В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций
Рустэм Хайретдинов
Заместитель генерального директора компании InfoWatch
Организация ИТ/ИБ-безопасности объектов финансового сектора имеет ряд особенностей: она закреплена в ряде государственных законов и стандартов, в том числе международных. Об особенностях работы специалистов по организации информационной безопасности финансовых объектов рассказывает заместитель генерального директора компании InfoWatch P. Хайретдинов.
- Каковы, с Вашей точки зрения, особенности объектов финансового сектора как объектов защиты?
- Финансовый сектор - наиболее регулируемая область экономики в сфере информационной безопасности. Здесь действуют требования нескольких законов, а также государственных и международных стандартов. Даже одна клиентская запись в базе данных автоматизированной банковской системы может содержать одновременно банковскую тайну, персональные данные и данные пластиковой карты, соответственно защищаемые двумя законами и требованиями стандарта PCI DSS. Не говоря о том, что эта же информация может содержать коммерческую тайну самого банка - тарифы, начисляемые проценты и т.д. Поэтому офицерам информационной безопасности не приходится выдумывать различные подходы к ИБ - достаточно взять требования законов и стандартов и реализовать их в информационной системе.
- Опишите, пожалуйста, основные риски и угрозы, с которыми сталкиваются ИТ-и ИБ-руководители в настоящее время?
- В финансовом секторе экономики риски ИБ те же, что и во всех остальных отраслях, - риски потери информации, риски потери доступа к информационным ресурсам и риски неправомерного изменения информации. По направленности угрозы традиционно делят на внешние и внутренние. Сейчас в особую группу рисков выделяют регуляторные риски - риски невыполнения требований регулятора и связанные с этим санкции (штрафы, административное или уголовное преследование первых лиц компании, лишения лицензии на право заниматься финансовой деятельностью)
- Какие требования в области ИТ/ИБ-безопасности предъявляют собственники к службе безопасности объектов финансового сектора?
- Собственники финансовых структур обычно не вникают в тонкости информационной безопасности и предъявляют к ней обычные бизнес-требования. С одной стороны, должна быть обеспечена непрерывность бизнеса и защита информации от всех типов угроз при выполнении всех требований регуляторов. С другой, деятельность служб ИБ не должна мешать развитию компании и в минимальной степени менять принятые в компании бизнес-процессы.
- Что Вы считаете основными объектами защиты на объекте финансового сектора?
- Информационные объекты защиты в финансовом секторе определяются не чьим-то мнением, а требованиями законодательства - это данные, составляющие банковскую тайну, персональные данные клиентов и сотрудников, данные пластиковых карт. Банк может добавить к этим объектам свои собственные, например: описание маркетинговых программ, планы развития, состав акционеров и т.д.
- Какова, на Ваш взгляд, оптимальная роль и ответственность современного руководителя службы информационной и ИТ-безо-пасности?
- Совершенно верно в вопросе разделена ИТ- и информационная безопасность. Информационная безопасность начинается с понимания того, какая информация является защищаемой, где она рождается, где и кем изменяется, как перемещается внутри компании, в каком виде ее можно передавать регулирующим органам, контрагентам и клиентам, где она хранится и как уничтожается. Эта часть ИБ имеет весьма отдаленное отношение к ИТ-безопасности. В крупных банках есть специальные службы защиты информации, чья задача - регламентировать оборот информации на предприятии безотносительно технологий. В их задачу входит отслеживание юридического фона бизнеса, оценка информационных рисков и внесение изменения в регламенты использования доступа к информации на уровне регулирующих документов - "Положения о коммерческой тайне", трудовых соглашений, должностных инструкций и т.д.
