Построение системы информационной безопасности компании

Олег Чепиков, начальник отдела защиты автоматизированных систем АКБ "Росбанк"

В рамках круглого стола, посвященного вопросам информационной безопасности, который был организован Ассоциацией менеджеров и компанией "Крок", обсуждались и вопросы обеспечения безопасности в банковской сфере. О теоретических и практических аспектах защиты информации и роли стандартов в обеспечении информационной безопасности рассказал Олег Чепиков, начальник отдела защиты автоматизированных систем АКБ "Росбанк".

Роль ИБ в общей стратегии компании

Систему информационной безопасности (ИБ) компании можно представить в виде пирамиды. Основу пирамиды составляет персонал компании от руководителя до каждого рядового сотрудника, технические средства (оборудование и программное обеспечение) и политики и процедуры компании в области информационной безопасности, изложенные в регламентирующих документах разного рода. На этой основе работают процессы управления и обеспечения информационной безопасности.

Сейчас процессный подход очень популярен в мире. Он широко используется в качестве методологии по управлению и совершенствованию рабочими процессами в различных областях, включая процессы управления и обеспечения информационной безопасностью. Если система информационной безопасности или любая другая система состоит из процессов, которые никак между собой не связаны, не продуманы и выполняются так, как это исторически сложилось (а зачастую складывается это не всегда правильно и не всегда красиво), мы часто обнаруживаем, что такое построение не дает компании развиваться, совершенствоваться и реагировать на изменения на рынке.

Чтобы создать стратегию информационной безопасности (или любую другую стратегию), обычно рассматривают и анализируют текущую ситуацию, пытаясь ее понять и описать, формулируют те цели, которых нужно достичь в перспективе, и исходя из этого определяют путь, решения и доработки в организационной структуре компании, с помощью которых эти цели можно реализовать.
Хочу отметить, что стратегия информационной безопасности не существует сама по себе, "в безвоздушном пространстве". Зачастую довольно трудно разделить, где заканчиваются вопросы информационной безопасности и начинаются вопросы ИТ. Эти составляющие системы взаимосвязаны и оказывают влияние друг на друга. Например, средства защиты часто являются неотъемлемой частью информационных систем. Конечно, существуют дополнительные средства, которые могут быть выделены в отдельный проект, но даже такие системы нужно рассматривать во взаимодействии с общей ИТ-стратегией компании и с общей стратегией компании.

Информационная безопасность может быть более или менее важным для компании направлением. В какой степени -- это определяется бизнес-стратегией компании. В западных компаниях наряду с CIO (Chief Information Officer) в компаниях появляются и CSIO (Chief Security Information Officer) со столь же высоким уровнем подчинения. Это делается затем, чтобы такой менеджер имел возможность взаимодействовать на одном и том же уровне и отстаивать свою точку зрения не только c ИТ-отделом, но и с другими бизнес-подразделениями, мог вовлекать эти подразделения в свою работу, получать от них информацию.

Без такого взаимодействия работать трудно. Например, в стандарте ISO или в любой литературе на тему информационной безопасности, первым пунктом стоит оценка рисков. ИТ-службы могут написать список угроз -- технических, организационных и иных. Но риски и потери бизнеса нельзя оценить, не зная структуру бизнеса, не понимая, что в итоге будет потеряно, не зная ценности того или иного информационного ресурса для компании. А без взаимоотношений с бизнесом, с "владельцами" конкретных ресурсов это никак нельзя сделать.

Олег Чепиков,
начальник отдела защиты автоматизированных систем
АКБ "Росбанк"

Если мы рассмотрим стратегии в комплексе, то увидим, что в компании существует очень много стратегий. Не только стратегии ИТ и информационной безопасности, а еще и маркетинговая стратегия, финансовая стратегия, стратегия HR и т. д. Все они связаны между собой, и, самое главное, соответствующие функциональные направления борются в компании за общие ресурсы. Наверное, многие специалисты хотели бы осуществить такие масштабные проекты, которые решат полностью и навсегда вопросы информационной безопасности компании, но всегда приходится исходить из реалий. Развитие компании должно быть уравновешено. Если же на ИБ выделить столько денег, сколько хочется, то вполне вероятно, что после этого не надо будет уже ничего защищать, так как эти средства будут "отняты" у бизнеса, а конкуренты благодаря этому обойдут вашу компанию. Хотя убытков с точки зрения информационной безопасности не будет, на бизнес это повлияет резко отрицательно.

