Обзор подготовлен

версия для печати
К каким ИБ-стандартам прислушиваются в России?

К каким ИБ-стандартам прислушиваются в России?

Учитывая большое количество существующих нормативных актов, интересно посмотреть, какие из них играют наиболее яркую роль в развитии отечественного рынка ИБ.

Сегодня многие говорят про международный стандарт управления ИБ ISO 27001 и, вообще, про всю серию стандартов ISO 27001-27006, которые представляют собой набор лучших практик по различным вопросам управления ИБ – от организации одноименной службы и заканчивая измерением ее эффективности.

Имея достаточно длинную историю, стандарт ISO 27001 пока так и не превратился в России из просто концепции в успешную практику. Но, тем не менее, можно сказать, что он может повлиять на ситуацию на отечественном рынке ИБ, особенно под давлением интеграторов и консультантов, предлагающих свои услуги по подготовке к сертификации по требованиям данного стандарта.

Рано или поздно наш бизнес вырастет из "детских штанишек". Сначала будет внедряться управление качеством и процессный подход, а уж затем придет время и для ISO 27001. Не наладив управление всем бизнесом, пытаться внедрять управление "второстепенной" или даже "третьестепенной" задачей под названием "информационная безопасность" бесперспективно.

Неумение управлять рисками напрямую связывается с потерями банков

В 2004г. Базельский комитет принял документ под названием "Международная конвергенция измерения капитала и стандартов капитала: новые подходы". Не имея прямого отношения к информационной безопасности, он, тем не менее, впервые ввел (по сравнению с предыдущей версией от 1988 года) такое понятие, как "операционный риск".

Если дословно цитировать Базель II, то операционный риск - это "риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий". К их числу относятся, например, взломы информационных систем, кража информации, деятельность без лицензии на ТЗКИ и т.п.

Управление кредитными, рыночными и операционными рисками красной нитью проходит через этот документ. За оценкой рисков следует и резервирование капитала на их покрытие. Неэффективное управление операционными рисками, составной частью которых являются и информационные риски и риски ИБ, приводит не только к их возрастанию, но и к большим финансовым резервам, "вырванным" из бизнеса.

Сумма резервирования зависит от принятого метода измерения рисков, три их которых описаны в Базель II и чем он "серьезнее", тем меньше сумма резервирования. При базовом индикативном подходе (самый простой метод) сумма резервирования равна 15% среднегодового валового дохода банка за предыдущие 3 года. Иными словами мы видим, что неумение управлять рисками (в т.ч. и рисками ИБ) напрямую связано с потерями для бизнеса.

В России, которая планирует сделать данный документ обязательным к применению в 2009-2010 гг., его продвижением занимается Банк России. И хотя предложенный в Базель II подход может быть транслирован на многие отрасли, сфера его основного применения – банковский сектор.

Стандарт Банка РФ  по ИБ адаптирован для России

С целью повышения уровня ИБ финансового сектора России Распоряжением Банка России от 26.01.2006 № Р-27 была принята вторая редакция стандарта "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БРИББС-1.0-2006). Она позволяет преломить общие принципы, заложенные в Базель II, на техническую платформу и управлять операционными рисками, связанными с ИБ с учетом нашей специфики. Работы по дальнейшему сопровождению и развитию Стандарта ведутся Подкомитетом по стандартизации "Защита информации в кредитно-финансовой сфере" (ПКЗ) Технического комитета по стандартизации "Защита информации" (ТК362) Федерального агентства по техническому регулированию и метрологии.

Сегодня стандарт Банка России носит рекомендательный характер. Но, как это часто бывает, рекомендации могут перейти из разряда добровольных в разряд обязательных. Тогда банкам придется соблюдать с одной стороны непростые, а с другой – логичные положения по защите от различных внутренних и внешних угроз.

Уже сейчас многие кредитные организации начинают приводить свои службы ИБ в соответствие с положениями стандарта Центробанка. Появляются те, кто готов проводить аудит на соответствие данному стандарту. Иными словами, финансовой рынок постепенно движется в направлении, предложенным главным финансовым институтом страны.

