Информационная безопасность (ИБ) — одна из немногих высокотехнологичных областей, для которой экономический кризис оказался не тормозом, а стимулом развития. Кому хочется терять секреты своего бизнеса в пору обострения конкуренции и массовых сокращений персонала? Да и госрегуляторы не дали повода российским организациям и предприятиям расслабиться в отношении к защите информации. Закон “О персональных данных”, например, по-прежнему многие специалисты признают локомотивом развития ИБ в стране.
Среди российских компаний немало таких, которые считают, что именно в 2011 г. они вышли из кризиса, начавшегося в 2008-м. Результаты проведенного нашим еженедельником опроса о состоянии финансирования ИБ в компаниях косвенно подтверждают оценку ситуации на российском рынке информационной безопасности как стабильную. Во всяком случае опрос не обнаружил ни спада спроса на средства ИБ, ни резкого увеличения расходов на них. Примерно в четверти опрошенных компаний ИБ-финасирование увеличилось, в четверти уменьшилось, а в четверти не изменилось. Оставшаяся четверть респондентов затруднилась определить динамику своих ИБ-бюджетов.
Важно отметить, что наши респонденты примерно одинаково представили частный и государственный сектора ИБ-потребителей. При этом около половины из них относят себя к среднему (в российском понимании это 25—500 компьютеризированных рабочих мест) бизнесу, треть — к крупному (более 500 компьютеризированных рабочих мест), остальные — к малому предпринимательству.
Чтобы подвести итоги года и оценить перспективы российского рынка ИБ, мы выделили наиболее четко обозначившиеся за последнее время фокусы в данной сфере и обратились к ИБ-экспертам с предложением высказать свое мнение об их состоянии и возможной динамике.
По наблюдениям руководителя лаборатории защиты информации от внутренних угроз “Лаборатории Касперского” Валерия Боронина, основной темой ИБ в мире в 2011 г. стали атаки на крупные структуры, в том числе и правительственные. Он отмечает, что произошла резкая милитаризация Сети, в некоторых странах были созданы кибервойска, официально разрабатывается кибероружие и легализуется его применение. Заметными стали движения хактивистов, разведывательные действия государственных структур ряда стран, использование кибершпионажа частными компаниями.
С большой вероятностью, по мнению г-на Боронина, можно ожидать атак на промышленные SCADA-системы и обнаружения фактов таких взломов в прошлом. К концу наступившего года, как он считает, даже далекие от ИБ люди начнут понимать, что такое критическая инфраструктура и почему ее необходимо защищать. Он полагает, что возможен прецедент асимметричного ответа на киберугрозу, даже ложную и по неверно идентифицированному автору атаки.
Что же касается российского рынка ИБ, то, как отметил генеральный директор компании “Аладдин Р.Д.” Сергей Груздев, его финансовые показатели оказались лучше, чем прогнозировалось: рынок ИБ рос быстрее, чем рынок ИТ, в разы превосходя рост европейского. Объясняет это г-н Груздев реализацией отложенного за время кризиса спроса и зрелостью пользователей в том смысле, что им теперь понятна необходимость защиты данных и связанных с этим рисков.
Вместе с тем г-н Груздев обращает внимание на то, что продолжается и даже усиливается порожденное кризисом некорректное поведение в бизнес-среде: нарушение договоренностей, нечестные тендеры, демпинг и т. п. Острый дефицит технических специалистов некоторые компании, по его наблюдениям, решают переманиванием. Это, как он считает, приводит к “диктату” претендентов на вакансии, необоснованному росту их зарплат, расшатывая в итоге рынок, увеличивая стоимость ИБ-проектов и снижая их качество.
Как важную тенденцию г-н Груздев отмечает повышение спроса на инновационные решения и технологии. По его наблюдениям, желание некоторых участников рынка переждать кризис привел к тому, что к 2012 г. у них не оказалось новых предложений и как результат они рискуют стать аутсайдерами. “Очевидно, что 2012-й станет годом перемен для многих игроков ИБ-рынка”, — заключил он.
Консолидация корпоративных ИБ-средств и централизация управления ИБ
Прошлый год обозначил проблему управляемости ИБ. Руководитель дирекции ИБ компании R-Style Дмитрий Шумилин считает это следствием увеличения количества применяемых ИБ-компонентов и подлежащих решению ИБ-задач, с одной стороны, и ростом числа объектов защиты, с другой.