Кроме того, сегодня бизнес переходит на другие модели, и то, что вчера было защитой информации, сегодня лишает компанию конкурентных преимуществ -- мобильности, быстроты принятия решений, которая зависит от легкости доступа к информации. А это в любом случае входит в противоречие с обеспечением безопасности. Понятно, что при любом подключении к Интернету, какие бы средства защиты не использовались, риски будут выше, чем у системы в закрытой комнате на отдельном компьютере.

При нынешней доступности технологий существует мнение, что ИТ двигается в сторону стандартизации и общих ресурсов, как и многие другие инфраструктурные системы прошлого: сети электроснабжения, железные дороги, телеграф. Но сложность ИТ-систем на порядок выше. Эффективно ли использования этих систем, окажутся ли они преимуществом или, наоборот, недостатком, тормозящим работу компании -- будет определяться, безусловно, теми людьми, которые с ними работают. Не только техническими специалистами, но и пользователями, потому что от квалификации пользователей при работе со сложными системами начинает зависеть очень многое.

В целом, взаимодействие информационной безопасности с другими элементами бизнеса -- процесс достаточно сложный. Он зависит не только и не столько от ИТ-специалистов и специалистов по информационной безопасности, сколько вообще от системы управления компании в целом. В оптимальном случае вопросы ИТ и информационной безопасности относятся к ключевым вопросам, оказывающим влияние на общую стратегию компании.

Стандарты информационной безопасности

В пирамиде, состоящей из процессов, людей, оборудования и регламентирующих документов, стандарт ISO показывает, каким образом нужно строить систему управления безопасностью. Это тот стандарт, относительно которого мы можем оценить как текущее, так и целевое состояние для компании. Методология стандарта говорит не о том, нужен нам антиспамовый фильтр или не нужен, нужны антивирусные программы или не нужны, а о том, как строить систему процессов обеспечения информационной безопасности компании.

Я бы предложил такое образное сравнение: если бизнес -- это корабль в бушующем океане, а ИТ -- машинное отделение, в котором крутятся шестеренки, работают моторы, то информационная безопасность отвечает за то, чтобы в это машинное отделение не попадала вода, оттуда не вытекало топливо (для современного бизнеса таковым является информация), чтобы здесь не шастали посторонние, пытающиеся испортить оборудование. Задача информационной безопасности -- организовать систему защиты таким образом, чтобы она работала не только в текущий момент времени, но и была способна к дальнейшей адаптации. Если появляются новые пробоины, их нужно залатать, если кто-то проникает в машинное отделение -- его нужно поймать и выгнать, и так далее. И стандарт, в том числе, помогает нам определить методы в достижении данных целей.

Одна из задач любой службы информационной безопасности -- донесение идей и обучение основам информационной безопасности руководства компании. Однако если это делать на техническом языке, то сомнительно, что ваш генеральный директор сможет настолько разобраться в этих вопросах, чтобы объективно решить -- действительно ли надо истратить тот миллион или 100 тысяч, которые вы просите, на систему информационной безопасности, или лучше эти деньги направить, например, на маркетинг.
Стандарты -- инструмент, встречающий понимание и доверие у руководства компаний. Ведь стандарты основаны на лучших практиках, и опыт их применения свидетельствует, что компания, действительно применяющая их, получает определенные гарантии. Если вспомнить наш пример с кораблем, то стандарты гарантируют, что корабль поплывет вперед, а возникшие пробоины будут вовремя заделаны.

Сертификация компании по стандарту показывает партнерам и клиентам, что при работе с этой компанией их риски меньше, чем при работе с другими компаниями. Меньше, потому что управление системой информационной безопасности находится на должном уровне. Что такое риски информационной безопасности? Телевидение постоянно нам демонстрирует примеры таких рисков. Например, база данных по налогам, которую за вполне доступную сумму продают направо и налево, и теперь вся информация о доходах компаний находится в свободном доступе.

