Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

По большей части она ориентирована на бизнес, но в этом процессе присутствуют и узкие места. Если говорить о внедрении и эксплуатации корпоративных информационных систем, то здесь такая ориентированность ИБ налицо. Наше подразделение принимает активное участие в автоматизации бизнес-процессов в компании, будь то операционный учет или урегулирование убытков. Причем топ-менеджмент в полной мере осознает, что сервисы ИБ необходимы. 6–7 лет назад, когда практика внедрения и эксплуатации ИС в российском корпоративном секторе только развивалась и бизнес-процессы, соответственно, не были окончательно налажены, целесообразность внедрения сервисов безопасности зачастую ставилась под сомнение. Сегодня же компания такого уровня, как РОСГОССТРАХ просто не сможет нормально функционировать без реализации разграничения прав доступа, идентификации, аутентификации и т.д. Особенно это касается использования web-технологий, когда наши корпоративные системы ввиду географической распределенности компании должны быть доступны практически из любой точки России. Поэтому я считаю, что здесь мы идем в ногу с бизнесом. Вопрос «для чего нужно включать безопасников в рабочую группу по проекту?» уже не возникает.

По большей части да, хотя иногда еще возникают камни преткновения. Например, в части ИТ-инфраструктуры мы с бизнесом движемся параллельными курсами. Но периодически могут возникать так называемые трудности перевода: дело в том, что мы оперируем техническими понятиями IPS, IDS, межсетевого экрана и т.д., которые далеко не всегда понятны менеджменту. Встает вопрос о возможности нахождения общих точек соприкосновения при обсуждении той или иной проблемы. Для этого мы должны говорить на языке бизнеса, а не технических средств защиты, которые планируем применять в качестве архитектурных решений. Общеизвестно, что бизнесу более понятны и близки процессы, связанные с прямым получением дохода. В случае же информационной безопасности, по моему мнению, во главе угла стоит анализ потенциальных рисков. ИБ не приносит реальной прибыли компании, но в то же время предотвращает возможный ущерб. Наша цель – не преумножать, а сохранять, и мы доносим эту мысль до топ-менеджмента.

На текущий момент это всё, что связано со средствами и методами современной коммуникации: широкое применение нашими сотрудниками мобильных устройств и планшетов, использование интернет-технологий и удаленного доступа. Здесь ИБ, к сожалению, отстает в своем развитии. Безопасность традиционно ориентирована на защиту информационного периметра компании, подразумевающего наличие строго определенных границ. Сегодня же само понятие периметра становится размытым – больше не существует конкретных «линий обороны».

На текущий момент нам приходится накладывать определенные ограничения на работу с корпоративной информацией вне традиционного периметра, что, конечно, не может не создавать неудобств для бизнес-пользователей. Я думаю, со временем мы придем к тому, что повседневным инструментом наших страховых агентов на местах будут лишь мобильные персональные устройства, позволяющие быстро и безопасно обмениваться информацией со стационарными офисами.

Основная ценность для страховщика – это его клиенты, а следовательно, их доверие. Поэтому на первый план выходят репутационные риски, связанные с возможными утечками конфиденциальных данных. И здесь немаловажен тот факт, что РОСГОССТРАХ работает со своими клиентами не только напрямую, но и через многочисленных партнеров – страховых брокеров. При высоком уровне обеспечения ИБ у нас реальный уровень защиты информации в этих компаниях порой остается под вопросом. Естественно, мы заключаем с ними соглашения о конфиденциальности и неразглашении персональных данных, включающие в себя требования 152-ФЗ. Но нужно понимать, что в большинстве своем это небольшие компании с соответствующими ограниченными возможностями.

Когда вы заключаете договор ОСАГО в салоне при покупке машины, а не в офисе компании РОСГОССТРАХ, первым ваши данные, скорее всего, получает страховой брокер. Мы же – лишь второе звено в этой цепочке. В то же время вы обязаны поставить автомобиль на учет в ГИББД, что автоматически означает занесение вашей персональной информации в базы данных госорганов. Таким образом, мы далеко не единственный потенциальный источник данных о клиентах. Это значительно осложняет расследование инцидентов утечек, а следовательно, является критичным узким местом с точки зрения угроз информационной безопасности.

Другие факторы, накладывающие свой отпечаток на процессы обеспечения ИБ, – это масштаб нашего бизнеса и географическая распределенность компании, о которых я говорила выше.

