Журнал "Information Security/ Информационная безопасность" #6, 2018

В настоящий момент мы пришли к ситуации, когда к продуктам информационной безопасности относится уже большой спектр самых раз- ных решений, включая систему сбора корреляции событий, аналитические системы, системы контроля за утечками и многое дру- гое. Если мы посмотрим на них со стороны, то увидим, что они содержат в себе достаточно большой функ- ционал либо ИТ-систем, либо систем управления, т.е. это уже далеко не толь- ко СЗИ. Информационная безопасность. Первые шаги Если посмотреть на ситуацию 20–25-летней давности, когда инфор- мационная безопас- ность в качестве при- кладной дисциплины только формировалась, то мы увидим, что практически вся деятельность сводилась к работе со средствами защиты. То есть сначала появились средства защиты информа- ции, а уже после этого появи- лась потребность в людях, которым нужно было ими управлять. Да, были и руко- водящие требования, но тем не менее работа со средства- ми защиты была центральной задачей, и первые службы информационной безопасно- сти занимались именно ей. Разнообразие решений было весьма небольшим, это меж- сетевые экраны, средства антивирусной защиты, в даль- нейшем появились средства обнаружения вторжений и т.д. В настоящий момент мы при- шли к ситуации, когда к про- дуктам информационной без- опасности относится уже боль- шой спектр самых разных реше- ний, включая систему сбора корреляции событий, аналити- ческие системы, системы конт- роля за утечками и многое дру- гое. Если мы посмотрим на них со стороны, то увидим, что они содержат в себе достаточно большой функционал либо ИТ- систем, либо систем управле- ния, т.е. это уже далеко не только СЗИ. Это первое. Вторым важным изменени- ем является развитие Compli- ance-направлений (персональ- ные данные, стандарты менеджмента и пр.). Началом "эпохи Сompliance" можно назвать 2008–2009 гг., когда появлялась тематика защиты ПДн. Это был мощный толчок в направлении развития систем управления. Именно в то время ИБ стали определять как некий про- цесс, например процесс обес- печения безопасности в ИТ- среде. Мы начали относиться к информационной безопас- ности не как к работе со сред- ствами защиты, а именно как к процессу, к тому, чем нужно управлять и к чему примени- мы существующие подходы менеджмента. Активно разви- валась нормативная база, появились новые законы, стандарты, изменялись ста- рые требования регуляторов и появлялись новые. Именно в то время нормативная регу- ляция стала определяющим элементом развития ИБ. Управление ИБ Так постепенно от работы со средствами защиты мы перешли к управлению инфор- мационной безопасностью. Более того, часть исторически ИБ-решений перешла на адми- нистрирование службам ИТ. В крупных организациях анти- вирусная защита, межсетевое экранирование перешли на администрирование обычных служб ИT. В результате за службами ИБ надежно закрепилась функ- ция внутреннего контролера. Стало нормой согласование со службой ИБ заявок на предо- ставление доступа или уста- новку приложений. Активное развитие и рост количества ИТ-систем привели к условно массовому внедрению IDM, DLP и прочих решений. Можно сказать, что на этой стадии мы продолжаем нахо- диться и по сей день, но есть НО. Давайте ответим честно на несколько вопросов: l Насколько эффективна служба ИБ в качестве внут- реннего контролера? l Достаточно ли этого для закрытия потребностей орга- низации? Окажется, что далеко не для всех организаций, а ско- рее для меньшего их числа такой формат оказывается эффективным. Например, компании, которые занимают- ся внутренней разработкой ИТ-систем, редко привлекают к разработке внутренние службы ИБ. Для них удобнее держать в команде человека со знаниями и навыками в области ИБ, достаточными для развития и поддержания проекта. Я все чаще вижу, как различные подразделения компаний развивают внутрен- ние компетенции по ИБ. Круп- ные компании могут позво- лить себе такой подход. За последние годы все чаще 42 • УПРАВЛЕНИЕ Каково будущее информационной безопасности? остаточно неблагодарное дело – строить прогнозы, однако оценить накопившиеся и развивающиеся тенденции более чем возможно. Для начала необходимо определить, что же такое информационная безопасность сегодня, и понять, как мы пришли к текущей ситуации. Д Евгений Царев, эксперт RTM Group Любой безопасник возразит: безопасность – это относительное понятие, где критерии безопасности? А критерии определяет собственник процесса, т.е. фактически лица, управляющие системой. Если мы посмотрим на крупных разработчиков программных продуктов – Яндекс или Google, то мы увидим, что деление идет по продуктовым линейкам. То есть конкретный продукт разрабатывают не только ИТ- специалисты, программисты, но и люди, занимающиеся вопросами информационной безопасности в рамках этого продукта.