Российский рынок средств информационной безопасности (ИБ) стремительно развивается. По данным агентства Cnews, ежегодный прирост продаж в данном сегменте составляет 50% и более, а за прошлый год, по сведениям аналитиков, общий объем выручки достиг 110 млн долл.
В России, как и во всем мире, растет число попыток взлома информационных систем (ИС) крупнейших организаций из ключевых отраслей экономики — нефтегазового и энергетического комплексов, финансового сектора, телекоммуникационной сферы. Нападения, инициируемые организованными группами злоумышленников, вирусы и злонамеренные коды (черви, «троянские кони»), вскрытие конфиденциальной информации, несанкционированное проникновение в корпоративные сети приносят компаниям разного масштаба существенные убытки, иногда оцениваемые миллионами долларов.
Проблемы защиты информации широко освещаются в специализированной прессе, о них говорят на конференциях и семинарах не только представители коммерческих структур, но и государственные служащие. Руководство крупных компаний пересматривает отношение к защите информации. Если в 2000 году российские заказчики тратили не более 1% ИТ-бюджета на комплексные меры защиты, то в 2003 году такие вложения выросли до 2%, а в 2004 году их планируется увеличить до 2,5%. Согласно статистике, в нашей стране необходимость комплексного подхода к решению проблем ИБ осознали около 10% организаций. Gartner Group прогнозирует, что к 2005 году почти половина фирм развернет у себя системы обеспечения информационной безопасности.
Говорить о зрелости рынка еще рано, да и темпы развития отрасли свидетельствуют о том, что он далек от насыщения. Однако регулярное пополнение рядов поставщиков и производителей средств защиты, провайдеров сопутствующих услуг позволяет надеяться, что скоро этот сегмент начнет приобретать определенные очертания.
Сейчас идет активная борьба за раздел сфер влияния в отрасли. Стремясь пробиться в лидеры, ИТ-компании не только продвигают оборудование и ПО, но и предлагают всевозможные услуги в сфере ИБ — от консалтинга до обучения. Разнообразие продуктов и услуг, интриги заинтересованных фирм и обилие маркетинговых акций значительно осложняют заказчикам выбор поставщиков и продуктов. Для больших организаций, имеющих разветвленную структуру и остро нуждающихся в защите информации, выход прост: они могут обратиться к одному из лидеров отрасли (благо их имена общеизвестны) и после предварительных оценочных расчетов сделать заказ. Хотя счет за столь масштабные работы потянет на десятки, а то и сотни тысяч долларов, для ведущих предприятий финансового или нефтегазового сектора эти затраты будут сопоставимы с возможными потерями в случае вскрытия информационных систем или временной приостановки деятельности ИС.
Тем не менее далеко не все крупные компании готовы идти на значительные расходы, чтобы защитить свой бизнес от сетевых инцидентов. Многие надеются, что если инцидентов не было раньше, вряд ли что-то случится и в будущем. Есть и такие фирмы, руководство которых осознает необходимость правильного внедрения систем защиты, но не имеет средств на проведение комплексных работ.
Есть расхожее мнение, что средства безопасности — сугубо затратный механизм. Но с точки зрения высшего руководства предприятий любые расходы должны быть оправданны. Поэтому директора как крупных, так и небольших фирм озабочены оптимизацией затрат на внедрение средств защиты, т. е. снижением расходов на построение системы ИБ с одновременным повышением эффективности принимаемых мер. В связи с этим особую актуальность приобретают такие вопросы: насколько надежно защищены критичные ресурсы и сервисы, связанные с основной деятельностью организации; адекватны ли финансовые затраты на обеспечение информационной безопасности имеющимся рискам; как оптимизировать затраты на внедрение систем защиты и избежать избыточности при планировании мер обеспечения ИБ?
Чтобы внести ясность в эти вопросы, мы обратились к представителям заинтересованных сторон — к экспертам аудиторских фирм и системных интеграторов, предлагающих услуги аудита ИС, а также к заказчикам систем ИБ. Систематизировав полученную информацию, мы получили представление о том, как корпоративные заказчики могут оптимизировать затраты на основных стадиях построения систем ИБ — обследования ИС, проектирования системы защиты, внедрения средств ИБ, поддержки комплекса в период эксплуатации.
Что угрожает бизнесу?