Международные требования платежных систем ужесточаются

Объем потерь от мошенничества с платежными картами в России составил в 2007г. 252 млн руб. Рост  по отношению к прошлому году превысил 66%. В мировом масштабе цифры гораздо больше, а возмещение этих потерь тяжким грузом ложится на банки и иные организации, участвующие в платежной системе.

Чтобы снизить существующие риски Visa и MasterCard (к ним также присоединились American Express, JCB, Discover) выпустили собственный стандарт обеспечения информационной безопасности PCI DSS (Payment Card Industry Data Security Standard). Он является обязательным для всех организаций (не только банков), обрабатывающих, хранящих или передающих информацию о владельцах платежных карт (как минимум PAN-код).

Этот стандарт носит достаточно технический характер, что позволяет относительно легко реализовать его на практике. Из существующих сложностей можно выделить число тех систем, узлов, подсистем и приложений, которые обрабатывают подлежащую защите информацию.

12 требований стандарта PCI DSS

Категория требований Требования
Построение и поддержка защищенной сети  Установка и поддержание конфигурации МСЭ для защиты данных Контроль над сменой выставленных по умолчанию производителем системных  паролей и других параметров системы безопасности
Защита данных владельцев платежных карт   Обеспечение защиты хранящихся данных держателей карт Обеспечение шифрования данных владельцев карт и других важных данных при  их передаче через общедоступные сети
Поддержка программ управления уязвимостями   Использование и регулярное обновление антивирусного программного обеспечения Разработка и поддержка систем по безопасности и их приложений
Внедрение строгих мер разграничения доступа   Разграничение доступа к данным по принципу служебной необходимости и разделения полномочий Присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру Разграничение физического доступа к данным держателей карт
Регулярный мониторинг и тестирования сети   Отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт Постоянный анализ процессов обеспечения  безопасности
Поддержка политики ИБ   Наличие и выполнение политики по информационной безопасности

Источник: PCI DSS, 2008

В отличие от многих других стандартов, PCI DSS подразумевает вполне конкретное финансовое наказание за невыполнение прописанных в нем требований. Именно это заставляет многие организации внедрять данный стандарт у себя на предприятии. В России им пока интересуются только банки, но постепенно ситуация сдвигается с мертвой точки.

Законодательство о персональных данных касается всех

Одним из самых главных драйверов развития рынка ИБ в России на ближайшие годы стало законодательство по персональным данным. По оценкам ФСТЭК, в России не менее 7 миллионов организаций, которые должны соблюдать требования самого закона 152-ФЗ и его подзаконных актов, выпущенных, в первую очередь, Федеральной службой по техническому и экспортному контролю.

Рекомендации по защите персональных данных, описанные в документах ФСТЭК, очень сильно напоминают требования по защите государственной тайны. Тут и аттестация информационной системы, и противодействие утечкам по виброакустическим каналам и ПЭМИН, и использование сертифицированного ПО, и многое другое.

При этом вопроса о соразмерности затрат на защиту стоимости защищаемой информации даже не стоит – есть жесткие требования, которые необходимо соблюдать. Это лишний раз доказывает, что требования по защите персональных данных "пришли" к нам из времен "холодной войны", когда цель должна была быть достигнута любыми средствами, что является нонсенсом для любой коммерческой компании, умеющей считать деньги.

И хотя на повестке дня стоит вопрос о легитимности этих документов, многие компании "от греха подальше" начинают задумываться, как все-таки реализовать эти непростые требования. Основная проблема при этом – стоимость, которая может составить десятки и даже сотни тысяч долларов для компании среднего размера.

Здесь уже не приходится говорить про различные организационные проблемы в виде получения новых лицензий на деятельность в области технической защиты конфиденциальной информации и в области шифрования, аттестацию объектов информатизации, реорганизацию сетевой инфраструктуры и т.д. Все это, безусловно, положительно скажется лишь на росте финансовых показателей рынка ИБ в России.

