Техника безопасности

Цель определяет средства

Согласно данным отчета Global Business Security Index, подготовленного специалистами подразделения IBM Global Security Intelligence, за первую половину 2005 года количество зараженных вирусами сообщений электронной почты и преступных атак на безопасность системы увеличилось на 50%. Одновременно с этим значительно больше стало целевых атак на ресурсы правительственных структур, финансовых учреждений, крупных транснациональных корпораций (особенно в аэрокосмической, нефтяной и производственной отраслях) и предприятий здравоохранения.

Согласно исследованию, всего за первую половину текущего года было зарегистрировано более 237 млн. попыток нарушения безопасности компьютерных систем. Чаще всего они были направлены против государственных структур (более 54 млн. атак), а также предприятий производственного сектора (36 млн.), финансовых организаций (около 34 млн.) и организаций сферы здравоохранения (более 17 млн. атак).

Специалисты IBM отметили новую волну распространения целевых фишинговых атак с целью отмывания денег и похищения идентификационных данных. Такие атаки предпринимаются в основном преступными группировками, которые все более изобретательно подходят к их подготовке и осуществлению. По данным последнего отчета Global Business Security Index, в первой половине текущего года было запущено более 35 млн. фишинговых атак для похищения критически важных данных и идентификационной информации с целью наживы.

Доля спама в электронной почте за истекшие шесть месяцев стабильно уменьшалась — с 83% в январе до 67% в июне 2005 года. За тот же период количество сообщений электронной почты, содержащих вирусы, выросло на 50%. Эти на первый взгляд положительные изменения — снижение за последние полгода пикового уровня спама, парализовавшего работу многих ИТ-систем в региональном или глобальном масштабе, — на самом деле означают, что установление контроля над компьютерами пользователей для рассылки спама больше не является главной целью атак на компьютерные сети. Хакеры перешли к более прибыльным видам преступных действий, направляя атаки на конкретных пользователей или на определенные организации, причем за этим часто кроются финансовые, политические или социальные мотивы или интересы конкурентов.

Безопасность по-русски

По данным IDC, затраты российских предприятий на информационную безопасность в 2004 году оказались в два раза меньше среднемировых показателей — они составили всего 0,5% расходов на ИТ в нашей стране. Всего же российские пользователи потратили в минувшем году около 42 млн. долл. на ПО для систем информационной безопасности (это на 32,7% больше, чем в 2003 году). Основные расходы (почти 40%), так же как и в предыдущие годы, пришлись на системы управления безопасностью. Наиболее бурный рост IDC отметила в сегментах интегрированных решений и систем 3А (аутентификация, авторизация, администрирование), объемы которых увеличились на 58 и 83% соответственно.

Маленький бизнес — большие риски

Предприятия среднего и малого бизнеса (СМБ) подвержены глобальному риску по причине сильной уязвимости от различного вида киберугроз. Согласно исследованиям, проведенным компанией Quocirca по заказу компании Computer Associates, многие предприятия СМБ не обладают необходимыми ресурсами для обеспечения информационной безопасности. В компаниях отсутствуют, например, регулярные отчеты по безопасности, средства управления обновлениями и процедуры тестирования резервного копирования и систем восстановления.

Компания Quocirca проанализировала деятельность 240 старших менеджеров американских организаций численностью до 1000 человек и 200 старших менеджеров европейских фирм численностью до 300 человек. Как выяснилось, предприятия СМБ обладают ограниченными ресурсами для управления мощными ИТ-инфраструктурами. Около 25% крупных компаний из сектора СМБ до сих пор не пользуются услугами ИТ-экспертов. Между тем ИТ-инфраструктура компаний СМБ оказалась на удивление сложной. Несмотря на небольшие размеры, предприятия СМБ часто наводнены различного вида аппаратными средствами и ПО. Старые версии Windows спокойно соседствуют с более новыми, многие компании вообще используют сочетания Windows, Uniх и Linux. Это существенно усложняет управление безопасностью и повышает временные затраты. Управление информацией и безопасностью зачастую производится вручную и поэтому просто игнорируется. Только 25% исследуемых компаний СМБ используют программное обеспечение для автоматизации управления резервным копированием. Примерно 20% вообще не имеют возможностей для резервного копирования. Из тех, кто сохраняет копии серверов, более 30% в течение года не проверяли возможность восстановления файлов.

