Каково будущее информационной безопасности?
Евгений Царев, 25/03/19
Достаточно неблагодарное дело – строить прогнозы, однако оценить накопившиеся и развивающиеся тенденции более чем возможно. Для начала необходимо определить, что же такое информационная безопасность сегодня, и понять, как мы пришли к текущей ситуации.
Информационная безопасность. Первые шаги
Если посмотреть на ситуацию 20–25-летней давности, когда информационная безопасность в качестве прикладной дисциплины только формировалась, то мы увидим, что практически вся деятельность сводилась к работе со средствами защиты. То есть сначала появились средства защиты информации, а уже после этого появилась потребность в людях, которым нужно было ими управлять. Да, были и руководящие требования, но тем не менее работа со средствами защиты была центральной задачей и первые службы информационной безопасности занимались именно ей. Разнообразие решений было весьма небольшим, это межсетевые экраны, средства антивирусной защиты, в дальнейшем появились средства обнаружения вторжений и т.д.
В настоящий момент мы пришли к ситуации, когда к продуктам информационной безопасности относится уже большой спектр самых разных решений, включая систему сбора корреляции событий, аналитические системы, системы контроля за утечками и многое другое. Если мы посмотрим на них со стороны, то увидим, что они содержат в себе достаточно большой функционал либо ИТ-систем, либо систем управления, то есть это уже далеко не только СЗИ. Это первое.
Вторым важным изменением является развитие Compliance-направлений (персональные данные, стандарты менеджмента и пр.). Началом "эпохи Сompliance" можно назвать 2008–2009 гг., когда появлялась тематика защиты ПДн. Это был мощный толчок в направлении развития систем управления.
Именно в то время ИБ стали определять как некий процесс, например процесс обеспечения безопасности в ИТ-среде. Мы начали относиться к информационной безопасности не как к работе со средствами защиты, а именно как к процессу, к тому, чем нужно управлять и к чему применимы существующие подходы менеджмента. Активно развивалась нормативная база, появились новые законы, стандарты, изменялись старые требования регуляторов и появлялись новые. Именно в то время нормативная регуляция стала определяющим элементом развития ИБ.
Управление ИБ
Так постепенно от работы со средствами защиты мы перешли к управлению информационной безопасностью. Более того, часть исторически ИБ-решений перешла на администрирование службам ИТ. В крупных организациях антивирусная защита, межсетевое экранирование перешли на администрирование обычных служб ИT.
В результате за службами ИБ надежно закрепилась функция внутреннего контролера. Стало нормой согласование со службой ИБ заявок на предоставление доступа или установку приложений. Активное развитие и рост количества ИТ-систем привели к условно массовому внедрению IDM, DLP и прочих решений.
Можно сказать, что на этой стадии мы продолжаем находиться и по сей день, но есть НО. Давайте ответим честно на несколько вопросов:
- Насколько эффективна служба ИБ в качестве внутреннего контролера?
- Достаточно ли этого для закрытия потребностей организации?
Окажется, что далеко не для всех организаций, а скорее для меньшего их числа такой формат оказывается эффективным. Например, компании, которые занимаются внутренней разработкой ИТ-систем, редко привлекают к разработке внутренние службы ИБ. Для них более удобно держать в команде человека со знаниями и навыками в области ИБ, достаточными для развития и поддержания проекта. Я все чаще вижу, как различные подразделения компаний развивают внутренние компетенции по ИБ. Крупные компании могут позволить себе такой подход. За последние годы все чаще встречал в составе кадровых служб сотрудников с неплохими знаниями и опытом в ИБ, службы физической безопасности, службы экономической безопасности тоже не исключения. Ну и конечно же, ИТ-службы и отделы разработки ИТ-систем и сервисов все чаще держат в штате людей с хорошим опытом в ИБ.
Посмотрим на профильные системы. Например, системы, которыми пользуются современные службы экономической безопасности или службы физической безопасности, уже неразрывно связаны с тем инструментарием, которым пользовались ИБ-сотрудники раньше. Люди, которые занимаются конкурентной разведкой, точно так же пользуются системами, которыми пользуются службы информационной безопасности. И наоборот.
То есть мы наблюдаем ситуацию, когда размываются границы между функционалами разных служб.
Здесь мы приходим к одному принципиальному выводу: ИБ перестала быть отдельной компетенцией, информационная безопасность стала функцией.
Еще пример. Сегодня, когда организация создает или покупает некую информационную систему, она не хочет заниматься обеспечением ее безопасности. Она хочет либо купить безопасную систему, либо же создать безопасную систему. Очень тонкая грань, но она есть.
Любой безопасник возразит: безопасность – это относительное понятие, где критерии безопасности? А критерии определяет собственник процесса, т.е. фактически лица, управляющие системой.
Для нас, людей, воспитанных на комплексном подходе к безопасности, это первый шаг к идеальному шторму. Но бизнес упорно идет на риск, т.к. видит эффективность такой модели.
Если мы посмотрим на группы разработки, которые существуют в крупных компаниях, то увидим, что разработкой продуктов занимаются небольшие команды и в них есть люди, которые отвечают за вопросы информационной безопасности; отдельные сотрудники занимаются вопросами корректности встраивания криптографии; отдельные специалисты могут разбираться в регуляторных вопросах по профилю конкретного продукта и т.д. Например, если мы посмотрим на крупных разработчиков программных продуктов – Яндекс или Google, то мы увидим, что деление идет по продуктовым линейкам. То есть конкретный продукт разрабатывают не только ИТ-специалисты, программисты, но и люди, занимающиеся вопросами информационной безопасности в рамках этого продукта.
Итак, получается, что служба ИБ именно как служба для многих организаций оказалась недостаточно эффективной и недостаточной в принципе. Информационная безопасность превратилась в функцию, которую может выполнять отдельный участник команды.
Вернемся к работе служб, таких как СБ, кадры. Часто в них есть человек, который разбирается в вопросах информационной безопасности, и все остальные сотрудники службы обращаются к нему по горизонтали за консультациями. Юридические службы точно так же с большим удовольствием набирают людей, которые занимаются или, по крайней мере, на каком-то уровне разбираются в вопросах ИБ и могут проконсультировать по этим вопросам других юристов. Некоторым юридическим службам необходимо, чтобы был специалист по вопросам, например, защиты персональных данных или по вопросам корректности оформления работы с конфиденциальной информацией. Эти люди все чаще работают не в качестве специалистов отдельной службы ИБ, а в качестве специалистов юридической службы.
В конечном итоге мы приходим к ситуации, когда ИБ из профессии эволюционирует в функцию.