Централизация управления средствами ИБ, как говорит начальник управления ИБ компании “Техносерв” Павел Ерошкин, это не просто тенденция — это одно из требований, которое, однако, не всегда выполнимо из-за специфики и разнородности ИБ-средств. При этом он отмечает, что примерно половина всех требований к техническим подсистемам ИБ приходится на сетевую безопасность. Он надеется, что в 2012 г. появятся централизованные интегрированные ИБ-решения, которые будут полностью удовлетворять требованиям регуляторов.
Задача защиты отдельных целевых ИТ-систем, считает г-н Шумилин. переросла в задачу интеграции ИБ-компонентов и построения комплексной системы ИБ. Он отмечает, что вопросы ИБ-интеграции возникают сегодня на всех уровнях — от построения сквозной аутентификации до внедрения систем консолидации логов и корреляции событий. Многие современные системы имеют свой функционал управления инцидентами и одновременно обладают средствами для интеграции со сторонними системами управления безопасностью. По мнению г-на Шумилина системы управления ИБ-событиями (SIEM) становятся стандартным компонентом, неотъемлемой частью корпоративной инфраструктуры. В результате можно ожидать значительного роста источников событий, генерируемых отдельными ИБ-компонентами, упрощения механизма интеграции и усиления функционала обратной связи. Отвечая на спрос на SIEM, ведущие вендоры могут выпустить бесплатные версии таких продуктов, правда, с ограниченным функционалом.
Лидирующие ИТ-вендоры, со своей стороны, придают тенденции консолидации большое значение. В подтверждение тому заместитель руководителя отдела информационной безопасности компании “АйТи” Аркадий Прокудин ссылается на недавнее приобретение корпорацией HP компании ArcSight и поглощение корпорацией IBM фирмы Q1Labs. Со своей стороны директор по ИБ Microsoft в России Владимир Мамыкин сообщил, что совсем недавно Microsoft представила на рыке продукт System Center Configuration Manager 2012, который наряду с управлением инфраструктурой сети обеспечивает управление антивирусными средствами.
Консолидация корпоративных систем и унификация используемого программного и аппаратного обеспечения, по мнению аналитика направления ИБ компании “Доктор Веб” Вячеслава Медведева, стали наиболее яркой тенденцией прошедшего года. С этими процессами он тесно связывает спрос на централизованные системы управления инфраструктурой, которые позволяют не только эффективно управлять системами, но и поддерживать непрерывность бизнес-процессов, одновременно сокращая затраты на сопровождение и снижая требования к квалификации обслуживающего персонала. Успешность внедрения таких систем, как он считает, во многом будет определять роль ИТ-руководителей в структуре компаний.
Директор департамента ИБ компании “Энвижн Груп” Дмитрий Соболев отмечает, что в корпоративной среде зреет понимание того, что располагать средствами ИБ недостаточно — ими необходимо грамотно пользоваться, для чего нужны соответствующие процессы и технические ресурсы. Он считает, что в 2012 г. могут быть реализованы знаковые проекты, которые продемонстрируют, как обеспечение ИБ может органично вливаться в бизнес-процессы компании и снижать реальные потери бизнеса.
Безопасность виртуальных сред
В силу популярности виртуализации руководитель группы информационной безопасности компании IBS Platformix Джабраил Матиев считает вполне закономерным стремление ИБ-вендоров максимально адаптировать свои продукты под использование в виртуальной среде.
Руководитель отдела инфраструктурных решений компании ИНЛАЙН ГРУП Михаил Штарев напоминает, что применение традиционных ИБ-инструментов в виртуальной среде сопряжено с рядом проблем, что для нее требуются специализированные средства. Он считает, что наконец-то этот факт осознан российскими ИБ-потребителями.
По мнению технического директора компании LETA Александра Бондаренко, основной идеей обеспечения безопасности виртуальных сред, в отличие от традиционных, является не выстраивание периметра защиты, а создание защиты “изнутри”, защиты каждой отдельной виртуальной машины. Особенно хорошо это видно, когда виртуальные среды мигрируют между физическими серверами из ЦОДа в ЦОД и защита должна мигрировать вместе с ними.