Стандарт ISO -- это документ, который относится к области политик и процедур. Но чтобы соответствовать стандарту, недостаточно написать один документ, недостаточно прописать политики и процедуры, которые требуются в соответствии со стандартом. Необходима выстроенная организационная структура, а это уже вопрос, связанный с персоналом компании. Нужно, чтобы этот персонал был соответствующим образом обучен, знал свои роли в системе информационной безопасности. К обеспечению информационной безопасности компании имеют отношение все сотрудники компании, но у генерального директора одна роль, у специалистов по информационной безопасности -- другая, у пользователей - третья… Нельзя выделить, чья роль важнее. Если вы извлечете один из камней в основании дома -- разрушите весь фундамент.

Конечно, стандарт ISO не единственный. В области информационной безопасности существует множество других стандартов и лучших практик, например, стандарты по обеспечению непрерывности бизнеса. Но преимущество стандарта ISO в том, что он предлагает общий подход к построению системы управления информационной безопасностью, подход, включающий в себя другие частные вопросы. Разумеется, он не описывает подробно, как именно все это должно быть реализовано. По одной простой причине -- нельзя стандартизировать все, от последнего компьютера, последнего винтика до бизнес-процессов. Это нереально, поскольку у разных компаний те же ИТ-системы базируются на разном оборудовании, имеют разную архитектуру, и организационно все компании межу собой тоже различаются. Но стандарт охватывает "верхнюю часть" системы, описывая, как организовать управление, и рекомендуя внедрение тех или иных средств контроля и защиты. Как реализовать -- задача специалистов компании.

Сам процесс организации процессов (как бы тавтологично это ни звучало) -- уже ежедневная упорная работа, без которой нельзя достигнуть результатов, только прочитав один документ, и заявив даже на самом высоком уровне, что мы будем этому документу следовать. Нельзя рассматривать любую концепцию или стандарт как панацею от всех бед -- взяли стандарт, прочитали, и все проблемы оказались решены. Требуется не только знать лучшие практики и решения по защите информации, описанные в стандартах, но и адаптировать их к текущим условиям бизнеса, и внедрять адаптированные решения в жизнь.

Особенности обеспечения ИБ в банковском секторе

Если для производственных компаний информация остается важной, но вспомогательной частью бизнеса, то в банке обработка и хранение информации -- это основа всего бизнеса. Поэтому вопросам информационной безопасности, то есть обеспечению целостности, доступности и конфиденциальности информации при ее обработке в автоматизированных системах, уделяет очень много внимания как руководство банка, так и регулирующие органы, в первую очередь ЦБ РФ. Сложность в том, что кроме требований конфиденциальности (когда информация составляет банковскую тайну), одновременно необходимо обеспечивать максимальную степень ее целостности (состояние счетов, платежи) и высокую степень доступности (для обслуживания клиентов).

Для защиты информации внутри банка всегда нужен целый комплекс мер. По возможности большинство операций должно быть автоматизировано, но в любом случае за всеми системами стоит человек, поэтому самое пристальное внимание должно уделяться работе с персоналом и его обучению навыкам информационной безопасности на уровне, необходимом для работы на конкретной должности. При проектировании, разработке и эксплуатации систем должны соблюдаться основополагающие принципы: разделение полномочий, использование минимально необходимого уровня доступа, а также, там, где это необходимо, -- принципы двойного контроля ("четыре глаза").

Методы обеспечения информационной безопасности при работе с клиентами у банка те же, но конкретные средства защиты, например средства аутентификации, могут отличаться. Связано это с тем, что защита -- всегда компромисс между уровнем остаточных рисков, удобством работы и стоимостью. Банк не должен ожидать, что клиент окажется продвинутым компьютерным гуру, который может установить и заплатить за все "навороченные" средства защиты, предлагаемые сегодня на рынке средств информационной безопасности. К тому же часто удобство использования -- гораздо более критичный фактор для внешних клиентов, чем для внутренних пользователей. Если банк может обязать сотрудников использовать "неудобные" средства защиты, то клиент просто не будет пользоваться предлагаемой услугой, если ему это будет слишком неудобно.

Общий уровень защиты зависит от средств защиты, используемых как на стороне клиента, так и на стороне автоматизированной системы. И в случае клиентов банка баланс обеспечения защиты смещается в сторону автоматизированных систем на стороне банка. Это требует от банка более значительных инвестиций, но в целом позволяет обеспечивать высокую степень защиты, предоставляя больше удобства для клиентов.