Перед построением системы ИБ необходим качественный аудит информационной системы. Другими словами, ИС нужно обследовать для получения объективных данных о ее состоянии, оценить соответствие ИТ-инфраструктуры требованиям нормативных актов РФ и других руководящих документов в области ИБ.
ИГОРЬ ЛЯПУНОВ: «Заказчики пока не готовы к реальному вычислению ROI при внедрении систем ИБ» |
Как рассказал Игорь Ляпунов, директор департамента систем информационной безопасности холдинга ЛАНИТ, аудит ИС заказчика состоит из нескольких этапов. Сначала проводится комплексное обследование, включающее в себя документирование текущего состояния ИТ-инфраструктуры, интервьюирование сотрудников ИТ-департамента, руководителей и ключевых сотрудников бизнес-подразделений. В соответствии с его результатами составляются схемы реализации бизнес-процессов с точки зрения соблюдения требований информационной безопасности.
Далее «прорисовываются» потоки документов, дается оценка их конфиденциальности, критичности и пр. Затем ИС оценивается на техническом уровне и формируются модели потенциальных угроз безопасности. Часто проводятся так называемые тесты на проникновение (ethical hacking), т. е. имитация внешних и внутренних атак на сеть заказчика для выявления имеющихся уязвимостей. После определения того, насколько соответствует система заказчика российским и международным стандартам и требованиям, интервью и технические параметры объединяются в сводный отчет. Кроме того, вырабатывается комплекс мер по защите информационной системы организации.
При проведении аудита обязательно должны учитываться сфера деятельности и специфика бизнеса компании. Для организаций телекоммуникационного сектора, например, важнейшим условием нормального функционирования является непрерывность и доступность информационных ресурсов 24 часа в сутки. А для крупных финансовых предприятий огромное значение имеют не только непрерывность, но и обеспечение конфиденциальности информации. По мнению Олега Маслова, начальника отдела защиты информации «Банка Москвы», для российских банков в большей степени актуальны не внешние, а внутренние угрозы, что определяет расстановку акцентов при построении систем ИБ.
После тщательного обследования определяются критически важные ресурсы и источники угроз ИС. На этом этапе весьма важны анализ и методика оценки рисков. Говоря о риске применительно к системам ИБ, большинство специалистов имеют в виду вероятность возникновения инцидента в результате использования злоумышленником уязвимости системы. Анализ рисков, по словам директора департамента информационной безопасности IBS Андрея Калашникова, предполагает идентификацию и оценку ресурсов ИС, определение их значимости для функционирования бизнес-процессов, составление модели угроз и портрета потенциального злоумышленника, выявление слабых мест ИС.
Существуют зарубежные и отечественные программные средства, позволяющие формализовать и автоматизировать процессы выявления и анализа уязвимостей, а также оценки рисков. Это такие системы, как RiskWatch (США), CRAMM и COBRA (Великобритания), а также отечественные «АванГард», ГРИФ и КОНДОР+. В этих средствах реализуются разные подходы к оценке рисков и решению других задач аудита информационной безопасности.
НИКОЛАЙ ПЕТРОВ: «Клиенты очень не любят, когда консультанты начинают на них учиться» |
Известны и основные информационные угрозы бизнесу фирм любого масштаба. Николай Петров, менеджер отдела услуг по информационным технологиям и компьютерной безопасности компании Ernst & Young, включает в их список следующие источники: действия хакеров с целью получения конфиденциальной информации или нарушения рабочих процессов предприятия, преднамеренные акции недовольных сотрудников, случайные действия пользующегося доверием персонала, в результате которых к конфиденциальным данным получают доступ посторонние или просто возникают сбои в рабочих процессах.
Интересно отметить, что сегодня основная опасность базам данных исходит от внутренних пользователей: они совершают 94% преступлений, а внешние — только 6%. По мнению экспертов, основным источником информационных угроз для банков России в ближайшие годы будет обслуживающий (в том числе бывший) персонал (от 40 до 90% инцидентов), а основными видами атак — несанкционированный доступ и вирусы.
Завершающим этапом анализа рисков является их ранжирование по степени важности (низкие, средние или высокие). Затем вырабатываются требования, выполнение которых позволит снизить риски до приемлемого уровня. Этот комплекс работ позволяет оценить уровень адекватности средств защиты реальным угрозам и создать рекомендации по внедрению новых или совершенствованию существующих средств и механизмов защиты информации.
