Маркетинговое агентство «Форт-Росс» провело 24-25 марта конференцию для директоров по информационной безопасности — Russian CSO Summit 2008. Наиболее острой проблемой, обсуждаемой на конференции, был вопрос об эффективности работы системы информационной безопасности.
Директор управления разработок компании LogLogic Антон Чувакин полагает, что определить эффективность защитных систем весьма непросто.
«Чем умнее формулы, тем сложнее найти для них данные, — заявил он, — а чем больше имеется данных, тем менее понятно, какими формулами их можно описать».
Он также полагает, что основной причиной, по которой компании будут покупать такого рода продукты, является соответствие требованиям законов, а не построение действительно эффективной системы защиты. Такое явление Чувакин назвал Checkbox Security («безопасность для галочки»). Это означает, что компаниям не нужны будут эффективные средства защиты, однако востребованными окажутся продукты, которые максимально соответствуют требованиям стандартов и законов.
Разумеется, были и другие мнения. Михаил Кондрашин, руководитель центра компетенции Trend Micro, считает, что для построения эффективной защиты нужно минимизировать сумму затрат на саму защиту, зарплату сотрудников, обеспечивающих информационную безопасность, и отработку инцидентов. Однако, если затраты на защиту и зарплату сотрудников являются величинами предсказуемыми, то стоимость обработки инцидентов сильно зависит от происходящих событий — это те самые данные, которые сложно найти.
Другим подходом является метод минимизации риска, предложенный Михаилом Левашевым, руководителем службы информационной безопасности банка «Союзный». Он предложил использовать методику управления рисками. В такой методике риск события зависит от его вероятности и суммы возможного ущерба. Используемое средство безопасности должно снизить вероятность события и тем самым уменьшить общий риск, то есть защита является средством управления риска. Насколько снижается вероятность события при внедрении защиты, можно будет оценить по пилотным испытаниям, а в дальнейшем эту величину придется пересматривать. Однако вероятность события в этой формуле является той самой сложно добываемой величиной, которую можно лишь оценить по аналогии с другими инцидентами.
Еще один метод оценки эффективности защиты предложил Алексей Шандин, директор отдела услуг по компьютерным технологиям и информационной безопасности компании Ernst & Young.
По его мнению, еще до внедрения средств защиты необходимо сформировать набор ключевых показателей эффективности (Key Performance Indicator, KPI), которые должны находиться в определенных рамках. Если система защиты обеспечивает приемлемый уровень KPI, то она эффективна.
Михаил Емельянников, заместитель коммерческого директора «Информзащиты», так вкратце описал этот метод: «Эффективная система безопасности должна защищать от неприемлемых инцидентов». Действенность этого метода зависит от формирования набора показателей, которое является само по себе непростой задачей.
Сам Чувакин не предложил какого-либо метода оценки эффективности работы системы информационной безопасности, сославшись на то, что академических работ по этой теме проводится очень мало.
Он посоветовал директорам по информационной безопасности пересмотреть планы реагирования на инциденты, поскольку современная ситуация может сильно отличаться от той, которая предполагалась в момент составления этих планов.
А также заняться повышением осведомленности пользователей о проблемах информационной безопасности не с использованием классических лекций и должностных инструкций, а при помощи плакатов, фильмов и игр.