою очередь стремятся наполнить мероприятия своими докладами и вытеснить со спонсируемой площадки конкурентов. Представители заказчиков при этом получают информацию лишь о продуктах спонсора. Но эту же информацию они могут получить, пригласив специалистов вендора в свой офис.
Замечу, что появляются и исключения. В качестве примера приведу недавно прошедший форум Positive Hack Days. Там были действительно неангажированные некоммерческие доклады. В данном случае организатор форума — компания Positive Technologies — сама работает в том сегменте ИБ, которому был посвящен форум, это их бизнес, и она могла позволить себе инвестировать подобное мероприятие.
Между тем конкуренция в среде операторов ИБ-мероприятий за своих посетителей явно возрастает. Кстати, в начале июня состоится IV Межотраслевой форум директоров по информационной безопасности, где принимают участие и эксперты RISSPA.
PC Week: А в отношении этого форума каковы ваши ожидания?
Е. К.: За организаторов обещать не стану, но с нашей стороны постараемся сделать максимально интересно для участников форума. Вполне может получиться площадка для профессиональных дискуссий.
PC Week: А что вы можете сказать об освещении области ИБ в СМИ?
Е. К.: Область ИБ практически не освещается в СМИ. Специализированных ресурсов, из которых можно что-то почерпнуть, очень мало. Я, в основном, обращаюсь к зарубежным информационным источникам, чаще всего через Интернет.
PC Week: Благодарю за беседу.