Самое значимое «событие ИБ» для нас за последнее время – это реализация комплексной системы защиты персональных данных. Поскольку масштаб проекта, как и нашей компании, довольно велик, мы осуществляем его в несколько этапов в соответствии с расставленными приоритетами. В данный момент мы практически завершили самую ресурсоемкую стадию – внедрение системы IBM Guardium, позволяющей контролировать действия пользователей БД. Это даст нам четкое понимание, кто обращается к базам данных, когда и какие именно действия он производит. В дальнейшем мы сможем использовать полученную информацию при расследовании инцидентов ИБ. Эти данные послужат и для их предотвращения, поскольку станут материалом для анализа уязвимостей баз данных.

Также в рамках проекта по ЗПД мы рассматриваем возможность реализации защиты информации, находящейся вне баз данных. Например, у нас существует система отчетов, которые формируются на основе данных из БД. И в тот самый момент, когда сотрудник получает необходимый ему отчет, этот документ покидает область, подконтрольную механизмам, обеспечивающим безопасность ИС. В то же время файл может содержать консолидированную финансовую информацию, являющуюся коммерческой тайной. Понятно, что это тонкое место, а мы не хотим проверять на практике пословицу «где тонко, там и рвется». Здесь встает вопрос внедрения DLP-системы, осуществляющей контроль и предотвращение возможных утечек. Кроме того, мы планируем реализацию консолидированного хранилища отчетности и механизмов обеспечения в нем защищенного хранения данных. В результате при получении отчета сотрудник сможет сохранить его только в определенное файловое хранилище и никуда больше. Все действия пользователя, совершаемые с этим документом – изменения, удаления и т.д., – будут протоколироваться.

Тот факт, что в настоящий момент мы реализуем масштабный проект именно по защите персональных данных, напрямую доказывает их влияние. Требования регулирующих органов являются сильным драйвером. Но, кроме стимула для развития ИБ-составляющей нашей компании, они создали и определенные проблемы, связанные, прежде всего, с необходимостью защиты каналов связи и шифрования передаваемых по ним данных. Как мне кажется, вероятность подключения к нашей корпоративной сети передачи данных извне для установления факта, что некто Иванов Иван Иванович застраховал у нас «Мерседес», крайне мала, если не стремится к нулю.

 Возможно всё, другой вопрос – целесообразно ли это. Я не сталкивалась с тем, чтобы топ-менеджмент российских компаний с удовольствием отдавал критичные для бизнеса системы «на сторону». Скорее, это была осознанная необходимость, результат анализа аргументов «за» и «против». В случае аутсорсинга ИБ как комплексной услуги таких «против» может быть несколько. Во-первых, встает вопрос доверия, причем даже не к компании-аутсорсеру, а к конкретным людям, которые будут непосредственно работать с критичной корпоративной информацией и отвечать за безопасность твоей компании. Другой фактор – это трудности, связанные с привлечением аутсорсера к ответственности при возникновении инцидента ИБ. Доказать, что утечка произошла именно на его «территории», может быть довольно проблематично. При этом вы несете затраты на аутсорсинг, вполне сопоставимые с содержанием собственной ИБ-службы.

Бизнес предпочитает только те варианты, которые дают оптимальный эффект быстрее и на более выгодных условиях. Поэтому на данном этапе аутсорсинг систем ИБ как комплексная услуга нами не рассматривается. Мне кажется, интерес к нему со стороны компаний Enterprise-сектора может возрасти при должной проработке юридических механизмов привлечения подрядчика к ответственности. Более того, сами аутсорсеры могут выступить инициаторами этого процесса и предложить нам регулярно контролировать их деятельность не на бумаге, а в «боевых» условиях. Тогда аутсорсинг из состояния «где-то там» перейдет во вполне конкретное «здесь», соответственно, возрастет прозрачность предоставления услуги.

Здесь складывается несколько иная ситуация. В компании есть свое подразделение ИБ, которое полностью несет ответственность перед бизнесом за уровень безопасности. В то же время оно может привлекать аутсорсеров на отдельные участки, например, для осуществления мониторинга событий ИБ (Security Operations Center). В результате более широкие компетенции и опыт партнера способствуют снижению потенциальных рисков безопасности. Это особо актуально для крупных компаний, поскольку охватить весь фронт работ собственными силами можно далеко не всегда.