|
|
Рынок услуг ИБ «взлетел»
Российский рынок услуг в сфере информационной безопасности переживает стадию роста. За три года доля услуг выросла с 5 % до 35 %. Одним из факторов роста спроса на услуги в области информационной безопасности является увеличение количество компаний, достигших определенной стадии своего развития. Беспорядочная закупка различных технических средств информационной безопасности в расчёте на то, что простое их внедрение качественно защитит бизнес, прошла. Многие организации пришли к пониманию, что эффективность работы Активное развитие рынка услуг, по мнению большинства экспертов, началось в России только в 2004 г. По оценкам компании «Информзащита» в 2003 г. доля услуг в общем объеме ранка не превышала 5 %, тогда как по итогам 2005 г. составила Динамика изменения доли услуг на рынке ИБ Источник: «Информзащита» Чем сложнее и масштабней информационная система предприятия и чем больше в ней используется разнообразных платформ и приложений, тем соответственно она уязвимее. Эта ситуация усугубляется ещё и возрастающей агрессивностью внешней среды. Поэтому для таких компаний всё большее значение начинают приобретать услуги по информационной безопасности, которые ориентируют их на внедрение и использование так называемого «упреждающего подхода», позволяющего значительно сократить затраты на реагирование в случае инцидентов и в результате повысить общий уровень безопасности организации. На сегодняшний день на рынке существует большое количество компаний, готовых оказывать услуги в области информационной безопасности. Большая часть из них фокусируются на предоставлении той или иной определенной услуги или некоего небольшого набора услуг, это так называемые «нишевые» компании. Другие же организации, и их на порядок меньше, имеют возможность предоставить клиенту широкий спектр всевозможных услуг по информационной безопасности, начиная от неких разовых «коробочных» решений и заканчивая сложными и масштабными комплексными вариантами, оптимально подобранными под тот или иной проект и особенности клиента. Классификация услуг Прежде чем начать подробный разговор о наиболее популярных на сегодняшний день услугах по информационной безопасности полезно для наглядности расположить их по уровню сложности исполнения и комплексности. В понятие «уровень сложности» входит совокупная оценка трудозатрат на выполнение работ и требуемая квалификация исполняющего её специалиста. Уровень сложности и комплексности услуг ИБ* * – На данном графике услуга по аудиту рассматривается как проверка текущего состояния информационной безопасности на соответствие определенным заданным требованиям. Но если говорить об аудите как и о комплексе мер по устранению выявленных несоответствий, то он автоматически может быть приравнен к такой услуге как создание системы защиты информации. В свою очередь, исследование показало, что компании заинтересованы в наибольшей степени услугами по анализу информационных рисков, сопровождению внедренных систем и техническому проектированию. Таким образом, в ближайшем будущем можно ожидать рост спроса именно на эти услуги. Потребность компаний в услугах ИБ Источник: «Информзащита», 2006 год «Коробочные» услуги Начнем с наиболее простых услуг по информационной безопасности, а именно типовых «коробочных» услуг. К этой категории в первую очередь относятся такие услуги как сканирование сети, тест на проникновении и «honey pot». Сканирование сети подразумевает оценку текущего уровня защищенности узлов корпоративной информационной системы компании, на которых функционирует системное и прикладное ПО, с помощью специализированных программных средств. Также осуществляется обнаружение потенциально опасных уязвимостей в конфигурации и настройках оборудования и программных средств информационной системы. Данная процедура достаточно проста в исполнении, но и по её итогам заказчик получает лишь некий общий срез существующего состояния системы с точки зрения её безопасности. Penetration testing (тест на проникновение) выглядит совсем иначе, хотя его зачастую сравнивают со сканированием. Тест на проникновение должен осуществляться опытными и высококвалифицированными аналитиками, которые по совместительству ещё должны быть неплохими хакерами. Вообще, penetration testing представляет собой моделирование действий хакера по проникновению в информационную систему компании и позволяет обнаружить уязвимости в защите сети и осуществить показательный взлом. Существует несколько режимов тестирования. Они различаются по уровню информированности исполнителя о тестируемой системе (Black Box или White Box) и заказчика о проводимом тестировании (режим Black Hat или White Hat). Режим White Box подразумевает, что проверяющим доступна самая обширная информация о сети компании — установленные защитные системы, используемое программное обеспечение и многое другое. Black Box–режим зачастую моделирует поведение хакера, которому известно лишь официальное название компании. В режиме White Hat исполнитель тестирования и заказчик работают в тесном контакте, всячески помогая друг другу. В Наибольший интерес с точки зрения