К настоящему времени платформы для построения решений на основе виртуальных сред, как отмечает системный архитектор по информационной безопасности корпорации IBM в России и СНГ Андрей Филинов, переместились из категории уникальных внутренних и специализированных инфраструктур в категорию предложений для открытого рынка, и обеспечение ИБ таких сред перестало быть индивидуальной задачей каждого отдельного внедрения.
По наблюдениям технического консультанта компании Trend Micro Дениса Безкоровайного, в 2011 г. многие проекты по виртуализации на самых ранних этапах уже включали специализированные, адаптированные для виртуальной среды средства защиты. Он считает, что сегодня передовые решения для защиты платформы виртуализации базируются на тесной интеграции с ней и следует ожидать, что поставщики платформ будут расширять возможности интерфейсов взаимодействия своих разработок со средствами защиты. В результате использование специализированных решений для обеспечения ИБ виртуальных сред будет расти, а ИБ-вендоры, не учитывающие специфику виртуализации, не смогут конкурировать со специализированными под виртуализацию ИБ-системами.
Ведущий эксперт по вопросам технической защиты информации компании “Код Безопасности” Александр Лысенко обращает внимание на то, что контроль виртуальной инфраструктуры напрямую зависит от уровня контроля над действиями администраторов инфраструктуры, тем более что получить доступ к данным в виртуальной среде гораздо проще, чем в физической.
Выражая мнение большинства экспертов, Дмитрий Соболев отмечает острую потребность в нормативной базе для ИБ виртуальных сред, особенно если учитывать, что защиту зачастую необходимо обеспечивать сертифицированными ФСТЭК и ФСБ средствами.
Директор по развитию бизнеса компании “Информзащита” Андрей Степаненко выразил надежду на то, что российские регуляторы более определенно выскажут свое отношение к обеспечению безопасности виртуальных сред, что позволит как минимум перестать предъявлять к виртуальным машинам требования, аналогичные физическим серверам, а как максимум — учитывать специфические особенности технологии виртуализации при проектировании систем ИБ.
Информационная защита ИТ-сервисов
Облака. Одним из главных факторов, препятствующих распространению облачных ИТ-платформ, являются проблемы с их защищенностью. Особые опасения потенциальных клиентов облачных сервисов вызывает возможность соседства на одних виртуальных серверах сервисов с различающимися уровнями защиты, нередко принадлежащих разным компаниям.
Наши эксперты напоминают, что хотя использование облаков повышает эффективность ИТ, социальные сети, электронные госуслуги и многие другие ИТ-сервисы могут быть организованы и без них. Это следует иметь в виду тем более, что, по словам г-на Мамыкина, для публичных облаков ни в одной стране пока не существует методологии оценки их безопасности. В то же время для частных облаков известно, как обеспечить их защиту, так как для них вполне пригодны многие традиционные ИБ-подходы.
По наблюдениям г-на Бондаренко отраслевые и российские стандарты пока не отражают облачных изменений в ИТ, в то время как за рубежом стандартизацией этого направления в 2011 г. занимались активно: появились такие документы, как NIST-SP-800-144, было организовано (и успело опубликовать ряд документов) сообщество Cloud Security Alliance (CSA) с собственными сертификационными курсами и статусами. В России же пока только появилось (на базе ассоциации RISSPA) представительство CSA.
По мнению руководителя отдела системных инженеров компании Citrix Сергея Халяпина, основная проблема, которую необходимо решить для облаков, заключается в отделении средств управления облачной средой от данных, которые в ней хранятся, чтобы администраторы ЦОДов не могли получать доступ к информации пользователей. Одним из вариантов такого разделения является шифрование данных. При этом следует учитывать тот факт, что с ростом числа пользователей электронных услуг обострится и необходимость в сертифицированных криптографических алгоритмах, в первую очередь при потреблении услуг государственных. Важным аспектом обеспечения безопасности в облаках, отмечает г-н Халяпин, станет отказ от использования привычной парольной аутентификации ввиду ее уязвимости и переход на технологии асимметричной криптографии, т. е. внедрение технологий PKI.
