Rambler's Top100
 
Статьи ИКС № 09 2011
Константин СОКОЛОВ  16 сентября 2011

Безопасность по стандарту

Тематика информационной безопасности в разрезе рынка услуг операторов связи в последнее время достаточно широко освещается. Тем не менее хотелось бы высказаться немного в другом русле, дистанцируясь от радужных прогнозов роста услуг информационной безопасности, особенно в формате SaaS.

КОНСТАНТИН СОКОЛОВ, директор департамента информационной безопасности АМТ-ГРУПНа мой взгляд, услуги этого формата могут быть интересны в России в первую очередь физическим лицам, а также малому и среднему бизнесу (если исключить из рассмотрения филиалы и дочерние предприятия зарубежных компаний, имеющих привнесенную из-за рубежа корпоративную культуру работы с аутсорсингом и SaaS-услугами).

При работе с физическими лицами высока конкуренция с производителями антивирусного программного обеспечения (в первую очередь с «Лабораторией Касперского»). Впрочем, вступить здесь в конкурентную борьбу операторы даже не успели. Большинство услуг, которые они могут предложить, вполне заменяются широко разрекламированными программными продуктами отечественных производителей, имеющими к тому же больший функционал.

Проблемы же малого и среднего бизнеса лежат в большинстве своем не в информатизации, и тем более не в соблюдении режима информационной безопасности. Даже при 50%-ном проникновении услуг ИБ на рынок SOHO/SMB они вряд ли окупят вложения операторов – по причине незначительности самой абонентской базы. Рынки стран, демонстрировавших разумную окупаемость вложений в SaaS, характеризуются гораздо более высокой степенью развития информатизации общества и сегмента среднего и малого бизнеса.

Куда инвестировать оператору

 В общем случае все вложения операторов в информационную безопасность можно разделить на три вида:

1) вложения в поддержание основного вида деятельности за счет снижения рисков, связанных с безопасностью, в первую очередь с DDoS-атаками и возможным выходом из строя аппаратуры;

2) вложения в SaaS – в большинстве случаев они обеспечивают паритет с другими операторами в конкурентной борьбе за клиента и имиджевые составляющие;

3) вложения в приведение систем и процессов в соответствие с требованиями международных стандартов и российских руководящих документов.

На третьей составляющей остановимся подробнее, хотя она важна в первую очередь для операторов, имеющих свои дата-центры и оказывающих на их базе различные услуги.

Комплекс защиты корпоративной ИТ-инфраструктуры

Компания АМТ-ГРУП выполняет полный комплекс работ по защите конфиденциальной информации, персональных данных (ПДн), ключевых систем информационной инфраструктуры, коммерческой и банковской тайны. Этот комплекс включает:

► технический и организационный консалтинг;

► проектирование, внедрение и сопровождение систем защиты информации;

► аудит существующих систем, обследование, тестирование на проникновение;

► расследование инцидентов;

► управление проектами;

► разработку корпоративных и отраслевых стандартов по ИБ;

► подготовку и проведение аттестации автоматизированной системы согласно требованиям ФСТЭК России;

► работы по обеспечению соответствия ИС стандартам и практикам СТО БР, BS/ISO 27001:2005, PCI DSS, BS25999.

Защита корпоративных информационных систем предполагает выполнение пилотных проектов на объектах заказчика со сравнительным анализом оборудования разных производителей и проведение всех стадий проектных работ (в соответствии с ГОСТом) в части создания комплексных систем информационной безопасности. Сюда включается предпроектное обследование, техническое задание, эскизное, системное, техническое, рабочее проектирование, разработка программы и методики испытаний; технический план миграции, эксплуатационная документация. После выполнения пусконаладочных работ проводятся приемо-сдаточные испытания (автономные, комплексные).

Проектирование, разработка планов миграции и внедрение систем защиты информации любой сложности охватывают такие виды защиты, как:

► защита периметра при подключении к Интернету (FW, UTM) и другим внешним сетям;

► криптографическая защита каналов связи (VPN);

► защищенный удаленный доступ (RA/SSL VPN, NAC);

► комплексная защита сегментов ЛВС/ЦОД (FW, IPS, NAC);

► защита рабочих станций (EndPoint Security);

► защита от атак типа «отказ в обслуживании» (DDoS) для операторов связи, банков, крупных корпоративных заказчиков;

► управление событиями и инцидентами ИБ (SIEM);

► безопасность Web и электронной почты;

► управление уязвимостями и соответствием требованиям регуляторов (vulnerability & compliance management;)

► защита от утечек данных (DLP);

► распределенная антивирусная защита;

► Web Application Firewall и безопасность БД;

► SaaS, URL-фильтрация, фильтрация по регулярным выражениям;

► управление идентификационными данными и доступом пользователей (IDM). 

