Несмотря на кризис, бюджеты на поддержание информационной безопасности не сокращаются. Это связано, прежде всего, с мерами, необходимыми для соответствия нормам Закона о персональных данных, он же Федеральный закон № 152‑ФЗ. А его требования касаются большинства российских предприятий и учреждений. Однако прочие угрозы в области информационной безопасности тоже никуда не исчезли. Это и многое другое стало предметом обсуждения на нашем круглом столе.
Участники круглого стола:
Михаил Левашов,
руководитель отдела методологии и аудита департамента информационной безопасности финансовой корпорации «ОТКРЫТИЕ»
Рамиль Яфизов,
ведущий специалист, «МакАфи Рус»
Кирилл Антипов,
сотрудник департамента технической поддержки, «Гражданские самолеты Сухого»
Яков Шпунт,
редактор Intelligent Enterprise
Ведущий – Сергей Костяков,
заместитель главного редактора Intelligent Enterprise
Intelligent Enterprise: Почему повысилось внимание к теме информационной безопасности? Какой комплекс причин — требования законодательства и регуляторов, экономические, технологические — тут наиболее важен? Может быть, есть какие‑то еще?
Михаил Левашов: Я бы осторожнее выражался, говоря о том, что касается повышения внимания. На словах оно есть, а на деле бизнес все еще уделяет явно недостаточно внимания сфере ИБ. Это подтверждается хотя бы положением руководителя службы ИБ в компании. Обычно это — руководитель среднего звена, но никак не топ-менеджер, близкий к руководству компании, как этого требуют практически все международные стандарты ИБ. Хотя в последнее время отмечается повышение интереса к ИБ. Существуют по крайней мере два обстоятельства, объясняющие этот интерес: повышенное внимание государства (в лице регулирующих органов) к вопросам защиты персональных данных и некоторые мировые события (в частности, трагические теракты 11 сентября 2001 года), которые показали, что, несмотря на обязательства, некоторые международные платежные системы в исключительных ситуациях готовы предоставлять свою информацию.
Обостренное внимание к защите персональных данных можно объяснить тем, что Россия ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Вопросы защиты платежных данных начали интересовать наших финансистов в связи с тем, что использование информации об этих платежах, проведенных через международные платежные системы, фактически неподконтрольно. Недавно в Ассоциации региональных банков обсуждался проект федерального закона «О национальной платежной системе», которым предусматривается создание национальной системы платежных карт «Российская платежная карта». Одной из функций этой системы может быть защита внутренних транзакций от трансграничной угрозы. В статье 17 законопроекта предусмотрено, что «Банк России вправе устанавливать требования к обеспечению и порядок оценки информационной безопасности в… платежных системах». Таким образом, элементы стандарта ЦБ, связанного с обеспечением ИБ в банковской системе, будут распространены также и на небанковские организации, участвующие в приеме, обработке и проведении платежей.
Как известно, основные риски нарушения ИБ связаны с людьми. Опубликованные результаты опросов показывают, что от 60 до 80% (в зависимости от направления бизнеса) всех инцидентов ИБ связаны с внутренними нарушителями.
Яков Шпунт: Но это смотря как считать. Если в количестве инцидентов, то действительно, 87% утечек вызваны деятельностью инсайдеров. Но если исходить из ущерба в денежном выражении, то ситуация совсем другая. Тут 80% приходится на деятельность внешних злоумышленников. Ведь только в результате атаки на американо‑канадскую торговую сеть TJX, когда были украдены реквизиты 94 миллионов банковских карт, ущерб лишь на уведомление пострадавших оказался немногим меньше 3 миллиардов долларов. Хотя, конечно, масштабы этого инцидента сильно меняют среднюю многолетнюю картину.
Михаил Левашов: Но у нас‑то никто не обязан делать такие уведомления! А общий ущерб компаний в виде выплат по судебным искам субъектам персональных данных составил в 2008 году (по информации, опубликованной на сайте Роскомнадзора) всего 5500 рублей.
