Регулируемая безопасность
Почему важны стандарты, и какими они бывают
Акт Сарбейнса — Оксли: информационная безопасность и внутренний контроль
Basel II: информационная безопасность как операционный риск
Российский закон «О персональных данных»: хотели как лучше…
«Базовый уровень»: безопасность в телекоме
Стандарт Банка России: дорожная карта для Basel II
Заключение: стандарты рекомендуют идти внутрь
31-летний трейдер Жером Кервьель (Jerome Kerviel) стал в нынешнем году настоящей знаменитостью. Молодой человек, работавший в одном из ведущих банков Франции — Societe Generale, умудрился провернуть самую масштабную аферу в истории человечества. Незаметный клерк, имевший в банке репутацию тихого и скрытного человека, изучил информационные системы Societe Generale, взломал их и… прогорел на торговле фьючерсами. Поскольку при торговле он использовал деньги банка, то именно банк понес колоссальные потери — примерно 5 млрд (!) евро.
Для сравнения: общая прибыль Societe Generale в прошлом году составила всего 600-800 млн евро, что примерно в семь раз меньше, чем ущерб от действий Кервьеля. А в результате последствий ипотечного кризиса в США банк списал около 2 млрд евро. Иными словами, потери от действий одного-единственного сотрудника просто колоссальны. Чтобы возместить нанесенный ущерб, Кервьелю пришлось бы работать в банке еще примерно 4200 лет…
Таким образом, едва ли не крупнейший банк Франции оказался беззащитен перед каким-то трейдером. Почему так получилось? Ограниченность информации об инциденте не позволяет сделать однозначных выводов, однако суть проблемы ясна: скорее всего, Кервьелю удалось получить доступ к данным, к которым он не должен был прикасаться ни при каких обстоятельствах. Это означает, что первопричиной мошенничества стали недоработки банка в области информационной безопасности.
Ключевым в этой истории является тот факт, что трейдер был легальным сотрудником французского банка. Смог бы он провернуть аферу, если бы пытался «взломать» банк снаружи? Вряд ли. Скорее всего, банк давно реализует стратегию по борьбе с хакерами, вирусами и прочим внешним злом, однако перед лицом внутренней опасности он оказался бессилен. Societe Generale похож на глупого культуриста, который накачал мускулы стероидами, а в результате умер от сердечного приступа.
Печально осознавать, что на месте французского банка могла оказаться любая современная фирма. Компании тратят огромные усилия и не меньшие деньги на борьбу с внешними злоумышленниками, забывая о другой стороне проблемы. И, как показывает развитие рынка информационной безопасности, именно внутренняя угроза является сегодня самой актуальной.
Откуда растут ноги у проблемы
Как известно, важнейшим активом любой современной организации является информация. Это аксиома. Но информация полезна только тогда, когда к ней имеется доступ. Это очевидно. А значит, для любой, даже самой секретной информации всегда найдется человек, который сможет с ней что-то сделать, например скопировать, изменить, удалить либо использовать ее в собственных корыстных целях. Подчеркнем, что сотруднику компании значительно проще получить доступ к такой информации, нежели внешнему злоумышленнику. Особенно в том случае, если доступ к ней обеспечивается должностными полномочиями данного сотрудника (табл. 1).
Таблица 1. Кому сейчас легко… получить доступ
к конфиденциальной информации
Доступ получить… |
…внешнему злоумышленнику |
…сотруднику компании |
…сотруднику компании |
…легко |
|
|
Инсайдер |
…трудно |
|
Жером Кервьель |
|
…практически невозможно |
Хакер |
|
|
Как видно из таблицы, Жерому Кервьелю было сравнительно сложно получить доступ к конфиденциальным данным и функциям системы. Он был всего лишь младшим трейдером, а младшие трейдеры, как известно, не могут оперировать миллиардами евро. Чтобы получить желанный доступ, Кервьелю пришлось несколько лет изучать систему информационной безопасности банка и тщательно обдумывать свои действия. Однако и эти ухищрения не помогли мошеннику — разорив банк, он все-таки был обнаружен.
