Rambler's Top100
Реклама
 
Статьи ИКС № 1 2007
Лев ФИСЕНКО  01 января 2007

Особенности национальной СИБ

Без сомнения, защищать информацию и ИС необходимо, но… У кого-то ограничен бюджет или требуют обосновать эффективность потраченных денег. Кто-то выходит на международный рынок, что требует организации управления безопасностью (а это дополнительные траты). Над кем-то довлеют требования нормативов контролирующих органов. 

Л. Фисенко, Информзащита Причины и стимулы

Несмотря на информационную шумиху вокруг проблемы защиты сетей, далеко не все компании созревают до внедрения СИБ, а уже существующие системы, за редким исключением, построены по лоскутному принципу: СЗИ внедряются бессистемно, в основном с учетом компетенции конкретных специалистов либо наличия на рынке продуктов. Доводы о важности анализа рисков лишь недавно начали завоевывать место под солнцем. Основными же аргументами в пользу внедрения тех или иных СЗИ, как правило, являются требования руководящих документов, международных или отраслевых требований и стандартов.

Увы, анализ рисков ИБ как поиск бизнес-процессов, уязвимых с точки зрения связанности с ИT-инфраструктурой, в российских компаниях пока не прижился. Сыграло свою роль отсутствие в большинстве компаний культуры управления рисками, а кроме того, специализированные организации изначально оказывали эту услугу непрофессионально. Анализ опрометчиво сводился лишь к определению степени защищенности/уязвимости серверов без учета остальной инфраструктуры. Негативно сказалась и неопределенность критериев оценки рисков. В итоге анализ рисков стал инструментом обоснования внедрения СИБ, выгодного компании-подрядчику.

Таким образом, если отбросить такие побудительные причины, как популярный принцип «пока гром не грянет, мужик не перекрестится», а также не ставший естественным анализ рисков, то главным аргументом в пользу выбора средств для строительства СИБ оказываются некоторые требования норм, регламентов или законы РФ.

Нормы и рекомендации

На смену «морально устаревшим» руководящим документам для обеспечения ИБ приходят новые законы и стандарты, которые вызывают растерянность у игроков рынка либо своей неочевидной применимостью, либо отсутствием проработанной нормативной базы, чья цель пояснять и детализировать требования закона (пример тому – закон об ЭЦП).

Один из наиболее сбалансированных и жизнеспособных документов – внутриотраслевой стандарт Банка России по ИБ. Его последняя редакция (2006 г.) свидетельствует о явном намерении Центробанка сменить рекомендательный характер документа на обязательный статус. В других отраслях создание технических регламентов и отраслевых стандартов по ИБ – на стадии «прожектов». Будем надеяться, что национальные нормы по информбезопасности все же появятся, хотя гораздо больше надежд на ратификацию мировых стандартов.

Базовым ориентиром совершенствования СИБ для основной массы компаний до недавнего времени оставался ISO 17799. Документ аккумулировал опыт построения комплексных систем ИБ и их фрагментов, но не отвечал на вопрос: насколько это целесообразно для конкретной организации? Возможно, именно поэтому с энтузиазмом был встречен ISO 27001:2005, где приведены методики выбора защитных мер, адекватных рискам, за счет создания СУИБ. Впервые было определено, что в процесс управления системой ИБ должны быть вовлечены все сотрудники – от исполнителей до руководства компании. Если же организация стремится выйти на международный рынок, то она должна присматриваться еще и к международным нормативам.

Отраслевой срез

На наш взгляд, наиболее активные пользователи решений в области ИБ – кредитно-финансовая и телекоммуникационная отрасли, топливно-энергетический комплекс.

В кредитно-финансовом секторе активность обусловлена родом деятельности компаний: работа с деньгами и необходимость хранить финансовые секреты. Банковские структуры ставят во главу угла борьбу с инсайдерами, которые инициируют около 80% всех инцидентов в ИБ. Однако не забывают и про внешние угрозы – вирусы, спам, попытки несанкционированного доступа и т.д. Другая тенденция этого вертикального рынка – рост потребности в автоматизированных системах для ведения специального архива электронной корреспонденции, а также для расследования инцидентов.

Однако даже в этой отрасли (где денег на СИБ, как правило, не жалеют) есть определенные проблемы реализации эффективной СИБ, основная – дороговизна решения, особенно для небольших банков (менее 200 рабочих станций).

Принято также считать, что защита сетевой информации не приносит прибыли, а лишь обеспечивает непрерывность бизнес-процессов (вот оно – отсутствие анализа рисков и возможных потерь!). Кроме того, в отрасли редко встречаются СИБ, интегрированные в ИС компании, хотя чаще используются многофункциональные СЗИ или их комплексы, что обусловлено территориальной распределенностью и отсутствием на местах специалистов по ИБ.

Однако стандарт ЦБ сделал свое дело, и в преддверии его обязательности все больше кредитно-финансовых структур начинают создавать или модифицировать уже существующие СИБ согласно его требованиям.

Телекоммуникационный сектор намного менее развит в части стандартизации. Компании пока сами себе регуляторы. Сегодня типовой угрозой сети оператора считаются атаки типа DoS (отказ в обслуживании), многие задумываются о спаме, несанкционированном доступе и прочих внешних угрозах сети. И хотя компании рассматривают СИБ как один из бизнес-процессов, в ближайшем будущем им придется переосмыслить свой подход к ИБ. После вступления в силу ФЗ «О персональных данных» к компаниям будут предъявляться особенно жесткие требования по сбору и обработке приватных записей. Тем более что основной угрозой здесь считаются инсайдеры.

Телекоммуникационные же компании, планирующие выход во внешний мир, должны придерживаться международных требований к ИБ. В частности, в соответствии с Директивой о сохранении данных, принятой Евросоюзом в конце 2005 г., все данные, передаваемые по электронным каналам связи, должны храниться в течение года.

Топливно-энергетический комплекс, получая баснословные сверхприбыли, может позволить себе СИБ любого масштаба и сложности. При наличии целого ряда непрерывных технологических процессов их нарушение (как и работы ИС) может нанести серьезный экономический, физический и экологический ущерб и предприятию, и окружающей среде. Поэтому вопросы защиты инфраструктур предприятий рассматриваются на государственном уровне.

Особое значение придается безопасности инфраструктуры в контексте террористической угрозы и возможных крупномасштабных аварий. И хотя фактически от компаний не требуют соблюдения стандартов ИБ (разве что регламенты работы с информацией государственной важности) даже на международном уровне, ИС этих предприятий наиболее защищены, особенно от внешних атак. Традиционно они закрыты для доступа извне.

***

Общая картина обеспечения информбезопасности в российских компаниях рассмотренных отраслей не выглядит удручающей, хотя и далека от идеальной. Однако, как правило, процесс напоминает латание дыр. Лишь немногие компании имеют СИБ, функционирующую как бизнес-процесс. Далеко не все могут позволить себе эффективную систему, которая требует значительных финансовых и человеческих ресурсов.

Есть два варианта разрешения проблемы. Первый: компаниям-подрядчикам, оказывающим услуги в области ИБ, следовало бы предлагать наряду с дорогими и доступные решения, адаптированные к конкретным требованиям. Второй: использовать услуги по аутсорсингу ИБ.


Некоторые требования мирового рынка
  • Акт Сарбейниса–Оксли (SOX) приводит методики внедрения механизмов внутреннего финансового контроля компании, необходимого для выхода на фондовый рынок США.
  • Соглашение Basel II (планируется его применение в России в 2008–2009 гг.) регламентирует требования к признанным на мировом рынке кредитно-финансовым учреждениям и национальным банковским системам в целом.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!