...
...
...

ИТ-безопасность в цифрах

введение

Корпоративная информационная система (ИС) представляет собой постоянно меняющуюся структуру, четко реагирующую на изменения бизнес-процессов. Одновременно с развитием организации усложняется и ИС в направлении расширения спектра задач, функций и сервисов. В ходе этих изменений очень просто потерять нить ИБ. Вместе с тем, она должна пронизывать проект не только с самого начала, но сопровождать все без исключения этапы модернизации ИС. Отсутствие этого элемента провоцирует появление брешей в ИТ-инфраструктуре, влечет возникновение хаоса и резкому росту рисков, сводя на нет первоначальные вложения и усилия.

Данное исследование преследует цель выяснить подходы российских организаций к изменениям ИС и роли ИБ в этом процессе для сопоставления с глобальными тенденциями и общепринятыми нормами. Материал затрагивает такие актуальные вопросы как наличие политики, средств и рабочего инструментария управления изменениями ИС, степень вовлеченности различных подразделений организации. Одним из важнейших аспектов исследования является положение и ответственность отдела ИБ как важнейшего проводника устойчивости ИС с точки зрения информационной безопасности.

общие выводы

Российские организации гораздо более подготовлены к решению проблем информационной безопасности, нежели их западные коллеги: 45% респондентов имеют выделенные ИБ-службы, в то время как на Западе этот показатель составляет 27%.

В то же время Россия отстает от глобальных тенденций с точки зрения места ИБ-службы в иерархии организации: лишь в 25% организаций ИБ курируется непосредственно первым лицом. В общемировой практике этот показатель составляет 46%.

В краткосрочной перспективе следует ожидать усиления роли ИБ-службы в бизнес-процессах и ее влияния в структуре российских организаций. - Российские компании понимают необходимость политики управления изменениями ИС и активно внедряют ее, однако содержание реализованных проектов еще не вполне соответствует международным стандартам и требует доработки.

Существующие тенденции в области управления изменениями ИС свидетельствуют, что в ближайшие годы Россия не только догонит, но даже превзойдет общемировой уровень.

методология исследования

Исследование проводилось в период 19.09.-19.10.2005. В процессе сбора первичных статистических данных приняло участие более 1000 респондентов из России, бывшего СССР и других стран, заполнивших онлайн-анкеты на сайте SecurityLab.ru. Анкеты содержали вопросы, подготовленные аналитическим центром компании InfoWatch, которые дали первичную статистику дальнейшему исследованию. Приведенные ниже данные являются округленными до целых чисел. В некоторых случаях сумма долей ответов превосходит 100% из-за использования многовариантных вопросов.
портрет респондента

В исследовании приняли участие 1025 респондентов, почти половина которых (47%) проживают в Москве и Московской области. 15% заполнивших анкеты оказались из Санкт-Петербурга, 25% - из других городов России. 13% участников представляли другие страны, прежде всего страны СНГ и Балтии (рис. 1).


Рис. 1.

В возрастной характеристике респондентов (см. рис. 2) наибольшую долю представляли участники 24-30 лет (38%), всего на 5% опередивших более молодую категорию – 18-23 года (33%). 16% составили специалисты в возрасте от 31 до 45 лет, 11% - моложе 18, и 2% - старше 45 лет. При этом мужская часть аудитории преобладала с долей 89% над женской (11%).


Рис. 2.

С точки зрения подготовленности подавляющее большинство респондентов попали в категорию специалистов с высшим образованием (62%), намного опередив следующую группу - с незаконченным высшим образованием (22%). Остальные варианты ответов оказались на эпизодическом уровне (рис. 3).


Рис. 3.

С точки зрения рода занятий (рис. 4) респонденты примерно одинаково распределились по 5 категориям – системный администратор (20%), руководитель среднего/низшего звена (18%), программист (18%), студент (15%), специалист по информационной безопасности (14%). Вместе с тем 65% участников заявили, что в сферу их компетенции входит принятие решений в сфере защиты информации.


Рис. 4.

служба ИБ в структуре современной организации

Одним из наиболее впечатляющих результатов исследования стал показатель присутствия выделенной службы ИБ в структуре современных организаций (см. рис. 5). Почти половина респондентов (46%) положительно ответили на этот вопрос. Несмотря на то, что все же бoльшая часть участников опроса (48%) заявила об отсутствии таковой, этот факт свидетельствует о высокодинамичной положительной тенденции. Российским предприятиям исключительно быстро приходит осознание необходимости более ответственного отношения к защите информации, что невозможно без создания выделенной службы. В исследовании «Внутренние ИТ-угрозы в России 2004» этот показатель равнялся всего 16%, причем 94% организаций из этого числа заявили, что ИБ- служба была создана в течение последних 2 лет. До этого защитой данных занимались ИТ-отделы, лишь незначительная часть которых (23%) имела выделенного сотрудника для решения проблем ИБ. Столь бурный рост показателя однозначно указывает не просто на синхронизацию российской действительности с глобальной тенденцией, но свидетельствует о ее опережении. Согласно исследованию State of Information Security Survey 2005 аудиторско-консалтинговой фирмы PriceWaterhouseCoopers лишь 27% иностранных респондентов подтвердили существование выделенных ИБ-отделов.