Конечно, такие кервьели очень и очень опасны. Опасны прежде всего своим упорством и неординарностью. Жером Кервьель чем-то похож на американского математика Эндрю Уайлса, который пытался доказать великую теорему Ферма в течение пятнадцати лет и в итоге все-таки сделал это. Но в общей серой массе современного человечества подобных персонажей единицы, и встретить такого человека в реальной жизни очень непросто.
С корпоративной точки зрения, опасность Кервьеля меркнет перед угрозой инсайдеров, то есть сотрудников с легальным доступом к конфиденциальным данным. Инсайдерам не требуется штудировать учебники по информационной безопасности — секретные данные поданы им на блюдечке с голубой каемочкой. И тут начинается корпоративная рулетка. Выпадет красное — инсайдер продаст (как вариант, разболтает) данные конкуренту, черное — он их просто удалит (быть может, случайно). И только если выпадет зеро — секретная информация останется нетронутой.
Чтобы такие утверждения не показались голословными, приведем неоспоримые факты, взятые из исследования американского компьютерного института, традиционно выполняемого по заказу ФБР. Последняя версия этого исследования, опубликованная осенью прошлого года, показала, что впервые за последние семь лет убытки компаний от проблем с информационной безопасностью выросли. Причем выросли с типично внутренними угрозами, связанными с финансовым мошенничеством, потерей конфиденциальных данных и оборудования, а также несанкционированным использованием сетевых ресурсов. Полный список потерь организаций от разнообразных атак приведен на рис. 1.
Рис. 1. Ущерб от различных типов угроз в области ИБ
(источник: «2007 CSI Computer Crime and Security Survey»)
Проблема инсайдеров и утечек не остается без внимания крупнейшних игроков софтверного рынка. Например, корпорация Symantec недавно опубликовала свой ежегодный отчет о тенденциях. Утечки данных, которые в большинстве случаев вызваны инсайдерами, расположились на почетном втором месте, уступив по опасности лишь зомбированным сетям. Словно подтверждая свой отчет, Symantec приобрела в декабре компанию Vontu, которая специализируется на защите от утечек данных. Причем не просто приобрела — она выложила за недавний стартап 350 млн долл. Между прочим, эта цифра сравнима с годовыми бюджетами некоторых российских областей.
Впрочем, очередная покупка Symantec вряд ли коснется наших читателей, поскольку неизвестно, когда решения Symantec-Vontu появятся в нашей стране. И на что они будут похожи, тоже совершенно непонятно. Но отечественным компаниям надо бороться с инсайдерами уже сегодня. В противном случае в московских переходах так и будут продаваться базы сотовых операторов, а сайт http://spynet.ru/pasport превратится из безобидной шутки в серьезную угрозу национальной безопасности.
Говорить об особенностях конкретных решений для защиты от инсайдерских угроз пока преждевременно. Дело в том, что в современной России таких решений очень мало (всего три: InfoWatch, Perimetrix и WebSense) и начали они внедряться сравнительно недавно. Выше мы показали, что современные компании действительно испытывают потребность в подобного рода решениях. Однако едва ли не большее влияние на рынок оказывают другие факторы — те, что связаны с нормативным и государственным регулированием, а также с разного рода стандартами. Именно об этих факторах и пойдет речь далее.
Почему важны стандарты, и какими они бывают
Стандартов и нормативных актов в области ИБ очень много, и описывать все их, во-первых, нереально, а во-вторых, нецелесообразно. Мы рассмотрим только те стандарты и нормативные акты, которые касаются внутренней стороны ИБ. Фактически каждый из них является одним из драйверов рынка ИБ в целом.
Регулирование и стандартизация — это глобальные тренды всей мировой экономики. Известная консалтинговая фирма Ernst&Young недавно провела исследование, призванное оценить глобальные риски, с которыми сталкиваются современные компании всех отраслей, и оказалось, что именно риски, связанные с регулированием, стоят на первом месте. На диаграмме типа «радар» (рис. 2) размещены самые опасные глобальные риски, по оценке Ernst&Young.
