Нормативное регулирование и популяризация ИБ
Относительно недавно почти все нормативные документы в области информационной безопасности носили гриф не ниже «ДСП» («Для служебного пользования») и были востребованы лишь в государственных организациях. И вот в 2006 году опубликовали нашумевший закон «О персональных данных». По сути именно он стал первым серьезным толчком, заставившим задуматься об ИБ не только государственные, но и коммерческие структуры. Начиная с этого момента регулирование рынка информационной безопасности стало активно усиливаться. ФСТЭК и ФСБ России, которые раньше преимущественно смотрели в сторону защиты государственной тайны, начали разрабатывать и публиковать документы, содержащие требования по защите информации для всех компаний. Активизировались и отраслевые союзы и ассоциации, которые также разработали и продолжают совершенствовать свои требования и рекомендации по обеспечению ИБ (Инфокоммуникационный союз, НАУФОР, РСА, НАПФ, Минздравсоцразвития). Положительным моментом в 2011 году стал прецедент по закреплению этого права де-юре, т.е. на законодательном уровне (новая редакция ФЗ-152).
Одной из последних новостей о регулировании ИБ стала публикация требований к защите информации в платежной системе. Наряду с Федеральным законом 161-ФЗ «О национальной платежной системе» Банком России и федеральными органами, уполномоченными в области защиты информации, был разработан целый ряд нормативных правовых актов.
Не стоит забывать и о международных стандартах. Ярким примером здесь является PCI DSS 2.0, который обязателен для организаций, связанных с «пластиковым» бизнесом (обрабатывающих данные о владельцах карт Visa и MasterCard). Также для установления партнерских отношений с западными компаниями довольно часто необходим сертификат соответствия требованиям другого международного стандарта – ISO/IEC 27001:2005.
Наряду с увеличением числа требований ужесточаются и меры наказания за их нарушение. Дело в том, что риски, связанные с утечками или другими инцидентами ИБ (например, сбои или отказы) возрастают, вследствие чего компании обязаны уделять все большее внимание вопросам защиты информации. Так, например, в мае этого года на сайте Минэкономразвития был размещен законопроект, предусматривающий увеличение штрафов за нарушение требований к порядку обработки ПДн до 1 млн рублей. В июле с подобной инициативой выступила ФСТЭК России, введя новые составы правонарушений и наказания за них. В частности, за нарушение обязательных требований к защите информации предполагается наложение штрафа на юридических лиц в размере до 20 тыс. рублей.
Основываясь на опыте западных коллег, хочется верить, что общая картина рынка ИБ в России будет развиваться по сценарию, представленному на рис. 1.
Эти тенденции, безусловно, способствуют возрастанию интереса к вопросам ИБ. Если раньше ими интересовались в основном профильные специалисты, то сегодня различные аспекты информационной безопасности обсуждаются в более широких кругах. Все чаще мы видим или слышим о фактах нарушения ИБ в новостях. Вспомните об утечках SMS абонентов «Мегафона», о которых сообщало, в том числе, центральное телевидение.
Таким образом, комплексное соответствие нормативным требованиям по информационной безопасности, которое часто обозначают термином «Compliance», становится основным драйвером развития рынка ИБ и в то же время необходимым условием для нормального функционирования бизнеса.
Рис. 1. Тенденции развития рынка ИБ в России
Как соответствуем сегодня
Осваиваем юриспруденцию
Сама задача соответствия возлагается, как правило, на сотрудников службы ИБ. Традиционно они должны быть не только технически подкованы, но и разбираться в правовых аспектах защиты информации. При этом с ростом числа требований акцент все больше начинает смещаться в сторону последнего. И сегодня безопасник, отвечающий за вопросы Compliance, должен быть в равной степени и технарем, и юристом.
При этом на деле соответствовать нормативным требованиям по ИБ становится все сложнее. Причина заключается не столько в сложности их непосредственной реализации, сколько в постоянном росте их числа. В крупных и средних компаниях дополнительно осложняет ситуацию довольно большое количество связанных с обеспечением ИБ процессов, в которых задействовано много сотрудников различных подразделений. То есть со временем меняются как сами требования по обеспечению ИБ, так и состав и численность ответственных за нее в компании специалистов.
Но избежать их выполнения или ограничиться вариантом short list вряд ли получится. В ряде нормативных актов напрямую указано, что такое лицо в организации обязательно должно быть назначено. Вот и приходится ИБ-, а в ряде случаев и ИТ-специалистам разбираться в обилии документов и требований наших регуляторов. Это задача далеко не тривиальная. Так, например, всем хорошо знакомая область защиты персональных данных регулируется, как минимум, десятью документами различного уровня. Но в сравнении с той же ИБ банковской отрасли это исключительно малое количество нормативных требований. Словом, компания одна, а требований много. Общее их количество, учитывая то, что деятельность по каждому направлению регулируется целым набором документов, весьма внушительно (см. рис. 1).
Причем нормативное регулирование в сфере ИБ активно усиливается. В ближайшей перспективе существует высокая вероятность того, что приведенная таблица пополнится столбцом с обязательными требованиями к критически важным объектам (ключевым системам ИТ-инфраструктуры), которые будут распространяться, например, на крупных операторов связи.
Итак, с одной стороны, у нас масса требований, явно или неявно отраженных во множестве нормативных документов, а с другой – устоявшиеся бизнес-процессы компании, которые должны им соответствовать. Здесь и возникает знакомый вопрос: «Что делать?».
Почему же не экономим?
К сожалению, анализ и систематизация требований по ИБ, как правило, проводятся индивидуально в каждой компании. При этом гарантировать отсутствие методологических ошибок и полноту охвата области анализа нельзя. В результате нам достаточно часто приходится сталкиваться с наличием в компаниях нескольких разрозненных процессов обеспечения ИБ, которые по сути дублируют друг друга. Так, например, в организациях могут быть отдельно разработаны и утверждены документы, регламентирующие порядок доступа к персональным данным и ко всем остальным информационным ресурсам. По всей видимости, с вступлением в силу 1 161-ФЗ к ним добавится и третий документ, регламентирующий назначение и распределение ролей лиц, связанных с осуществлением переводов денежных средств (актуально для участников платежных систем).
Другим примером здесь является выполнение требования по анализу и обработке событий ИБ, которое в разных трактовках содержится в документах по персональным данным, национальной платежной системе и в стандарте PCI DSS. Оно тоже далеко не всегда выполняется путем внедрения одного решения.
Вот и получается, что мы помним о пресловутом комплексном подходе, но на деле его не применяем. Принцип экономии затрат при этом выполняется весьма сомнительно. Да и как сэкономить, если для выполнения каждого отдельного свода правил (закона, стандарта) привлекаются отдельные исполнители, которые, как правило, не взаимодействуют между собой или общаются недостаточно плотно?
При этом наш опыт говорит о том, что экономия при выполнении работ только по проектированию системы защиты может быть весьма значительной. Их длительность в проектах и по PCI DSS, и по СТО БР составляет порядка 2–3 месяцев, а стоимость сопоставима. В то же время стоимость разработки проектных решений по системе защиты, учитывающей одновременно требования СТО БР и PCI DSS, всего на 15–20% выше таковой при проектировании только одного из двух проектов. На обследовании и разработке организационно-распорядительной документации также можно выгадать до 50%.
Рис. 2. Соотношение документов, регулирующих область ИБ, в зависимости от отрасли
Compliance по-новому
Как следствие, в последнее время компании все чаще рассматривают проекты по построению системы ИБ как комплексные, в которых системы защиты строятся в соответствии с требованиями действующего законодательства и по возможности являются инвариантными к вероятным изменениям.
В общем случае типовой проект по приведению в соответствие (Compliance) изображен на рис. 3.