По наблюдениям директора департамента развития и маркетинга компании ЭЛВИС-ПЛЮС Романа Кобцева, те ИТ-директора, которые в той или иной степени используют облачные сервисы, сегодня обеспокоены сохранением только целостности и доступности сервисов, но не их способностью сохранять конфиденциальность информации. Из этого он делает вывод, что для современных пользователей облаков риски нарушения работоспособности информационных систем гораздо выше, чем утечка данных. Организации, для которых конфиденциальность информации приоритетна, пока просто не доверяют облакам.
Основные проблемы продвижения облаков г-н Кобцев видит в правовом поле: провайдеры, как он считает, не готовы подписываться под реальными соглашениями об уровне услуг (SLA), а клиенты не готовы представлять реальную оценку своих активов для подготовки этих SLA. Довершает коллизию несовершенство нашей правовой и в первую очередь судебной системы.
По мнению г-на Филинова, клиенты облачных сервисов доверятся инфраструктуре и поставщику услуг, но вот самые деликатные задачи и, конечно, контроль соблюдения поставщиком оговоренного уровня ИБ корпоративный клиент хочет оставить за собой. Андрей Филинов полагает также, что в продвижении облаков предстоит много новой (по смыслу) работы юридического характера, в то время как программно-технические средства для решения облачных ИБ-задач уже доступны для заказчиков.
Со своей стороны г-н Шумилин подтвердил, что ИБ-вендоры в прошлом году в массе своей заявили о готовности своих продуктов для защиты облачных инфраструктур, в первую очередь это относится к сегменту сетевой безопасности (IPS/IDS-решения, межсетевые экраны) и систем аутентификации.
Основной тенденцией в текущем году при доступе к веб-приложениям, как считает г-н Халяпин, будет поиск удобной для пользователя двухфакторной аутентификации. Дальнейшее развитие, по его наблюдениям, получат решения Web Application Firewall, которые могут контролировать трафик веб-приложений и блокировать вывод на экран нежелательной информации.
Развитие облачных сервисов, по мнению г-на Груздева, обостряет потребность в реализации юридически значимого электронного документооборота при использовании услуг SaaS и веб-сервисов с применением смарт-карт и токенов. Для обеспечения юридической значимости требуется квалифицированная электронная подпись, поэтому данные технологии, на его взгляд, будут очень востребованы.
Электронные госуслуги. Как отметил г-н Филинов, базовый уровень безопасности в электронных госуслугах уже обеспечивается. Однако, считает г-н Соболев, не стоит сбрасывать со счетов и то, что злоумышленники пока просто не научились использовать доступ к ним в интересах своего обогащения.
Нерешенными признает г-н Филинов вопросы комфортного и быстрого пользовательского доступа к электронным госсервисам. Денис Безкоровайный отметил, что в 2011 г. была заметна тенденция к усилению механизмов удаленной аутентификации пользователей. В результате двухфакторная аутентификация, которая раньше применялась в основном для защиты финансовых транзакций, стала доступной и в других сервисах.
Большинство социальных сетей и крупных порталов стало, по его наблюдениям, привязывать аккаунт пользователя к его мобильному телефону для защиты от автоматических регистраций и для подтверждения подлинности пользователя. Ростелеком начал продавать носители с ключами цифровой подписи (ЦП) для доступа к сайтам госуслуг.
Сергей Груздев считает запуск портала госуслуг с применением смарт-карт и квалифицированной электронной подписи знаковым событием 2011-го. Этот проект, по его мнению, послужил катализатором дальнейшего развития SaaS и веб-платформ ИТ-сервисов. Он также обратил внимание на появление в прошлом году универсальной электронной карты и на параллельный проект, связанный с созданием карты “Электронное правительство” — платежной карты с сертифицированной ЦП для доступа к порталу госуслуг.
Эмиссия банковских карт “Электронное правительство” с аппаратной реализацией квалифицированной электронной подписи, как сообщил г-н Груздев, была начата в конце прошлого года несколькими банками в Волгограде, Москве и Санкт-Петербурге. Эмитированы работающие карты с банковским приложением международных платежных систем. Начат аналогичный проект с российской платежной системой “Золотая Корона”. Появление платежной карты с ЦП, сертифицированной ФСБ, г-н Груздев считает технологическим прорывом в области ИБ банковского сектора и системы госуслуг в электронном виде, поскольку подобных проектов, успешно реализующих объединение двух инфраструктур — платежной и PKI, не существовало.