Безопасность ключевых инфраструктур взволновало общество

Новым витком развития рынка ИБ в России может стать развитие сегмента защиты ключевых систем информационной инфраструктуры (КСИИ). На Западе, в частности в США, эта тема поднята достаточно давно. Там даже существует специальный координационный орган NIPC (National Infrastructure Protection Center), который отвечает за выработку и контроль выполнения требований по защите ключевых информационных систем, влияющих на обороноспособность и экономическое благосостояние страны.

В России эта тема поднималась уже не раз, но в совершенно ином контексте – есть монополия Microsoft и неумение российских разработчиков выпускать конкурентное ПО. Это привело к появлению законопроекта "Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры", который, к счастью, был отозван в апреле этого года.

Но сама идея защиты ключевых ИС является здравой, и не случайно из-под пера авторов из ФСТЭК родилась еще одна группа документов, которые устанавливают требования по защите так называемых ключевых систем информационной инфраструктуры. Эти документы совершенно непохожи на документы по персональным данным и проработаны гораздо лучше последних. В них перечислены не только и не столько технические требования, выливающиеся в закупки большого количества техсредств. Там скорее содержатся меры организационного плана – повышение осведомленности персонала, разработка и реализация плана обеспечения непрерывности, оценка рисков, управление инцидентами, аудит безопасности, квалификация персонала.

При этом, если говорить про обеспечение действий в непредвиденных ситуациях, то документы учитывают не только наличие самого плана, но и описывают иные требования. Например, к обучению действиям в критических условиях, по проверке реализуемости плана, требования по резервированию не только информации, но и каналов связи т.п. Как только эти требования будут введены в действие, это станет еще одним драйвером роста ИБ в России.

Подводя итог, необходимо указать на то, что стандартов и требований в области ИБ в России существует достаточно много. Процентов на 80% они пересекаются, т.к. зачастую более новые или локальные требования вобрали в себя документы, выпущенные ранее, или международные стандарты соответственно.

Помимо множества плюсов, которые несут с собой эти требования, можно выделить и самый главный их недостаток - между собой они никак не согласованы. Каждый регулятор выпускает свои требования, которые могут повторять или противоречить требованиям других регуляторов. И как бороться с таким противоречием не совсем понятно. Также вызывает вопрос типовая ситуация, в которой оказываются многие отечественные организации: "если я соответствую требованиям стандарта ISO 27001, то надо ли мне проходить аудит на соответствие стандарту Банка России?".

Или, например, другой похожий вопрос: "если я аттестовал свою систему по СТР-К, надо ли мне вновь аттестовать ее по требованиям защиты персональных данных?" Ответа на эти вопросы пока нет, но, скорее всего, они будут положительными, что заставит организации тратить дополнительные ресурсы (в т.ч. и финансовые) на повторные проверки соответствия.

Проблему мог бы решить выпуск специальных матриц соответствия различных стандартов (ISO 27001 и требований по защите ключевых инфраструктур, стандарта Банка России и PCI DSS, СТР-К и требований по защите персональных данных и т.п.). Но пока за эту задачу ни один из регуляторов не брался.

Алексей Лукацкий

Игорь Ляпунов
Jet

Игорь Ляпунов:

Информационная безопасность перерастает в безопасность бизнес-процессов

Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет», рассказал CNews о своей точке зрения на процессы, происходящие на рынке ИБ России.

CNews: Некоторые отечественные компании готовятся к одновременной сертификации по серии процессных стандартов ISO 27001, 20000, 14000, 9000 и т.д. Как вы считаете, почему?

Игорь Ляпунов: На мой взгляд, это достаточно логичный сценарий – все стандарты серий 27000, 9000, 20000, 14000, 18000 являются процессно-ориентированными и так или иначе между собой гармонизированы. Фактически, они образуют интегрированную систему менеджмента. Для организаций, идущих по этому пути, это выгодно и дает серьезные преимущества.

Полный текст интервью

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS