|
|
Обзор подготовлен
Российский рынок информационной безопасности за последние годы еще на шаг приблизился к развитым экономикам западных стран. Началось комплексное внедрение крупномасштабных практик по развитию стандартов защиты информации, связанных с соблюдением 152-ФЗ и соответствующих регламентов. В ближайшей перспективе отечественный сектор ждет появления новых правил и механизмов их исполнения.
Российский опыт разработки стандартов в области ИБ традиционно ориентировался на собственные ГОСТы, регулирующие операции с информацией, выводя международные стандарты и регламенты на уровень необязательных и добровольных к исполнению. В результате этого в отрасли несколько лет используются зарубежные критерии оценки соответствия, которые де-факто не ратифицированы и фактически нужны только определенным игрокам рынка. Другой пример – отсутствие взаимного признания сертификатов ГОСТ Р ИСО/МЭК 27001-2006 и ISO 27001, значительное отставание России в области практических рекомендаций, как технических, так и методических (документы уровня CIS, NIST 800 и т.п.). Однако за всю историю развития рынка в качестве национальных было принято достаточно много международных стандартов по информационной безопасности: ГОСТ Р ИСО/МЭК 15408, и ГОСТ Р ИСО/МЭК 17799 и 27001, и ГОСТ Р ИСО/МЭК 18044 и многие другие.
В контексте развития экономики России в русле открытого международного сотрудничества (в частности, в ходе вступления в ВТО), отсутствие или неразвитость стандартов для обмена электронными документами, а также общих стандартов ЭЦП и шифрования является существенным препятствием для полноценной интеграции в мировую экономику, развивающуюся с применением ИТ. В результате этого, как показал опрос CNews, компании, занимающиеся предоставлением ИБ-услуг или разрабатывающие средства защиты информации, понимают всю сложность современного состояния отечественного рынка и выступают за изменения текущего положения дел. С другой стороны, они осознают, что в рамках интеграции России в ВТО и в целом в мировую экономику необходимая корреляция российской нормативной базы с международными стандартами должна строиться по-другому – не в форме полного принятия западных документов, а с помощью дополнительной тщательной проработки законов и регламентов для задач, требующих особой защиты информации (например, в вопросах криптографии), что вовсе не подразумевает дальнейшее расширение стандартов.
Одной из самых обсуждаемых тем в рамках рассмотрения стандартов ИБ в России за последние годы стала подготовка и воплощение в жизнь закона о персональных данных. К нему примыкают и другие руководящие документы, регламентирующие применение МСЭ (межсетевых экранов), документы ФСТЭК по НСД (несанкционированному доступу) и т.д., однако, как отмечает Алексей Афанасьев, директор специальных проектов компании "С-Терра СиЭсПи", они не соответствуют реальным требования бизнеса в сфере защиты информации. Эксперт согласен с тем, что, если бы федеральный закон разрабатывался совершенно по-новому и не учитывал прежде созданных нормативных актов, его тяжело было бы выполнять. "Таким образом, потребность в создании отраслевого стандарта, совершенно нового, есть, но для его создания должна быть полностью переработана существующая нормативная база. Ее надо переработать и обновить с учетом современных угроз, с одной стороны, и современных бизнес-требований (в частности, к облачным вычислениям, системам виртуализации и т.д.), с другой", - говорит он.
Тем не менее, далеко не все игроки рынка разделяют подобную точку зрения. Так, основной идеей, озвучиваемой большинством крупных ИБ-интеграторов в России в рамках опроса CNews, являлась мысль о том, что закон о персональных данных в том виде, в каком он сейчас существует, слишком перегружен подзаконными актами, поэтому создавать еще один такой целесообразно только в том случае, если он заменит множество отдельных и разрозненных приказов и обязательных рекомендаций регулирующих органов. Николай Федотов, ведущий аналитик InfoWatch, называет проект создания подобного закона или стандарта "кодификацией разноведомственных актов". Алексей Раевский, генеральный директор SecurIT, отмечает, что в России уже есть положение о методах и способах защиты ПД ФСТЭК, в котором описаны основные требования к системам защиты ПД, поэтому создавать еще какой-либо стандарт нет смысла, поскольку обилие нормативных документов чаще является негативным фактором. "Сейчас никто не мешает российским компаниям использовать международные стандарты, каких-то дополнительных действий для этого не требуется. Если же речь идет об обязательных стандартах, то к ним надо относиться очень взвешенно, поскольку они могут существенно ограничивать деятельность как потребителей, так и производителей, что чревато серьезными проблемами", - комментирует эксперт.