 

Безопасность и стандарты

Какие требования, касающиеся соответствия, предъявляются сегодня к ЦОДам? В первую очередь логично поинтересоваться, как оператор выполняет требования 152 ФЗ «О персональных данных» с учетом всех дополнений и нововведений. С одной стороны, инвестиции в эту сферу оператору необходимы, чтобы снизить издержки при проверке регулирующих органов, с другой – вложения позволят привлечь потенциальных клиентов, чья деятельность связана с обработкой значительного количества персональных данных.

Следующим пунктом стоит соответствие (подтверждаемое наличием сертификата) требованиям стандарта PCI DSS, который распространяется на компании и организации, обрабатывающие информацию о держателях платежных карт. Потребности в услугах ЦОДов для размещения информационных систем, связанных с обработкой, хранением и передачей карточной информации (процессинговых центров, хранилищ носителей резервных копий данных и т.д.), будут расти опережающими темпами. В этих условиях прохождение сертификации на соответствие требованиям PCI DSS станет заметным преимуществом.

Сертификационное производство

В 2007 г. АМТ-ГРУП стала первой компанией на российском рынке, получившей право на серийный выпуск программно-технических средств защиты информации (ПТСЗИ), отвечающих требованиям Федеральной службы по техническому и экспортному контролю (на основе продуктов компании Cisco). Выпускаемое АМТ-ГРУП оборудование входит в Государственный реестр сертифицированных средств защиты информации ФСТЭК России.

Согласно требованиям российского законодательства, ПТСЗИ, использующиеся в системах обработки конфиденциальной информации и персональных данных, подлежат обязательной сертификации. Сертификация ПТСЗИ подтверждает, что законодательные требования и требования ФСТЭК данным оборудованием выполняются.

Наличие у АМТ-ГРУП данных сертификатов значительно сокращает время получения заказчиком сертифицированного оборудования и ввода автоматизированных систем в эксплуатацию.

Специалисты АМТ-ГРУП проводят испытания ПТСЗИ на соответствие требованиям ФСТЭК России и предоставляют заказчикам сертифицированные ПТСЗИ c комплектом документов, соответствующим российскому законодательству:

√ заключение о результатах тестирования оборудования на соответствие требованиям ФСТЭК (заполняется для каждой единицы тестируемого оборудования);

√ специальный защитный знак соответствия сертификату (голографический знак ФСТЭК России, нанесенный на фронтальную часть оборудования);

√ копия сертификата ФСТЭК России с реквизитами отдела сертификационного производства;

√ паспорт на ПТСЗИ.

Также представляется важным наличие у оператора сертификации систем менеджмента по международным стандартам, в первую очередь ISO 27001 и BS 25999. Вложения в сертификацию соответствующих систем менеджмента по ISO 27001 и BS 25999 помогут обеспечить следующие преимущества:

• наглядное представление потенциальным заказчикам эффективности внедренных мер защиты и обеспечения непрерывности бизнес-процессов;

• демонстрация защиты внутренних средств управления и соответствия лучшим отраслевым практикам;

• независимая демонстрация соблюдения действующих законов и нормативных и регулирующих актов;

• предоставление потенциальным заказчиком данных для аудитов, проводимых третьей стороной;

• независимое подтверждение того, что риски оператора должным образом выявлены, оценены и находятся под контролем, процессы формализованы, процедуры и документация, относящиеся к обеспечению информационной безопасности, разработаны и поддерживаются;

• демонстрация устойчивости к сбоям, наличие процесса постоянного повышения устойчивости оператора к сбоям и инцидентам;

• предоставление эффективных инструментов управления непрерывностью бизнеса для потенциальных заказчиков.

Таким образом, с точки зрения окупаемости и получения реальных конкурентных преимуществ представляются разумными капитальные затраты (CAPEX) на средства обеспечения информационной безопасности основной инфраструктуры операторов и операционные расходы (OPEX) – на подготовку и проведение сертификации организации на соответствие требованиям международных стандартов, в частности PCI DSS, ISO 27001 и BS 25999. Прочие затраты будут носить ярко выраженный имиджевый характер или будут связаны с соблюдением российского законодательства.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!