ДБО. Согласно наблюдениям г-на Филинова, банковские карты перестали быть универсальным и безопасным средством электронных расчетов, в то время как потребность в таких расчетах выросла, и эксперты отмечают активную интеграцию дистанционного банковского обслуживания (ДБО) с социальными сетями и другими онлайновыми сервисами, что усложняет задачи ИБ в ДБО.
Дмитрий Шумилин отмечает, что атаки при удаленном доступе к ИТ-ресурсам становятся более сложными. Наряду с фишингом активизируются такие высокотехнологичные приемы, как “человек посередине” и “человек-в-браузере”. Они требуют применения новых средств защиты, способных гарантированно блокировать изменение параметров транзакций, выполняемых на лету.
По мнению г-на Шумилина двухфакторные системы аутентификации должны стать стандартом. Он прогнозирует начало массового применения банковских карт в процессе аутентификации и считает, что это можно реализовать на базе CAP/DPA-технологий или за счет встраивания в карты независимого генератора одноразовых паролей.
Дмитрий Соболев полагает, что настала пора внедрять механизмы поведенческого анализа пользователей ДБО, создавать системы репутационного анализа финансовых транзакций. Он ожидает появления в 2012 г. новых зрелых услуг по защите ДБО и госуслуг.
Одну из таких услуг под названием “АРМ ДБО”, позволяющую специалистам провайдера из ситуационного центра реагирования удаленно контролировать степень защищенности программно-аппаратной среды клиента ДБО, вывела на российский рынок компания Group-IB. Как считают представители Group-IB, это поможет осуществлять защиту клиентов от киберугроз, вести сбор информации о ИБ-событиях на стороне клиентов и ее анализ специалистами провайдера.
Однако генеральный директор Group-IB Илья Сачков убежден, что одними лишь техническими средствами обеспечить безопасность клиентского удаленного доступа невозможно. Он считает, что будущее за организационными мерами, и в первую очередь за кооперацией и сотрудничеством участников ДБО. На его взгляд, можно ожидать, что в ближайшей перспективе будут развиваться системы обмена данными между участниками ДБО. Он сообщил, что с прошлого года действует централизованная база данных по мошенническим операциям с использованием систем ДБО, которая, несмотря на малое количество участников проекта (30 банков), заметно улучшила, по оценкам г-на Сачкова, эффективность антифродовых фильтров и тем самым повысила защищенность банков — участников проекта.
ИБ и свободное ПО
С сожалением ситуацию со свободным ПО г-н Медведев характеризует как застойную, выделяя здесь три фактора влияния:
- несовместимость (несмотря на предпринятые в этом направлении усилия) форматов офисных приложений СПО со сложившейся де-факто системой обмена документов;
- отсутствие необходимого количества программных продуктов для бизнеса;
- дороговизна сопровождения.
Являясь приверженцем свободного ПО, он не видит возможности появления в ближайшее время систем, способных потеснить коммерческие программные решения.
Говоря непосредственно о проблемах ИБ в СПО, г-н Бондаренко отмечает потенциальную возможность внесения вредоносного кода, возможность нестабильной работы и, как правило, отсутствие приемлемой поддержки со стороны производителя. По его мнению, массовое распространение (особенно в связи с переводом госсектора на СПО) данных продуктов привлечет к СПО злоумышленников и как результат обусловит появление тех же ИБ-проблем, что ныне существуют у проприетарного ПО.
С учётом того, что в большинстве случаев никто за разработанный СПО-продукт ответственности не несёт и непонятно, кто и в какие сроки будет устранять неизбежно появляющиеся ИБ-проблемы, его масштабное использование станет адом для ИБ-специалистов, которым придется регулярно придумывать компенсирующие меры и ждать, когда же сообщество разработчиков разберется с проблемой. По мнению г-на Бондаренко, несколько улучшит положение заметное уже сегодня постепенное появление и распространение продуктов, предназначенных для защиты информации в программных системах, построенных на СПО, но этого, как он считает, явно недостаточно.
Безопасность мобильных конечных точек
В 2011 г. резко обозначилась проблема безопасности мобильных устройств.
