Информационная безопасность на службе бизнеса.

Обеспечение информационной безопасности и непрерывности бизнеса сегодня становятся важнейшими факторами успеха современной компании. В связи с этим они озабочены тем, чтобы максимально снизить риски, связанные с используемыми ИТ-технологиями. Минимизация каких рисков имеет сегодня наибольший приоритет для российских компаний? Каков уровень зрелости российских компаний с точки зрения информационной безопасности? Как обеспечить необходимую степень защиты предприятия, соблюдая разумный баланс между необоснованно высокими тратами на ИБ либо недостаточностью инвестиций в эту сферу? Все эти вопросы мы обсуждали за нашим круглым столом.

Участники:
Алексей Кулешов, IT-консультант компании IBM
Андрей Дроздов, старший менеджер отдела бизнес-консультирования компании KPMG
Крис Гоулд, директор отдела бизнес-консультирования компании KPMG
Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems
Евгений Акимов, менеджер направления «информационная безопасность» компании «Открытые технологии»
Михаил Башлыков, руководитель направления информационной безопасности компании «Крок»
Михаил Кондрашин, руководитель центра компетенции Trend Micro в России и странах СНГ
Павел Антонов, ведущий эксперт отдела информационной безопасности компании АМТ-Group
Михаил Емельянников, независимый эксперт, до марта 2006 года — начальник отдела информационной безопасности компании «Связьинвест»

Управление рисками

Intelligent Enterprise: Какие угрозы информационной безопасности наиболее актуальны для компаний, какими проблемами сегодня озабочены специалисты ИТ-служб?

Евгений Акимов: По большей части появление новых угроз связано с развитием информационных технологий. К примеру, несколько лет назад простои в работе информационных систем для большинства компаний не были столь критичны для бизнеса. Но сегодня сбои могут иметь очень серьезные последствия. В последнее время компании начинают заниматься планированием непрерывности бизнеса, и такая тенденция прослеживается очень отчетливо. Конечно, об этом говорили и пять лет назад. Однако за это время изменился сам подход к проблеме. Если раньше обеспечение непрерывности бизнеса в основном ложилось на плечи ИТ-подразделений, то теперь эта работа перекладывается на службу информационной безопасности. Связано это с тем, что в управлении обеспечением непрерывности применяется методология оценки рисков, которая используется и для остальных видов ИТ-рисков. Действительно, неэффективно по отдельности оценивать риски нарушения функционирования информационной системы и потери конфиденциальности, так как, например, информация может быть утеряна и вследствие выхода из строя жесткого диска, и из-за реализации угрозы хакерской атаки. Поэтому и решать эти проблемы удобнее силами одного подразделения, отвечающего за информационную безопасность.

Однако говорить о том, что эти риски самые высокие, было бы неправильно. По-прежнему весьма актуальными остаются проблемы конфиденциальности информации, и для многих компаний это намного серьезнее, чем простои в работе системы.
Например, из-за усложнения и укрупнения ИТ-систем в больших компаниях становится неэффективным использование встроенных систем управления правами доступа: при этом не только растет число ошибок, но и упрощается возможность для мошенничества. Поэтому все более востребованными становятся специализированные средства управления правами доступа и учетными записями пользователей.

Кроме того, усложняется процесс управления инцидентами, с чем перестают справляться обычные системы мониторинга. В результате для компенсации связанных с этим рисков все более распространенным становится использование систем управления событиями ИБ.

Конечно, оценка рисков появилась не вчера. Однако мы опять возвращаемся к этому вопросу. Многие заказчики, услышав несколько лет назад про риски и про существования стандарта BS7799-2, попытались его самостоятельно реализовать и не справились с задачей. Отсюда - негативное восприятие рисковой методологии. Это неправильное мнение, которое появилось из-за того, что внедрить систему управления информационной безопасностью достаточно сложно. Если сделать попытку внедрить стандарт и сделать оценку рисков, не привлекая руководство и не заручившись его поддержкой, можно столкнуться со сложностями внутри компании. Руководители могут не понять, почему существуют именно такие угрозы, и откуда взялась такая критичность информационных активов. В результате - отказ от финансирования. Есть и другие моменты, которые могут сыграть отрицательную роль. Если взять очень сложную методику оценки рисков, можно запутаться в ней и получить в итоге неадекватный результат. В случае с излишне простой методикой результат не будет показательным. Поэтому сейчас все больше и больше компаний для построения систем управления информационной безопасностью прибегают к консалтинговым услугам компаний, которые имеют опыт в таких проектах и знают их возможные подводные камни. В этом случае результат получается существенно качественнее.

Алексей Кулешов: Я хочу остановиться не на технологии, а на методике. Судя по сложившейся сегодня ситуации, изменился сам методологический подход. Если раньше мы говорили об обеспечении непрерывности в плане предотвращения катастроф на уровне ИТ-инфраструктуры, то теперь общее направление все больше смещается к непрерывности именно бизнес-составляющей.

Андрей Дроздов: Могу сказать, что в соответствии с лучшей практикой за непрерывность бизнеса в ряде передовых компаний отвечает высшее руководство. Как правило, это вице-президенты или заместители генерального директора по операционным рискам или операционному управлению. Специалисты в области информационных технологий и информационной безопасности могут предоставить инструмент для оценки рисков и последствий их реализации для бизнеса. Но отвечать за проведение таких оценок и внедрение мер контроля должно именно высшее руководство. Потому что если говорить об обеспечении непрерывности бизнеса в целом, то информационные технологии и безопасность - это лишь малая толика проблем. Здесь технологии надо понимать в широком смысле. Они включают в себя не только резервирование и перевод приложений в удаленный центр. Это и управление переводом бизнес-процессов на резервную площадку, где не только находятся серверы, но и работают сотрудники, которые должны обеспечивать деятельность предприятия в чрезвычайных ситуациях. Сюда же относятся методы оповещения бизнес-партнеров, клиентов и средств массовой информации, и определение процессов, которые нужно восстанавливать в первую очередь, и тех, что могут подождать, и т. д.

Михаил Башлыков: Западная практика в этой области показывает, что требуется не просто вовлечение руководства в решение вопросов по обеспечению безопасности, но должен быть выделен отдельный специалист, полностью отвечающий за управление рисками. Поскольку само по себе понятие риска весьма неопределенно, задачей специалиста на этой позиции становится в том числе и определение возможных нежелательных ситуаций, связанных с непрерывностью бизнес-процессов, а также защищенностью тех или иных информационных ресурсов и информации. В некоторых российских компаниях уже реализован подход, когда создаются департаменты по управлению рисками. Но более распространена, конечно, ситуация, когда в организациях не определены ни перечни информационных ресурсов, которые нужно защищать, ни способы их защиты. Но ситуация меняется очень быстро.

Михаил Емельянников: Появились ли принципиально новые угрозы, это большой вопрос. Мне кажется, что на самом деле технологически новых опасностей не добавилось. В последние годы и вендоры не предлагают ничего нового, скажем, с точки зрения сетевого экранирования или маршрутизации. При создании антивирусных продуктов по-прежнему, как и много лет назад, используются базы сигнатур и некие эмпирические методы. И продолжается это много-много лет. Базы "пухнут", на выявление вредоносного кода требуется все больше вычислительных ресурсов, одни и те же файлы проверяются по многу раз. Всё это затрудняет работу сети, однако много лет ничего не меняется.
Из новых тенденций надо отметить появление на рынке множества средств для блокировки действий пользователей и контентного контроля. Но по большому счету ничего существенно нового не создается. Как и раньше, ведется большое количество бесполезных записей о событиях в системе, которые никто не анализирует. Зачастую в сеть устанавливаются дорогостоящие системы выявления и предупреждения атак, но пользоваться ими никто из персонала толком не умеет. А новые угрозы появляются порой совершенно неожиданно. Так, по моему мнению, национальная программа по информатизации учебных заведений - это колоссальный информационный риск. При активном создании в учебных заведениях ИТ-инфраструктур денег на информационную безопасность, как обычно, не найдется. И школьные компьютеры, объединенные в сеть единого провайдера, в отсутствие среди обслуживающего их персонала специалистов по защите информации станут идеальной целью для зомбирования и распространения троянских программ.

При оценке рисков реальных потребителей сейчас все стараются идти в ногу со временем. Появилось понимание, что существующие международные стандарты являются отличными методическими инструментами для оценки угроз. Но при использовании международных стандартов безопасности есть две большие проблемы. Во-первых - существенные сложности адекватного перевода и правильной трактовки стандартов. А во-вторых, информационная безопасность до недавних пор воспринималась как сугубо технологическая проблема, хотя на самом деле это проблема бизнеса. Если сети компании извне никто не угрожает, если нет ресурсов, представляющих интерес для хакера, то и незачем использовать десяток сложных и дорогих защитных систем. Однако специалисты по информационной безопасности чаще всего умеют лишь строить сеть, конфигурировать и настраивать средства и системы безопасности, а не оценивать риски. Поэтому многим компаниям приходится либо полагаться на рекомендации внешних консультантов и аудиторов, либо с точки зрения управления рисками вообще ничего не делать.

Алексей Лукацкий: Есть еще одна угроза, не имеющая никакого отношения к технологии - это несоответствие нормативам по обеспечению информационной безопасности - государственным или ведомственным. Сложилась парадоксальная ситуация: чтобы удовлетворить требованиям "сверху", можно потратить 50 тысяч долларов на систему безопасности и просто иметь, а не устанавливать ее, а можно вообще не тратить денег и быть подвергнутым санкциям. И возможный штраф не очень кого-то пугает - в худшем случае он составит сто МРОТ, что зачастую существенно меньше затрат на закупку и установку ненужной системы безопасности.

Алексей Кулешов: В то же время не стоит думать, что государственное регулирование вопросов конфиденциальной информации полностью отсутствует. Соответствующие требования в настоящее время весьма четко регламентированы в рамках такого документа, как "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)", и каждая организация, занимающаяся технической защитой в этой области, чтобы получить необходимую лицензию, должна им соответствовать.

Вопрос о возможности снижения рисков в области информационной безопасности с помощью их страхования уже довольно давно обсуждается и чаще всего без особой надежды на успех. Произошли ли какие-то изменения в этом вопросе?

Михаил Емельянников: По поводу любого вида страхования сначала всегда нужно определиться с размерами страховой премии и возмещения, а также выяснить, что считать страховым случаем. Мне довелось тщательно разбирать вопрос, можно ли застраховать оператора связи на случай нарушения системы информационной безопасности. Оказалось, что можно. Но при сбое в информационной системе ему будет возмещена стоимость привлечения стороннего персонала и комплектующих для восстановления работоспособности. В то время как для компаний куда важнее возмещение рисков, связанных с простоем, упущенной выгодой и потерей имиджа.

Евгений Акимов: Страховые компании, которые занимались этим вопросом, разрабатывали именно методику страхования потери информации. Нарушение конфиденциальности вообще не рассматривалось. Но для большинства основные риски связаны не с простоями (хотя, конечно, бывают и исключения: например, если на промышленном предприятии украдут информацию из АСУТП, то хотя это и очень серьезно, но сам бизнес предприятия не остановится, а вот если в той же АСУТП возникнет сбой, остановка возможна). Для других, скажем, финансовых организаций или предприятий нефтегазовой отрасли, наиболее критична именно конфиденциальность. Однако ее нарушение не будет страховым случаем. Тому есть объяснение: ведь если сгорел сервер или вышел из строя жесткий диск, сомнений в инциденте не возникает и это можно застраховать. Но если кто-то получил несанкционированный доступ к информации, то как в этом можно удостовериться? И как не усомниться, что в этом не виноват сам страхователь?
Видимо, этот рынок пока не работает прежде всего и из-за ограниченности самой услуги по страхованию ИТ-рисков.

Уровень зрелости рынка

На рынке присутствуют очень разные компании, они ставят перед собой различные задачи. В связи с этим давайте обсудим степень их готовности к автоматизации вообще и к организации информационной безопасности в частности. Можете ли вы ее оценить?

Алексей Кулешов:

Если говорить о том, как организовано управление информационной безопасностью в современных российских компаниях, то я бы разделил их по этому признаку на два больших лагеря, которые условно можно назвать технократическим и бюрократическим. В первом случае за информационную безопасность отвечают ИТ-специалисты, а подразделение безопасности либо не выделено, либо находится в зачаточном состоянии. При этом основной акцент делается на технические средства обеспечения ИБ -- межсетевые экраны, антивирусы и другие.

Во втором случае информационной безопасностью занимаются "люди старой закалки". Они прекрасно понимают, как должна быть организована организационно-ролевая структура управления ИБ, какова структура и состав необходимой организационно-распорядительной и нормативной документации (правила, приложения, процедуры, инструкции и т. д.), как необходимо строить работу по повышению осведомленности людей. У них всё систематизировано, но они не используют современных технологических решений для подкрепления административных мер и механизмов.

Чаще всего два вышеописанных подхода встречаются, к сожалению, по отдельности, а ведь только сочетая организационные и технические меры безопасности, можно построить систему управления ИБ, адекватно отвечающую существующим угрозам. Рискориентированный подход и механизмы защиты, соответствующие уровню реального информационного риска, позволяют добиться того, чтобы система управления информационной безопасностью была одновременно и эффективной, и экономичной.

Михаил Емельянников: Я считаю, что сейчас к руководителям большинства российских крупных компаний приходит понимание проблемы безопасности. Практически в любой серьезной организации есть подразделение ИБ. Особенно на этот процесс повлияло знакомство топ-менеджеров с организацией работы в западных компаниях, где просто так нельзя ни перейти из помещения в помещение, ни получить доступ к информационному ресурсу или даже к принтеру для печати нужного документа. Я думаю, постепенно и остальные подойдут к этому уровню. Другое дело, что на сегодняшний момент в России отсутствуют специалисты по оценке рисков нужной квалификации и в нужном количестве, и в ближайшее время они вряд ли появятся. У небольших же компаний главные задачи сильно отличаются, и говорить об информационной безопасности применительно к ним с обсуждаемой позиции часто вообще бессмысленно.

Оптимальная степень защиты

Конечно, чем более защищенным ощущает себя бизнес, тем лучше, однако ресурсы компаний чаще всего бывают ограничены. Как найти компромисс между количеством и мощностью средств защиты и экономичностью решения?

Михаил Кондрашин. Безопасность - это не просто применение дополнительных программных и аппаратных средств. Это некое свойство инфраструктуры. А значит, вопросы безопасности затрагивают все аспекты деятельности компании. Но получается, что в построении системы ИБ заинтересовано только высшее руководство, у остальных же сотрудников к этому двойственное отношение. На мой взгляд, единственный правильный подход состоит во внешнем аудите и сервисе. Потому что собственные разработки не всегда приносят нужные результаты, а работа с системным интегратором гораздо более продуктивна.

Алексей Кулешов: Сейчас на рынке сложилась такая ситуация, когда аудитом ИБ называют практически любое обследование. Например, приходит компания-консультант, проводит экспертную оценку состояния информационной безопасности на предприятии, выдает свое экспертное заключение и называет эту работу аудитом. Но ведь аудит -- это всего лишь проверка на соответствие: стандарту, политике и т. д.

Если проводится обследование, экспертная оценка, то консультант сам формулирует требования, соответствие которым потом будет проверять. Если же требования уже есть - стандарт или внутренняя политика информационной безопасности, - предприятие просто зовет аудиторов, которые проверяют выполнение этих правил. Чаще всего речь идет именно об обследовании. И начинать надо с него, с оценки рисков и определения требований.

Павел Антонов:

Безусловно, результаты анализа рисков ИБ должны являться основой для принятия решений о внедрении тех или иных средств обеспечения ИБ. К сожалению, далеко не все компании руководствуются таким принципом. Конечно, если компания стремится как-то оценить риски ИБ, пускай даже самыми простыми и элементарными методами, то это уже очень хорошая основа для принятия правильных решений по внедрению средств информационной безопасности. Однако в большинстве организаций все происходит хаотично. Хорошо, если ИТ-специалисты компании понимают, что нужна защита, и могут донести это до руководства. А если нет, тогда необходимые меры безопасности будут внедряться уже после того, как произошел серьезный инцидент и компания понесла ущерб. Тогда уже руководство начинает думать, почему это произошло и как нужно защищаться. И хорошо еще, если в этой ситуации будут сделаны правильные выводы. Но как вам скажет любой врач, профилактика заболеваний всегда легче и дешевле, чем их лечение.

Евгений Акимов: Это пример так называемого реактивного управления, когда меры принимаются после того, как что-то случилось. Но есть ещё и проактивное управление, когда изначально проводится оценка возможных проблем.

В общем случае нет универсальных инструкций, рассказывающих, как сделать так, чтобы все было хорошо и тем более оптимально. Потому-то и надо начинать с оценки рисков, с анализа законодательных требований по ИБ, а потом на основе этого принимать конкретные решения. В таком случае появится понимание того, какие функции нужно реализовывать программными и техническими средствами, что должны делать сотрудники и сколько людей необходимо для обслуживания системы. То есть начинать надо с высшего уровня информационной безопасности - с построения системы управления, что, как правило, следует за проведением обследования ИБ. Конечно, говорить о том, что в современных компаниях совсем не налажено управление ИБ, было бы неправильно, но оно должно стать более зрелым и формализованным.

Если же обратить внимание на SMB-сектор, то для него построение системы управления ИБ и ее содержание зачастую обходятся сравнительно дорого - денег собственно на защиту останется совсем мало, оптимизировать будет практически нечего. Поэтому решения по построению систем управления ИБ все-таки предназначены для крупных организаций с бюджетом ИБ от нескольких сот тысяч долларов и выше. Для небольших компаний стандартные решения, которые подходят в большинстве ситуаций, могут предложить вендоры (например, можно использовать рекомендации Cisco SAFE). Вторым источником подобной информации могли бы стать отраслевые стандарты по ИБ, содержащие основные требования и отражающие специфику каждой отрасли. Но таких документов пока нет.

Михаил Башлыков: Хочу добавить, что в процесс анализа рисков и построения системы управления информационной безопасностью обязательно должны быть вовлечены руководители компании. Ведь в конечном счете именно топ-менеджмент заинтересован в правильной оценке возможных рисков и последствий их реализации.

Алексей Лукацкий: Коллеги постоянно говорят о высшем руководстве. Но реально в любом стандарте называется руководитель и владелец того бизнес-процесса, который нужно защитить. И это совершенно не обязательно руководитель компании. Потому что пытаться защитить всю компанию сразу - это утопия. Надо защищать отдельные процессы и взаимодействовать непосредственно с их владельцами. Это первый момент. Во-вторых, хочу дополнить сказанное по поводу консалтинга и того, с чего надо начинать. Реально внедренных систем управления информационной безопасностью в России очень мало, потому что все начинают с консалтинга. Сначала приходят консультанты, потом аудиторы выдают свои рекомендации. С этими рекомендациями они идут к высшему руководству, которое в результате не дает добро на реализацию проекта. Начинать нужно, как у нас сейчас модно говорить, с партнерства. На Западе за внедрение систем отвечает не подразделение информационных технологий, а бизнес-подразделение. То есть должен быть владелец, который указывает свои требования и отвечает за конечный результат. Только в этом случае можно надеяться на положительные итоги. У нас же обычно этот момент упускается, поэтому проекты по организации информационной безопасности заканчиваются внедрением межсетевых экранов и антивирусов. Сначала надо понять, что нужно для бизнеса, и только потом уже идти к консультанту, чтобы тот сформулировал требования вместе с вами. Заниматься внедрением проекта должен руководитель службы информационной безопасности или отдела управления рисками. А вот ответственность за результат равномерно ложится между руководителями безопасности и бизнес-подразделений. Если же последний изначально не знает ничего дальше брандмауэра, то все задачи, которые были поставлены консультантами, будут опущены на этот уровень.

Андрей Дроздов: Я согласен с вышесказанным по поводу необходимости установления партнерства с бизнес-подразделениями. Но хочу поспорить с тезисом о том, что не надо идти к высшему руководству. В соответствии с международными стандартами ISO 17799/ISO 27001 за наиболее существенные аспекты ИБ, такие как политика информационной безопасности компании, должно отвечать высшее руководство компании. Потому что политика обязательна для всех. Например, почему у нас проекты по внедрению корпоративных систем управления часто завершались провалом? Потому что за этим внедрением стоит передел организационной структуры, в том числе удаление дублирующих функций. И без поддержки со стороны высшего руководства успешное внедрение провести невозможно. Конечно, высшее руководство не должно влезать в детали каждой частной политики информационной безопасности и каждого документа. Но международные стандарты требуют его участия в разработке и одобрении общей политики безопасности компании.

Крис Гоулд: Когда в проектах в области информационной безопасности помимо сотрудников ИТ и ИБ-служб участвуют руководители компании, эти проекты, как правило, получаются более крупными и, что самое главное, приносят больше пользы бизнесу.

Нормативно-правовое регулирование

Какое влияние оказывают законодательные требования на стратегию информационной безопасности компаний? Что по закону является обязательным для каждой компании, а что нет?

Алексей Кулешов: Большинство исследований говорит о том, что основным мотивом для развития информационной безопасности в компаниях являются требования законодательства. В то же время наша практика показывает, что у нас в стране немаловажным фактором развития информационной безопасности является возможность эффективного противодействия акутальным угрозам.

Андрей Дроздов: В отличие от технических регламентов все стандарты по нашему законодательству являются добровольными. А в отношении системы управления информационной безопасностью у нас существуют только стандарты. На сегодняшний день пока нет российских стандартов по организации такой системы, есть только международные. Исключением является отраслевой стандарт информационной безопасности Банка России. При создании этого документа за основу были взяты, в частности, ISO 17799/ISO 27001. Других отечественных стандартов в этой области я не знаю.

Михаил Кондрашин: Большая беда подобных документов - несоответствие реальности в некоторых аспектах. В процессе их подготовки многие положения устаревают и перестают быть актуальными на фоне современного спектра угроз. К примеру, стандарт Центробанка России был актуален 8--9 лет назад. По крайней мере в близкой мне антивирусной части. Получается, что система, разработанная по стандарту, в реальных ситуациях ущербна.

Михаил Емельянников: Это неизбежный процесс. Стандарт невозможно переписывать каждый день. Перевод на русский язык и согласование с заинтересованными регулирующими органами занимает очень много времени. Но проблемы в другом. При локализации и распространении международного стандарта в России практически никого не интересует качество и адекватность перевода. А ведь стандарты сами по себе очень сложны. К ним нужна методология, а этим у нас фактически никто не занимается. Обычно руководители подразделений безопасности берут лучшие практики из стандарта и подстраивают под них свою систему. Сами же методики в России почти никто не читает.

Андрей Дроздов: У нас зачастую не понимают смысл стандартов ISO 17799/ISO 27001. Это не стандарты прямого действия, которые можно непосредственно объявить политиками компании. Это свод мер контроля лучших практик, на базе которых разрабатываются собственные документы компании. И не все меры можно применить к конкретной организации - из-за того, что они прописаны для организаций с определенной спецификой деятельности или не учитывают особенности с местного законодательства. Тем не менее компания вполне может быть сертифицирована по ISO 27001, если какие-то меры контроля стандарта она не стала использовать. Конечно, есть и обязательные требования стандарта (политика ИБ, оценка рисков и ряд других), но при этом многие забывают, что стандарт позволяет не только не использовать какие-то меры контроля на основе оценки рисков, но и добавлять отдельные пункты, специфические для данной компании/отрасли, и даже целые разделы. Сейчас много говорят об оценке рисков. В стандарте не прописывается какая-либо конкретная методика. Конечно, существуют различные методики оценки рисков, и их можно использовать, например, PD3002 Британского института стандартов или методику, содержащуюся в COBIT.

Повторяю, сами стандарты ISO 17799/ISO 27001 являются сводом мер контроля лучших практик, на основе которых каждой компании нужно разрабатывать свою политику и свои документы. Потому-то стандарты ISO 17799/ISO 27001 и стали международными, а не заточены на применение в какой-то определённой стране.

Михаил Емельяненко: При этом имеет место следующее явление. Поскольку у нас нет соглашения по поводу общих критериев, сертификаты, выданные в России, нигде в мире не признаются. А иностранные сертификаты ничего не значат для российского производителя, а также, что самое главное, для ФСТЭК и ФСБ. И если, имея отечественный документ, мы захотим сертифицироваться в США, мы наткнемся на большие проблемы, такие, как необходимость раскрыть код программного обеспечения.
Отсутствие на законодательном уровне даже не требований, а зафиксированных подходов создает очень большие проблемы. Взять, к примеру, реализацию режима коммерческой тайны. Обладатель информации может принять необходимые меры в соответствии с федеральным законом. Использование сертифицированных средств безопасности в общем случае для коммерческой организации не является обязательным. Однако в случае судебного процесса по поводу утечки информации привлеченный эксперт всегда может сказать, что принятые меры считает недостаточными. И никто не сможет авторитетно обосновать, являются ли принимаемые меры разумными и достаточными или нет.

Алексей Лукацкий: Правительством было принято еще одно постановление. Я говорю о постановлении о лицензировании деятельности по технической защите информации. Раньше было 290-е постановление, в соответствии с которым любая специализированная компания, занимающаяся защитой информации, должна была получать лицензию на свою деятельность. Теперь дела обстоят иначе. В соответствии с новым законом лицензию должна иметь любая организация, которая занимается обработкой персональных данных и иной конфиденциальной информации, будь то ЖЭК или поликлиника или другое юридическое лицо. За нарушение этого постановления следует определенная административная ответственность, а в ряде случаев можно говорить еще и об уголовной ответственности по статье "Незаконное предпринимательство".

При этом многие не подозревают, что для того чтобы защищать свою собственную коммерческую тайну, компании нужна лицензия ФСТЭК. А в постановлении это четко прописано. Причем непонятно, как мне защищать информацию, если я, например, не использую компьютеры. Или если у меня, напротив, десятки терабайт информации в ERP-системе. На сегодняшний день нет единого рецепта контроля над этим процессом

С сертификационными центрами дела обстоят довольно просто. Есть огромное количество аттестованных лабораторий, куда заявитель приносит продукт и говорит, по какому классу хочет его сертифицировать. Лаборатория проверяет соответствие этому стандарту. Наверное, за всю историю еще не было случая, чтобы кто-то так или иначе не получил сертификат. Соответственно заявитель платит деньги и получает сертификат на руки. Однако многое зависит от того, по какому классу заявитель хочет сертифицироваться. В ряде случаев ему придется предоставить код системы, на что многие западные вендоры пойдут с неохотой. При этом если код и предоставляется, то аттестационные лаборатории проверяют в лучшем случае его на 50 - 60%, а что находится в остальных 40%, никто не знает.

А как можно сертифицировать, не открывая кода? И в профессиональном сообществе очень давно идет речь о том, что существующая система обязательной сертификации средств защиты информации по требованию ФСТЭК и других регулирующих органов должна трансформироваться и учитывать наличие на рынке не только государственных органов и предприятий, выполняющих государственные заказы, но и огромного количества коммерческих структур, особенно в сегменте малого и среднего бизнеса.

Михаил Емельянников: Если строго следовать нормам законодательных актов, то сейчас любая российская компания обязана применять только сертифицированные средства российской криптографии и фактически не имеет права вывозить их за рубеж. Если же у нее есть иностранные филиалы, она должна получить лицензии на экспорт и на распространение криптографических средств, а также разрешение МЭРТ на вывоз, согласованное с ФСБ на уровне заместителя директора. Такое разрешение получить очень непросто. Кроме того, если она за рубежом будет работать с российскими криптографическими системами, то может нарушить местные законодательные требования. И простого выхода из этой ситуации на сегодняшний день не существует.

Алексей Лукацкий: Нет, закон этого не запрещает. И ФСБ выступает в этом случае скорее контролирующим органом. Если компания официально заявляет о том, что собирается ввозить определенные средства шифрования, она имеет очень высокий шанс получить это разрешение. Разумеется, на получение лицензии потребуется какое-то время. Но факт остается фактом - запрета нет.

"Горячие точки" информационной безопаности

Давайте напоследок перечислим основные проблемы, связанные с информационной безопасностью. Какие в этой сфере существуют основные болевые точки, и какие действия нужно предпринимать для того, чтобы информационная безопасность развивалась?

Евгений Акимов: Первая проблема - это то, о чем мы только что говорили: неурегулированные законодательные вопросы и отсутствие либо качественных национальных стандартов, либо признания международных.

Алексей Кулешов: Согласен, что одна из первоочередных задач - это гармонизация действующего законодательства по вопросам обеспечения ИБ. Что касается стандартов, то думаю, что если бы Россия начала признавать международные стандарты по мере их выхода в свет вместо того, чтобы на их основе разрабатывать собственные национальные, то это позволило бы решить немалое количество из только что очерченных проблем.

Михаил Емельянников: Я думаю, что если бы Россия начала признавать международные стандарты по мере выхода их в свет, это решило бы большой круг проблем. У нас сейчас действуют руководящие документы ФСТЭК 1992 года. Фактически это не очень удачный перевод Оранжевой книги 1989 года. ГОСТ Р ИСО МЭК 15408 (общие критерии) устарел - в 2005-м принята новая редакция нового международного стандарта Такой подход к регулированию деятельности очень несовременен. Зачем постоянно изобретать что-то свое, когда весь мир живет по международным стандартам информационной безопасности, постоянно актуализируемым и обновляемым?

Андрей Дроздов: По-моему, в первую очередь надо повысить осведомленность в области ИБ сотрудников компании и прежде всего руководителей. Потому что для необученного человека даже переведенный на русский язык стандарт будет непонятным. Причем в стандартах есть целый раздел, посвященный этой теме. И когда аудитор проводит сертификацию по ISO 27001, то существенную часть занимает именно проверка осведомленности сотрудников в области ИБ.

Способны ли компании самостоятельно поддерживать работоспособность своих систем информационной безопасности? Или поддержку лучше выносить на аутсорсинг?

Михаил Емельянников: Здесь появляется очень непростой вопрос доверия к обслуживающей компании. Если несколько организаций передали одной фирме на аутсорсинг обслуживание своих систем, то получается, что информация о состоянии защищенности всех их сетей сосредотачивается в одном месте. Возникает нормальное желание поинтересоваться, что происходит у конкурентов, и воспользоваться для этого возможностями именно аутсорсера.

Михаил Кондрашин: Есть мнение, что все рано или поздно приходят к аутсорсингу. Когда-то люди и хлеб пекли сами, и пряжу пряли, а теперь этим занимаются специализированные предприятия. Так же будет и с информационной безопасностью. Разумеется, сегодняшнее развитие информационных технологий не позволяет реализовать подобный аутсорсинг, не породив новых рисков.

Евгений Акимов: Есть примеры, когда ИТ-подразделение выделяется в отдельное юридическое лицо. Формально это уже является аутсорсингом. Есть много примеров с положительными результатами, поэтому данная схема вполне работоспособна.

Михаил Башлыков: Я считаю, что аутсорсинг систем информационной безопасности вполне возможен. Но для успешного сотрудничества с аутсорсером необходимо, чтобы специалисты, отвечающие за управление рисками, оставались внутри компании-заказчика. Основная их задача в этом случае - правильно определять необходимость защиты от тех или иных рисков и контролировать работу внешних специалистов.