среда, 16 ноября 2011 г.

Размышления о перспективах

Задумался я тут о предстоящих возможных трансформациях отрасли инфобезопасности и решил поделится этими соображениями с вами, дорогие читатели. И вот что мне думается:

1) Информационная безопасность vs. ИТ-безопасность

На мой взгляд в ближайшем будущем термин ИТ-безопасность будет более применим к тому, чем придется заниматься специалистам по ИБ. БОльшая часть информации уже давно циркулирует именно в электронной форме и ее обработка невозможна без информационных технологий. А что это значит ? А то, что безопасность будет обеспечиваться именно в контексте ИТ-технологий. Мне думается, что это приведет к тому, что для обеспечения максимальной эффективности традиционные "технари" от безопасности должны будут перейти под крыло ИТ-подразделения, а директор по информационной безопасности должен будет сконцентрироваться на вопросах уровня GRC, т.е. общем руководстве, управлении рисками и соответствием законодательству.

2) Сращивание ИТ и ИБ

Как продолжение предыдущей мысли, уже сейчас видно как крупные ИТ-игроки скупают компании, занимающиеся информационной безопасностью (Intel купил McAfee, HP купил ArcSight и т.д. и т.п.). Все это на мой взгляд говорит о том, что в будущем элементы безопасности будут встроены в ИТ-сервисы, предоставляемые пользователям. И это будет правильно по двум причинам: во-первых интегрированный сервис удобен пользователям, т.к. им не надо заботится о защите (хотя они и так не заботятся :)), во-вторых такой сервис надежнее, т.к. как известно безопасность встроенная лучше безопасности наложенной.

3) Отказ от жесткого регулирования вопросов применения средств защиты

Я убежден, что "завинчивание гаек" в виде сертификации средств защиты хоть и имеет краткосрочный эффект (многие вендоры задумались о необходимости сертификации), но в долгосрочной перспективе абсолютно нежизнеспособно. Может быть это чересчур эмоционально, но думаю что такие меры это позор для нашей страны, которая так нуждается в модернизации. Так что мне думается, что если уж не в краткосрочной, то в долгосрочной перспективе отказ от обязательной сертификации непременно произойдет.

4) Усиление регуляторного прессинга

И как это не парадоксально в контексте предыдущего размышления, но количество стандартов и разного рода законов и регуляторных требований будет возрастать, т.к. все же безопасностью бизнес старается заниматься в последнюю очередь (в первую конечно же основные процессы) и ничего с этим не сделаешь (люди вообще склонны к риску и игнорированию опасности, особенно когда она не очевидна), а единственный способ заставить все же думать о безопасности - это введение регулирования (отраслевого, законодательного, международного).

24 комментария:

  1. Ну, давайте по порядку.
    1) ИМХО, вывод не следует из смены терминологии. Подчинение ИБ в ИТ несет свои риски и, на мой взгляд, тотального изменения в подчиненности не произойдет. Одни будут есть левой рукой, другие - правой. Нету существенной причины...

    2) Опять же ИМХО. Покупка грандами ИТ вендоров по ИБ не ведет к интеграции продуктов ИБ в технологии ИТ этих же грандов. К слову, HP еще и принтеры производит, но это не значит, что к каждой системе, которую они продают, принтеры будут идти комплектом. Просто большую часть у крупняка занимает та самая системная интеграция для очень важных заказчиков, которую у нас делают российские компании. Ровно поэтому каждая уважающая себя большая организация хочет иметь свой продуктовый ряд.

    3) ;) Не верю (С) Станиславский. Для меня очевидно, что система сертификации, особенно в текущих условиях и с текущем менталитетом регуляторов умерла уже лет 5 как и сейчас нужна только для одного - для защиты рынка при вступлении в ВТО. Ввози что хочешь, но класс системы - святое, не трожь. А чтобы получить этот класс нужны исходники + реализация спецтребований. Хороший барьер, я вам скажу :)

    4) Плох тот экономист, который не нарисовал свою матрицу 2x2. Так и с регуляторами. Каждый так и норовит выпустить свои best practices, за которыми у неподготовленных умов теряется смысл. Будут прессовать. Но качество и сила этого прессинга будет зависеть от того, какая будет ответственность возложена на исполнителей требований. Если пожурить - пусть пишут все что угодно, если деньги или свобода - тогда будут исполнять

    ОтветитьУдалить
  2. А чем Ит безопасность отличается от ИБ?

    ОтветитьУдалить
  3. to Владимир Гнинюк:
    Ничем. Игра слов.

