Кто такие регуляторы и почему так важно соответствовать их требованиям в сфере ИТ-безопасности? Специалист по информационной безопасности компании Softline Дмитрий Сугако рассказал, каким требованиям должны следовать белорусские компании и какие иллюзии у них существуют на этот счет.

— Дмитрий, кто такие регуляторы и почему так важно соответствовать их требованиям в сфере ИТ-безопасности?

— Регулятором является государственный орган, который контролирует деятельность по обеспечению защиты информации от утечки и несанкционированных действий. Речь идет о данных, составляющих государственную тайну, или сведениях, охраняемых в соответствии с законодательством. У нас в стране функцию регулятора выполняет оперативно-аналитический центр при президенте Республики Беларусь (ОАЦ).

Если взглянуть на предъявляемые требования, то они вполне логичны. Для обеспечения защиты вышеупомянутой информации важно обеспечить выполнение ряда правовых, организационных и технических мер. Это касается и защиты персональных данных.

— Как сейчас обстоят дела с выполнением требований? Какие иллюзии существуют у компаний на этот счет?

— Ситуация не самая лучшая, но процесс идет. В некоторых компаниях система защиты уже построена и даже настроена максимально приближенно к требованиям, но используется несертифицированное оборудование, ПО и т.д. В других – не отражены требования к настройке в локальных нормативно-правовых актах организации.

Многие ИБ-специалисты и руководители считают, что соблюдение требований – это формальность, а основная защита заключается в использовании программно-аппаратных решений. На самом деле регламентирующие документы важны для создания действительно надежной системы информационной безопасности. К примеру, если злоумышленник получит конфиденциальные данные через сотрудника компании, то в этом случае программное решение не сработает.

Чтобы качественно защитить корпоративный периметр, нужен комплексный подход, который подразумевает использование не только программных средств защиты, но и разработку документов по информационной безопасности и совершенствование ЛНПА организации. Процесс этот не одного дня, месяца и даже года.

— ​Что такое комплексные системы защиты? Какую защиту они обеспечивают? Почему и за счет чего окупаются существенные расходы на закупку таких систем?

— Главная задача комплексного подхода – оптимизация всей системы в совокупности, а не улучшение отдельных ее частей. Комплексные системы включают целый ряд средств, направленных на защиту информации от различного рода атак (вирусных, хакерских и т.д.), обеспечение сохранности данных при физической утрате и поломках информационных носителей, создание безопасного доступа к хранимым ресурсам, восстановление информационной системы в случае повреждений.

Надо понимать, что система защиты – это не только совокупность программных средств, но и разработанные, внедренные локальные нормативно-правовые акты организации. Стоимость таких систем не должна превышать стоимости той информации, которая обрабатывается в инфраструктуре компании.

Одним из компонентов комплексного подхода является поддержание здорового климата в коллективе. Довольный сотрудник с меньшей долей вероятности сознательно нанесет ущерб компании, в которой он трудится. На безопасность влияет и осведомленность сотрудников организации о популярных методах атак. Даже если у специалиста нет намерений совершить что-либо во вред, в силу своей неосведомленности он легко может попасть на удочку злоумышленников. Работа с коллективом является одним из важных аспектов комплексного обеспечения информационной безопасности организации.

— Как оценить вероятные потери?

— Потери будут в большей степени финансовые – от попадания информации не в те руки. Результатом может стать, к примеру, проигранный конкурс на поставку какого-либо продукта или банальный шантаж собственника информации. Злоумышленники могут продать информацию заинтересованным лицам, конкурентам.

Другой вариант – вывод из строя оборудования информационной системы, что влечет за собой простои в работе. Но угрозу представляют не только люди (свои или чужие), но также и природные явления, технологические факторы (сбои в электропитании, охлаждении и т.д.).

Существует два основных метода оценки рисков: количественный и качественный. Невозможно однозначно сказать, какой из двух методов лучше. У каждого из них есть как достоинства, так и недостатки.

Количественный метод заключается в том, чтобы представить в денежном эквиваленте вероятные потери от реализации угроз. Звучит несложно! Неправда ли? Но для такого подсчета нам необходимо: оценить актив, определить процент ущерба, который может быть причинен активу в результате реализации угрозы. И это еще не все. Имея вышеназванные входные данные, мы можем оценить ущерб от одиночной атаки, но атаки могут совершаться неоднократно. На основании статистики компании, если такая имеется, или же мировой статистики, можем предположить, что реализация данной угрозы происходит пять раз в год. После этого умножаем значение единичной потери на количество предполагаемых ее реализаций и в результате имеем значение вероятных потерь в год.