Рамиль Яфизов: О раскрытии информации международными платежными системами. У них просто нет другого выхода. Таковы особенности американского законодательства, нарушение которого чревато невозможностью работы в США.
А то, что нормы закона № 152‑ФЗ не работают в полной мере, наверное, сделано специально. Нет норм, потому что неизвестно, с какой стороны это может ударить по тем же финансовым организациям, операторам связи, госучреждениям.
Процессы принятия целого ряда законов, регулирующих то, как компании должны относиться к своим данным, были инициированы во многих странах. Это связано и с 11 сентября. Впрочем, не меньше, а то и больше, на данную законодательную активность повлияло выявление массы махинаций с отчетностью, что в итоге привело, например, к банкротству Enron. И эти меры последовательно ужесточалось. Причем они касаются утечек не только персональных данных. Российский закон охватывает куда более узкую сферу. Тем более что он создан во исполнение требований конвенции, принятой почти 30 лет назад. И очень многое оттуда выпало.
Михаил Левашов: Да, в законе № 152 многое несовершенно. Хотя польза от этого закона и связанных с ним нормативных актов есть. Операторы персональных данных будут более внимательно относиться к вопросам их защиты. Однако неподготовленность многих операторов, особенно тех, информационные системы персональных данных которых относятся к высоким категориям защищенности, может привести к убыткам, а то и к полной остановке бизнеса. Таковы на сегодняшний день правила, выполнение которых будет особенно плотно проверяться с нового года.
Рамиль Яфизов: Да, ужесточение требований по защите данных привело к тому, что у различных вендоров появились департаменты, занятые созданием соответствующих продуктов. В результате родился новый класс продуктов, рассчитанный на защиту данных. Хотя еще несколько лет назад их не было. Сюда стоит отнести такие категории, как средства шифрования и защиты от утечек, или DLP. И спрос на них растет. В этом году тенденция дошла и до России, так как потенциальные заказчики озаботились соблюдением требований закона № 152. Особенно когда стало ясно, что вряд ли удастся в очередной раз оттянуть тот срок, когда закон заработает в полную силу. Поэтому заказчики начали задавать себе вопрос: а есть ли средства защиты от утечек? Оказывается, что есть. Естественно, спрос на такие решения рос.
Однако у нас положение осложнялось тем, что наличия такого рода средств недостаточно. Они должны иметь сертификат контролирующих органов — ФСТЭК, ФСБ.
Кирилл Антипов: Наше предприятие занимается проектированием, однако и мы попадаем в сферу действия закона № 152 в силу того, что у нас хранятся данные о сотрудниках предприятия. Компания Softline подготовила для этого очень простой опросник, позволяющий определить, к какой категории, согласно закону № 152, принадлежит компания. На одной из конференций, посвященных обсуждению закона, было высказано мнение, что любая компания, имеющая территориально распределенную систему учета кадров предприятия, например «1С: Предприятие», автоматически попадает под класс не ниже К3. Что касается технического аспекта, защитой данных мы занимались всегда. Это затрагивает и каналы передачи, и файловые системы, на которых хранятся данные. Используются современные методы шифрования, как самих данных, так и каналов их передачи.
Михаил Левашов: Да, фактически под понятие «оператор персональных данных» подпадает практически любая организация. Другое дело, что в соответствии с законодательством не всем следует заявляться в Роскомнадзоре. Но это обстоятельство не освобождает от соблюдения требований закона.
Рамиль Яфизов: Использование криптосредств наталкивается на определенные сложности при трансграничной передаче информации. В России во многих случаях нельзя использовать криптосредства зарубежных производителей без специального разрешения, а за границей — российские.