Ключевой этап отражен в верхней половине схемы. Именно корректное формирование полного перечня требований по ИБ и детального плана работ может способствовать созданию единой комплексной системы защиты. Основной проблемой на этом этапе является отсутствие готовых схем и алгоритмов. В повседневной жизни мы часто требуем от коллег ясной и четкой постановки задач. А вот в отношении нашего законодательства говорить о прозрачности и понятности требований не приходится. Проблема с каждым днем становится все острее, и именно поэтому все чаще возникает необходимость формирования четких методик. Частично этот вопрос решается на уровне отраслевых организаций в виде рекомендаций и разъяснений, но, к сожалению, в недостаточном объеме. В то же время эффективно выполнить требования законодательства по ИБ можно только при наличии четкого и понятного перечня мероприятий, которые необходимо реализовать.
В такой ситуации разумным шагом является привлечение для выполнения Compliance-проектов компаний-интеграторов. Конечно, некоторые игроки рынка скептически относятся к сторонним консультантам, полагая, что они не могут в полной мере учесть специфику их деятельности. Отчасти это так: абсолютно все тонкости и нюансы бизнес-процессов могут знать только их владельцы. Но, с другой стороны, держать целый штат квалифицированных специалистов различных областей ИБ (консультантов-аудиторов, проектировщиков, архитекторов, инженеров) могут позволить себе далеко не все организации. Более того, во многих компаниях подразделения ИБ отсутствуют как таковые. Поэтому сотрудничество может быть весьма продуктивным.
Не открою тайны за семью печатями, если скажу, что для консультанта Compliance-проект со временем переходит в процесс кастомизации наработанных шаблонов и методик. То есть интегратор в данном случае является носителем тех самых «сакральных знаний» о том, как именно можно реализовывать не всегда прозрачные нормативные требования по ИБ.
Рис. 3. Сценарий типового проекта по приведению в соответствие требованиям регуляторов
Поправка на ветер
Потемкинские деревни больше не тренд
Уже упоминалось, что в свете усиления нормативного регулирования в сфере ИБ компании стремятся к инвариантности своих систем защиты. Добиться этого без создания эффективных и действенных механизмов обеспечения ИБ вряд ли возможно. Именно поэтому, ставя перед собой цель достижения соответствия нормативным требованиям, организации внедряют реально полезные решения, которые действительно позволяют нивелировать информационные риски, а не приобретаются просто ради галочки и формального соответствия.
Интересная тенденция наблюдается и в нормотворческой деятельности наших регуляторов (ФСТЭК и ФСБ). На разных совещаниях и заседаниях представители силовых ведомств публично заявляют: они поддерживают мысль о том, что защищаться необходимо только от актуальных угроз ИБ. Надеемся, что эта позиция в скором времени будет отражена и в нормативной базе. При создании систем информационной безопасности это могло бы поспособствовать более быстрому переходу от построения «потемкинских деревень», направленных на защиту не столько от реальных угроз, сколько от самих регуляторов, к действительному противодействию угрозам. В качестве положительного момента можно отметить, что уже сегодня многие организации на этапе предпроектного обследования просят не просто провести «классический» аудит ИБ, а выполнить инструментальный анализ защищенности своих систем, в результате которого можно выявить реальные уязвимости. И только после этого осуществляется выбор решений, позволяющих минимизировать действительно актуальные угрозы ИБ.
Без контроля нет эффекта
Есть еще одно направление, в котором «дует ветер» информационной безопасности. Банк России, помимо установления требований к защите платежных систем, ввел строгие формы отчетности. Одна из них – это ежемесячное предоставление информации об инцидентах ИБ в платежных системах. Такая мера, естественно, вызовет желание минимизировать риски нарушения ИБ, приводящие к подобным инцидентам. А это, в свою очередь, можно сделать, внедрив в компании эффективные механизмы мониторинга и контроля.
Ну и конечно, как бы хорошо не были реализованы меры защиты, без должного контроля со временем они потеряют свою эффективность. Документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) предписывает проводить контроль не реже 1 раза в год. Раньше этого было достаточно, поскольку состав ПО и применяемые технологии почти не менялись.