В рамках ИТ-безопасности уже на основе регламентов работы с информацией разрабатываются ИТ-регламенты - политики доступа к приложениям, контентные маршруты, жизненный цикл электронных документов и т.д. Перед специалистами ИТ-безопасности также стоит задача поддержания работоспособности инфраструктуры компании - защита приложений и каналов движения информации, противодействие зловредному программному коду и др. Часто, особенно в небольших банках, эти роли совмещаются водном подразделении. Возможно, на сегодняшнем этапе такая политика оправдана, однако с внедрением стандартов управления информационной безопасностью эти роли распределяются по разным подразделениям.
- Как Вы видите основные задачи современного руководителя департамента ИБ/ИТ? Существуют ли организационные/методические/административные мероприятия, которые позволяют оптимально решать эти задачи? Или решение этих задач все же сводится к применению технических/программных средств?
- Я бы разделил роли ИТ и ИБ в такой постановке вопроса. Задача ИТ - обеспечить бизнес современными и безопасными инструментами, причем в этом случае речь идет именно об ИТ-безопасности. Безопасность инструментов для бизнеса заключается не только в невозможности нарушить их работоспособность или получить несанкционированный доступ к данным, но и в готовности обеспечить быструю адаптацию к требованиям законодательства. Хорошим примером недальновидной политики в выборе автоматизированных банковских систем (АБС) является письмо Ассоциации российских банков в ЦБ РФ с просьбой ввести трехмесячный мораторий на применение санкций за невыполнения указания ЦБ РФ об обязательном раскрытии полной стоимости кредита. Оказалось, что, выбирая АБС зарубежного производства, банки не требовали возможности быстрой адаптации таких систем в соответствии с российским законодательством.
Задачей же службы ИБ является создание и контроль соблюдения политики безопасности. Часто службе ИБ передают в управление контроль информационных рисков. Причем не только традиционных ИТ-рисков недоступности ресурсов, потери или утечки информации, но и регуляторных и юридических рисков, связанных с функционированием информационной системы предприятия.
Большинство необходимых мероприятий описано в общих и отраслевых стандартах ИБ, лучших практиках использования инструментов ИБ и требованиях регуляторов. Особенно это касается финансового сектора экономики, где действует стандарт Банка России. Перефразируя известную пословицу "Не знаешь, как поступить, поступай по закону", для сотрудников службы ИБ можно сказать: "Не знаешь, как поступить, -поступай по стандарту".
- Каким образом можно строить политику ИБ и ИТ предприятия, чтобы она прежде всего отвечала потребностям бизнеса, а также целям конкурентных и маркетинговых преимуществ компании?
- Повторюсь, не стоит смешивать роли ИТ и ИБ в бизнесе. Несмотря на то что и те и другие имеют дело с компьютерами, их цели и задачи в бизнесе разные, а иногда даже противоположные. Если проводить аналогию, то службы ИТ можно сравнить с проектировщиками и строителями дорог, а службы ИБ - с ГИБДД. То есть первые создают инфраструктуру, а вторые принимают правила, как ею пользоваться, а также контролируют исполнение этих правил. Хотя любая аналогия неполная, в этой сохранены основные принципы и даже роли: дорога - канал, автомобили -данные, водители - пользователи, водительские права - учетные записи и т.д. Не то чтобы эти роли противоречили друг другу, но плохо спроектированная инфраструктура требует повышенного внимания контролера -при проектировании ИТ-безопасности неплохо было бы знать требования ИБ.
Практика реализации различных моделей построения систем защиты информации показывает, что при нынешней зрелости российских компаний роли ИТ-безопасности и ИБ совмещают практически одни и те же люди, и только немногие компании выделяют службы защиты информации в отдельные структуры вне ИТ-департамента.
Возвращаясь к соответствию стратегии ИБ рыночной стратегии компании, очевидно, что вторая в части защиты коммерческой тайны вытекает из первой. При этом информационная безопасность должна также учитывать требования регуляторов в области той информации, которая защищается законом.
А поскольку все большая часть бизнеса опирается на ИТ-инфраструктуру, то есть на ключевые коммуникации и бизнес-приложения, то из рыночных целей компании вытекают требования к ИТ-инфраструктуре, а из них, в свою очередь, -требования к ИТ-безопасности.
- Может ли поставщик программного обеспечения (ПО) помочь руководителям ИБ/ИТ строить взаимоотношения с акционерами/собственниками компании, обосновывать принятие решений о закупках?
- Некоторое ПО выступает "катализатором" изменений в бизнес-процессах, то есть для его внедрения необходимо сформулировать и, возможно, изменить существующие в компании правила. Раньше к такому типу ПО относили только деловые приложения - ERP- и CRM-системы, системы документооборота. Однако сейчас к ним прибавились и системы ИБ, в частности системы контроля и защиты корпоративного контента. Ведь для их успешного внедрения необходимо не только понять, как и кем создается, как изменяется и движется информация внутри компании, но и какая информация, по каким каналам и куда может перемещаться (так называемые контентные маршруты). Причем если оптимизация бизнес-процессов - внутреннее дело компании, то защита информации -требования регуляторов, то есть сточки зрения законодательства защита информации имеет гораздо больший приоритет.
Поэтому поставщики ПО, которое затрагивает существующую практику движения информации внутри компании, безусловно, не должны пытаться просто обосновать покупку таких решений. Их задача, основываясь на опыте внедрения в других предприятиях отрасли, - помочь заказчику прежде всего правильно поставить задачу, заложить правильный фундамент в систему защиты корпоративного контента Как показывает опыт, именно эта часть проекта наиболее сложная, порой она может продолжаться несколько месяцев. После правильной постановки задачи и подготовки проекта само внедрение ПО занимает минимум времени.
- В каких взаимоотношениях, на Ваш взгляд, должны находиться департаменты ИБ и ИТ компании? ИБ, ИТ и СБ? ИБ, ИТ и других департаментов?
- Если раскрывать эту тему подробно, получится диссертация по корпоративному управлению. Если коротко, задача любых подразделений компании - помогать компании выполнять основную свою задачу. Поэтому каждый выполняет свою задачу - повышает производительность и/или снижает издержки ИТ- предоставляет инфраструктуру для бизнеса, ИБ - оптимизирует информационные риски, СБ - оптимизирует остальные риски Безусловно, иногда требования различных подразделений противоречат друг другу, и задача топ-менеджмента - изучая эти противоречия и опираясь на лучшие практики -находить баланс между доступностью, целостностью и конфиденциальностью, между потенциальным ущербом от риска и реальными затратами на уменьшение вероятности этого риска, между удобством для бизнеса и требованиями регуляторов по защите информации.
- Как Вы считаете, можно ли обеспечить участие всех сотрудников компании в поддержании ИБ компании? Если да, то как?
- Многие компании далеко продвинулись в этом вопросе. Вовлечение сотрудников в процесс обеспечения информационной безопасности - комплексный проект с участием служб ИБ, кадровой службы и топ-менеджмента. Ежедневное повышение осведомленности сотрудников, обучение в сочетании с регулярной аттестацией постепенно дают плоды. Начиная с полуюмористических плакатов типа "Пароль, как зубная щетка, - его нельзя давать никому" и "учебныхтревог" и заканчивая корпоративными программами повышения лояльности сотрудников и курсами в корпоративном университете -все это часть огромной работы по изменению отношения рядовых сотрудников и среднего менеджмента к ИБ. Ведь именно неосведомленность и халатность сотрудников приводит к львиной доле инцидентов в области ИБ.
- Какие основные подходы к борьбе со злоупотреблениями и мошенничеством (в области информации) внутри компании Вы можете рекомендовать?
- Большинство компаний используют комбинацию технических средств анализа действий пользователей с информацией и кадровых средств - программ повышения лояльности и осведомленности сотрудников.
- Какие существуют подходы к экономическому обоснованию стоимости программных и аппаратных средств защиты ИБ?