"Структура угроз сильно сместилась в сторону регуляторов. Если раньше наиболее серьезными угрозами были вирусные заражения, проникновение злоумышленников через интернет, действия инсайдеров по утечке важных данных, то сейчас это неопределенность нормативного регулирования в области ИБ с перспективами проверок регуляторов, DDoS-атаки, узконаправленные вредоносные коды, при помощи которых мошенники похищают средства со счетов или отключают системы управления оборудованием в сетях, не подключенных к интернету", - говорит Максим Эмм, директор департамента аудита компании "Информзащита".
Сергей Гордейчик, технический директор Positive Technologies, отмечает, что создание серии отраслевых стандартов по защите персональных данных было бы идеальным выходом из сложившейся ситуации. "Следует понимать, что стандарт – это не только бумага с требованиями. Стандарт, особенно обязательный, требует создания инфраструктуры управления соответствием: методик подготовки, методик самооценки и проведения проверок, групп контролеров и аудиторов и карательную составляющую и опыт ее применения", - отмечает он. По его словам, стандарты, особенно обязательные, должны вводиться только после тщательной апробации и проверки их применимости в конкретных условиях, поскольку в обратном случае они не будут выполняться. В качестве примера он привел запуск "карательных мер" PCI DSS в России, который неоднократно откладывался, поскольку стандарт не учитывал специфику российского банкинга, активная фаза внедрения пришлась на острый период кризиса и т.д.
Тем не менее, в России постепенно формируются и доводятся до реального воплощения проекты по отраслевому регулированию требований по защите персональных данных. Подобный успех достигнут в финансовой отрасли (ЦБ и АРБ) на базе стандарта Банка России СТО БР ИББС, который за все время своего существования получил всю необходимую инфраструктуру для исполнения и контроля. Похожие разработки ведутся в телеком-отрасли (НИР "Тритон"), в медицине, а также в секторе ТЭК (для розничных продавцов энергоносителей).
Распространение в мире новых типов угроз, направленных на захват управления промышленными предприятиями (черви Stuxnet, Zeus), в том числе, и формообразующими стратегические отрасли экономики (ВПК, ТЭК, транспорт и т.д.), по мнению большинства опрошенных специалистов, может стать сигналом к пересмотру схем сертификации средств безопасности и к большей активности регуляторов в вопросах контроля за работой информационных систем. Тем не менее, в настоящее время именно отраслевых стандартов в этой сфере нет.
Алексей Лукацкий, менеджер по развитию бизнеса Cisco, рассказывает, что в России в этой области есть только малораспространенные документы ФСТЭК по защите ключевых систем информационной инфраструктуры или отраслевые стандарты "Газпрома" по защите АСУТП. По этой причине требуется обратить внимание на данную проблему защиты критичных инфраструктур отечественным регуляторам и производителям. Упомянутые стандарты, по его мнению, являются настолько высокоуровневыми, что они актуальны независимо от того, был ли такой червь, как Stuxnet или нет, считает эксперт: в стандартах прописаны требования применения и антивирусов, и систем предотвращения вторжений, и межсетевых экранов, о наличии процедур расследования инцидентов, повышения осведомленности персонала и т.д. Поэтому, согласно мнению представителя Cisco, вопрос должен ставиться не в плоскости наличия мер, предотвращающих распространение того или иного червя по типу Stuxnet, а в их правильной реализации.
Той же точки зрения придерживается и Роман Кобцев, директор департамента развития и маркетинга "Элвис-Плюс", когда говорит, что появление и распространение таких угроз, в первую очередь, должно повлиять на изменение подходов к обеспечению безопасности АСУ ТП, более пристальное внимание к безопасности критических систем. По его мнению, изменять сами стандарты, вероятно, не имеет большого практического смысла, так как существующие (NERC, NIST и многие другие) предусматривают комплексную защиту на должном уровне, а по факту страдает скорее конкретная реализация требований того или иного стандарта на конкретном предприятии. "Для восполнения пробелов, прежде всего, следует четко представлять, что именно не хватает: каждый игрок рынка и его потребитель имеет свое отличное понимание регуляций. На ближайшую перспективу, конечно же, необходимо адаптировать лучшие международные стандарты и практики под российскую почву, в первую очередь в отношении критически важных систем, работа над чем в свое время активно велась, но была по ряду причин отложена", - предлагает специалист.