Целью анализа и оценки рисков является выработка стратегии управления рисками. Возможны несколько подходов: уменьшение риска путем использования комплексной системы контрмер (программно-технических и организационных), уклонение от риска (к примеру, вынесение Web-сервера организации за пределы локальной сети позволяет избежать несанкционированного доступа в последнюю Web-клиентов), наконец, принятие риска (если целесообразнее бороться с его последствиями, а не с причиной). В результате комплексных работ, нацеленных на обследование ИС, определение угроз, уязвимостей, связанных с ними рисков и выявление критически важных для бизнеса ресурсов компании, ее руководство получает возможность целенаправленно планировать затраты на ИБ.
Аудитор аудитору рознь
После того как внесена ясность в определение процесса аудита ИС и его роли в построении систем ИБ, возникает следующий вопрос: кто должен проводить обследование и планировать внедрение средств защиты?
Если говорить об «идеальной модели» аудита, то реализовать ее на практике, по единодушному мнению поставщиков и заказчиков, могут только внешние специализированные компании. Почему? По словам Игоря Ляпунова, основная причина состоит в том, что «у такой организации больше опыта не только в проведении исследований, но и в разрешении возникающих проблем». Например, через ЛАНИТ за год проходят примерно 100 проектов оказания подобных услуг, поэтому решение многих задач уже отработано до автоматизма.
Андрей Калашников подчеркивает, что при проведении работ обязательно должны учитываться признанные за рубежом рекомендации международной организации по аудиту информационных систем (ISACA — The Information Systems Audit and Control Association & Foundation), требования стандарта Cobit, разработанного этой организацией, а также положения стандартов ISO/IEC 17799, 13335 и др. Стоит учесть, что многие из этих документов до сих пор не переведены на русский язык. Поскольку работа с такой информацией требует специальных навыков, обследование ИС целесообразно доверить крупной аудиторской фирме, способной привлекать высококвалифицированных специалистов и владеющей методиками проведения аудита по международным критериям.
МИХАИЛ ЕМЕЛЬЯННИКОВ уверен, что без объективного аудита нельзя защитить корпоративную сеть дальше базового уровня |
А Михаил Емельянников, начальник отдела департамента безопасности холдинга «Связьинвест», уверен, что без объективного аудита нельзя защитить систему дальше базового уровня. Действительно, у пользователей нет знаний о том, что именно нужно защищать, т. е. какие ресурсы следует отнести к критически важным и какие уязвимости существуют в системе.
Поскольку аудит ИС является значимым этапом построения системы информационной безопасности, важно правильно выбрать организацию, которая будет его осуществлять. Критериев при определении исполнителя несколько; прежде всего, это — известность компании на рынке. Как справедливо отметил Николай Петров, «клиенты очень не любят, когда консультанты начинают на них учиться». Очень важно, есть ли в такой фирме квалифицированный персонал, обладающий знаниями не только в области информационной безопасности, но и в различных отраслях экономики. К перечню критериев выбора Михаил Емельянников добавил наличие лицензий ФСБ и ФАПСИ на проведение соответствующих работ. В свою очередь, Игорь Ляпунов заявил, что решающую роль играет психологический фактор: «Поскольку безопасность — вопрос интимный, большое значение имеют межличностные отношения и доверие заказчика к конкретным экспертам, их опыту и профессионализму».
Теперь самое время задуматься о том, можно ли провести качественный аудит за сравнительно небольшие деньги. Консультанты ведущих компаний данного сегмента (таких, как ЛАНИТ, Ernst & Young, IBS) в один голос заявляют, что экономить на аудите не нужно и даже опасно: это может обернуться серьезными проблемами в ходе эксплуатации систем. С их аргументацией мы уже ознакомились. Однако для полноты картины приведем несколько цифр.
«Именитые» компании, предлагающие услуги аудита, запрашивают от 6 до 60 тыс. долл. за полное обследование инфраструктуры предприятия (средняя стоимость проекта — 15 тыс. долл.) и не менее 100 тыс. долл. — за аудит ИС с последующим проектированием средств защиты. И это еще не все. В Ernst & Young, к примеру, советуют регулярно повторять процедуру обследования (например, до и после внедрения корпоративных стандартов информационной безопасности). Стоимость подобных проектов зависит не столько от масштабов компании-заказчика (понятно, что позволить себе такие расходы могут лишь весьма солидные игроки), сколько от объема и сложности работ. Поэтому оптимизировать затраты на услуги крупных аудиторских фирм клиенты могут, выбрав необходимый набор сервисов и избежав избыточных предложений.