Михаил Левашов: В России во многих ситуациях разрешено использовать криптосредства международных разработчиков, например, встроенные в операционные карточные и другие стандартные системы. Другое дело, что если используются не сертифицированные средства шифрования данных в системах типа «Клиент-Банк», то об этом необходимо поставить в известность своих клиентов.
Intelligent Enterprise: Теперь о том, где мы впереди в области информационной безопасности, а где отстаем от зарубежного уровня. Точнее, даже о том, как обстоит дело с качеством защиты данных — будь то сетевая безопасность, бизнес-приложения, объекты сетевой инфраструктуры.
Рамиль Яфизов: К безопасности данных мы только пришли. Эта область сейчас растет, и растет активно. Но за рубежом этой темой озаботились раньше и занимаются ею больше. Мы тут отстали. Уже говорилось, что наш российский Закон о персональных данных появился в рамках мер, направленных на исполнение норм международной конвенции, принятой почти 30 лет назад. А в области всяческих организационных регламентов мы, кажется, впереди. В американских коммерческих компаниях, особенно крупных, информацию украсть проще.
Михаил Левашов: Мне кажется, это не совсем так. Попробуйте унести информацию, например, из офиса Cisco. Или той же Microsoft. Поговорите хотя бы с теми, кто там работает. Я не уверен, что ваша попытка будет успешной… Что касается регламентов, если они грамотно четко и понятно написаны, то они нужны и должны выполняться.
Кирилл Антипов: Тут, с моей точки зрения, нельзя говорить о преимуществах какой‑то конкретной страны. Организация сетевой безопасности, безопасности данных и функционирования приложений глубоко интернациональна. По крайней мере, с точки зрения системного администратора, с точки зрения технической реализации хранения и передачи данных. Здесь все реализовано на международных протоколах и согласно международным стандартам. К сожалению, я не могу сказать, разработано ли что‑то из технологий полностью у нас. В то же время я не сомневаюсь, что многое создано с непосредственным участием разработчиков из России. ИТ-технологии стали полностью интернациональными, и какого‑то отставания тут просто не может быть.
Что касается организационного вопроса, у нас есть хорошие традиции создания четких и ясных инструкций и регламентов. Сейчас многие документы стали слишком большими и путаными. Очень много времени уходит на то, чтобы просто понять, о чем идет речь. А времени всегда не хватает. Раньше инструкции были более четкими и более дельными. Это касается и тех, что использовались на производстве, и того, что потом перешло в зарождающиеся ИТ. Сейчас мы еще не очень далеко ушли от четкости понимания задач, правил поведения и работы. Хотелось бы, чтобы мы вернулись к традициям написания четких и ясных документов. Вот эту область организационных регламентов следует считать национальной, в отличие от интернациональной технической.
Михаил Левашов: Позволю себе не со всем согласиться. Повторюсь, если регламент написан четко, грамотно и понятно, то любой грамотный администратор его поймет и будет выполнять. Однако большинство наших администраторов, которые настраивают предусмотренные в системе средства защиты информации, делают это недостаточно хорошо, а порой и вообще не делают. Часто не инициируются логи безопасности, не используются предусмотренные системой средства криптозащиты. Иногда не настраивается должным образом и парольная политика. Это приводит к печальным последствиям. В частности, пароли можно довольно быстро определить методами направленного перебора.
Intelligent Enterprise: Как влияют меры, направленные на поддержание информационной безопасности, на другие аспекты деятельности предприятия? Мы уже частично разобрали то, как влияют эти меры на бизнес-процессы. Другой аспект этого же вопроса, к тому же довольно редко упоминаемый — их влияние на надежность функционирования ИТ‑систем. Причем, вполне возможно, оно может быть и отрицательным.
Яков Шпунт: Насчет последнего момента. На одном из форумов приводился такой пример. Один из выступающих рассказывал, как он участвовал в проверке банка. И сразу же участники этой самой проверки обратили внимание на то, что там была отключена функция журналирования в АБС. Сотрудник ИТ‑службы банка ответил, что при включении этой функции быстродействие системы падает, что не устраивает руководство. А убедить это самое руководство выбрать более мощный сервер не удалось.