Как отметил заместитель генерального директора компании InfoWatch Рустэм Хайретдинов, большинство присутствующих на рынке мобильных устройств создавались для потребительского рынка и не предназначены для принятых в корпоративной среде двухфакторной аутентификации, профилирования пользователей, централизованного администрирования и тому подобных процедур.
По наблюдениям г-на Бондаренко, у большинства организаций сегодня нет возможности контролировать действия пользователей с их мобильными устройствами, когда они находятся за пределами корпоративной сети: какие программы они скачивают, какие сайты посещают, как обращаются с информацией... В итоге риски, связанные с использованием мобильных устройств в корпоративной среде, в 2012-м продолжат стремительный рост. Это потребует распространения на мобильные средства доступа традиционных корпоративных мер защиты конечных пользовательских устройств, что по оценкам г-на Бондаренко является непростой задачей. Тем не менее ряд ведущих компаний уже представил на рынке программные продукты, позволяющие решить некоторые из упомянутых проблем.
Использование мобильных устройств в корпоративных целях, по мнению г-на Филинова, осложняется тем, что если компания готова обеспечивать защиту для них, то сотрудники не готовы запоминать очередной пароль для своих смартфонов и планшетов. Поэтому от нынешнего года логично ожидать появления систем более удобной и безопасной аутентификации на подобных устройствах, а также сокращения количества мобильных платформ, без чего сложно переносить на них средства доступа и другую защиту. Андрей Филинов считает также, что в России есть предпосылки к появлению в ближайший год мобильных платформ, использующих шифрование по ГОСТу и сертифицированных в соответствии с требованиями ФСТЭК.
Заместитель директора центра ИБ компании “Инфосистемы Джет” Евгений Акимов тоже отметил, что в 2011 г. активизировались работы по организации защищенного доступа к информационным ресурсам и контроля утечек для мобильных устройств. По его словам, практически все крупнейшие производители систем защиты заложили в свои решения адаптацию мобильных устройств к системам и шлюзам доступа, возможность централизованного распространения ИБ-политик на них и управления ими.
Решением задачи доступа с мобильных устройств, по мнению г-на Халяпина, может стать комбинирование технологий безопасного клиентского доступа с системами виртуализации десктопов и приложений. Он полагает, что в 2012 г. этот подход распространится, в том числе на хранение и обмен данными между пользователями. Применение облачных технологий хранения и обмена данными в рамках корпоративной инфраструктуры позволит реализовать обмен информацией как между пользователями, так и между различными устройствами одного пользователя, что также поможет избежать присутствия на разных устройствах одного пользователя различных версий документа и утечек данных при потере устройства.
Эксперты считают, что оптимальным вариантом для офисного использования являются изначально спроектированные для этого специализированные мобильные ОС и устройства, которых становится все больше. Реалии российского рынка, очевидно, приведут к появлению отечественных программных разработок, позволяющих обеспечить в этом сегменте соответствие требованиям бизнеса и законодательным нормам в области защиты информации.
Расследование преступлений в сфере ИТ
Согласно наблюдениям г-на Сачкова, прошедший год показал, что направление расследований компьютерных преступлений необходимо развивать как самостоятельную сферу ИТ-отрасли. Он считает, что невозможность защититься только техническими мерами подтолкнула как государство, так и бизнес к решительным проактивным организационным действиям. Государство, отмечает он, провело значительную законодательную работу в сфере борьбы с киберпреступностью. Например, поправки в 28-ю главу УК РФ ужесточили ответственность за преступления в сфере ИТ, внесли ряд дополнительных квалифицирующих признаков. Однако то, что для подготовки поправок не были привлечены эксперты в области ИБ, привело к тому, что только что принятый документ уже требует доработок.
Илья Сачков уверен, что изменения законодательной базы продолжатся и в новом году, но затронуть они должны не только уголовное, но и уголовно-процессуальное законодательство. И в первую очередь это касается введения понятия электронных доказательств и описания связанных с данным понятием процедур.
Особо г-н Сачков отмечает активность правоохранительных органов в 2011 г., завершивших ряд громких мероприятий: ликвидацию кардерской фабрики в Подмосковье, аресты интернет-мошенников Степанова и Глотова, судебный процесс против “короля спама” Куваева и др. Он считает их знаковыми, демонстрирующими киберпреступникам, что пора безнаказанности завершается.