Но современная динамичная жизнь ИТ-систем делает контроль с такой периодичностью практически бесполезным. Темп и объем информационного взаимодействия требуют почти незамедлительной реакции на потенциально опасные события ИБ. Именно поэтому «ручной» контроль практически канул в лету и почти повсеместно внедряются решения SIEM-класса (Security Information and Event Management). Аналогичная ситуация наблюдается и при проверках эффективности организационных мер (удаленное обучение и тестирование, заполнение опросных листов и отчетов).
Что день грядущий нам готовит?
В заключение хочется еще раз перечислить все проблемы соответствия нормативным требованиям и тенденции, способствующие их разрешению.
Итак, существуют следующие основные проблемы:
- Количество требований растет и будет увеличиваться в будущем, при этом:
- зачастую необходимо соответствовать одновременно нескольким нормативным документам;
- в область регулирования попадают все новые виды деятельности;
- реализация разрозненных требований приводит к избыточности и дублированию механизмов защиты.
- Меры наказания ужесточаются.
- Формулировки законодательства неоднозначны, а понятные и прозрачные методики, как правило, отсутствуют.
Наряду с этим наблюдаются и положительные моменты:
- увеличивается количество комплексных проектов, одновременно учитывающих требования нескольких нормативных актов (стандартов);
- вырабатываются понятные методологические подходы к реализации требований;
- при создании систем ИБ фокус смещается в сторону противодействия действительным угрозам, а не формального соответствия;
- мониторингу и контролю ИБ уделяется все большее внимание.
Прежде чем делать прогнозы на будущее, хочется обратиться в сторону зарубежного опыта. В странах Европы и США регулирование рынка ИБ имеет куда более богатую событиями историю. Задача соответствия нормативным требованиям перед нашими иностранными коллегами встала гораздо раньше. Традиционно искать варианты решений начали в финансовой отрасли. Они были реализованы в виде концепции GRC (Governance, Risk Management and Compliance), о которой много говорили в 2007–2008 гг. в России, но дальше разговоров и обсуждений дело не пошло.
А в это время сами решения продолжали развиваться и пополняться новыми полезными инструментами. Одним из направлений развития стало наполнение базового функционала готовыми преднастроенными шаблонами в области ИБ-Compliance, позволяющими удовлетворить требования таких стандартов, как ISO/IEC 27001:2005, PCI DSS 2.0. Подобная активность сегодня ведется рядом компаний и в России. Например, мы в настоящее время работаем над созданием таких шаблонов в области защиты персональных данных и соответствия требованиям Банка России на базе одной из платформ класса GRC.
Интерес к продуктам этого сегмента возник не случайно. Во-первых, функционал решений позволяет создать систематизированную и централизованную базу знаний, которая будет содержать перечень не только всех требований, но и конкретных мероприятий, направленных на их выполнение. По сути, у нас есть возможность создания тех самых готовых методик и рекомендаций, которых так не хватает сегодня.
Помимо реализации в рамках этих решений готовых преднастроенных шаблонов, можно автоматизировать процессы контроля и аудита, а также оценки информационных рисков. Также возможны автоматизация самих процессов обеспечения ИБ, направленных на выполнение нормативных требований (workflow), и построение наглядной и интуитивно понятной отчетности об уровне соответствия. Таким образом, решения GRC представляют собой набор удобных инструментов, которые позволяют соответствовать нормативным требованиям по ИБ. В настоящее время к ним проявил интерес ряд организаций кредитно-финансовой и страховой отраслей. Наличие «пилотов» еще раз подтверждает состоятельность идеи о будущей востребованности продуктов GRC. В скором времени ожидаются и полноценные проекты, что в дальнейшем позволит другим организациям воспользоваться этим опытом.
Так что же день грядущий нам готовит в свете усиления регулирования в сфере ИБ? На наш взгляд, ответ очевиден. Рано или поздно компании перестанут инициировать все новые и новые консалтинговые проекты по приведению в соответствие. Вместо проведения многократных аудитов на соответствие тому или иному закону компании начнут реализовывать централизованные системы управления требованиями ИБ и контроля уровня соответствия. Такой подход позволит не только повысить эффективность защитных механизмов и оптимизировать процессы Compliance, но и сократить расходы на реализацию нормативных требований по ИБ.