Информационная безопасность - вопрос, важность которого с ростом применения ИТ в работе компании только увеличивается. На втором форуме "IT-Лидер" вопросам обеспечения безопасности в критичных приложениях было посвящено специальное заседание. Об организации процессов защиты информации, борьбе со спамом и аутсорсинге информационной безопасности на нем рассказал Сергей Кирюшин, заместитель генерального директора - директор департамента информационных технологий ОАО "Аэрофлот - российские авиалинии".
Тема обеспечения информационной безопасности сейчас становится все более актуальной для любой компании. С ростом сложности ИТ-систем и увеличением числа пользователей в Интернете количество угроз тоже сильно увеличивается. Для такой компании, как Аэрофлот, как и для многих других, актуальны вопросы защиты от угрозы хищения критичных данных - ведь, к сожалению, базы данных самых разных компаний сегодня можно найти на пиратских дисках. Кроме этого, для нас важны вопросы обеспечения безопасности наших почтовых систем и защиты от вирусов.
Защита от спама
Масштабы использования электронной почты растут сами по себе, становятся больше и трафик и объем самих почтовых сообщений, а при этом немало проблем создает спам. Интернет все больше и больше превращается в среду, где подавляющее большинство сообщений"неправильные" и ненужные. Мы проводим анализ ситуации со спамом у нас в компании. Спам сейчас составляет примерно 85 % входящего трафика - это то, что заметно сразу. Кроме того, каждый человек, к которому приходит электронная почта, обнаруживает еще спам среди пришедших сообщений. То есть реально больше 90 %, я думаю, в ряде случаев даже до 95 % почтового Интернет-трафика составляет спам. Что очень прискорбно - по сути дела, получается, что мы должны у себя содержать ИТ-инфраструктуру более мощную, чем нам это необходимо для обработки бизнес-задач, и все эти мощности работают практически "впустую", но основное - потери рабочего времени как пользователей, которые вынуждены удалять "просочившийся" через фильтры спам, так и IT-специалистов, администрирующих антиспам и почтовую систему.
Если за 2002-2003 годы в Аэрофлоте объем использованного дискового пространства вырос на 90 %, то за 10 месяцев прошедшего года по отношению к 2004 году объем почты вырос в три раза. Существенную роль в этом играет спам, заставляя нас наращивать дисковую и процессорную емкость, чтобы мы все это обрабатывали. Наверное, такие новости радуют производителей ИТ-оборудования, но с проблемой спама надо что-то делать. И, на мой взгляд, это один из самых актуальных вопросов в области информационной безопасности для любой компании.
Причем эти проблемы приходят к нам с Запада, где люди научились зарабатывать большие деньги на вирусах и спаме. Такое вредительство становится достаточно прибыльной индустрией. Для написания вирусов привлекаются дорогостоящие, квалифицированные специалисты, которые успешно вскрывают любые системы защиты. Подобная деятельность давно превратилась из развлечения отдельных спамеров и вирусописателей в большой бизнес. И это пугает. Я думаю, что бизнес-сообщество должно объединиться и придумать какие-то меры для решения проблемы.
Организация процессов
Все внешние угрозы информационной безопасности компании, безусловно, требуют пристального внимания. Риски потерь от несанкционированного вмешательства -- вирусов, спама - растут, потому что все больший объем бизнеса переходит в электронную сферу. Около года назад мы поставили задачу реально усилить информационную безопасность компании. Был проведен анализ нашей текущей ситуации, подготовлены соответствующие документы, и сейчас мы уже заканчиваем процесс создания полноценной политики информационной безопасности.
В вопросах обеспечения информационной безопасности компании все зависит прежде всего от правильной организации защиты информационных ресурсов организации. Безусловно, должны быть рекомендации и по улучшению каких-то инфраструктурных элементов, закупке программного и аппаратного обеспечения. Но, на мой взгляд, на 80 % обеспечение информационной безопасности зависит от правильного выстраивания работы по определению и обнаружению угроз, борьбы с ними с использованием доступных и недорогих решений.
Поэтому важно, чтобы за информационную безопасность отвечал в компании не один-единственный администратор, особенно если компания большая. Необходимо, чтобы это были выделенные сотрудники во всех функциональных подразделениях. В соответствии с новой политикой информационной безопасности у нас в Аэрофлоте предполагается назначить администраторов информационной безопасности во всех структурных подразделениях, выделить и определить задачи подразделения, являющегося исполнителем различных работ по информационной безопасности, - департамента информационных технологий, а также контролирующего подразделения - департамента производственной безопасности. Мы надеемся, что такая схема позволит лучше контролировать наши риски. Безусловно, фанатизма в этих вопросах тоже быть не должно, нужно всегда смотреть на соотношение угроз, затрат и получаемой эффективности.
Аутсорсинг информационной безопасности
Отдельно стоит сказать, что растущая сложность внешних информационных угроз приводит к тому, что внутри каждой компании уже не всегда достаточно специалистов, которые в состоянии обеспечить защиту информационных ресурсов,. И я считаю аутсорсинг в области информационной безопасности вполне уместным. Есть некоторая боязнь передавать часть функций по поддержке безопасности своей системы в специализированные организации, работающие в области информационной безопасности. Но, мне кажется, в этом случае проблем возникнет существенно меньше, чем при попытках самостоятельно обеспечить информационную безопасность в организации, которая мало или вообще не занимается этими вопросами и не имеет достаточных бюджетных средств для самостоятельного решения этих задач.
Аналогичный подход имеет место и в случае передачи на аутсорсинг каких-либо элементов ИТ-инфраструктуры либо ИТ-функций. Так, если у организации есть незащищенная локальная сеть, за работу которой отвечает системный администратор с зарплатой в 500 долларов, то гораздо выше вероятность, что он продаст все ваши базы и вы их увидите на Горбушке, чем вероятность утечки в случае, когда эти данные размещены в специализированном центре обработки данных в условиях качественного подхода к проблемам информационной безопасности и постоянного мониторинга.
Я думаю, что аутсорсинг - это путь, который имеет смысл рассмотреть организации, не имеющей достаточных ресурсов и возможностей самостоятельно заниматься обеспечением информационной безопасности. Здесь вопрос не в принципиальности подхода, а в возможности качественно решать проблемы компании.
31.01.2006
www.outsourcing.ru