Аналитики считают, что предприятия СМБ не могут оперативно реагировать на появление угроз. Более 75% компаний используют высокоскоростной доступ в Internet, тем не менее 25% отметили, что не проверяли безопасность соединения в течение года. Около 80% используют антивирусное ПО, менее 50% установили средства защиты от программ-шпионов.

Аутсорсинг без опасности

По убеждению аналитиков Gartner, аутсорсинг функций информационной безопасности уже не сопряжен с высокими рисками, как ранее, в связи с чем крупным организациям рекомендовано возложить на чужие плечи сервисы мониторинга работы и обеспечения безопасности своих сетей как можно скорее. Между тем еще несколько лет тому назад аналитики высказывали прямо противоположное мнение. Однако, по их словам, уровень квалификации, продемонстрированный поставщиками управляемых услуг безопасности, а также появление высокопроизводительного оборудования безопасности операторского класса стали залогом того, что данному виду аутсорсинга вполне можно доверять. Как указывают в Gartner, управляемые услуги, ассоциируемые обычно с удаленным мониторингом собственных систем распознавания вторжений и межсетевых экранов клиента, эволюционируют во внешние сервисы, когда трафик очищается от спама, вирусов и т. п. еще до попадания в сеть предприятия, то есть межсетевые экраны и IDS-системы, защищающие периметр сети клиента, размещаются у поставщика телекоммуникационных услуг. Ряд таких внешних сервисов фильтрации уже существует, например предлагаемые компаниями Symantec и MessageLabs, но, по мнению аналитиков, лучше всего, если такие услуги будут предлагать именно операторы. В то же время в Gartner признают, что внешние сервисы не подойдут организациям с повышенными требованиями к безопасности, в частности военным.

Технологии управления

HR руками профессионалов

Традиционно поставщики услуг кадрового аутсорсинга брали на себя какую-либо отдельную функцию, например только расчет зарплаты. Однако в последние два года появилась тенденция заключения комплексных контрактов на аутсорсинг кадровых задач, включающих также управление поощрениями, найм, кадровый менеджмент и другие процессы. Поставщики таких услуг в свою очередь обещают заказчикам снижение расходов, рационализацию процессов и выдачу аналитической статистики. ИТ-отделу заказчика при этом выпадает сыграть ключевую роль в выработке подробностей контрактов, касающихся сетей, безопасности и приложений. По данным консалтинговой компании TPI, в настоящее время кадровый аутсорсинг является самым быстрорастущим сегментом рынка аутсорсинга бизнес-процессов в целом; общая сумма контрактов за период с I квартала прошлого года по начало нынешнего удвоилась, достигнув 1,7 млрд. долл. В последние несколько месяцев крупные сделки кадрового аутсорсинга заключили такие корпорации, как PepsiCo, British Telecom и Delta Air Lines. Компания Equaterra провела на предприятиях опрос, посвященный движущим силам заключения подобных контрактов: 54% респондентов в качестве основного фактора назвали перспективу сокращения расходов, 44% — возможность сосредоточения на основной области специализации компании, 38% — использование внешнего опыта для трансформации бизнеса, 34% — потребность в рационализации структуры расходов кадровых отделов, 28% — ускорение трансформации, 21% — решение проблемы обеспечения соответствия законодательству. В то же время исследование, проведенное Yankee Group, показало, что чем крупнее организация, тем большую экономию расходов способен принести ей кадровый аутсорсинг.

Проектирование — в аутсорсинг

Около 15% производственных компаний, участвовавших в прошлогоднем опросе AMR Research, частично передали на аутсорсинг исследовательско-проектировочную деятельность и 10% планировали сделать это до конца нынешнего года. Как практически любой бизнес-процесс, проектирование изделий можно разделить на стандартные задачи и те, которые повышают ценность продукта. Первые из них могут выполняться и сторонними сервисными фирмами. Услуги проектирования — небольшой, но растущий сегмент аутсорсингового рынка. Так, недавно IBM заключила крупный контракт с Nortel, по условиям которого подразделение инженерных услуг IBM будет выполнять проектирование продуктов для Nortel. Компания Flextronics активно инвестирует в расширение своего бизнеса контрактного производства электроники, дополняя его услугами аутсорсингового инжиниринга. По данным индийской ассоциации NASSCOM, объем рынка аутсорсинговой разработки встроенных систем в стране достиг в прошлом году 1,6 млрд. долл. Преимущества проектирования чужими силами аналогичны плюсам аутсорсинга ИТ-функций и других бизнес-процессов: сокращение расходов, расширение возможностей, повышение гибкости комплектации собственного штата, причем последнее, по информации AMR Research, большинство производственников ставят на первое место.

Языком цифр

Соблюдение законов начинается с бюджета

Компании вынуждены выделять дополнительные средства на выполнение требований органов власти и больше тратить на персонал

Не секрет, что соблюдение требований законодательных актов обходится организациям в миллиарды долларов. Учитывая это, аналитики AMR Research утверждают, что грамотное бюджетирование способно помочь директорам информационных служб извлечь максимум пользы из инвестиций в обеспечение соответствия всем установленным нормам. По оценкам специалистов AMR, в 2005 году на выполнение требований федеральных законов (в частности, закона Сарбейнса-Оксли, закона об отчетности и безопасности медицинского страхования, а также других распоряжений федеральных ведомств, включая нормативные акты комиссии по ценным бумагам и биржам и министерств пищевой и фармацевтической промышленности) компании потратят 15,5 млрд. долл. А к 2009 году расходы на эти нужды достигнут 80 млрд. долл.

Утешает лишь то, что проекты по выполнению соответствующих норм в большинстве случаев финансируются не из бюджета информационной службы. По данным аналитика AMR Джона Хагерти, как правило, средства на эти нужды целевым образом выделяются из бюджетов других департаментов (операционного, финансовой службы и т. д.). Затраты на соблюдение норм государственного регулирования могут объединяться в общий бюджет. Возможен также иной вариант, когда каждая конкретная законодательная инициатива инвестируется отдельно. В нынешнем году второго варианта придерживаются 40% компаний, сотрудники которых принимали участие в опросе (в 2004 году таковых насчитывалось 35%), но в то же время около 15% респондентов заявили, что все расходы подобного рода закладываются в бюджет информационной службы.

Специалисты AMR проанализировали также структуру затрат на соблюдение нормативных требований. Опрошенные заявили, что, несмотря на довольно значительные инвестиции в технологии, на стоимость труда (как сотрудников информационной службы, так и других работников), консультаций и аудита приходится примерно две трети от общей суммы расходов. По словам Хагерти, как правило, на начальном этапе компании больше тратят на консультации и меньше на технологии, однако впоследствии сумма вложений в техническое обеспечение растет.

Затраты на оплату труда с течением времени, напротив, будут сокращаться. Это объясняется совершенствованием бизнес-процессов и пониманием важности той роли, которая отводится технологии в деле повышения эффективности. Что же касается новых нормативных актов (в частности, закона Сарбейнса-Оксли), здесь основная часть бюджета по-прежнему приходится на стоимость труда.

Источники финансирования выполнения требований нормативных актов, %

Структура затрат на соблюдение нормативных требований, %

Передовой опыт формирования бюджета затрат на соблюдение нормативных актов

[1]

Нужно понять, что обеспечение выполнения требований нормативных актов — это плата за возможность ведения бизнеса. Следовательно, соответствующие затраты следует рассматривать как часть проектного портфеля информационной службы, а ее директору необходимо планировать их наряду с другими бизнес-инициативами.

[2]

Следует рассмотреть возможность развертывания уже существующих систем вместо закупки новых технологий. По мнению аналитика AMR Джона Хагерти, директорам ИТ-служб для начала стоит изучить имеющиеся системы и посмотреть, нет ли там приложений, с помощью которых можно было бы обеспечить соблюдение требований нормативных актов.

