Соответствие требованиям и стандартам ИБ в Беларуси

Кто такие регуляторы и почему так важно соответствовать их требованиям в сфере ИТ-безопасности? Специалист по информационной безопасности компании Softline Дмитрий Сугако рассказал, каким требованиям должны следовать белорусские компании и какие иллюзии у них существуют на этот счет.

— Дмитрий, кто такие регуляторы и почему так важно соответствовать их требованиям в сфере ИТ-безопасности?

— Регулятором является государственный орган, который контролирует деятельность по обеспечению защиты информации от утечки и несанкционированных действий. Речь идет о данных, составляющих государственную тайну, или сведениях, охраняемых в соответствии с законодательством. У нас в стране функцию регулятора выполняет оперативно-аналитический центр при президенте Республики Беларусь (ОАЦ).

Если взглянуть на предъявляемые требования, то они вполне логичны. Для обеспечения защиты вышеупомянутой информации важно обеспечить выполнение ряда правовых, организационных и технических мер. Это касается и защиты персональных данных.

— Как сейчас обстоят дела с выполнением требований? Какие иллюзии существуют у компаний на этот счет?

— Ситуация не самая лучшая, но процесс идет. В некоторых компаниях система защиты уже построена и даже настроена максимально приближенно к требованиям, но используется несертифицированное оборудование, ПО и т.д. В других – не отражены требования к настройке в локальных нормативно-правовых актах организации.

Многие ИБ-специалисты и руководители считают, что соблюдение требований – это формальность, а основная защита заключается в использовании программно-аппаратных решений. На самом деле регламентирующие документы важны для создания действительно надежной системы информационной безопасности. К примеру, если злоумышленник получит конфиденциальные данные через сотрудника компании, то в этом случае программное решение не сработает.

Чтобы качественно защитить корпоративный периметр, нужен комплексный подход, который подразумевает использование не только программных средств защиты, но и разработку документов по информационной безопасности и совершенствование ЛНПА организации. Процесс этот не одного дня, месяца и даже года.

— ​Что такое комплексные системы защиты? Какую защиту они обеспечивают? Почему и за счет чего окупаются существенные расходы на закупку таких систем?

— Главная задача комплексного подхода – оптимизация всей системы в совокупности, а не улучшение отдельных ее частей. Комплексные системы включают целый ряд средств, направленных на защиту информации от различного рода атак (вирусных, хакерских и т.д.), обеспечение сохранности данных при физической утрате и поломках информационных носителей, создание безопасного доступа к хранимым ресурсам, восстановление информационной системы в случае повреждений.

Надо понимать, что система защиты – это не только совокупность программных средств, но и разработанные, внедренные локальные нормативно-правовые акты организации. Стоимость таких систем не должна превышать стоимости той информации, которая обрабатывается в инфраструктуре компании.

Одним из компонентов комплексного подхода является поддержание здорового климата в коллективе. Довольный сотрудник с меньшей долей вероятности сознательно нанесет ущерб компании, в которой он трудится. На безопасность влияет и осведомленность сотрудников организации о популярных методах атак. Даже если у специалиста нет намерений совершить что-либо во вред, в силу своей неосведомленности он легко может попасть на удочку злоумышленников. Работа с коллективом является одним из важных аспектов комплексного обеспечения информационной безопасности организации.

— Как оценить вероятные потери?

— Потери будут в большей степени финансовые – от попадания информации не в те руки. Результатом может стать, к примеру, проигранный конкурс на поставку какого-либо продукта или банальный шантаж собственника информации. Злоумышленники могут продать информацию заинтересованным лицам, конкурентам.

Другой вариант – вывод из строя оборудования информационной системы, что влечет за собой простои в работе. Но угрозу представляют не только люди (свои или чужие), но также и природные явления, технологические факторы (сбои в электропитании, охлаждении и т.д.).

Существует два основных метода оценки рисков: количественный и качественный. Невозможно однозначно сказать, какой из двух методов лучше. У каждого из них есть как достоинства, так и недостатки.

Количественный метод заключается в том, чтобы представить в денежном эквиваленте вероятные потери от реализации угроз. Звучит несложно! Неправда ли? Но для такого подсчета нам необходимо: оценить актив, определить процент ущерба, который может быть причинен активу в результате реализации угрозы. И это еще не все. Имея вышеназванные входные данные, мы можем оценить ущерб от одиночной атаки, но атаки могут совершаться неоднократно. На основании статистики компании, если такая имеется, или же мировой статистики, можем предположить, что реализация данной угрозы происходит пять раз в год. После этого умножаем значение единичной потери на количество предполагаемых ее реализаций и в результате имеем значение вероятных потерь в год.

Качественный метод заключается в формировании экспертной группы из компетентных специалистов, которые создают матрицу с указанием вероятности реализации риска (например, крайне вероятно, вероятно, маловероятно и т.д.) и ущерба, который он наносит (например, низкий, средний, высокий, крайне высокий). Затем матрица заполняется экспертами, используя метод «мозгового штурма», или любым другим способом. На следующем этапе создается другая матрица, в которой отражаются решения, направленные на минимизацию возможности реализации рисков. Напротив каждого из решений проставляются соответствующие баллы. По результатам заполнения матрица анализируется и выбирается оптимальное решение.

— Как видим, методы весьма относительны. Но как тогда быть?

— Есть ряд международных стандартов, касающихся защиты информации. Например, ISO/IEC 27001 (ISO 27001), в котором собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента ИБ для демонстрации способности организации защищать свои информационные ресурсы. Этот стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности.

— Это международные стандарты. А действуют ли они у нас? Каким требованиям должны следовать белорусские компании?

— Да, они действует и у нас. Следовать международным стандартам должны все компании, имеющие международные связи (требование со стороны заказчика, иностранного предприятия).

Кроме того, в нашем локальном законодательстве есть ряд своих уточняющих документов, регламентирующих требования к системам защиты. Например, приказ ОАЦ №62. Для выполнения требований данного приказа существует группа стандартов СТБ 34 серии (требования к документации, средствам защиты, алгоритмам шифрования и т.д.).

Если говорить об информационной безопасности в целом, то такими регламентирующими документами будут выступать Конституция Республики Беларусь, концепция информационной безопасности РБ, закон об информации, информатизации и защите информации, а также другие законы Республики Беларусь, которые косвенно задают общий вектор направления информационной безопасности.

— Какие существуют стратегии работы с рисками?

— Существует четыре основных стратегии при работе с рисками: принятие, снижение, перенаправление, отказ от риска. Перенаправление (страхование активов) и принятие (то есть, смириться с фактом риска и его последствиями) не пользуются особой популярностью у нас в стране. Политика регулятора заключается либо в минимизации рисков с помощью сертифицированных решений, либо в отказе от риска, то есть ликвидации источника угрозы.

Чтобы понимать, какие требования должна выполнять та или иная компания, она должна определить класс своей системы (механизм описан в СТБ 34.101.30), а потом найти в приказе №62 соответствующие требования к ней.

— Как проверяется выполнение требований? Существуют ли штрафы за несоответствие?

— Для того чтобы официально подтвердить факт выполнения требований, необходимо пройти аттестацию системы защиты. Аттестат должен быть у всех компаний, обрабатывающих информацию, распространение которой ограничено. В противном случае это будет считаться нарушением законодательства. Аттестат – документ, который выдается на пять лет и подтверждает, что система ИБ способна защищать свои информационные ресурсы, то есть соответствует требованиям ОАЦ. Кроме того, наличие аттестата требуется при организации взаимодействия с другими аттестованными информационными системами. Провести аттестацию могут только компании, которые имеют на это разрешение (лицензию ОАЦ).

Для подтверждения соответствия требованиям ISO 27001 необходимо отдельно пройти аудиторскую проверку. На практике ваше обеспечение ИБ может соответствовать всем требованиям ISO, но это не означает, что ваша компания соответствует требованиям ОАЦ и наоборот, хотя во многом требования дублируются.

По поводу штрафов. При несоответствии требованиям регулятор дает предупреждение и предписание об устранении недостатков в определенные сроки. Невыполнение условий грозит вплоть до приостановки деятельности организации.

— Соответствие требованиям гарантирует компании высокий уровень защищенности?

— Наличие аттестата косвенно говорит о степени защищенности. Документ показывает, что система защиты отвечает требованиям регулятора. На общий уровень защищенности компании влияет совокупность факторов: уровень системы защиты (программно-аппаратный комплекс, лицензионное и сертифицированное ПО), работа с персоналом, аттестация и многое другое. Идеальной безопасности не существует, но использование различных инструментов в комплексе позволяет добиться максимального уровня ИБ.

— С чего же начать выполнение необходимых требований?

— Чтобы поддерживать соответствие системы информационной безопасности соответствующим стандартам и требованиям, необходимо регулярно проводить аудит. Сегодня это наиболее эффективный способ получения независимой оценки уровня защищенности компании.

Аудит позволяет собрать необходимую информацию о событиях с критической степенью риска; о подозрительных сайтах и приложениях, из-за которых возникают угрозы безопасности; о компьютерах в локальной сети, которые уже стали жертвой вирусной атаки. Кроме того, после проведения аудита заказчикам предоставляются рекомендации по совершенствованию системы защиты и отдельное описание мер по ликвидации обнаруженных проблем.

Версия для печатиВерсия для печати
  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 5
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя savely

> Значит, нам не о чем с вами говорить.