Качественный метод заключается в формировании экспертной группы из компетентных специалистов, которые создают матрицу с указанием вероятности реализации риска (например, крайне вероятно, вероятно, маловероятно и т.д.) и ущерба, который он наносит (например, низкий, средний, высокий, крайне высокий). Затем матрица заполняется экспертами, используя метод «мозгового штурма», или любым другим способом. На следующем этапе создается другая матрица, в которой отражаются решения, направленные на минимизацию возможности реализации рисков. Напротив каждого из решений проставляются соответствующие баллы. По результатам заполнения матрица анализируется и выбирается оптимальное решение.

— Как видим, методы весьма относительны. Но как тогда быть?

— Есть ряд международных стандартов, касающихся защиты информации. Например, ISO/IEC 27001 (ISO 27001), в котором собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента ИБ для демонстрации способности организации защищать свои информационные ресурсы. Этот стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности.

— Это международные стандарты. А действуют ли они у нас? Каким требованиям должны следовать белорусские компании?

— Да, они действует и у нас. Следовать международным стандартам должны все компании, имеющие международные связи (требование со стороны заказчика, иностранного предприятия).

Кроме того, в нашем локальном законодательстве есть ряд своих уточняющих документов, регламентирующих требования к системам защиты. Например, приказ ОАЦ №62. Для выполнения требований данного приказа существует группа стандартов СТБ 34 серии (требования к документации, средствам защиты, алгоритмам шифрования и т.д.).

Если говорить об информационной безопасности в целом, то такими регламентирующими документами будут выступать Конституция Республики Беларусь, концепция информационной безопасности РБ, закон об информации, информатизации и защите информации, а также другие законы Республики Беларусь, которые косвенно задают общий вектор направления информационной безопасности.

— Какие существуют стратегии работы с рисками?

— Существует четыре основных стратегии при работе с рисками: принятие, снижение, перенаправление, отказ от риска. Перенаправление (страхование активов) и принятие (то есть, смириться с фактом риска и его последствиями) не пользуются особой популярностью у нас в стране. Политика регулятора заключается либо в минимизации рисков с помощью сертифицированных решений, либо в отказе от риска, то есть ликвидации источника угрозы.

Чтобы понимать, какие требования должна выполнять та или иная компания, она должна определить класс своей системы (механизм описан в СТБ 34.101.30), а потом найти в приказе №62 соответствующие требования к ней.

— Как проверяется выполнение требований? Существуют ли штрафы за несоответствие?

— Для того чтобы официально подтвердить факт выполнения требований, необходимо пройти аттестацию системы защиты. Аттестат должен быть у всех компаний, обрабатывающих информацию, распространение которой ограничено. В противном случае это будет считаться нарушением законодательства. Аттестат – документ, который выдается на пять лет и подтверждает, что система ИБ способна защищать свои информационные ресурсы, то есть соответствует требованиям ОАЦ. Кроме того, наличие аттестата требуется при организации взаимодействия с другими аттестованными информационными системами. Провести аттестацию могут только компании, которые имеют на это разрешение (лицензию ОАЦ).

Для подтверждения соответствия требованиям ISO 27001 необходимо отдельно пройти аудиторскую проверку. На практике ваше обеспечение ИБ может соответствовать всем требованиям ISO, но это не означает, что ваша компания соответствует требованиям ОАЦ и наоборот, хотя во многом требования дублируются.

По поводу штрафов. При несоответствии требованиям регулятор дает предупреждение и предписание об устранении недостатков в определенные сроки. Невыполнение условий грозит вплоть до приостановки деятельности организации.

— Соответствие требованиям гарантирует компании высокий уровень защищенности?

— Наличие аттестата косвенно говорит о степени защищенности. Документ показывает, что система защиты отвечает требованиям регулятора. На общий уровень защищенности компании влияет совокупность факторов: уровень системы защиты (программно-аппаратный комплекс, лицензионное и сертифицированное ПО), работа с персоналом, аттестация и многое другое. Идеальной безопасности не существует, но использование различных инструментов в комплексе позволяет добиться максимального уровня ИБ.

— С чего же начать выполнение необходимых требований?

— Чтобы поддерживать соответствие системы информационной безопасности соответствующим стандартам и требованиям, необходимо регулярно проводить аудит. Сегодня это наиболее эффективный способ получения независимой оценки уровня защищенности компании.

Аудит позволяет собрать необходимую информацию о событиях с критической степенью риска; о подозрительных сайтах и приложениях, из-за которых возникают угрозы безопасности; о компьютерах в локальной сети, которые уже стали жертвой вирусной атаки. Кроме того, после проведения аудита заказчикам предоставляются рекомендации по совершенствованию системы защиты и отдельное описание мер по ликвидации обнаруженных проблем.