Для компаний из сферы SMB (малый и средний бизнес) тоже есть несколько рекомендаций по экономии средств на этапе обследования и проектирования систем ИБ. Первый вариант — отказаться от дорогих услуг аудиторских фирм и провести все работы самостоятельно. Для квалифицированных ИТ-специалистов это несложно: как показывает опыт, в среднем не более 30% информационных ресурсов компаний нуждаются в защите. Однако при очевидных плюсах такого подхода (сокращение расходов, удобный график проведения работ, обучение в их процессе) у него есть и явные минусы — отсутствие объективного взгляда на внутренние бизнес-процессы, недостаток квалификации и опыта у персонала.
Второй вариант оптимизации затрат состоит в самостоятельном обследовании и проектировании с использованием типовых «коробочных» решений. Так, Михаил Савельев, начальник отдела продвижения решений компании «Информзащита», рекомендует применять для обнаружения потенциальных уязвимостей в ИС, а также для непрерывного аудита их состояния решение «Комплекс аудитора информационной безопасности». В состав продукта, выпускаемого на базе современного ноутбука, входит программное обеспечение PhoneSweep производства Sandstorm Enterprises, Internet Scanner и Database Scanner от Internet Security Systems. Стоят «коробочные» комплексы в среднем около 3 тыс. долл. Этот вариант немного дороже первого, но и отдача здесь выше: программные средства отчасти помогают решить проблему «человеческого фактора».
Однако наиболее предпочтительным является третий способ оптимизации затрат — проведение аудита и последующее планирование внедрения средств защиты силами квалифицированных сотрудников самой компании с подключением внешних консультантов при реализации самых сложных работ (например, анализа рисков). Если бюджет позволяет, можно дополнительно использовать и коробочные программные решения.
Лишних денег не бывает
Для многих заказчиков ожидания от качественного аудита напрямую связаны с экономическим эффектом от внедрения средств ИБ. Согласно статистике, около 89% банков при планировании расходов на защиту информационных ресурсов уделяют наибольшее внимание адекватности средств защиты возможным потерям в случае внешних и внутренних атак. Предприятия госсектора, остро нуждающиеся в обеспечении ИБ, но ограниченные жесткими бюджетными рамками, также заинтересованы в оценке эффективности вложений в средства информационной защиты. Компании любого масштаба хотят уйти от избыточности при построении систем защиты: как известно, лишних денег не бывает.
В ответ на требования заказчиков аудиторы пытаются адаптировать для систем ИБ западные методики оценки экономической эффективности от внедрения ИТ. Прежде всего, это TCO (Total Cost of Ownership), основанная на модели совокупной стоимости владения, и ROI (Return On Investment), базирующаяся на расчете коэффициента возврата инвестиций. Николай Петров сообщил, что клиенты Ernst & Young часто нуждаются в оценке экономической эффективности внедрения средств защиты, поэтому компания разрабатывает собственные методики. Вот один из серьезных успехов в этом направлении: расчет ROI для одного из проектов превысил стандартный ROI по обычным проектам в области ИТ в десять раз; он был представлен заказчиком на его «Комитете по информатизации» как обоснование необходимости реализации проекта.
АНДРЕЙ КАЛАШНИКОВ: «Анализ рисков — важная составляющая аудита СИБ» |
Андрей Калашников считает, что хотя определенная польза от подобных методик есть, они не свободны от недостатков. Во-первых, такие оценки страдают механистическим подходом, т. е. в них не учитываются содержание и бизнес-стоимость защищаемых данных. Во-вторых, не уделяется должного внимания влиянию информационных процессов на основные бизнес-процессы и непрерывность функционирования организации. А Игорь Ляпунов отметил, что заказчики пока не готовы к реальному вычислению ROI, и цифры, отражающие реальную картину, получить почти невозможно. Корпоративных пользователей больше интересует обеспечение комплексной защиты критически важных ресурсов и то, во сколько обойдутся услуги обследования ИС с последующим внедрением средств ИБ.