реальной практики представляют именно «Honey Pot» представляет собой еще одну интересную услугу, которую, в принципе, можно отнести к «коробочным». Заключается она во внедрение и сопровождение системы раннего предупреждения и прогнозирования атак, являющейся средством имитации фрагментов информационной системы заказчика. Она позволяет показать заказчику направленные против него акции сетевой разведки, реальные попытки совершения несанкционированных действий в отношении его информационной системы и возможные мотивы злоумышленников. Следует отметить, что подобная система не может рассматриваться как альтернатива системам межсетевого экранирования, антивирусной защиты и систем обнаружения вторжений (IDS, IPS). Применение указанных систем является необходимым для успешного отражения более чем 99 % существующих атак. «honey pot» же стоит рассматривать как средство для построения второго эшелона системы защиты от атак. Все перечисленные выше услуги являются разовыми и направлены только на выявление уязвимостей, связанных с безопасностью существующей системы. Они не решают обнаруженных проблем заказчика, а лишь дают некую информацию об их наличии. Но стоит заметить, что при заказе подобной услуги заказчик всегда в итоге получает набор замечаний и рекомендации по устранению выявленных уязвимостей, а также по повышению общего уровня информационной безопасности информационной системы компании. И что делать с этими рекомендациями он решает сам. К категории «коробочных» услуг также можно отнести сопровождение внедренных систем и повышение осведомленности сотрудников компании. Рассмотрим их по порядку. Сопровождение внедренных систем является одной из наиболее актуальных для компаний услуг (более 50 % респондентов отметили эту услугу как наиболее востребованную). При этом наиболее важными качествами сервисной организации, оказывающей техническую поддержку, большинство респондентов назвали: своевременность решения проблем, а также качество поддержки. Также были отмечены такие качества как: работа в режиме 24*7, время и опыт работы компании на рынке. Оптимальным же вариантом организации грамотной техподдержки своим клиентам является создание круглосуточно действующего сервисного центра как отдельной структурной единицы в компании со штатом высококвалифицированных инженеров. А также предложение клиентам, в зависимости от уровня сопровождения, оптимального набора сервисов и услуг. Повышение осведомленности стало особенно актуальным в последнее время. Сейчас многие говорят об инсайдерах и тех рисках, которым они подвергают компанию, в которой работают. Более 70 % инцидентов, связанных с нарушением информационной безопасности в организациях связано с человеческим фактором. Данные мероприятия предназначены в первую очередь для: развития и поддержания у пользователей информационных систем понимания того, какие проблемы безопасности могут возникнуть при использовании информационных технологий, и знаний как действовать в той или иной ситуации; осознания пользователями их обязанностей и ответственности по обеспечению защиты информации в информационной среде компании; повышения уровня знаний пользователей по основным правилам обеспечения информационной безопасности. Все эти мероприятия направлены на снижение риска возможных потерь. Комплексные услуги Аудит на соответствие стандартам в последнее время является очень популярной темой для обсуждения. На инициацию проведения аудита компанию может подвигнуть ряд причин. При решении провести аудит зачастую у заказчиков возникает сомнение относительно непредвзятости аудитора. Данные опасения касаются возможного навязывания Рассмотрим такой популярный сегодня британский стандарт по информационной безопасности как BS 7799, о котором много говорят, но мало кто его реально применяет на практике. Всем известно, что он состоит из двух частей, каждые из которых были в своё время переданы в международную организацию по стандартам (ISO) и утверждены в качестве международных стандартов ISO 17799 и ISO 27001 соответственно. При этом до сих пор существует непонимание относительно сертификации на соответствие этим двум стандартам. Сертификация по ISO 17799 — не проводится. Этот документ представляет из себя лишь сборник, так называемых, «best practices» — лучших примеров мирового опыта в области информационной безопасности. В свою очередь ISO 27001 требует прохождения сертификации на соответствие прописанным в нём требованиям. В данном стандарте как раз определены именно требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования документированной системы управления информационной безопасностью в контексте общего делового риска организации. В нем определены требования для реализации мер по обеспечению безопасности, приспособленные к потребностям отдельных организаций или их подразделений. Также нужно знать, что сертифицировать на соответствие данному стандарту можно и отдельно взятый В основном данный вид услуг интересен крупным компаниям, для которых важна долговременная стратегия развития системы управления информационной безопасностью, прозрачность, а также повышение степени лояльности