    С ув. Turkish

    ОтветитьУдалить
  4. Да что Вы? Так и ничем? ИТ-безопасность термина не существует, есть термин "безопасность ИТ", иначе "безопасность информационных ТЕХНОЛОГИЙ", попросту - компьютерная безопасность. А есть термин ИБ - "безопасность информации" (я считаю что именно так нужно переводить термин information security). Таким образом, БИТ - это часть ИБ, пусть и важная и большая, но все же часть. Александр как раз и пишет, что со временем эта часть будет увеличиваться. Но я уверен, что ни один "безопасник" от ИТ не будет заниматься обеспечением безопасности контролируемой зоны, проводить работу с персоналом и отчитываться перед руководством компании, как того требуют лучшие практики. Кроме того, термин "безопасность" традиционно относится к CSO, и его ИТ-шникам еще нужно будет отвоевать. Плюс к тому, CISO как правило занимается технической поддержкой СБ, а эту функцию передавать в ИТ ну никак нельзя.

    ОтветитьУдалить
  5. >На мой взгляд в ближайшем будущем термин ИТ-безопасность будет более применим к тому, чем придется заниматься специалистам по ИБ

    Владимир Гнинюк комментирует...
    >А чем Ит безопасность отличается от ИБ?

    Вообще-то IT-безопасность составная часть ИБ (и можно даже отнести __к одной из__ специализаций ИБ-шников).
    Но ИБ "ширше (с)"/"ширее (с)" и сводить ИБ к IT-безопасности крайне вредно

    ОтветитьУдалить
  6. toparenko: в одно время комментировали :)

    ОтветитьУдалить
  7. С чем согласен на 100000% - у пользователя не должна болеть голова об обеспечении БИТ. От навесных СЗИ нужно уходить, любой готовый продукт помимо основного функционала должен иметь необходимые и достаточные защитные функции. Почему бы тот же антивирус не интегрировать в ОС? Майкрософт - аууу...

    ОтветитьУдалить
  8. БИТ - это безопасность инструмента, поэтому ею может заниматься и "продвинутый" ИТ-шник. ИБ - это безопасность актива: здесь уже риски другие, и область шире, и методы иные. Потому именно ИБ-шник должен говорить, в каком направлении должен двигаться БИТ-овец. Ну а интеграция или навесные - это вторично.

    ОтветитьУдалить
  9. "безопасность инструмента" - это здорово ;-) А почему мы занимаемся "безопасностью инструмента"? потому как он нам "ценен", а все что ценно есть "актив". (ISO/IEC 27000)


    ИМХО: Люди, которые ввели термин «ИТ-безопасность», «безопасность информационных технологий» подсунули огромную свинью. Породив anchoring, который стал причиной различных когнитивных искажений не только в головах потребителей услуг безопасности, но и в профессиональной среде…

    ИБ - это отрасль в которой работают много разных и нужных друг другу людей. И "токарь шестого разряда" и "главный авиаконструктор" делают одно и то же дело - выпускают самолеты в рамках какого-то авипрома и являются авиастроителями. Они не могут сближаться или не сближаться - они жить друг без друга не могут...

    ОтветитьУдалить
  10. 2 Алексей Волков.
    Полностью уйти от навесных СЗИ вряд-ли получится. Я имею в виду, что если ИС (софт) создана для обработки информации, требующей защиты, то защитные меры не плохо бы в ней и предусмотреть в соответствии с требованиями к защите этой информации (конечно по возможности и желательно по максимуму, в идеале с сертификатом). ИМХО востребованность такого продукта будет выше.

    ОтветитьУдалить
  11. 2Владимир: вообще-то лично я не вижу никакой "свиньи", да и Вы, по сути, ее существование самоотрицаете. ИБ не может быть без Б, а БИТ - без ИБ. Кроме того, именно в этой прадигме я и говорю, дословно "Потому именно ИБ-шник должен говорить, в каком направлении должен двигаться БИТ-овец." И это никак не противоречит ни 27001, ни всему остальному.

    2 Сергей: но и стоимость для конечных пользователей будет дороже, и более того, тем, кому такой функционал не нужен, вынуждены будут переплачивать.

    ОтветитьУдалить
  12. Стоимость будет выше, чем "чистый продукт", но ниже, чем продукт + навесные СЗИ. А случаи, когда защита не нужна единичные.

    ОтветитьУдалить
  13. Ну, положим, что не единичны, особенно когда потребителя устраивает старая навесная балалайка, а тут ему выдают что вот - берите, уже все встроено, но оно дороже, да и обучаться надо, поддерживать там... Проблема та же, что с Internet Explorer была в Европе в свое время. Та же, что с переходом на IPv6. Надо ждать пока не вымрут динозавры. А они пока не собираются.

    ОтветитьУдалить
  14. > ИТ-безопасность термина не существует, есть термин "безопасность ИТ", иначе "безопасность информационных ТЕХНОЛОГИЙ"
    Понятно, по второму предложению возражений значит нет - игра слов.
    >ни один "безопасник" от ИТ не будет заниматься обеспечением безопасности контролируемой зоны, проводить работу с персоналом и отчитываться перед руководством компании, как того требуют лучшие практики.
    А вы уверены, что в недальней перспективе во всем этом нужна будет необходимость?
    Особенно при условии, что со временем обработка информации в эл.виде будет только увеличиваться?

