Продолжая тему информационной безопасности на российских предприятиях ТЭК, невозможно считать ее более или менее раскрытой без анализа ситуации в сегменте сервисов ИБ. Причем имеет смысл разделять ТЭК на два сегмента – электроэнергетику и добывающую промышленность.  Если в «нефтянке» после покупки ЮКОСа все более-менее в плане ИТ и ИБ стабилизировалось, то у энергетиков все только началось.

В число приоритетов бывшего РАО ЕЭС не входило построение комплексных унифицированных систем ИТ и ИБ. Электростанции, сбытовые и прочие подразделения имели свой подход к этому вопросу, но не имели достаточных средств для его реализации. В итоге после формирования ОГК и обретения ими новых хозяев была поставлена задача избавиться от того самого пресловутого  «лоскутного одеяла» информатизации и обеспечения безопасности.

Но вот здесь все не так просто. Подобная работа включается в себя огромное количество сервисов ИБ. Алексей Раевский, генеральный директор компании SecurIT, рассказывает: «Известно, что информационная безопасность — это довольно сложная предметная область, в которой стать квалифицированным специалистом — это вопрос довольно продолжительного времени и серьезных усилий. Кроме этого, современные продукты, обеспечивающие ИБ, сложны в развертывании и обслуживании. В связи с этим, услуги в области безопасности были и остаются одним из самых востребованных предметов спроса в процессе разработки и реализации корпоративной политики безопасности.

Необходимость в профессиональном сервисе прослеживается на всем этапе жизненного цикла политики безопасности — от определения основных задач, модели нарушителя и аудита, до собственно разработки самой политики и ее внедрении в жизнь. Особенно это актуально для предприятий и организаций, в которых поддержание режима конфиденциальности является жизненно необходимым требованием бизнеса, как, например, в предприятиях топливно-энергетического сектора.

Даже наша компания, несмотря на то, что мы являемся вендором систем информационной безопасности, и услуги не являются профильным для нас бизнесом, в соответствии с требованиями рынка и по запросам клиентов оказывает полный спектр услуг по установке, настройке, расширенной технической поддержке программного обеспечения, аудиту и консалтингу у конечных заказчиков».

Эксперт не случайно затронул вопрос корпоративной политики безопасности. Для сектора электроэнергетики России этот вопрос стал первоочередным с 2007 г. Приобретя ОГК и т.д., новые владельцы в своем большинстве начали решение вопроса построения комплексной ИБ-инфраструктуры с аудита существующего ее состояния. Конечной же точкой работ должно стать построение таких систем управления безопасностью, которые бы могли быть интегрированы и в иные контуры управления и соответствовать многочисленным стандартам.

Об этом не раз говорил в своих интервью Сергей Романовский, руководитель департамента информационной безопасности компании АМТ-Груп. По его словам, «на предприятии может существовать или внедряться ряд ключевых систем управления. Например, система управления ИБ, система управления ИТ-сервисами, охраны окружающей среды, здоровья, управление непрерывностью бизнеса. Вот эти, скажем, пять систем управления компания хочет иметь в своём распоряжении. Цель – соблюдение правил вертикального рынка, желание добиться бизнес - преимуществ. Проблема заключается в том, чтобы все эти системы работали внутри организации слаженно. Поэтому, при внедрении системы управления мы обязаны гармонизировать все входящие в нее составляющие. Этой задаче отвечает модель интегрированной системы управления, в качестве руководящего документа для проработки которой можно использовать бюллетень BSI PAS 99».

Поэтому не удивительно, что мы все стали свидетелями целого ряда крупнейших в России, да и в мире, сервисных проектов, рассчитанных не один год и связанных с аудитом ИБ-инфраструктур и подготовки их к сертификации по международным стандартам. Так, В июле 2007 года  «АМТ-Груп» выиграла тендер на  построение системы обеспечения информационной безопасности на этом энергопредприятии. Работа рассчитана до конца 2008 года. По итогам завершения проекта планируется выход ОГК-2 на сертификацию по стандартам BS ISO/IEC 27001:2005 и BS ISO/IEC 20000-1:2005.

«ДиалогНаука» участвовала в «проверке надежности систем ИТ-безопасности в ОГК-4». Корпорация ЮНИ выиграла тендер на обследование телекоммуникационной инфраструктуры и информационных  систем ОГК-1. Leta разработала корпоративный стандарт  антивирусной защиты для «Южной сетевой компании». В октябре 2007 прошел тендер на постройку ИТ-инфраструктуры для Богучанской ГЭС — самого масштабного проекта гидротехнического строительства современной России. Победителю — компании «АйТи» — достались большие и серьезные ИТ и ИБ проекты. Список далеко не полный…

Но не аудитом единым и проблемами Compliance жива ИБ в ТЭКе. Есть и более прозаические, но не менее важные услуги. Владимир Разуваев, директор по правовому обеспечению компании Softline, делится: «Сегодня одним из важнейших ИБ-сервисов для предприятий ТЭК является сервис по управлению программным обеспечением (Software Asset Management). SAM на первом этапе реализации позволяет получить чёткое представление обо всём имеющемся ПО в компании и в последующем установить жёсткий контроль за распространением ПО, чуждого для выполнения работниками непосредственных служебных обязанностей, ставящего в состояние риска компанию в целом, а также наносящего вред информационной безопасности предприятия. Сегодня ПО может использоваться без инсталляции и ответственным службам сложно отследить использование такого ПО, поэтому инвентаризация и контроль как неотъемлемые части SAM становятся залогом обеспечения информационной безопасности предприятия ТЭК».

Серьезную головную боль директорам по ИБ причиняют и задачи закрытия каналов связи таких огромных территориально распределенных компаний как, например, Газпром или ЛУКОЙЛ.  Много работы и при слиянии и поглощениях, например, как у новоиспеченного ТЭКовца – АФК «Системы». А по защите систем АСУ ТП, развертывании и поддержании средств технической безопасности написана не одна кандидатская. Тем не менее,  катастрофы техногенного характера на опасных предприятиях продолжаются. В этом ряду взрыв на газопроводе в Москве и пожар на заводе «Наирит» (хотя до окончания следствия выводы делать рано, но про защиту SCADA систем, ГОСТ Р МЭК 61508-4-2007и, отраслевых законах (вернее об их отсутствии) говорят много, но…).

Но самое главное – на предприятиях ТЭКа работают люди. А, как известно, мало что может остановить инсайдера или хотя бы минимизировать этот тип риска, хотя последствия инцидентов порой становятся фатальными для бизнеса любого размера. Поэтому несмотря ни на какие кризисы не останавливаются проекты по внедрению DLP – систем, аудиту утечек информации, тесты на проникновение, а также тесно связанные с этим работы по выполнению Федерального Закона «О персональных данных». Здесь начинается другая проблема, которая порой доводит некоторых руководителей до паранойи – поиск и определение того, где в их собственных компаниях находятся конфиденциальные документы, кто имеет к ним допуск и, соответственно, как организованы и настроены информационные потоки.

Заместитель генерального директора компании InfoWatch Рустэм Хайретдинов приводит свое мнение по этому поводу: «Сервисы, которые оказывают с помощью продуктов InfoWatch (решений для защиты конфиденциальной информации от утечки – DLP)наши партнеры, помогают компаниям осознать и структурировать информационные потоки внутри предприятия. Зачастую, приступая к защите информации от внутренних угроз, компании не могут специфицировать признаки конфиденциальной информации, кроме установленных формальных грифов и документов-образцов. Однако сохраненная в формальных документах информация составляет не более 20% от всей корпоративной информации, а защищать нужно все 100%.

Поэтому самый востребованный наш сервис ИБ на сегодня — анализ и категоризация информационных потоков предприятия. На выходе заказчик получает не только категоризированные информационные потоки, но и т.н. контентные маршруты — кто, какую информацию, по каким каналам и кому передает. Раньше такую работу делали годами вручную бизнес-консультанты, однако с появлением наших технологий карту информационных потоков стало возможно получить за месяц. После такого аудита заказчик получает аргументы, позволяющие решить, какие категории информации и какие каналы ее передачи нужно защищать в первую очередь. Это позволяет ему не бросаться сразу в защиту "всего от всех", а начинать с самых уязвимых мест, а значит — экономить деньги».

Тема, которую затронул эксперт, гораздо шире, чем ИБ в ТЭКе, поэтому данному вопросу наш ресурс планирует уделить гораздо большее внимание в отдельном цикле статей. А данный обзор мы планируем завершить в следующей статье изучением тенденций и ИБ - проектов в мировом масштабе.