и доверия со стороны западных клиентов, партнёров и инвесторов. Процесс подготовки компании к прохождению аудита и сертификации на соответствие ISO 27001 является довольно долгим и сложным и в зависимости от исходного состояния системы информационной безопасности компании может занять от 4 месяцев до года. Одним из отечественных стандартов, к которому сейчас проявляется интерес со стороны банковских структур является стандарт, разработанный Банком России и который носит название: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Плюсы данного стандарта состоят в том, что он инициирован ЦБ РФ, учитывает специфику банковской системы РФ, постоянно дополняется методиками и примерами. Но есть и минусы, а именно: излишняя сложность методик оценки и внедрения и наличие всего несколько аккредитованных аудиторских компаний, имеющих право на проведение данного вида аудита. Но, не смотря ни на что, банки продолжают интересоваться этим стандартом и изъявляют желание его внедрить. Также интерес представляет стандарт, разработанный международными платежными системами VISA и MasterCard, а именно «Payment Card Industry Data Security Standard» (стандарт защиты информации в индустрии платежных карт). В России он пока что не получил широкой огласки, но в ближайшем будущем, если компания VISA сделает его обязательным для работающих с ней банков, процессинговых центров и торговых компаний он обретёт популярность. Решение о создании данного единого стандарта было принято международными платежными системами VISA и MasterCard в связи с ростом числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена. Стандарт объединяет программы Account Information Security (AIS) и Cardholder Information Security (CISP), разработанные VISA и программу Site Data Protection (SDP), разработанную MasterCard. На их основе создан единый набор мер и требований, соблюдение которых призвано поспособствовать сохранности значимой конфиденциальной информации. Нежелание компаний, работающих с платёжными системами VISA и MasterCard, защищать конфиденциальную информацию, касающуюся счетов клиентов и операций по ним, может привести к финансовым потерям Анализ рисков, согласно исследованию, является одной из наиболее актуальных услуг (более 50 % респондентов указали данный вид услуг в перечне наиболее востребованных их компаниями). Это связано с тем, что информационные технологии значительно расширили возможности бизнеса. Но новые возможности всегда сопряжены с новыми рисками, подобно тому, как в финансовой сфере более высокая доходность означает более высокую степень риска. Чем сложнее информационная система, тем выше риск осуществления по отношению к ней различных угроз: например, проникновения в систему извне или несанкционированного доступа изнутри компании с целью финансового мошенничества или хищения коммерческой информации. Когда возможный ущерб от потенциальных угроз достаточно велик, необходимо внедрять адекватные и экономически оправданные меры защиты. Каждая компания, поставляющая данный вид услуг обладает собственной методикой для анализа рисков, основанной на тех или иных стандартах безопасности. Результаты же проведенного анализа послужат руководством к формированию экономически обоснованной стратегии обеспечения информационной безопасности, которая будет учитывать не только технологические риски, но и риски организационного характера, связанные с основными Создание системы защиты информации в корпоративной информационной системе заказчика относится к наиболее сложным комплексным услугам. Основными целями создания подобной системы в компании являются: создание единой политики информационной безопасности; обеспечение защиты внутренних критичных информационных ресурсов при обеспечении доступа к ним внутренних и внешних пользователей; обеспечение качественно нового уровня информационного взаимодействия между удаленными подразделениями (если таковые имеются) и головным офисом компании; повышение надежности и защиты информационных и телекоммуникационных решений в связи с повышением требований к доступности и достоверности информации; реализация комплексного подхода к обеспечению информационной безопасности при взаимодействии внутри корпоративной сети и при доступе к внешним информационным ресурсам. В данную услугу может ходить различное количество подуслуг, которое должно быть необходимым и достаточным для каждого конкретного проекта и согласовывается весь это перечень индивидуально с каждым заказчиком. Подводя итоги можно сказать, что факт осознания многими компаниями того, что систему информационной безопасности следует интегрировать в общую информационную систему организации, является неоспоримым. Реализация же подобной интеграции невозможна без специализированных услуг по ИБ. Следует ещё добавить, что увеличение рынка услуг будет сопряжено с развитием и укрупнением бизнесов самих компаний, т.к. будут укрупняться и усложняться их информационные системы, и, соответственно, доля затрат на услуги в общем бюджете на информационную безопасность будет возрастать. Зосимовская Наталья |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP