Соответствие требованиям и стандартам ИБ в Беларуси

Кто такие регуляторы и почему так важно соответствовать их требованиям в сфере ИТ-безопасности? Специалист по информационной безопасности компании Softline Дмитрий Сугако рассказал, каким требованиям должны следовать белорусские компании и какие иллюзии у них существуют на этот счет.

— Дмитрий, кто такие регуляторы и почему так важно соответствовать их требованиям в сфере ИТ-безопасности?

— Регулятором является государственный орган, который контролирует деятельность по обеспечению защиты информации от утечки и несанкционированных действий. Речь идет о данных, составляющих государственную тайну, или сведениях, охраняемых в соответствии с законодательством. У нас в стране функцию регулятора выполняет оперативно-аналитический центр при президенте Республики Беларусь (ОАЦ).

Если взглянуть на предъявляемые требования, то они вполне логичны. Для обеспечения защиты вышеупомянутой информации важно обеспечить выполнение ряда правовых, организационных и технических мер. Это касается и защиты персональных данных.

— Как сейчас обстоят дела с выполнением требований? Какие иллюзии существуют у компаний на этот счет?

— Ситуация не самая лучшая, но процесс идет. В некоторых компаниях система защиты уже построена и даже настроена максимально приближенно к требованиям, но используется несертифицированное оборудование, ПО и т.д. В других – не отражены требования к настройке в локальных нормативно-правовых актах организации.

Многие ИБ-специалисты и руководители считают, что соблюдение требований – это формальность, а основная защита заключается в использовании программно-аппаратных решений. На самом деле регламентирующие документы важны для создания действительно надежной системы информационной безопасности. К примеру, если злоумышленник получит конфиденциальные данные через сотрудника компании, то в этом случае программное решение не сработает.

Чтобы качественно защитить корпоративный периметр, нужен комплексный подход, который подразумевает использование не только программных средств защиты, но и разработку документов по информационной безопасности и совершенствование ЛНПА организации. Процесс этот не одного дня, месяца и даже года.

— ​Что такое комплексные системы защиты? Какую защиту они обеспечивают? Почему и за счет чего окупаются существенные расходы на закупку таких систем?

— Главная задача комплексного подхода – оптимизация всей системы в совокупности, а не улучшение отдельных ее частей. Комплексные системы включают целый ряд средств, направленных на защиту информации от различного рода атак (вирусных, хакерских и т.д.), обеспечение сохранности данных при физической утрате и поломках информационных носителей, создание безопасного доступа к хранимым ресурсам, восстановление информационной системы в случае повреждений.

Надо понимать, что система защиты – это не только совокупность программных средств, но и разработанные, внедренные локальные нормативно-правовые акты организации. Стоимость таких систем не должна превышать стоимости той информации, которая обрабатывается в инфраструктуре компании.

Одним из компонентов комплексного подхода является поддержание здорового климата в коллективе. Довольный сотрудник с меньшей долей вероятности сознательно нанесет ущерб компании, в которой он трудится. На безопасность влияет и осведомленность сотрудников организации о популярных методах атак. Даже если у специалиста нет намерений совершить что-либо во вред, в силу своей неосведомленности он легко может попасть на удочку злоумышленников. Работа с коллективом является одним из важных аспектов комплексного обеспечения информационной безопасности организации.

— Как оценить вероятные потери?

— Потери будут в большей степени финансовые – от попадания информации не в те руки. Результатом может стать, к примеру, проигранный конкурс на поставку какого-либо продукта или банальный шантаж собственника информации. Злоумышленники могут продать информацию заинтересованным лицам, конкурентам.

Другой вариант – вывод из строя оборудования информационной системы, что влечет за собой простои в работе. Но угрозу представляют не только люди (свои или чужие), но также и природные явления, технологические факторы (сбои в электропитании, охлаждении и т.д.).

Существует два основных метода оценки рисков: количественный и качественный. Невозможно однозначно сказать, какой из двух методов лучше. У каждого из них есть как достоинства, так и недостатки.

Количественный метод заключается в том, чтобы представить в денежном эквиваленте вероятные потери от реализации угроз. Звучит несложно! Неправда ли? Но для такого подсчета нам необходимо: оценить актив, определить процент ущерба, который может быть причинен активу в результате реализации угрозы. И это еще не все. Имея вышеназванные входные данные, мы можем оценить ущерб от одиночной атаки, но атаки могут совершаться неоднократно. На основании статистики компании, если такая имеется, или же мировой статистики, можем предположить, что реализация данной угрозы происходит пять раз в год. После этого умножаем значение единичной потери на количество предполагаемых ее реализаций и в результате имеем значение вероятных потерь в год.

Качественный метод заключается в формировании экспертной группы из компетентных специалистов, которые создают матрицу с указанием вероятности реализации риска (например, крайне вероятно, вероятно, маловероятно и т.д.) и ущерба, который он наносит (например, низкий, средний, высокий, крайне высокий). Затем матрица заполняется экспертами, используя метод «мозгового штурма», или любым другим способом. На следующем этапе создается другая матрица, в которой отражаются решения, направленные на минимизацию возможности реализации рисков. Напротив каждого из решений проставляются соответствующие баллы. По результатам заполнения матрица анализируется и выбирается оптимальное решение.

— Как видим, методы весьма относительны. Но как тогда быть?

— Есть ряд международных стандартов, касающихся защиты информации. Например, ISO/IEC 27001 (ISO 27001), в котором собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента ИБ для демонстрации способности организации защищать свои информационные ресурсы. Этот стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности.

— Это международные стандарты. А действуют ли они у нас? Каким требованиям должны следовать белорусские компании?

— Да, они действует и у нас. Следовать международным стандартам должны все компании, имеющие международные связи (требование со стороны заказчика, иностранного предприятия).

Кроме того, в нашем локальном законодательстве есть ряд своих уточняющих документов, регламентирующих требования к системам защиты. Например, приказ ОАЦ №62. Для выполнения требований данного приказа существует группа стандартов СТБ 34 серии (требования к документации, средствам защиты, алгоритмам шифрования и т.д.).

Если говорить об информационной безопасности в целом, то такими регламентирующими документами будут выступать Конституция Республики Беларусь, концепция информационной безопасности РБ, закон об информации, информатизации и защите информации, а также другие законы Республики Беларусь, которые косвенно задают общий вектор направления информационной безопасности.

— Какие существуют стратегии работы с рисками?

— Существует четыре основных стратегии при работе с рисками: принятие, снижение, перенаправление, отказ от риска. Перенаправление (страхование активов) и принятие (то есть, смириться с фактом риска и его последствиями) не пользуются особой популярностью у нас в стране. Политика регулятора заключается либо в минимизации рисков с помощью сертифицированных решений, либо в отказе от риска, то есть ликвидации источника угрозы.

Чтобы понимать, какие требования должна выполнять та или иная компания, она должна определить класс своей системы (механизм описан в СТБ 34.101.30), а потом найти в приказе №62 соответствующие требования к ней.

— Как проверяется выполнение требований? Существуют ли штрафы за несоответствие?

— Для того чтобы официально подтвердить факт выполнения требований, необходимо пройти аттестацию системы защиты. Аттестат должен быть у всех компаний, обрабатывающих информацию, распространение которой ограничено. В противном случае это будет считаться нарушением законодательства. Аттестат – документ, который выдается на пять лет и подтверждает, что система ИБ способна защищать свои информационные ресурсы, то есть соответствует требованиям ОАЦ. Кроме того, наличие аттестата требуется при организации взаимодействия с другими аттестованными информационными системами. Провести аттестацию могут только компании, которые имеют на это разрешение (лицензию ОАЦ).

Для подтверждения соответствия требованиям ISO 27001 необходимо отдельно пройти аудиторскую проверку. На практике ваше обеспечение ИБ может соответствовать всем требованиям ISO, но это не означает, что ваша компания соответствует требованиям ОАЦ и наоборот, хотя во многом требования дублируются.

По поводу штрафов. При несоответствии требованиям регулятор дает предупреждение и предписание об устранении недостатков в определенные сроки. Невыполнение условий грозит вплоть до приостановки деятельности организации.

— Соответствие требованиям гарантирует компании высокий уровень защищенности?

— Наличие аттестата косвенно говорит о степени защищенности. Документ показывает, что система защиты отвечает требованиям регулятора. На общий уровень защищенности компании влияет совокупность факторов: уровень системы защиты (программно-аппаратный комплекс, лицензионное и сертифицированное ПО), работа с персоналом, аттестация и многое другое. Идеальной безопасности не существует, но использование различных инструментов в комплексе позволяет добиться максимального уровня ИБ.

— С чего же начать выполнение необходимых требований?

— Чтобы поддерживать соответствие системы информационной безопасности соответствующим стандартам и требованиям, необходимо регулярно проводить аудит. Сегодня это наиболее эффективный способ получения независимой оценки уровня защищенности компании.

Аудит позволяет собрать необходимую информацию о событиях с критической степенью риска; о подозрительных сайтах и приложениях, из-за которых возникают угрозы безопасности; о компьютерах в локальной сети, которые уже стали жертвой вирусной атаки. Кроме того, после проведения аудита заказчикам предоставляются рекомендации по совершенствованию системы защиты и отдельное описание мер по ликвидации обнаруженных проблем.

Версия для печатиВерсия для печати
  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 5
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Про догадки с гонораром - сильно, но хоть бы предложил кто). Это блог компании, в которой я тружусь. Мое мнение о сертификации Савелий правильно понял. Есть к чему стремиться. Ни в коем случае никого склонять к проведению сертификации или же ее не проведению не буду. Дело лично каждого, НО разговор о позиции ОАЦ (не мое личное мнение). Майк, с Вашей позицией я знаком (не Вы один такой), поэтому давать оценку Вашей позиции со своей "колокольни" - глупо. Делать этого я и не собирался т.к. все мы имеем разные входные данные (исходя из опыта личного), как следствие - разные выходные. Приятно читать, что сама процедура сертификации вызывает много вопросов ни у одного меня. 