От слов — к делу
После обследования ИС, оценки экономической эффективности построения системы защиты и планирования внедрения средств ИБ можно, наконец, перейти к основному процессу — обеспечения инфобезопасности ресурсов организации. Если работы выполняет специализированная компания, основой задачей заказчика будет внесение в бюджет дополнительной статьи расходов. Чтобы избежать избыточности в этом случае, необходимо помнить: затраты на построение системы ИБ не должны перекрывать сумму возможных убытков в случае проникновения хакера в незащищенную ИС. Специалисты утверждают, что расходы на обеспечение ИБ не должны превышать 10% от ИТ-бюджета фирмы.
Если же компания намерена сэкономить и заняться построением системы защиты самостоятельно, ей необходимо руководствоваться четким планом. После обследования ИС и проведения проектных работ Михаил Емельянников советует оптимизировать затраты за счет обеспечения лишь базового уровня защиты, без оценки угроз и уязвимостей. Очевидно, что на выходах во внешние сети должны быть установлены межсетевые экраны и антивирусная защита. Также требуется обеспечить разграничение доступа к информации: для этого можно инсталлировать специальные программные средства и/или реализовать процедуру документального определения доступа к критически важным ресурсам.
Если конфиденциальная информация выходит во внешние сети, требуется ее криптографическая защита. Кроме того, нужно сделать информационные ресурсы доступными 24 часа в сутки и произвести их резервное копирование. Для большей надежности система должна быть многоуровневой, но прозрачной для легальных пользователей — лишь при таких условиях можно гарантировать ее эффективное функционирование. Необходимо помнить, что принципы организации защиты не должны идти вразрез с основными российскими документами в этой области.
Преимущества доверия
После построения системы ИБ нужно обеспечить ее поддержку и нормальное функционирование. Некоторые специалисты ИТ-рынка полагают, что снизить операционные расходы на внедрение и эксплуатацию систем защиты можно, прибегнув к услугам аутсорсинга, которые предполагают передачу сторонней компании поддержки ИТ-инфраструктуры предприятия, в том числе ориентированной на поддержку безопасности.
Российские компании, специализирующиеся на ИБ, такие услуги начали предоставлять не очень давно и не очень охотно: слишком тяжело завоевывается доверие отечественных игроков. Значительную активность проявляют лишь провайдеры, предлагающие услуги аутсорсинга не только для крупных игроков, но и для фирм из сферы SMB.
Отметим, что внешние сервисы разделяются на аутсорсинг инфраструктуры и приложений с размещением данных в дата-центре и аутсорсинг услуг, направленных на поддержание жизнеспособности средств ИБ. Среди небольших компаний популярностью пользуется именно второй вариант, поскольку они предпочитают строить собственную сетевую инфраструктуру, но не могут себе позволить содержать в штате высококвалифицированных специалистов по ИБ. Крупные игроки, напротив, чаще выбирают аутсорсинг инфраструктуры и приложений, чтобы обеспечение работоспособности ИС не мешало их основному бизнесу.
Среди компаний, добившихся значительных успехов на этом рынке, стоит отметить «Эквант» и «Инфотекс Интернет Траст». Они активно пропагандируют аутсорсинг, убеждая клиентов, что регулярные платежи за пользование такими услугами — значительно меньше, чем операционные затраты на эксплуатацию систем ИБ. Специалисты «Экванта» не согласны с бытующим среди клиентов мнением, что услуги аутсорсинга через некоторое время (от нескольких месяцев до года) начинают обходиться дороже, чем поддержание системы ИБ собственными силами. Как правило, заказчики не учитывают скрытых затрат, неизменно сопровождающих функционирование систем в течение длительного времени.
По нашей просьбе продукт-менеджер услуг по обеспечению сетевой безопасности, услуг хостинга и передачи электронных сообщений компании «Эквант» Максим Гарусев перечислил основные преимущества аутсорсинга ИБ. Он включил в этот список низкие начальные затраты, ведение единого биллинга по нескольким видам услуг, возможность плавной замены старых решений на новые без прерывания бизнес-процессов предприятия и право клиента отказаться от сервиса в любой момент без финансовых потерь.
Важно отметить, что наличие опыта необходимо не только консалтинговым компаниям, но и провайдерам, осуществляющим технологическую поддержку заказчиков. Заказчикам бывает очень трудно самостоятельно развернуть систему мониторинга и управления, обеспечивающую автоматизацию многих рутинных задач по поддержанию системы ИБ. Аутсорсинговые фирмы, решающие подобные проблемы для многих клиентов, способны лучше прогнозировать нештатные ситуации.
Популярность услуг аутсорсинга постепенно растет, а ценовая политика провайдеров становится более гибкой. Руководство многих компаний уже пришло или постепенно подходит к осознанию того, что такие услуги позволяют значительно сокращать расходы на ИТ, не теряя на качестве. Эти тенденции должны помочь решению проблемы доверия между поставщиками и потребителями услуг.
Страховка от убытков
Существует еще один способ пусть не сэкономить, но значительно сократить возможные потери в случае возникновения инцидентов в ИС. Речь идет о новой для российского рынка услуге страхования информационных рисков. Во многих развитых странах компании, использующие данную схему, могут рассчитывать на многомиллионную компенсацию убытков. В России этому сегменту страхового рынка пока не уделяется достаточного внимания, и между страховщиком и заказчиком циркулируют куда более скромные суммы.
В нашей стране данная схема в той или иной форме действует с 1994 года. За это время наработана минимальная информационно-правовая база, необходимая для страхования информационных рисков, произошли существенные сдвиги в стандартизации основных понятий, их классификации. Однако по-прежнему остаются актуальными проблемы определения страховых сумм и отсутствия репрезентативной информации по страховым случаям (количественным параметрам информационных рисков), ощущается острая нехватка экспертов и квалифицированных кадров. Эти факторы плюс неготовность самих страховщиков к популяризации нового сервиса значительно затрудняют развитие данного сегмента услуг.
Пока лицензии на осуществление данного вида страхования имеют не более пяти-шести компаний. Среди фирм, активно развивающих это направление, можно выделить ИНГОССТРАХ и «Страховой сервис». Остальные либо действуют нелегально, либо просто выдают желаемое за действительное: под видом страхования информационных рисков страхуется электронное оборудование.
На самом деле, данная схема подразумевает страхование любых программных и программно-аппаратных ИС, предназначенных для сбора, передачи, хранения и обработки информации. Среди них — системы ERP, управления производством и электронного документооборота, корпоративные центры сертификации (удостоверяющие центры), биллинговые системы и Web-серверы, локальные вычислительные сети компаний и т. п. Правовой основой для страхования информационных рисков является «Доктрина информационной безопасности РФ», утвержденная Президентом РФ 9 сентября 2000 года.
По определению специалистов компании «Страховой сервис», полис обеспечивает возмещение убытков, связанных с утратой информации, ценных бумаг или денежных средств в электронной форме в результате выхода из строя информационных систем, злонамеренных действий сотрудников фирмы или третьих лиц, а также компьютерных атак и воздействия вирусов. Минимальный лимит ответственности по данной страховой схеме зависит от стоимости критичных для бизнеса ресурсов компании, но, в любом случае, не может быть меньше 50 тыс. долл. Оценка стоимости информации производится на основе затрат, которые потребуются на ее восстановление. При этом учитываются как затраты времени штатного персонала компании, так и необходимость привлечения независимых экспертных и аудиторских организаций.
Стоит отметить, что представленная страховая схема вызывает все больший интерес у компаний разных отраслей. Пока ее повсеместное внедрение тормозят высокие цены и небольшая известность, но уже в ближайшем будущем многие крупные предприятия будут обращаться за консультациями по данному виду страхования. Причина проста: все без исключения специалисты по ИБ с сожалением констатируют, что сегодня ни одну ИС не удастся защитить на 100%. Но если нельзя обезопасить свой бизнес, можно попытаться сократить возможный ущерб, застраховав критически важные ресурсы. И пусть выплаты пока несущественны, а услуги дороги — данное направление бизнеса обязательно будет развиваться. Возникнет спрос — появится и предложение.
В общем, приходится констатировать, что при всем многообразии услуг и решений на рынке ИБ однозначных рекомендаций по выбору того или иного поставщика или сервиса дать практически невозможно. Работа авторитетных консалтинговых и аудиторских компаний обходится очень дорого, а построить систему своими силами сложно. Вариантов оптимизации затрат на внедрение средств защиты — множество, но выбрать правильный способны лишь руководители фирм, не только располагающие достаточным бюджетом, но и имеющие чуткую бизнес-интуицию. А обоснованность вложений в системы ИБ покажет будущее.