Rambler's Top100
Статьи ИКС № 4 2006
А. КАЛАШНИКОВ  01 апреля 2006

Есть ли у российских компаний стимулы следовать стандартам ИБ?

– Если пролистать несколько книг, посвященных проблемам защиты информации и просмотреть перечень документов, регулирующих деятельность в сфере ИБ, может сложиться впечатление, что действующая нормативная база вполне удовлетворяет потребностям рынка. К сожалению, на практике дела обстоят не столь блестяще. Мало того, что большинство документов создавалось в те времена, когда понятие об ИБ сводилось к защите гостайны и криптографии (что не соответствуют современным реалиям), но и разрабатывались они разными ведомствами на разных терминологической и методической основах. Положение усугубляется возникшей в связи с административной реформой неразберихой в вопросах сертификации и лицензирования в сфере ИБ, а также имеющимися в документах противоречиями.

Конечно, есть и положительные тенденции. Прежде всего это принятие ГОСТ Р 15408-2002 на базе международного стандарта ISO/IEC 15408 («Общие критерии»). Отрадны и планы переноса на российскую почву ISO/IEC 17799 «Управление информационной безопасностью». Столь же положительную роль должны сыграть «Специальные требования и рекомендации по защите конфиденциальной информации» (СТР-К), утвержденные ФСТЭК России, и относительно недавно принятый ФЗ «О коммерческой тайне». Однако и здесь не обошлось без проблем, например, связанных с взаимным признанием сертификатов на соответствие «Общим критериям», выданных в нашей стране и за рубежом.

Что же касается существующего законодательства, то выполнение его вполне возможно… так же, как и невыполнение, поскольку большинство документов (за исключением Уголовного кодекса) никакими санкциями нарушителю не угрожает.

Говоря о стимулах для российских компаний следовать стандартам ИБ, я бы поставил вопрос в несколько иной плоскости: «Что я как пользователь могу получить от выполнения указанных предписаний?». Тогда окажется, что стимулы для выполнения российского законодательства и международных стандартов различны.

Отечественные документы говорят в первую очередь о том, что должно быть и что недопустимо в системе для ее соответствия определенному уровню защищенности. Основной стимул в этом случае – получение бумаги, удостоверяющей, что ИС имеет заявленный уровень безопасности.

Западные же стандарты – это в некотором смысле практические рекомендации по созданию безопасных систем, и потому стимулом для их использования служит желание построить у себя защищенную ИС.

«Там» стандарты в области ИБ используются достаточно интенсивно. Наша страна заметно отстает, хотя положительные сдвиги налицо: появились продукты, сертифицированные по «Общим критериям», отдельные компании (в основном в преддверии вступления в ВТО) выказывают интерес к аудиту их информационных систем на предмет соответствия стандарту BS 7799.

– Чего же, по вашим наблюдениям, больше всего боятся российские пользователи: вирусов, спама или собственных сотрудников?

– Возможно, мой ответ покажется неожиданным: большинство пользователей не боится НИЧЕГО! Для того чтобы бояться, нужно достичь определенной зрелости в понимании проблем ИБ, а таких компаний в нашей стране, по разным оценкам, всего 10–20%. Если же сформулировать вопрос подругому – «чего сто’ит бояться больше всего?», то ответ давно известен: прежде всего собственных сотрудников!

Из материалов различных исследований, например проведенных компаниями KPMG и Ernst & Young, известно, что до 80% угроз – внутренние, и в подавляющем большинстве случаев их источники – сами сотрудники фирм. Та же тенденция отмечается в ежегодных докладах МВД России, посвященных правонарушениям в сфере ИБ.

Поэтому организация, которая хочет защитить свою информацию, должна ставить во главу угла не технические или программно-аппаратные меры защиты информации, а прежде всего организационные – активную работу с пользователями и обслуживающим персоналом ИС.

– Зависит ли качество СИБ от размера компании или сети?

– На этот вопрос можно ответить по-разному. Небольшую компанию защищать проще, ведь один-два компьютера – это не тысячи. Крупной компании, в отличие от мелкой, есть что терять, однако и возможностей по организации прочной защиты у нее не в пример больше. Наконец, верно и то, что на прочность защиты влияет не размер, а уровень зрелости компании. Где же истина? На самом деле в с е перечисленные доводы верны.

Степень защищенности информации будет определяться не масштабом компании (хотя и размер имеет значение), а балансом между реальными потребностями предприятия в обеспечении ИБ и объективными возможностями реализации необходимых для этого мер.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!