Рис. 5.

К сожалению, в рамках настоящего исследования не представляется возможным проследить точное соответствие выборки генеральной совокупности. Несмотря на это, результаты свидетельствуют о том, что российские организации существенно продвинулись в плане профессионального отношения к защите информации. Не случайно Россия занимает одно из последних мест в мире по ущербу от компьютерных преступлений – отечественные компании лучше защищены от враждебной сетевой активности благодаря подготовке и опыту ИБ-специалистов, а также профессиональному подходу к формированию ИБ-стратегии.

Вместе с тем, Россия все еще отстает от общемировой практики места ИБ-службы в иерархии организации. Ключевая роль информационной безопасности в ИС, а, следовательно, и в поддержке бизнес-процессов в целом диктует необходимость наделения ИБ-службы большими полномочиями, расширения сферы ее ответственности и выведения на качественно новый уровень подчиненности.


Рис. 6.

Из рисунка 6 видно, что всего 25% респондентов назвали первое лицо компании непосредственным куратором вопросов информационной безопасности организации. Самую большую долю ответов набрала ИТ-служба (30%), служба общей безопасности – 18%. 27% участников исследования заявили, что руководство ИБ-службой делегировано другим подразделениям. Зарубежные данные заметно отличаются от российской действительности: в 46% организаций ИБ-служба подотчетна первому лицу и в 36% - директору по информационным технологиям.

Подобный разрыв вполне характерен для развивающихся рынков, где ИТ-процессы еще находятся в стадии становления. Хотя Россия значительно впереди с точки зрения внедрения выделенных ИБ-служб, но все еще отстает от глобальных тенденций по ее месту в структуре организации. Это также подтверждает факт превалирующей подчиненности ИТ-службе. Объективно сфера ИБ произошла из ИТ и на этапах становления ИТ-специалисты совмещали обе функции. Однако с развитием технологий, ростом роли ИТ в бизнес-процессах, усложнением корпоративных ИС и увеличением значения ИБ последняя была выделена в самостоятельную область.

Не совсем правильное место ИБ-службы может свести на нет успехи за счет ее создания. При некорректном распределении функций и обязанностей, это подразделение может способствовать процветанию бюрократии и дополнительно тормозить бизнес-процессы.
В будущем, несомненно, будет наблюдаться дальнейшая реализация тенденции переподчинения ИБ-службы первому лицу организации. Этого требует актуальная необходимость повышения роли ИБ в корпоративной ИС и усиление стратегической роли этого направления. Таким образом, компании смогут переключиться с тактики пожаротушения к системному подходу по прогнозированию и учету ИТ-рисков.

управление изменениями ИС в современной организации

Эффективное управление изменениями является одним из важнейших факторов стабильной работы любой ИС, вне зависимости от ее масштаба и качественных характеристик. С ростом сложности ИТ-инфраструктуры пропорционально увеличиваются риски, связанные с количеством пользователей, разнообразием бизнес-процессов, отношений между подразделениями организации. Каждый новый элемент структуры порождает новые связи, которые требуют не просто интеграции в ИС, но четкого учета и формализации на основе общих правил. В обратном случае невозможна реализация эффективной ИБ-политики и, как следствие, стабильная работа ИС в целом. Для того, чтобы понять, что и как защищать, необходимо знать точное состояние системы по всем параметрам. Кроме этого, внедрение централизованной системы управления изменениями позволяет сделать ИС прозрачной, отчуждаемой, максимально независимой от человеческого фактора и более адаптивной к изменениям бизнес-целей.

46% респондентов исследования подтвердили (см. рис. 7), что в их организациях существует политика управлениями изменениями ИС. Этот показатель поразительно точно коррелирует с долей компаний с выделенной ИБ-службой (46%). Такая связь позволяет предположить, что серьезное отношение современной организации к вопросам ИБ влечет создание выделенного подразделения, которое становится проводником реализации эффективного механизма управления изменениями. 36% опрошенных заявили об отсутствии такого механизма и 18% затруднились ответить на данный вопрос.


Рис. 7.

В целом, ИБ-аналитики InfoWatch считают такое распределение ответов весьма обнадеживающим. Предварительные ожидания, основанные на эмпирической оценке положения дел, были гораздо более скромными. Полученный результат свидетельствует об очень высокой подготовленности российских организаций с точки зрения учета изменений ИС, что положительно сказывается на их уровне защищенности.