 

Ни в коем случае никого склонять к проведению сертификации или же ее не проведению не буду.

:) Вы же понимаете, что ряд продуктов без сертификации просто не нужен.

Аватар пользователя mike

>>Я никого не склоняю...

Любую инфу ОАЦ может объявить закрытой. И запретить продавать продукт. Пока не заплатишь за сертификацию.

Любой пожарник найдёт за что оштрафовать. Не припомню случая, чтобы инспектор Энергонадзора при очередной проверке не нашёл нарушений.

Это Беларусь, друзья. :)

А что я утверждал, мол, сертификация СОВСЕМ не нужна, ты, Савелий, сдаётся мне, выдумал.

:)

Во комметы попёрли -- премию автору!

Эдуард пишет:

Ни в коем случае никого склонять к проведению сертификации или же ее не проведению не буду.

:) Вы же понимаете, что ряд продуктов без сертификации просто не нужен.

Я уже говорил о том, что требования регулятора - требования регулятора. Говорить о том, что нужно, а что нет - их компетенция. Исходя из требований,  все средства защиты информации, используемые в системах обрабатывающих данные ограниченного распространения должны быть сертифицированы.
Написал о том, что дело лично каждого потому, что есть "закон", а его выполнение или же нет... Зная о последствиях, каждый волен решать сам как действовать.  Это как с ПДД, можно осознанно нарушать тысячу раз, но на тысяча первый раз словят и составят протокол. 
 

mike пишет:

>>Я никого не склоняю...

Любую инфу ОАЦ может объявить закрытой. И запретить продавать продукт. Пока не заплатишь за сертификацию.

Любой пожарник найдёт за что оштрафовать. Не припомню случая, чтобы инспектор Энергонадзора при очередной проверке не нашёл нарушений.

Это Беларусь, друзья. :)

А что я утверждал, мол, сертификация СОВСЕМ не нужна, ты, Савелий, сдаётся мне, выдумал.

:)

Во комметы попёрли -- премию автору!

На самом деле есть определенный механизм отнесения информационной системы к классу типовых. СТБ 34.101.30 там есть и системы с открытой информацией, а к ним требования в приказе №62 не предъявлены. Сегодня ОАЦ не может совершенно любую информацию сделать закрытой. Основная проблема в том, что, на сегодняшний день, однозначно классифицировать информацию сложно, правовая база не готова. Вот и получается, что требования соблюдать необходимо, а почему именно в таком объеме - вопрос открыт. Я же говорил: к самому механизму и у меня есть вопросы. Но механизм есть какой есть и он меняется. Да и не только в Беларуси такая ситуация.  

Аватар пользователя mike

Дмитрий, вы софт на продажу писали? (Эдак неск. десятков тыс. строк.)

mike пишет:

Дмитрий, вы софт на продажу писали? (Эдак неск. десятков тыс. строк.)

Не писал, но касался (частично) сертификационных испытаний Астралинукс у нас в стране.  Плюс ПАК криптографический отдавали на сертификацию (я не программист, но общался с ними достаточно плотно в эти моменты). Ощутить всю боль разработчика я не могу, это естественно (говорил про разные входные данные у нас). Как и Вы, возможно, не можете ощутить все мои негодования по поводу аттестаций систем. Мы можем с Вами поговорить, если это кому-то нужно, о проблемах, но к сожалению они никуда не уйдут. Законы, приказы, постановления и т.д. от этого не изменятся. Возможно, если каждый, кто касается вопросов сертификации СЗИ и аттестаций систем, будет писать письма в ОАЦ с просьбой разъяснить те или иные моменты что-то изменится, но никто не пишет, насколько мне известно. Но чувство, что все равно не станет так, как хотели бы разработчики(дело, наверное, не только в деньгах. Хотелось бы верить, что этот фактор приятный бонус в бюджет при достижении основной цели).  
 

Аватар пользователя mike

Дмитрий Сугако пишет:

mike пишет:

Дмитрий, вы софт на продажу писали? (Эдак неск. десятков тыс. строк.)

Не писал

Значит, нам не о чем с вами говорить.

Аватар пользователя mike

Ощутить всю боль разработчика я не могу

Естественно. Чиновник, по жизни не выдавший ни одного программного продукта, девелопера никогда не поймёт.

Ибо в любой сложной системе будут ошибки и просто недоработки.  Для их исправления служат ОБНОВЛЕНИЯ. Фишка в том, обновлённая система требует пересертификации. Во всяком случае  таковы правила. И снова ПЛАТИ! Если частник. Госразработчику, писавшему  уродство вроде "эдекларейшн", сходит с рук. Клондайк, млять.

А с "астралинукс" -- смешно. У нас в РБ везде в употреблении Windows. :)

 

Аватар пользователя savely

> А что я утверждал, мол, сертификация СОВСЕМ не нужна, ты, Савелий, сдаётся мне, выдумал.

Хорошо. Ты хочешь, чтобы она была бесплатной? Теперь я правильно понял? 

Страницы