Михаил Левашов банк Союзный: Место CISO – в совете директоров

Судя по нашему ежегодному исследованию, вопросам информационной безопасности (ИБ) руководители ИТ-подразделений уделяют более чем серьезное внимание. О приоритетах в области ИБ, о недостатках современной российской правовой базы мы беседуем с начальником службы информационной безопасности банка «Союзный» Михаилом Левашовым.

Intelligent Enterprise: Каковы на ваш взгляд должны быть приоритеты компании в области ИБ? Какие риски вы назвали бы основными на сегодня?

Михаил Левашов: То, о чем уже несколько лет говорят ведущие специалисты по ИБ, окончательно свершилось. Риски от реализации внутренних угроз превысили риски от реализации угроз внешних. Это обстоятельство, давно уже очевидное для нас, специалистов, сегодня фиксируется в «массовом» сознании людей. Подтверждением тому могут служить результаты исследований и другие индикаторы, показывающие активность продаж в области ИБ. Если рассматривать отдельно банковский сектор, то этот вывод фактически зафиксирован в отечественном стандарте ИБ банковской системы. Причем специфика внутренних рисков, то есть рисков, связанных с несанкционированными действиями собственного персонала, заключается в том, что сотрудники, как правило, неосознанно нарушают требования ИБ или действуют без заранее продуманного преступного умысла, например, перекачивая себе «домой» конфиденциальную информацию в расчете на то, что она когда-нибудь им пригодится. Однако в большинстве случаев эта информация в дальнейшем не используется.

Следующая группа актуальных рисков связана с повсеместным распространением новых и прежде всего беспроводных технологий. В частности, мобильные устройства со встроенными системами беспроводного доступа позволяют организовывать несанкционированное информационное взаимодействие, минуя разрешенные каналы связи. Еще одну группу информационных рисков в последнее время вполне осознанно идентифицировали специалисты в области ИБ в связи с недооцененностью роли руководителя службы информационной безопасности [Chief Information Security Officer -- CISO] в компаниях. Действительно, если CISO не входит в состав топ-менеджмента предприятия и таким образом не участвует в стратегическом планировании бизнеса, он не может эффективно управлять информационными рисками, которые значительной частью входят в риски операционные. Это обстоятельство (и такие примеры есть) иногда приводит к серьезным провалам в области планирования и обеспечения ИБ.

Наконец, по-прежнему актуальны традиционные риски, связанные с внешними вторжениями в сеть предприятия. Сюда же относятся различного рода вирусы, трояны и прочее вредоносное ПО, которое может нанести значительный ущерб бизнесу.

Что с вашей точки зрения является основным при формировании бюджета ИБ?

Умение или, точнее сказать, искусство формирования бюджета на обеспечение ИБ – вопрос, выходящий далеко за рамки изучения информационных угроз и оценки соответствующих рисков. Здесь, в частности, требуются навыки, весьма далекие от способности оперировать угрозами и рассчитывать риски. Это скорее вопрос маркетинга, умения продавать такой специфический товар, как обеспечение ИБ.

Каково Ваше отношение к аудиту ИБ со стороны внешних компаний? В каких случаях к нему стоит прибегать, а в каких -- нет.

Внешний аудит вопросов ИБ также важен и нужен, как и внешний финансовый аудит. Крупные аудиторские фирмы уже давно включают компьютерный аудит (являющийся часть аудита вопросов ИБ) в общий аудит, который некоторые организации должны проходить ежегодно.

Существует ли достойная сбалансированная методология, стандарт, которыми компании могли бы руководствоваться для построения своей стратегии в области ИБ?

Существует большое количество международных и национальных стандартов и лучших практик, касающихся обеспечения ИБ. Вот только некоторые наиболее востребованные из них. ГОСТ Р ИСО/МЭК 15408-1÷3-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. ISO/IEC IS 13335-1÷2 Information Technology. Security techniques. Management of information and communications technology security. ISO TR 13569 Banking and related financial services. Information security guidelines ISO/IEC TR 18028-1÷5 Information technology. Security techniques. IT network security. ISO/IEC TR 18044-2004 Information Technology. Security techniques. Information security incident management. ISO/IEC IS 17799-2005 (second edition) (с 2007 года — ISO/IEC IS 27002) Information Technology. Code of practice for information security management. ISO/IEC IS 27001-2005 Information technology. Security techniques. Information security management systems. Requirements. ITU-T Recommendation X.1051 Information security management system. Requirements for telecommunications (ISMS-T). BSI PAS-56 Guide to Business Continuity Management (BCM). COBIT Control Objectives for Information and related Technology, 3rd Edition, July 2000. OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation. CRAMM UK Government’s Risk Analysis and Management Method. Payment Card Industry (PCI) Data Security Standard. Version 1.1. Release: September, 2006.

Для банковской системы РФ разработана группа стандартов и рекомендаций по обеспечению и оценке уровня ИБ, которая, по сути, является единственным в РФ наиболее полным комплектом корпоративного стандарта ИБ: СТАНДАРТ-2006, ЦБ, СТО БР ИББС-1.0-2006. СТАНДАРТ-2007, Аудит ИБ,ЦБ, СТО БР ИББС-1.1-2007. СТАНДАРТ-2007, Методика оценки ИБ,ЦБ, СТО БР ИББС-1.2-2007. РЕКОМЕНДАЦИИ-2007, По документации, ЦБ, СТО БР ИББС-2.0-2007. РЕКОМЕНДАЦИИ-2007, По самооценке, ЦБ, СТО БР ИББС-2.1-2007.

Сам процесс обеспечения ИБ может быть построен с учетом моделей, предложенных в стандарте ITIL с учетом подходов ITSM. Использование на практике приведенных выше документов вполне достаточен для построения (и управления) системы ИБ любого предприятия. Лучших подходов и методик пока не придумало человечество.

Какие наиболее сложные проблемы могут возникнуть у компании в ходе комплексного проекта по обеспечению ИБ?

Основные проблемы -- это, во-первых, квалифицированные кадры, а во-вторых, политическая воля и желание владельцев бизнеса или руководства действительно реализовать требования ИБ. Политическая воля очень важна, иногда она имеет даже решающее значение, так как процессы обеспечения ИБ во многом зависят от того, насколько их понимают и принимают работники, со стороны которых часто идёт довольно сильное противодействие, в том числе и на уровне топ-менеджмента.

Руководитель службы информационной безопасности должен войти в состав высшего руководства предприятия. Вопрос о поднятии статуса CISO до уровня топ-менеджера, участвующего в разработке стратегии компании, в построении новых и в поддержке существующих бизнес-задач, неоднократно поднимался сообществом директоров по ИБ. Без такого статуса невозможно правильно оценивать уже имеющиеся и вновь появляющиеся информационные бизнес-взаимодействия, поддерживать их защиту. Нередки случаи, когда CISO разрабатывает стратегию и тактику защиты ИТ и информации исходя лишь из известных международных и национальных стандартов и лучших практик обеспечения ИТ-безопасности, не учитывая глубинных бизнес-процессов и связанных с ними информационных взаимодействий. Это происходит в том числе и потому, что он практически не участвует в разработке стратегии предприятия и, значит, не знает многих его бизнес-направлений. И уже есть примеры, когда подобные ситуации приводили к серьезным ошибкам в управлении ИБ.

Кто в компаниях «главный друг» департаментов ИБ? С какими службами им стоит наладить отношения?

Департамент ИБ должен сотрудничать со всеми подразделениями предприятия, так как эти вопросы пронизывают все бизнес-процессы и весь персонал. Однако среди прочих равных такое сотрудничество прежде всего должно быть налажено с ИТ-департаментом, со службой безопасности, с юридическим, кадровым и хозяйственным отделами. Наиболее сложные и порой трудные взаимоотношения возникают с ИТ-службой. Это – объективная реальность, вызванная тем, что перед ИТ- и ИБ-департаментами стоят разные задачи. И от того, насколько хорошо налажены контакты между CISO и руководителем ИТ-блока, часто зависит эффективность обеспечения ИБ предприятия.

Не мешает ли общению с другими подразделениями компаний связанная, как правило, с силовыми ведомствами личная история руководителей департаментов ИБ?

Если CISO (не зависимо от его прошлой деятельности) является образованным в современном понимании управленцем, то никаких сложностей в отношениях в другими руководителями не возникает. Здесь нет проблемы. Основная проблема, как я уже говорил, заключается в поддержке высшим руководством предприятия процессов обеспечения ИБ.

Какие важные для вас законы появились в последнее время? Достаточно ли плотно законодатели взаимодействуют с сообществом экспертов в области ИБ?

Законодательные органы власти вместе с «регуляторами» (для банков это ЦБ, для операторов связи – Министерство связи и массовых коммуникаций) в последние годы всерьез взялись за регулирование вопросов в области ИБ. Появились новые редакции законов «Об информации, информационных технологиях и о защите информации», «О связи». Приняты важнейшие законы «О коммерческой тайне» и «О персональных данных», 14-й раздел Трудового кодекса, а также ряд постановлений Правительства РФ и документов «регуляторов» в рассматриваемой области. Это положительное явление, и хочется надеяться, что такое внимание не ослабнет. С другой стороны, не все вопросы в этих и других документах достаточно четко и логично продуманы и реализованы. Приведу примеры.

В главе 14 Трудового кодекса, посвященной вопросам защиты персональных данных сотрудников, указано, что «работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников», и звучит это по меньшей мере странно, так как этими вопросами совершенно очевидно должны заниматься специалисты.

В Постановлении Правительства РФ от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» указано, что «запросы пользователей информационной системы на получение персональных данных… а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений». При более детальном рассмотрении оказалось, что практически ни одна автоматизированная банковская система данному условию не удовлетворяет, и было бы логично при дальнейшей реализации этой функции требовать его выполнения от разработчиков».

Аналогичное пожелание можно отнести и к лицензированию отдельных видов деятельности, связанной с шифровальными средствами (см. Постановление Правительства РФ от 29 декабря 2007 года № 957), ведь совершенно непонятно, зачем нужно банку получать лицензию на распространение системы защиты информации в автоматизированной системе «Клиент -- банк», если её полностью, включая криптографические средства защиты, фактически продает и распространяет специализированная внешняя фирма.

Органы власти и регуляторы плотно сотрудничают с экспертами. Поэтому несмотря на отдельные недоработки качество нормативных актов заметно повысилось. Хотелось бы пожелать нашим законодателям больше использовать опыт других стан. Например, в ряде штатов США действует законодательная норма, в соответствии с которой фирма, владеющая базой персональных данных и допустившая ее частичную или полную утрату, обязана информировать об этом всех персон, которых касаются утраченные данные. Благодаря этому закону мир узнаёт о многих инцидентах, связанных с утратой данных о владельцах банковских карт, о студентах крупных вузов и другой информации.