Опрошенные CNews компании рассматривают безопасность АСУ ТП как важную составляющую рынка ИБ в ближайшие годы. "На текущий момент во многих промышленных сетях нет предустановленного антивирусного ПО, простейших межсетевых экранов и анализаторов атак и т.п. Поэтому такая сеть – лакомый кусок для злоумышленника", - объясняет Алексей Афанасьев. Он полагает, что со временем, по мере роста вычислительных мощностей АСУ, бизнес-сообщество выработает адекватные меры, аналогичные тем, что были выработаны для обычных сетей. Он соглашается с тем, что это потребует специальных стандартов (таких, какие применяются в обычных сетях к критически важной информации – различным видам тайн, персональным данным и т.п.).
"С одной стороны, бурное развитие промышленности, ввод новых мощностей, базирующихся на использовании передовых технологий, усиливает зависимость бизнеса от ИТ, работающих в рамках производственного процесса, а, с другой стороны, недостаточное осознание этих рисков со стороны бизнеса очевидно", - констатирует Сергей Гордейчик. Тем не менее, ожидать радикальных действий со стороны регуляторов вряд ли стоит. "Сам механизм сертификации был придуман и неплохо работает только в отношении материальных товаров, а для программных продуктов он даёт сбой. Принципиальное отличие софтверных продуктов от "железа" и в корне иной жизненный цикл делают сам институт сертификации неэффективным в отношении программного обеспечения, - объясняет Николай Федотов. - Государство, если оно озабочено кибербезопасностью, вынуждено будет придумать и ввести вместо традиционной сертификации иной механизм, а сертификация софта для коррупционных схем очень благоприятствует".
В определенной мере изменить ситуацию с регуляцией ИБ-средств в России может ФЦП "Информационное общество", которая ориентирована именно на B2B и B2C-сектора рынка, а не G2G и G2B, как было во времена "Электронной России". Речь идет, в том числе, о защите объектов "электронного правительства", взаимодействия в электронной коммерции и так далее. Тем не менее, для этого потребуется изменение менталитета самих авторов-разработчиков законов и регламентов по регуляции. Как отмечает Алексей Лукацкий, существуют в России "Доктрина информационной безопасности Российской Федерации" достаточно неплохо описывает необходимые меры обеспечения информационной безопасности, но проблема ее применения состоит в регуляторах, ее реализующих. "Нынешнее поколение сотрудников ФСТЭК, ФСБ, МВД, Совета Безопасности, СВР, ФСО, Министерства Обороны было "воспитано" на борьбе со шпионами, иностранными техническими разведками и защите государственной тайны и эти подходы они транслируют на все остальные области", - замечает эксперт. Николай Федотов замечает, что нынешняя российская концепция ЗИ (ИБ) имеет механизма влияния на принимаемые законы и другие нормативные акты, то есть, законодательный акт, явно противоречащий принципам, изложенным в "концепции", не является основанием для обжалования и отмены принятого акта, следовательно, законодатели не сверяются с "принципами" и "концепциями". Он предлагает изложить основные принципы защиты информации изложить в федеральном законе, придав ему приоритет над другими ФЗ в области связи и информатизации.
Однако любой масштабный проект по созданию специального законодательства в сфере ИБ в масштабах всей отрасли должен вестись с учетом целого ряда факторов. Михаил Башлыков, руководитель направления информационной безопасности компании "Крок", отмечает, что речь должна идти о четкой типизации защищаемой информации (персональные данные, данные о состоянии здоровья, банковская тайна и т.п.),связи разрабатываемого закона с законодательством в каждой сфере использования этих данных, определении ответственных и контролирующих органов, создании конкретных стандартов силами специальных комитетов, состоящих из экспертов соответствующих отраслей и т.д.
Михаил Демидов
CNews: Эксперты рынка ИБ говорят об определенных недоработках требований 152-ФЗ. Насколько вы разделяете это мнение?
Андрей Никифоров: Я разделяю это мнение на 100%. Не секрет, что федеральный закон "О персональных данных" был принят в связи с ратификацией европейской конвенции "О защите физических лиц при автоматизированной обработке персональных данных". К сожалению, этот документ стал, скорее, формальным шагом к удовлетворению требований европейской конвенции. Причина - в отсутствии четкой регламентации, методологических документах и однозначной трактовке требований закона. На практике получается, что документ рынку не понятен, а реальная защита персональных данных, строго говоря, не реализуема. Как следствие - многие заказчики и консультанты идут по пути не фактической защиты персональных данных, а формального соответствия требованиям закона.