Организация системы обеспечения ИБ ИТ-инфраструктуры предприятий среднего и малого бизнеса

Шалаев П.А.
выпускник группы MBA CIO-26
Школа IT-менеджмента
РАНХиГС при Президенте РФ

На сегодняшний день один из важнейших вопросов, который стоит перед IT-подразделениями - это вопрос информационной безопасности своих организаций. И хотя для обеспечения ИБ в крупных компаниях создаются отдельные независимые подразделения, в средних и малых компаниях эти вопросы руководство предпочитает вверять IT-менеджерам, в силу ограниченности средств. Так или иначе, области IT и ИБ сильно пересекаются. Не смотря на высокий спрос специалистов на рынке труда, высокие зарплаты профессионалов и различные предложения по оптимизации ИБ, актуальность задач связанных с защитой своих организаций с каждым годом растёт.

Огромные средства, которые тратятся на обеспечение ИБ, как правило, оказываются недостаточными, либо просто не дают ожидаемых результатов, подтверждением этого становятся постоянно появляющиеся сообщения в СМИ об очередных удачных кибератаках на корпоративные ресурсы, о найденных уязвимостях в самых критически важных приложениях и неутешительные прогнозы ведущих специалистов.

Зачастую стоимость внедрения средств ИБ настолько велика, что не все предприятия могут позволить развернуть себе полноценную защиту. Эта проблема особенно актуальна для средних и малых предприятий. Конечно же, немалую роль в этой ситуации играют IT-монополисты, которые допускают такое количество уязвимостей в своих программных продуктах в погоне за прибылью и усложняют модели организации безопасности с помощью предлагаемых средств, увеличивая стоимость своих систем.

В данной работе предлагается рассмотреть такие аспекты, как значение ИБ в жизнедеятельности организаций,  факторы, оказывающие наибольшее влияние на высокую эффективность систем ИБ, а также провести обзор наиболее существенных угроз безопасности, способов их реализации, причин появления и существующих подходов защиты  в современных условиях.

Ведь ни для кого не секрет, например, что утечка финансовых документов может быть полезной для конкурентной разведки недружественных организаций; удалённый доступ к компьютерам бухгалтерии окажется полезным для мелких кибермошенников, которые с удовольствием переведут небольшие суммы на свои счета; выход из строя АТС или сложнонастраиваемого оборудования с последующим многодневным ремонтом обернётся не дозвонившимися клиентами и не полученной вовремя информацией и, как следствие, не сданной вовремя отчётностью, не выполненными обязательствами по срокам, прописанным в договорах и возможной потере клиентов. Несмотря на всё многообразие способов навредить организациям, а также на сложность защиты от них, ответственность за любые инциденты руководство небольших компаний обязательно возложит на плечи менеджеров IT-подразделений. Мотивируя это тем, что никто кроме них в компании в этой области лучше не разбирается, а создавать специальный независимый отдел ИБ слишком дорого.

Также в данной работе озвучиваются наиболее актуальные проблемы возникающие перед бизнесом: отсутствие специалистов, материальные затраты на внедрение и сложность расчёта эффективности систем ИБ.

Одним из интересных моментов является то, что IT-руководители имеют представление о проблемах связанных с безопасностью, но часто не имеют представлений о наличии средств в организации, которые допустимо тратить на реализацию планов по устранению этих проблем. Хотя, в то же время, директора этих организаций владеют финансовой ситуацией, но не имеют чёткого представления о ИБ и оперируют понятиями “всё хорошо” и “всё плохо”.

Не менее сложная ситуация с оценкой стоимости информационных ресурсов, выбора способов защиты и расчётом стоимости внедрения. Такие мероприятия также требуют доступ к финансовой информации, что не является непосредственной нишей IT-специалистов и не всегда находит понимания у руководства. Что же касается проблем, связанных с внедрением систем, то, например, коэффициенты, на которые опираются при подсчёте оценки стоимости информационных ресурсов и рисков, составляются из личного опыта IT-специалистов и носят довольно условный характер. К тому же в стране существует нехватка профессионалов в этой области, подтверждением чему служат высокие зарплаты кадров по защите информации.  Всё это дополняет ситуация с отсутствием статистических данных по другим предприятиям страны да и мира в целом, ведь далеко не каждая кибератака будет обнаружена, не каждая обнаруженная кибератака дойдёт до руководства компании и не каждое руководство рискнёт обнародовать инцидент боясь за свою репутацию. Также отсутствуют данные по современным подходам ИБ применяемым в различных компаниях, ведь методы организации безопасности – это сведения далеко не для всеобщего обозрения. Такое положение вещей сильно усложняет понимание реальной обстановки в области защиты информации.

Как следствие, итогом данной работы является выработка рекомендаций по выбору систем информационной безопасности для малых и средних предприятий, которые можно было бы применить на практике, сделав оптимальный выбор между потребностями и затратами, используя ключевые параметры, влияющие на результат. Кроме того, проводится расчёт стоимости внедрения и прогнозирование срока окупаемости системы информационной безопасности на примере внедрения одного из модулей системы защиты информации - АСКД.