Михаил Левашов: Да, это часто бывает. В некоторых бизнес-процессах, например на фондовом рынке, где используются «роботы» при формировании заявок на операции с ценными бумагами, быстродействие оказывается очень критичным параметром. В таких случаях часто приходится отказываться от многих средств защиты. Но в любых ситуациях должны быть просчитаны риски, и бизнес должен их принять.
Рамиль Яфизов: Хотелось бы также обратить внимание на то, что на Западе утечки информации приводят к огромным, многомиллионным потерям — как прямым, так и в результате падения капитализации компаний, их допустивших, разрыва контрактов и т.д. У нас же к этому подходят довольно равнодушно. И не происходит ничего. Никого серьезно не наказали. И убытков нет. А раз так, зачем нести лишние траты? Вот и не стоит удивляться, что никаких мер по борьбе с утечками не принимается.
Михаил Левашов: Тут хотелось бы добавить, что не работает должным образом судебная система. Весьма красноречив пример, когда суд отказал в иске одному из пострадавших от утечки данных абонентской базы оператора связи. Причем этот отказ был подтвержден судом второй инстанции. Если бы этот иск на 10 млн руб. (!) был хотя бы частично удовлетворен, то это стало бы важным прецедентом, который бы заставил задуматься о соблюдении норм.
Кирилл Антипов: При обсуждении закона № 152‑ФЗ был затронут (к сожалению, мельком) вопрос хранения резервной копии данных. Как известно, хранение излишних копий повышает риск утечки информации. Важно соблюсти баланс между надежностью, которая достигается большим количеством дополнительных копий, и риском потери этих самых копий. К тому же, согласно нормам, копии нельзя хранить там же, где они были сделаны. А перенос копий усиливает риск их потери.
Михаил Левашов: Риск тут, скорее, из области теории. За годы моей работы в банковской сфере ни разу не было потерь лент. Единственное, что приходит в голову, это история с одним из банков, где просто выбросили на свалку бумажные копии платежных документов, после того как истек их срок архивного хранения. «Хотели как лучше, а получилось, как всегда» — типичный случай.
Что касается обеспечения непрерывности бизнеса, то в этом вопросе также есть аспект ИБ. В этом году банки, выполняя указание ЦБ, готовят планы по обеспечению непрерывности ИТ и восстановлению после тех или иных инцидентов. Вопросы безопасности ИТ составляют значительную часть этого указания.
Intelligent Enterprise: Как должно выглядеть управление информационной безопасностью? Кому соответствующая служба должна подчиняться, или ей лучше быть независимой?
Рамиль Яфизов: Да, единого подхода нет. Где‑то служба информационной безопасности подчиняется службе общей безопасности, где‑то ИТ. Доводилось слышать и о том, что она подчиняется кадровой службе или подразделению, занимающемуся управлением рисков или внутренним контролем. И едиными документами это не регламентируется. Могу только отметить, что лучше не совмещать ИТ‑службу и информационную безопасность. Их интересы слишком часто противоречат друг другу, что видно из обсуждения предыдущего вопроса.
Подчинять ИБ подразделению, ответственному за общую безопасность, тоже не всегда удобно. Как правило, руководители таких служб не разбираются в вопросах ИТ.
Михаил Левашов: Для финансовых организаций этот вопрос прописан в стандарте ЦБ. В нем не рекомендуется подчинять службу ИБ топ-менеджеру, курирующему ИТ. Очень часто встречается подчинение подразделения ИБ службе безопасности. Иногда — службе внутреннего контроля. Эти варианты имеют как достоинства, так и недостатки. При этом оптимальным вариантом является создание самостоятельного подразделения, напрямую подчиняющееся кому‑то из заместителей первого лица.