Не менее важный вопрос, напрямую влияющий на эффективность политики управления изменениями, связан с вовлеченностью подразделений в процесс принятия решений и распределением их ролей (рис. 8). Идеальная система командной работы отделов заключается в четком определении зон ответственности, функций и регламента взаимодействия.

Исследование показало, что почти в 2/3 случаев (69%) в этот процесс вовлечена ИТ-служба. Со значительным отставанием далее следуют ИБ-служба (31%), Совет директоров (27%) и HR-служба (5%). 20% опрошенных заявили о причастности других подразделений и только в 7% организаций в управлении изменениями ИС участвуют все перечисленные службы.


Рис. 8.

Полученные данные свидетельствуют о том, что российские организации находятся на начальном этапе реализации эффективной системы управления изменениями. Этот процесс должен обязательно включать подразделение-владельца конкретного информационного ресурса или сервиса, ИТ-службу и ИБ-службу. Идеальная схема взаимодействия, формализованная в международном стандарте ISO 17799, подразумевает, что владелец ресурса инициирует изменения, ИТ-служба разрабатывает план реализации и, после утверждения ИБ-службой, претворяет их в жизнь. В то же время глобальные, стратегические изменения ИС должны также проходить согласование на самом высшем уровне – Совета директоров или первого лица организации. В российской действительности наблюдается несогласованность действий подразделений и обескураживающе низкая вовлеченность специалистов по ИБ. Эта особенность позволяет сделать вывод, что внедренные политики управления изменениями еще далеки от идеала и требуют доработки.

Эффективное управление изменениями возможно только при использовании комплекса организационных и технических средств, описывающих правила инструментарий «игры». С одной стороны, это обеспечивает координацию взаимодействия подразделений, с другой – полностью автоматизирует процесс, минимизируя риск, связанный с человеческим фактором.

Результаты опроса наглядно показывают (см. рис. 9), что 62% российских организаций применяют технические средства и 57% организационные меры. Более детальное изучение ответов показало, что в этом многовариантном вопросе респонденты этих групп почти полностью пересекаются.

Следовательно, организации комплексно подходят к проблеме реализации управления изменениями – внедрение проходят одновременно обе составляющие.


Рис. 9.

Другим важным аспектом, характеризующим эффективность управления изменениями корпоративной ИС, является порядок составления и приема заявок (рис. 10). По сути, заявки оказываются инициаторами изменений и от их правильной обработки и контроля над исполнением зависит стабильность работы ИТ-инфраструктуры как с точки зрения соответствия бизнес-процессам, так и ИТ-безопасности организации в целом. Данные исследования показывают, что письменная форма составления заявок закреплена более чем в половине российских организаций: 35% респондентов подтвердили наличие готовых шаблонов и правил составления, 21% ограничиваются направлением формального письма в свободной форме. Более глубокое изучение вопроса (смю рис. 11) выявило, что в этих компаниях заявки централизованно принимаются владельцами ресурсов (45%) или же пересылаются в общую систему документооборота (11%). Эти результаты еще раз подтверждают, что более половины российских организаций понимают важность учета изменений и уже внедрили систему обработки заявок.


Рис. 10.


Рис. 11.

заключение

Результаты исследования «ИТ-безопасность и управление информационной системой современной организации» превзошли наши самые оптимистические ожидания. Оказалось, что российские организации не только начали процесс внедрения правильных процедур в области ИБ и управления изменениями ИС, но по некоторым параметрам даже обогнали общемировой уровень. Прежде всего, это относится к созданию выделенных ИБ-служб, ответственных за разработку и реализацию политики защиты информационных ресурсов.

Вместе с тем наблюдается и некоторый дисбаланс в этом направлении. В частности, место ИБ-службы в структуре организации, распределение ролей в процессе принятия решений, взаимодействие подразделений. Также оставляет желать лучшего распространение технических и организационных средств управления изменениями и создание регламентов подачи и обработок заявок на изменения. Тем более что компаниям уже пора задуматься о следующем шаге – сращивании систем управления и контроля в единый механизм.

Вместе с тем, в целом ситуацию можно охарактеризовать положительно. Выявленные тенденции свидетельствуют, что в краткосрочной перспективе Россия преодолеет эти препятствия и окажется в авангарде глобального мэйнстрима. Уже сейчас можно сказать, что российские организации гораздо более устойчивы по отношению к враждебному сетевому окружению. Это подтверждают данные распространения вредоносных программ и ущерб от хакерских атак. Однако хаос и незнание состояния собственной ИС представляет собой не меньшую угрозу. Реализация недостающих мер позволит эффективнее бороться с внутренними ИТ-угрозами (в частности, хищением конфиденциальной информации), а также более системно подходить к прогнозированию и проактивной защите.



Совместное исследование компании InfoWatch и информационного портала по ИТ-безопасности SecurityLab.ru.


© Сетевые решения