    Какая контролируемая зона - заборы с вышками? Или все-таки соответствующие настройки маршрутизаторов, файерволов, антивирусного ПО и т.п.?
    Опять же работа с персоналом - у кого есть положительный опыт, что персонал вот взял, да и проникся весь требованиями ИБ насквозь, да еще и без мер воздействия репрессивного характера?
    Персоналу нужно только одно - чтоб у него все само работало как надо (иными словами ИТ настроены так, что все безопасно) и ему не морочили голову.
    С руководством еще проще: на что деньги нужны - на железки для ИТ в целях безопасности? Ну так пусть ИТ отдел этим и занимается...

    Имхо, искусственная получается профессия - ИБ в чистом виде - отовсюду по чуть-чуть (ойтишник, юрист, маркетолог, психолог, бизнес-аналитик, управленец персоналом, управленец рисками, иногда сторож и вахтер :)))) и нигде по сути. А что делать, иначе свои ИБ-шные проекты фиг продвинешь.
    Так что нынешние ИБшники это и есть динозавры завтрашнего дня (ближайших 10 лет), вместе с навесными СЗИ, грифованием бумажных документов, опечатыванием системных блоков и грудой никому ненужных регламентов и инструкций.

    С ув. Turkish

    ОтветитьУдалить
  15. ps: а прописных истин, что ИТ-безопасность есть часть ИБ - спасибо не надо, "не первый день замужем"... ;)

    ОтветитьУдалить
  16. pps: на СЕГОДНЯ ИТ-безопасность есть часть ИБ. :)

    ОтветитьУдалить
  17. По теме заметки что еще хотел сказать:
    На самом деле озвученные Александром идеи (п. 1-4) не являются взаимоисключающими.
    Это всего-лишь перспективы разных горизонтов планирования.
    Так, п. 1 и п2. суть есть одно и тоже, правда горизонт планирования самый долгосрочный. Хотя, думаю, 10-15 лет должно хватить.
    п.3 Среднесрочная перспектива - 5, максимум 10 лет... скорее все при смене вектора власти.
    п.4. Увы, реалии ближайшего будущего.

    С ув. Turkish

    ОтветитьУдалить
  18. Разделяю взгляды Turkish касательно термина "ИТ-безопасность" и его производных.

    Ввиду того, что Автор говорил не о терминологии, то я посчитал более корректным вынести эту тему отдельно: h__p://vgninyuk.blogspot.com/2011/11/vs.html

    ОтветитьУдалить
  19. По пункту 3 - укажите альтернативу, учитывая современные отношения Разработчик/поставщик/внедренец/пользователь ?

    ОтветитьУдалить
  20. >По пункту 3 - укажите альтернативу
    Н-ное количество лет назад на этапе развития электронных устройств возникли проблемы с электромагнитной совместимостью. Как проблема была решена? Стали в стандартах (ГОСТы не исключение) прописывать требования по ЭМС. Потому что жЫзненная была необходимость.

    Сейчас мы стоим на пороге того, что безопасность также становится жизненно необходимой. Соответственно изменятся и требования по ИБ, которые обязательно должно содержать ИТ устройство, иначе его просто не сертифицирует и в продажу оно не попадет. При условии наступления п.2 (отказ от навесных СЗИ в пользу интегрированных на этапе разработки) это неизбежно...
    И тенденция эта будет, как мне думается, сперва общемировой. Ну а Россия... может сразу примет эти правила игры, может нет... вопрос сугубо политический

    С ув. Turkish

    ОтветитьУдалить
  21. ну Общие критерии ввели у нас в 2003 практически - какие проблемы ?

    ОтветитьУдалить
  22. "глобально задача (ИБ) состоит в том, чтобы сделать сам увод такой (защищаемой) информации бесполезным, не имеющим, в итоге никакой практической ценности для (конкурентов), инсайдера или его заказчиков." (с) Oleg_K. Взято отсюда: http://anvolkov.blogspot.com/2011/11/blog-post_16.html#comment-367249718

    ОтветитьУдалить
  23. Turkish: попробуйте озадачить выше написанным ИТ-безопасность - интересно, осилит?

    Ну а КЗ останется, пусть и будет размываться со временем, но это как раз означает, что работы с персоналом поприбавится.

    ОтветитьУдалить
  24. Поддержу Алексея Волкова.
    От себя добавлю, что некоторые вообще сводят защиту КТ до уровня контроля физического доступа к КЗ и контроля за передачей бумажек с грифом, и им вообще неведомы даже прописные истины, а мнение тех "кто не первый год замужем" расценивается как покушение на их компетентность и важность

    ОтветитьУдалить