Разработка методики выбора систем информационной безопасности

Сергей Михайлович Сажин
группа CISO-18 Школы IT-менеджмента
РАНХиГС при Президенте РФ

1. Актуальность и практическая значимость темы
Информационная безопасность является критически важным направлением для предприятий в Российской Федерации. Сложно найти компанию, для которой защита конфиденциальности, целостности и доступности информации не была бы одним из важных направлений деятельности. При этом предприятиям требуется не только сохранять конфиденциальность, целостность и доступность информации, но и предотвращать потенциальные угрозы и соблюдать требования законодательства.
Для комплексного обеспечения информационной безопасности необходимо использовать совокупность организационных и технических мер, реализация которых невозможна без систем обеспечения информационной безопасности (СОИБ). Взвешенный подход к выбору систем информационной безопасности позволяет предприятию применять СОИБ, которые дают возможность оперативно реагировать на современные угрозы, применять комплексную защиту, достигать требуемого уровня защищённости от угроз информационной безопасности, а также реализуют все обязательные бизнес-функциональные требования, предъявляемые заказчиком.
С другой стороны, ошибка при выборе СОИБ может приводить к неоптимальному использованию ресурсов предприятия, несоответствию системы информационной безопасности бизнес-функциональным требованиям заказчика, делая невозможным достижение требуемого уровня защищённости.
2. Основная цель и задачи работы
Основной целью работы является разработка методики выбора систем информационной безопасности, применение которой позволит сделать процесс выбора СОИБ объективным и учитывающим все обязательные бизнес-функциональные требования, предъявляемые заказчиком.
Для достижения поставленной цели в ходе проекта необходимо, в первую очередь, детально проанализировать имеющиеся методики сравнения критериев между собой, использовать наиболее подходящую из них, адаптировать её для выбора систем информационной безопасности.
В рамках разработки методики выбора систем информационной безопасности предстоит разработать универсальный подход по определению критериев сравнения (бизнес-функциональных требований, предъявляемых к системе информационной безопасности), который мог бы, с минимальными изменениями, использоваться для сравнения различных систем информационной безопасности одного класса. При этом необходимо определить принцип разделения критериев сравнения по категориям и использовать его для группировки критериев, относящихся к одному классу и упрощения принятия решения по выбору наиболее подходящей системы информационной безопасности.
Кроме того, необходимо определить алгоритм сравнения критериев между собой с точки зрения значимости их вклада в финальное решение о выборе наиболее подходящей системы информационной безопасности.
После разработки методики выбора систем информационной безопасности необходимо использовать её при сравнении систем информационной безопасности одного класса, определить экономический эффект от её использования, оценить снижение сроков на принятие решения о выборе наиболее подходящей системы информационной безопасности за счёт использования разработанной методики.
3. Объект исследований
Объектом исследований в моей работе является процесс выбора систем информационной безопасности. Предметом исследований в работе является методика сравнения систем информационной безопасности, позволяющая принимать взвешенное решение о выборе системы информационной безопасности, удовлетворяющей требованиям заказчика.
Для практического применения разработанной методики выбора систем информационной безопасности, оценки экономического эффекта и повышения эффективности при принятии решения о выборе системы информационной безопасности, будет использоваться крупная компания из сферы телекоммуникаций. Данное предприятие является заказчиком для компании-исполнителя, в которой я работаю. Компания-исполнитель выполняет роль системного интегратора по информационной безопасности и оказывает услуги экспертного консалтинга и архитектора по комплексным проектам обеспечения информационной безопасности. Услуги включают решение задач выбора систем информационной безопасности, с их последующим внедрением, сопровождением, а также обоснованием экономической выгоды для заказчика от использования внедряемых решений по информационной безопасности.
4. Суть анализируемой проблемы
Количество решений по информационной безопасности, доступных на рынке, увеличивается с каждым годом, многие продукты не соответствуют предъявляемым к ним требованиям. Часто это выясняется на этапе, когда система внедрена, бюджет освоен, заказчик остаётся один на один с бизнес-функциональными требованиями, которые внедрённая система не выполняет. Во многом сложившаяся ситуация связана с выходом большого количества новых игроков и решений на рынок информационной безопасности (обусловлено постоянным ростом количества кибер-атак и увеличением бюджетов компаний на информационную безопасность). Это приводит к ситуации, при которой заявленные производителем характеристики не соответствуют действительности в полной мере, а независимые сравнения по многим классам решений по информационной безопасности отсутствуют или же не отражают реальность. Также увеличение сложности кибератак, которые проводят злоумышленники, влечёт пропорциональный рост сложности решений по информационной безопасности и увеличение количества параметров для сравнения систем информационной безопасности.
С другой стороны, правильный выбор СОИБ – критически важная задача для каждой компании, инвестирующей в кибер-защиту, т.к. позволяет:
• Реализовать требуемый уровень защищённости от угроз информационной безопасности;
• Увеличить эффективность затрат на внедрение и эксплуатацию систем информационной безопасности;
• Удовлетворить все бизнес-функциональные требования, предъявляемые к решениям по информационной безопасности;
• Выполнить все требования по совместимости с ИБ и ИТ инфраструктурой.
Неправильный выбор средств информационной безопасности может привести к дополнительным финансовым затратам и использованию ресурсов на решения, не удовлетворяющие потребностям бизнеса. Правильный выбор СОИБ позволяет оптимизировать затраты, фокусируясь на необходимых бизнес-функциональных требованиях, помогая предотвратить неэффективное использование ресурсов на средства информационной безопасности.
Разработанная методика выбора систем информационной безопасности поможет компаниям предпринимать правильные шаги при выборе решений по информационной безопасности в динамичной и быстро меняющейся сфере информационной безопасности, тем самым снизить риски выбора неоптимальных решений информационной безопасности, не удовлетворяющих всем бизнес-функциональным требованиям заказчика.
5. Решаемые задачи:
В рамках разработки методики выбора систем информационной безопасности решаются следующие задачи:
1. Анализ имеющихся методик сравнения критериев между собой, выбор наиболее подходящей методики;
2. Адаптация выбранной методики под сферу информационной безопасности;
3. Разработка алгоритма сравнения критериев между собой;
4. Разработка принципа разделения критериев по группам критериев;
5. Использование разработанной методики сравнения решений информационной безопасности на практике;
6. Определение экономического эффекта от использования методики сравнения систем информационной безопасности.
В основе разработанной методики использован математический Метод анализа иерархий, который учитывает важность каждого критерия относительного другого (метод попарного сравнения критериев).
Данный метод анализа иерархий доработан для его использования в сфере информационной безопасности. Разработанная методика сравнения систем информационной безопасности применена на практике, для выбора отечественного Межсетевого экрана следующего поколения для заказчика из сферы телекоммуникаций, оценён положительный экономический эффект от её применения.