Рис. 2. Самые опасные глобальные риски
(источник: Ernst&Young «Strategic Business Risks 2008»)
Любопытно, что нормативно-регуляторые риски оказались значительно опаснее глобальных финансовых проблем (читай — ипотечного кризиса в США), развивающихся рынков (читай — Китая и прочих стран Юго-Восточной Азии) и даже угрозы мирового терроризма, которая вообще не попала в десятку наиболее опасных рисков. Эксперты Ernst&Young полагают, что регуляторные риски особенно заметно проявляются в таких отраслях, как финансы и телеком, — именно эти отрасли являются главными потребителями ИТ-решений в целом и ИБ-систем в частности. В исследовании Ernst&Young приводится мнение неизвестного банковского аналитика: «Банки ожидают возникновения значительных проблем, связанных с управлением мириадом зачастую противоречивых требований, стоимость которых действительно огромна». В случае с транснациональными корпорациями проблема осложняется еще и тем, что в каждой стране существуют собственные нормативные акты, обладающие конкретными особенностями.
А теперь вернемся к информационной безопасности. Нормативов в этой сфере довольно много, и все они сильно отличаются друг от друга. Некоторые стандарты описывают технические требования к построению защищенных систем, другие действуют, скорее, на концептуальном уровне. Существует еще и третий тип стандартов, относящихся к ИБ лишь косвенно, но от этого их влияние ничуть не уменьшается. Именно с таких стандартов мы и начнем свое описание.
Акт Сарбейнса — Оксли: информационная безопасность и внутренний контроль
Нашумевший акт Сарбейнса — Оксли (SOX), принятый в 2002 году, выдвигает требования для фирм, представленных на американских фондовых биржах. Учитывая вполне позитивное стремление российских компаний выйти на IPO, требования SOX выглядят весьма актуальными и в нашей стране.
Взаимосвязь между актом SOX и инофрмационной безопасностью неочевидна и требует дополнительных разъяснений. Напомним, что основная задача акта — обеспечить точность и целостность информации о финансовой отчетности публичных компаний. Поскольку в абсолютном большинстве случаев эта информация собирается с помощью автоматизированных систем, SOX автоматически выдвигает требования к их защищенности. В противном случае говорить о целостности и тем более точности каких-либо данных абсолютно невозможно.
Самая «страшная» секция закона SOX получила культовый номер 404, который до выхода акта ассоциировался исключительно с интернет-страницами. В этой секции описывается ответственность руководства компании за установление «внутреннего контроля над ведением финансовой отчетности». В рамках этой ответственности руководство компании обязано «обеспечить разумные гарантии предотвращения или своевременного обнаружения случаев несанкционированного приобретения, использования или перемещения активов зарегистрированного лица, которые могут существенно повлиять на финансовую отчетность». А поскольку в категорию «активы» входит вся конфиденциальная информация компании, руководство обязано обеспечить ее сохранность.
Понятно, что акт Сарбейнса — Оксли не опускается до каких-либо частностей в области информационной безопасности. Однако его требования к защите данных весьма основательны, что приводит к необходимости внедрять серьезные сертифицированные решения. В противном случае компания не сумеет доказать точность и целостность корпоративной отчетности, поскольку будет беззащитна перед случайными действиями инсайдеров.
Акт Сарбейнса — Оксли также содержит ряд других статей, влияющих на информационную безопасность. Краткий список этих статей приведен в табл. 2.
Таблица 2. Статьи акта SOX, влияющие на информационную
безопасность
Номер секции и ее описание |
Требования |
803: архивирование корпоративной информации (прежде всего электронной почты) и хранение ее в течение минимум 7 лет |
Секция 803 обязывает публичные компании собирать и хранить всю корпоративную корреспонденцию в течение длительного времени. Кроме того, почта в архиве должна быть гарантированно подлинной, а сам архив должен поддерживать аналитические механизмы. Задача внедрения централизованного архива сама по себе весьма трудоемка (особенно в случае распределенной структуры предприятия), а ведь в акте SOX имеется и ряд других требований |
404: механизмы внутреннего контроля, препятствующие корпоративному мошенничеству, ведущие учет всех операций с чувствительной документацией и защищающие информационные активы от нецелевого использования и неавторизованного разглашения |
Как мы уже отмечали, этот параграф обязывает компанию внедрять систему, которая контролировала бы весь жизненный цикл конфиденциальных данных. Все операции с такими данными должны протоколироваться автоматически, а создаваемые журналы — быть доступны для внешнего аудита |
302: личная ответственность руководства за правдивость финансовых отчетов, эффективность процедур внутреннего контроля и совместимость |
Этот параграф является одним из основополагающих требований SOX. Если руководство компании не выполнит требования секций 404 и 803 (в частности), то ему грозят длительные тюремные сроки. Таким образом, не позаботившиеся об информационной безопасности менеджеры рискуют не только деньгами компании-работодателя, но и собственной свободой и безбедной старостью. А это является очень серьезным стимулом к внедрению соответствующих систем. На Западе подобные требования называют market drivers |
Мнение Евгения Преображенского, генерального директора компании Perimetrix:
«После того как акт Сарбейнса — Оксли был введен в действие, аналитики заговорили о его чрезмерной жестокости по отношению к топ-менеджменту. Этот норматив действительно налагает весьма жесткие и формализованные требования, однако практика показывает, что большинство из них вполне оправданны. По крайней мере, после ратификации стандарта в Америке не произошло ни одного скандала, масштаб которого был бы сравним со знаменитым “делом Enron”.
Влияние SOX на информационную безопасность кажется мне, с одной стороны, существенным, а с другой — весьма позитивным. Американские специалисты по информационной безопасности придерживаются подобного мнения и высказывают его в различных исследованиях. В частности, положительное влияние SOX на область информационной безопасности отлично раскрывается в рамках того же исследования CSI Computer Crime and Security Survey».
Basel II: информационная безопасность как операционный риск
Как и акт Сарбейнса — Оксли, второе Базельское соглашение (Basel II) является глобальным документом, действующим на территории Евросоюза, США и ряда других стран. Под действие Basel II уже попали финансово-кредитные организации этих стран, а также все банки, действующие на соответствующей территории. Россия пока не присоединялась к соглашению, однако это обязательно произойдет в ближайшем будущем (скорее всего, в следующем году).
Продолжая параллели с актом Сарбейнса — Оксли, отметим, что документ Basel II лишь косвенно затрагивает проблемы ИБ. Основная задача документа — выработать унифицированный подход к управлению различными типами рисков в финансовых организациях. Соглашение заставляет компании резервировать капитал под различные типы рисков. В отличие от предыдущего стандарта (Basel I), в Basel II появился новый тип рисков — операционные, которые и влияют на сферу информационной безопасности.
Согласно определению, принятому в Basel II, операционным риском считаются «прямые или косвенные убытки вследствие неадекватных или неудовлетворительных внутренних процессов, действий персонала и систем либо внешних событий». Понятно, что проблемы с информационной безопасностью попадают в эту категорию, причем авторы стандарта фактически делают акцент именно на внутренних угрозах. Кроме того, особое внимание в Basel II уделяется репутационным рискам, что является прямым следствием любой утечки информации.
Интересно, что, в отличие от SOX, норматив Basel II не заставляет организации внедрять системы защиты и тем более не старается отправить менеджеров за решетку. Документ предоставляет организации выбор: либо живите без защиты и резервируйте риски, либо серьезно займитесь проблемами безопасности. Однако резервировать риски ИБ на практике слишком дорого и абсолютно нереально. Мы помним, какую цену заплатила за свою халатность Societe Generale, однако всё говорит о том, что могло сложиться и хуже.
Как указывают эксперты Perimetrix, российским банкам необходимо задуматься о Basel II уже сейчас, поскольку обеспечить совместимость со стандартом очень трудно. Эту задачу не получится решить с наскока — в большинстве случаев банкам придется учиться использовать риск-ориентированный подход. Чтобы обеспечить совместимость, крупному банку потребуются серьезные инвестиции и длительное время.
Требования, которые выдвигает Basel II в области информационной безопасности, — это один из кирпичиков, из которых строится управление полностью совместимого со стандартом банка. И чем раньше организация реализует требуемые меры в области ИБ, тем проще ей будет обеспечить совместимость с остальными рекомендациями Basel II.
Российский закон «О персональных данных»: хотели как лучше…
Ранее мы рассматривали нормативы, ориентированные на специфический сегмент компаний. В случае SOX такими компаниями были игроки американских фондовых рынков, а в случае Basel II — финансово-кредитные организации крупнейших мировых держав. Вместе с тем существует ряд других документов, описывающих общие принципы работы с приватной информацией в любой современной компании. Как правило, такие документы действуют на территории отдельной страны или содружества государств (например, Евросоюза).
Российский федеральный закон «О персональных данных» является отличным примером норматива, который преследовал благую цель, однако на практике оказался бесполезным. Казалось бы, в документе четко прописаны некие формальные правила, призванные обеспечивать безопасность конфиденциальных данных. Основные положения закона приведены в табл. 3.
Таблица 3. Основные требования ФЗ «О персональных данных»
Положение документа |
Требования |
Статья 5, ч. 2. Хранение и уничтожение приватных данных |
Закон обязывает организации хранить приватные данные не дольше, чем требуют цели их обработки, а после того, как эти цели достигнуты, — немедленно удалять их |
Статья 6, ч. 4. Аутсорсинг приватных сведений |
ФЗ «О персональных данных» рассматривает случай, когда обработка приватных данных одной компании передается на аутсорсинг другой. В?этом случае аутсорсер обязан обеспечить конфиденциальность данных и безопасность при их обработке |
Статья 19, ч. 1. Меры для обеспечения защиты персональных данных |
Ключевая статья закона, в которой формально описываются меры, которые обязаны применять организации. В частности, оператор приватных данных должен «принимать необходимые организационные и технические меры… использовать шифровальные (криптографические) средства для защиты персональных данных» от целого ряда угроз, таких как изменение, уничтожение, блокирование или несанкционированный доступ к данным |
Нетрудно заметить, что закон определяет самые общие требования для защиты персональных данных. Однако понять на практике, какие организационно-технические меры являются необходимыми, довольно трудно. Согласно букве закона (ч. 3. ст. 19) контроль над выполнением этих требований осуществляется двумя федеральными органами с длинными описаниями. Чтобы не перегружать ими статью, скажем лишь, что этими органами являются ФСБ и ФСТЭК, которые и так имеют массу полномочий, кроме слежки за конфиденциальными данными. К тому же для эффективного контроля над выполнением закона Правительство РФ обязано было разработать более подробные требования к защите персональных данных (ч. 2. ст. 19), однако почему-то не разработало.
В итоге получается, что закон выдвигает некие требования, но никто не может понять, какие именно. К тому же совершенно непонятно, каким образом осуществляется контроль над выполнением даже таких требований закона (все-таки он вступил в силу уже более года назад). Есть подозрение, что никакого контроля не производится, а значит — на практике ФЗ не работает, оставаясь при этом весьма удобным инструментом для получения взяток чиновниками. Хотели как лучше, а получилось как всегда…
Мнение Ольги Маркиной, менеджера по развитию бизнеса компании Kerio:
«Несмотря на все проблемы закона, подобный документ был необходим России, как воздух. Не ошибается только тот, кто ничего не делает, и сам факт принятия ФЗ “О персональных данных” говорит о том, что правительство осознает проблему и старается найти пути ее решения. Мне кажется, что федеральный закон можно рассматривать как первый шаг в построении законодательной базы в области защиты персональных данных.
В истории с ФЗ “О персональных данных” имеется еще один крайне важный момент. Дело в том, что закон может заработать только в том случае, когда в России появится правоприменительная практика по отношению к компаниям, обрабатывающим приватные данные без применения необходимых мер защиты. Для появления и развития такой практики требуются годы, а главное — грамотные специалисты. Сложившаяся ситуация напоминает положение на рынке пиратского ПО — все знают, что едва ли не на каждом компьютере такое ПО имеется, однако у органов не хватит людей, чтобы завести дела на всех пиратов».
«Базовый уровень»: безопасность в телекоме
Любая компания, обрабатывающая конфиденциальные данные людей, определяется в ФЗ «О персональных данных» как «оператор». Выбор именно такого определения весьма интересен, поскольку именно операторы связи (то есть телекоммуникационные компании) являются едва ли не главными операторами персональных данных. Прямо-таки совпадение «по Фрейду» получается…
В этом свете совершенно логичным выглядит существование специального стандарта по безопасности данных для телекоммуникационных компаний. С концептуальной точки зрения такой стандарт должен отражать специфику отрасли, а значит, оперировать более узкими понятиями, нежели общий закон «О персональных данных». В России роль телеком-стандарта по безопасности играет документ «Базовый уровень информационной безопасности операторов связи», который до сих пор носит рекомендательный характер. Однако, несмотря на необязательность, «Базовый уровень» влияет на индустрию даже больше, чем закон о персональных данных.
В начале документа содержится общая информация и глобальные рекомендации. Авторы норматива вполне резонно рекомендуют операторам иметь собственную политику в области ИБ, причем эта политика должна быть эффективной и согласованной с внутренними процедурами компании. Казалось бы, это требование вполне очевидно, однако на практике существует масса операторов, которые подходят к проблемам безопасности абсолютно бессистемно.
Наибольший интерес в рамках данной статьи составляют положения «Базового уровня» с индексами 3.16-3.18. Пункт 3.16 рекомендует оператору «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». Другими словами, этот пункт фактически повторяет положения ФЗ «О персональных данных».
А вот уже в следующих пунктах (3.17-3.18) имеется некая техническая конкретика, которой закон «О персональных данных» старательно избегает. В этих разделах, в частности, указано, что компания должна регистрировать все события ИБ и хранить информацию о них как минимум три года (срок исковой давности). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». То есть подвешивать аналитические средства над журналами событий ИБ.
Финальным аккордом «Базового уровня» является раздел 4.4, в котором четко указано, что «оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, практика скорейшего оповещения пострадавших в результате утечки наконец-то добралась до России, хоть и в несколько усеченном (рекомендательно-телекомовском) варианте. И это, безусловно, не может не радовать.
По мнению аналитического центра Perimetrix, формально положения «Базового уровня» являются всего лишь рекомендациями для российских операторов. Однако на практике они могут носить и обязательный характер. Дело в том, что любая телеком-компания чрезвычайно зависит от регуляторов и разного рода лицензий, а значит, совместимость со стандартом может стать обязательным требованием для их выдачи. Сегодня «Базовый уровень» является одним из бесспорных драйверов рынка информационной безопасности в телекоме, а в будущем документ будет влиять на отрасль еще сильнее. Очевидно, операторы хранят просто гигантские объемы персональных данных, которые необходимо тщательно защищать.
Стандарт Банка России: дорожная карта для Basel II
Неким аналогом «Базового уровня» для российской финансовой сферы является стандарт СТО БР ИББС-1.0-2006, принятый Банком России в конце января позапрошлого года. Как и «Базовый уровень», стандарт Банка России является рекомендательным документом, который в некоторых случаях становится обязательным. Для активного продвижения стандарта была создана специальная ассоциация (ABISS), объединяющая крупнейшие финансовые институты России, составителей стандарта и регуляторов.
Суть стандарта Банка России формулируется в пятой главе, где явно указывается, что «наибольшими возможностями для нанесения ущерба [организации]… обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Такой вот привет Жерому Кервьелю от российских регуляторов…
Для защиты банка от собственных сотрудников стандарт предлагает использовать эффективную политику ИТ-безопасности. В восьмой главе документа раскрываются основные черты этой политики, связанные с принципами антивирусной защиты, доступом в глобальную сеть, разделением ролей и т.д. Другими словами, в стандарте содержатся конкретные рекомендации для создания действительно защищенной ИТ-инфраструктуры. Некоторые аналитики полагают, что выполнение большинства рекомендаций стандарта приблизит банк к совместимости с другим нормативным документом, о котором мы говорили выше, — Basel II. А поскольку положения стандарта ЦБ носят вполне конкретный характер, их можно рассматривать как «дорожную карту» реализации требований Basel II. По крайней мере в области защищенной ИТ-инфраструктуры.