- Каждая компания оценивает стоимость своей информации довольно высоко, поэтому нужно, прежде всего, оценивать стоимость защищаемой информации и вероятность нарушения ее целостности, доступности и конфиденциальности. Но когда дело касается коммерческой тайны или другой, защищаемой законом информации, ее стоимость - это стоимость всего бизнеса, так как, не выполняя требования регулятора, можно запросто лишиться лицензии на право заниматься этим бизнесом. Поэтому все чаще вместо экономической модели обоснования стоимости средств защиты (стоимость/ущерб/риск/стоимость мер по снижению риска/вычислений ROI) офицеры безопасности используют в качестве основного аргумента наличие некоторых средств защиты в требованиях регулятора.
- Как распределяются статьи расходов в службах ИБ и ИТ современных предприятий (ПО, аппаратные средства, персонал и прочее)?
- В каждой компании эти статьи распределяются по-разному, даже в одной отрасли различия бывают кардинальными. Например, одна компания имеет централизованную модель управления региональной инфраструктурой и соответственно ИТ-безопасностью, а другая - децентрализованную. В первом случае, скажем, достаточно иметь в центральном офисе мощную службу ИТ-безопасности, а на местах лишь администраторов или даже обходиться без них. Во втором - в каждом регионе нужно содержать своего сотрудника ИТ-безопасности. Соответственно и расходы на ПО и аппаратную часть при децентрализованной модели будут выше, ведь в каждый филиал придется покупать свои средства защиты. Кстати, информационная безопасность в обеих моделях одна и та же и от типа инфраструктуры не зависит, она лишь определяет правила использования информации в компании.
Если говорить о тенденциях, то стоимость аппаратной части снижается, а стоимость сервисов увеличивается. А поскольку к персоналу требования увеличиваются, то соответственно растут зарплаты и расходы на персонал
- С какими рисками сопряжен аутсорсинг ИБ? Как их предотвращать?
- Моделей аутсорсинга ИБ несколько, и каждая несет свои риски. Есть "бухгалтерский" аутсорсинг, то есть использование в своей инфраструктуре не собственных аппаратно-программных средств, а "взятых напрокат" - принадлежащих третьим лицам. Таким образом, компании перебрасывают расходы на ИБ из статьи "закупка основных средств" в статью "профессиональные услуги", уменьшают стоимость активов и, следовательно, увеличивают показатели эффективности компании. С инженерной точки зрения ничего не меняется, поэтому риски здесь скорее юридические - не проведенный вовремя платеж может привести к разрыву договора аренды, например, межсетевого экрана, и соответственно риску его отключения и изъятия владельцем. Но в реальной практике эту модель используют только крупные компании, поэтому до конфликтов с поставщиком дело никогда не доходит, поскольку стороны рассчитывают на долгосрочное сотрудничество и включают в договоры "льготные периоды" и другие способы, уменьшающие риск конфликта.
Другой тип аутсорсинга ИБ - передача части инфраструктуры ИТ-безопасности вовне, например аутсорсинг антивирусной защиты электронной почты или передача управления инцидентами профессиональному субподрядчику. Здесь риски другого рода - ведь за информацию, которой владеет компания, перед регуляторами отвечает она, и невозможно передать ответственность субподрядчику. Такой тип аутсорсинга применяется пока небольшими компаниями, поэтому серьезной оценки таких рисков не проводилось. Преимущества экономии на инфраструктуре в этом случае (отсутствие необходимости приобретать почтовые серверы, антивирусное ПО и т.д.) много выше риска утечки информации через оператора сервиса. Именно риск отсутствия значимых гарантий конфиденциальности информации со стороны оператора сервиса безопасности является серьезным тормозом в развитии этой модели аутсорсинга.
Опубликовано: Журнал "Системы безопасности" #4, 2008
Посещений: 12858
Автор
| |||
В рубрику "Директор по безопасности" | К списку рубрик | К списку авторов | К списку публикаций