[3]

Необходимо составить целостную картину. Вероятнее всего, найдутся возможности увязать работы по обеспечению соблюдения требований нормативных актов с другими бизнес-инициативами. Одной из таких областей, по словам Хагерти, является информационная безопасность.

Как преодолеть отставание законодательной базы

По заказу Министерства экономического развития и торговли РФ группа экспертов приступила к разработке проекта Концепции правового регулирования информационных отношений. Помимо этого предполагается разработать рамочный законопроект по системе регулирования информационных отношений, концепции законов

«О персональных данных», «О служебной тайне» и др. Одна из объявленных причин, вызвавшая интерес к этой теме, — необходимость замены устаревшего закона «Об информации, информатизации и защите информации», принятого

10 лет назад. За комментариями мы обратились к Алексею Каптереву, эксперту компании TechInvestLab.com, члену рабочей группы проекта «Информационное регулирование».

Олег Седов

— Есть ли факты, свидетельствующие о том, что нынешние законы в области информатизации не соответствуют современным реалиям экономики и сдерживают развитие ИТ-отрасли, и, в частности, реализацию ФЦП «Электронная Россия»?

Одна из основных целей программы «Электронная Россия» — повышение прозрачности, подотчетности и скорости работы органов власти. Предлагается использовать компьютеры, базы данных и Internet для того, чтобы сделать государство ближе к народу, в том числе и к тем людям, которые вынуждены общаться с органами власти по роду своей деятельности.

Но возьмем, к примеру, лицензирование. Можно ли опубликовать на сайте список выданных лицензий, с тем чтобы проверяющие не требовали бумажную лицензию у вас, а знакомились с ней на сайте? (Напомню, что лицензия — это процедурно оформленное разрешение, запись о котором хранится в базе данных.) Если можно, то почему это до сих пор не делается?

Другой пример: сейчас у большинства органов власти есть сайты и даже вышло постановление правительства, регламентирующее, какая информация на этих сайтах должна быть опубликована. Но поскольку санкции не предусматриваются, оно повсеместно не исполняется.

Как известно, современное законодательство делит информацию на три вида: общедоступную, конфиденциальную и ту, что относится к разряду государственной тайны. Примечательно, что никаких общих правил отнесения информации к конфиденциальной не существует, равно как и не существует механизмов, гарантирующих доступ граждан к общедоступной де-юре информации.

— На чем сконцентрированы ваши исследования?

В числе задач наших исследований — определить критерии, по которым информация может быть отнесена к одной из нескольких категорий: информация, раскрываемая в обязательном порядке, доступная по запросу и конфиденциальная (служебная и государственная тайна). На юридическом языке это называется «установить для информации правовые режимы». Но эту задачу справедливо рассматривать как тактическую.

Стратегическая задача заключается в том, чтобы систематизировать информационное законодательство в целом. Сейчас оно состоит из нескольких сотен нормативных документов, построенных на разных принципах, на разной терминологии. Разногласия в них начинаются с базовых вещей: где-то информация понимается как «сведения», где-то — как «данные», где-то считается, что информацией можно владеть, где-то — что это принципиально невозможно. С этим можно было бы жить, если бы области регулирования этих законов не пересекались. Однако это не так.

Мы нацелены на то, чтобы разработать и принять системообразующий закон об основах регулирования информационных отношений. К концу года ожидаем первые результаты.

— Каких изменений на рынке следует ожидать после принятия обновленной редакции законов в области информатизации?

Надеемся, что на рынке станет больше доступной информации. Я сам по образованию экономист и хорошо себе представляю, сколько информации перерабатывает рынок. Мы бы хотели, чтобы полнота и качество этой информации (по крайней мере той, которую можно получить от государства) непрерывно возрастали. Думаю, произойдут очень серьезные изменения в этой сфере: станет меньше волокиты, сократятся очереди за справками, прозрачнее станут правила игры. Вряд ли найдется хотя бы один крупный государственный проект, на котором это не скажется.