Среди остальных положений стандарта выделим п. 8.2.6.4, который утверждает, что «электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен». Нечто похожее мы уже видели в параграфе 803 акта Сарбейнса — Оксли. Подобные заимствования являются отличительной чертой стандарта — при внимательном прочтении видна взаимосвязь не только с Basel II и SOX, но и с другими нормативными документами (ISO 17799, 13335, методологии OCTAVE и CRAMM), которые остались за пределами данной статьи. Наверное, это хорошо, что российские составители стандарта ознакомились с лучшими мировыми практиками и взяли из них самое необходимое.
По мнению экспертов компании Perimetrix, появление стандарта Банка России позволило унифицировать развитие информационной безопасности в российских финансовых структурах. Если раньше оно носило стихийный характер, зависящий от мнения конкретных персоналий и других субъективных факторов, то теперь все банки реализуют более-менее схожие инструменты защиты, а значит, повышают защищенность всей кредитно-финансовой системы в целом.
С точки зрения поставщиков решений, введение стандарта еще более важно, поскольку он является весьма весомым аргументом в ходе переговоров с потенциальными заказчиками. Таким образом, стандарт ЦБ стимулирует развитие пока еще молодого рынка ИБ в финансовой сфере, что тоже очень неплохо. Приняв стандарт, Россия сделала важный шаг в сторону цивилизованного регулирования, которое развито во многих западных странах.
Чем плох закон «О персональных данных» Наверное, у ряда читателей может возникнуть резонный вопрос: чем же все-таки плох закон «О персональных данных»?. Казалось бы, большинство положений закона похожи на рекомендации "Базового уровня" или стандарта ЦБ РФ, однако если последние документы работают, то федеральный закон до сих пор существует лишь на бумаге. На наш взгляд, причина его провала весьма проста?- она вытекает из концептуальных отличий закона от стандарта. Любой закон использует схему, похожую на презумпцию невиновности: ты соответствуешь положениям закона до тех пор, пока контролирующий орган не доказал обратного. А?стандарт действует прямо противоположно: ты не соответствуешь его положениям, пока не пройдешь обязательную сертификацию. Как правило, такая сертификация платная, что приводит к появлению компаний, которые на ней специализируются. В результате появляются организации, желающие, чтобы их сертифицировали, и компании, жаждущие эту сертификацию произвести. ФЗ «О персональных данных», к сожалению, не нужен никому. Проверка на совместимость с законом не принесет организации ничего, кроме дополнительной головной боли, а ответственный за эту проверку регулятор никогда не сможет проконтролировать все организации. И как выйти из этого замкнутого круга?- до сих пор непонятно. |
Заключение: стандарты рекомендуют идти внутрь
Конечно же, список приведенных в этой статье стандартов далеко не исчерпывающий. Однако на его основе можно судить о тенденциях, наблюдаемых в современной отрасли информационной безопасности. Легко заметить, что абсолютно все документы направлены на защиту конфиденциальных данных от разного рода действий, которые могут совершить над ними злоумышленники. А тот факт, что наиболее широкие возможности такого рода деятельности имеют сами сотрудники компании, очевиден даже школьнику старших классов. Если же для он вас не столь бесспорен — обращайтесь к табл. 1.
Основной идеей всех стандартов является положение о том, что большинство проблем ИБ лежит внутри компании, а не за ее пределами. Некоторые документы (например, стандарт ЦБ) указывают на это явно, другие говорят об этом косвенно. Однако сама постановка вопроса уже не может вызывать никаких дискуссий.
Забудьте о вирусах, хакерах и зомбированных сетях. Эти угрозы, конечно, существуют, однако их сравнительно немного. Подумайте о собственных сотрудниках: их больше, и каждый из них несет серьезную угрозу для безопасности вашей компании.