Кирилл Антипов: У нас за информационную безопасность отвечает служба общей безопасности. А насчет возможных проблем — все зависит от сплоченности коллектива. Сложности в нашей работе возможны как со стороны службы общей безопасности, так и ИТ-отдела. Но можно организовать работу так, чтобы разные подразделения помогали друг другу, делая общее дело. Это, скажем так, личный вопрос коллектива. И служба безопасности, и ИТ-отдел вместе могут работать очень хорошо. Важно наличие ясных регламентов работы, утвержденных обеими службами. Это позволяет быстро решать многие вопросы по взаимодействию ИТ‑служб и пользователей, например, о том, можно ли поставить то или иное ПО.
Intelligent Enterprise: При внедрении целого ряда систем могут возникать юридические коллизии, часто весьма неприятные. Вот, не так давно было оштрафовано на немалую сумму руководство Deutsche Bahn, поводом к чему стали меры по контролю над электронной почтой сотрудников. Ведь права граждан никто не отменял.
Рамиль Яфизов: Тут нам как вендорам приходится решать интересный вопрос. Задача ведь стоит не в том, чтобы читать чужую переписку, а в том, чтобы не дать утечь информации. И методами DLP‑систем эта задача решается. Вот поэтому интерес к ним и растет. Тем более что системы последнего поколения «научились» настраиваться на данные на основе контентного анализа.
Михаил Левашов: Да, тема очень серьезная. Законодательство РФ, гарантирующее охрану частной жизни людей, еще никто не отменял. Поэтому именно юристы должны решать вопросы правильного совмещения этого законодательства и требований ИБ по изучению как своих сотрудников и кандидатов на работу, так и клиентов.
А что касается DLP, то тут пока масса проблем. Технология эта еще не достигла нужного уровня зрелости, и по‑настоящему хороших систем пока нет.
Яков Шпунт: Обнаружилась еще одна коллизия. Оказалось, что после принятия поправок в уголовное законодательство под фактическим запретом оказались тесты на проникновение, которые необходимы, в частности, для сертификационного аудита на соответствие стандарту PCI DSS. Единственно возможным вариантом также оказалось проведение таких тестов без участия людей.
Надо взвешивать риски
Константин Монахов,
руководитель отдела по работе с иностранными вендорами компании МОНТМое мнение: повышение внимания к теме информационной безопасности сейчас происходит пока не за счет закона № 152‑ФЗ, так как он еще не работает и непонятно, как будет работать. К тому же закон требует сертификаты контролирующих органов — ФСТЭК, ФСБ, и многие вендоры еще не готовы представить их на все свои решения, необходимые для полной, комплексной защиты персональных данных. Скорее, общий уровень понимания нужности ИБ в организациях стал появляться вследствие осознания важности проблемы. Конечно, закон № 152‑ФЗ сыграет свою роль, но, думаю, только тогда, когда он начнет работать в полную силу.
Технологические лидеры в продуктах информационной безопасности, имеющие комплексные решении защиты — конечно, зарубежные компании (причем многие разработчики, как замечено, являются и нашими соотечественниками). Но тем не менее компании все равно зарубежные. Если смотреть по этому критерию, то тут мы отстаем. И даже сейчас, имея на практике Закон о персональных данных, который должен способствовать развитию ИБ на предприятиях, мы упираемся в сложности в сертификации зарубежных продуктов, полноценных аналогов которых российское производство не выпускает. Например, те же продукты по защите данных (DLP). Компании могут использовать данные продукты, но не в рамках защиты персональных данных. Естественно, меры по обеспечению безопасности могут снижать оперативность и гибкость работы предприятия. Но тут надо действительно взвешивать риски и определять, что может принести больший ущерб: или утечки, или нарушение работоспособности. Что касается резервного копирования, то это необходимый аспект для безопасности бизнеса наряду с системами защиты от утечек информации, предотвращения вторжений и т.д.