Ну ты и сноб. Я писал, через сертификацию прошли несколько сотен тысяч строк, причем на высокие классы (может применяться для защиты гостайны до "сов. секретно" включительно).

И при этом поддерживаю автора. 

+1
Аватар пользователя savely

> Фишка в том, обновлённая система требует пересертификации.

Вообще-то исправления заявляются в рамках инспекционного контроля. 

Аватар пользователя mike

Савелий, ты и автор -- две большие разницы. И отвечал я ему. Не обзывайся.

Я не хочу, чтобы бесплатно. Я хочу, чтобы не заставляли сертифицировать то, что не работает с гостайной. Чтобы не было произвола.

Ведь требуют сертифицировать продукт и по др. критериям, например,  на несодержание вредоносов, на надёжность регистрации и сохранности айди отправителя и т.д., и т.п.

Тайну усмотрели даже в той обл., которой занимаюсь, ты в курсе, чем именно.

...Исправления заявлются.

Да. И что -- не надо платить? А расширение функционала?

Автору не мешало бы привести расценки. :)

Я уже говорил о том, что требования регулятора - требования регулятора.

Вопрос в том, насколько они обоснованы и каким образом эти требования определены.

У нас в РБ везде в употреблении Windows. :)

И да, который не имеет сертификата. !

Вообще-то исправления заявляются в рамках инспекционного контроля. 

Фигу. Есть эталонный диск и трындец. Если с изделием на одном процессоре проблем нет, то с ПО...

mike пишет:

Ощутить всю боль разработчика я не могу

Естественно. Чиновник, по жизни не выдавший ни одного программного продукта, девелопера никогда не поймёт.

Ибо в любой сложной системе будут ошибки и просто недоработки.  Для их исправления служат ОБНОВЛЕНИЯ. Фишка в том, обновлённая система требует пересертификации. Во всяком случае  таковы правила. И снова ПЛАТИ! Если частник. Госразработчику, писавшему  уродство вроде "эдекларейшн", сходит с рук. Клондайк, млять.

А с "астралинукс" -- смешно. У нас в РБ везде в употреблении Windows. :)

 

У нас в стране и пиратское почти все - тоже так себе ситуация. Еще раз повторяю: Я не программист, но процесс сертификации знаю и проходил, знаю где что и как. А всю боль ощутить не могу только потому что не сам писал код, но косяки одни и те же при сертификации, приходилось разбираться в написанном коде и потом это все передавать на сертификацию (писал ты код или нет). Чиновник? Вы не перестаете вешать на меня ярлыки, скоро места не останется. Я больше не хочу переливать из пустого в порожнее. Вы, Майк, пытаетесь зацепиться чуть ли ни за каждое мое слово, что изначально путь в никуда. Я больше не участвую в полемике с Вами, мне Вам доказывать нечего и незачем. Приятно было пообщаться, всего хорошего(пусть сертификация станет такой как Вы хотите и в то же время качественной. Для людей, так сказать) 

Аватар пользователя savely

> Я хочу, чтобы не заставляли сертифицировать то, что не работает с гостайной.

А кто тебе сказал, что сертификация имеет смысл только при работе с гостайной? 

> ты в курсе, чем именно.

Критическая инфраструктура, все сходится. 

Аватар пользователя savely

> Есть эталонный диск и трындец. 

В рамках ИК можно выпустить другой эталонный диск. Ты заявляешь только отличия от прошлого ИК (или первичной сертификации, если это первый ИК), пересобираешь ПО под контролем лаборатории,  пересчитываешь контрольные суммы и делаешь новый эталон. 

Эдуард пишет:

Я уже говорил о том, что требования регулятора - требования регулятора.

Вопрос в том, насколько они обоснованы и каким образом эти требования определены.

Не вырывайте фраз из контекста. Я писал, что к объему требований и у меня есть вопросы. Но кроме как на форуме или в личной беседе с регулятором никто не говорит. Поэтому моя позиция недалека от Вашей. от позиции Майка. Я согласен с тем, что есть перегибы. Но тема изначальна о ТРЕБОВАНИЯХ РЕГУЛЯТОРА. По итогу зацепились за одно слово в статье и раздули непонятно что. Там не спрашивают мое личное мнение о процедуре сертификации и т.д. Спрашивают о реальной ситуации в стране , смотря через призму требований РЕГУЛЯТОРА. Не моих личных, не Майка, не Савелия и не Ваших, Эдуард. Требования есть? есть. Я об этом и написал. Если Вас не устраивает процедура - пишите официальные письма в ОАЦ. Не высказывайте свое "фе" по поводу процедуры мне. Я  С НЕЙ НЕ ПОЛНОСТЬЮ СОГЛАСЕН, но я не в силах ее изменить. 

Страницы