Он обращает также внимание на рост активности коммерческих организаций, пострадавших от рук компьютерных злоумышленников. Эти организации все чаще выступают инициаторами расследований инцидентов, обращаясь как в правоохранительные органы, так и к независимым компьютерным криминалистам. Российские компании начали внедрять корпоративные системы управления ИТ-инцидентами, которые позволяют им самостоятельно реагировать на нештатные ситуации. Стремление российских компаний защищаться от кибератак в проактивном режиме потребовало создания центра реагирования на инциденты ИБ CERT-GIB.
Вячеслав Медведев считает, что после установки систем защиты от утечек компании должны внедрять системы контроля действий пользователей, с тем чтобы формировать доказательную базу при возникновении ИБ-инцидентов. Однако по его прогнозам в наступившем году не ожидается широкого выхода на рынок таких решений и роста их популярности. С достаточной долей вероятности рост внимания к подобным системам, по его оценкам, можно отнести на следующие два года.
Чтобы поймать современного финансового мошенника или грамотного ИТ-нарушителя, надо, как отметил г-н Филинов, изучить и сопоставить гигантские объемы данных мониторинга системы и операций. Поэтому логично в 2012 г. ожидать роста интереса к средствам класса business intelligence с точки зрения их использования в аналитической деятельности при расследовании ИТ-преступлений.
Регулирование ИБ
Основным событием 2011 г. в области государственного и отраслевого регулирования ИБ стало принятие поправок к закону “О персональных данных”. Внесенные изменения, по мнению г-на Бондаренко, нельзя назвать однозначными, да и значимость их резонно оценивать только после выхода ожидаемых в 2012-м подзаконных актов. Однако по общему мнению экспертов изменения в 152-ФЗ и других законах, а также принятие нескольких новых, также относящихся к регулированию ИБ, обозначили основную тенденцию — усиление госрегулирования в этой области.
Вместе с тем в прошедшем году, согласно наблюдениям г-на Медведева, не наблюдалось массового внедрения систем защиты, соответствующих законодательным требованиям. Причины этого он видит в дороговизне, сложности и избыточности таких систем для большинства компаний.
Как считает г-н Акимов, большинство компаний для выполнения регуляторных требований по ИБ стремятся получить положительное заключение о соответствии (сертификат, аттестат и т. п.), которое отражает состояние ИБ компании на определенный момент времени. Такой подход, по его мнению, приводит, как правило, к созданию большого количества подсистем ИБ и появлению “зоопарка” средств защиты, предназначенных для выполнения требований различных нормативных актов.
Что касается отраслевого регулирования, то, как отметил г-н Акимов, можно ожидать, что разработки стандартов и рекомендаций по ИБ, которые велись такими структурами, как Инфокоммуникационный союз, Банк России, НАУФОР, РСА, НАПФ, продолжатся и будут закреплены законодательно.
Как напоминает руководитель направления ИБ компании КРОК Михаил Башлыков, наступивший год — выборный, поэтому можно ожидать появления новых требований к компаниям, может поменяться структура организаций, которые отвечают за контроль систем ИБ. Вместе с этим наши эксперты отмечают усиление и даже ужесточение регулирования ИБ.
Развитие направления соответствия регулятивным требованиям, по мнению г-на Акимова, подталкивает компании к переходу от выполнения отдельных конкретных требований к ИБ к выстраиванию систем обеспечения комплексного соответствия, позволяющих учитывать сразу набор нормативных актов и стандартов. Такой подход позволит создавать системы эффективного контроля соответствия и выстраивать прозрачные взаимосвязи между внутренними процессами ИБ и внешними нормативными требованиями, тем самым обеспечивая постоянную готовность компании к эффективному для себя выполнению требований ИБ-регуляторов.
Как напоминает г-н Бондаренко, наше законодательство в сфере ИБ довольно молодое, поэтому вполне возможно появление спорных и неоднозначных требований, для исполнения которых еще предстоит наработать применительную практику. Однако даже в этой ситуации он не рекомендует игнорировать исполнение закона, пока такая практика не наработана. Законы действуют уже сейчас и продумывать план реализации их требований, как он рекомендует, нужно тоже сейчас, если это еще не сделано.