Часто говорят, что достичь стопроцентной ИТ-безопасности и при этом сделать так, чтобы информационные технологии выполняли свои функции в полном объеме, практически невозможно. Тем не менее это достижимо, несмотря на определённые риски, которые конечно же необходимо закрывать. Для обеспечения ИТ-безопасности существует целый ряд отраслевых, государственных и корпоративных стандартов и процедур. Своим опытом в этой области поделился руководитель департамента информационных технологий страховой компании AIG (до ноября 2012 года Chartis) Андрей Давыдов.
Intelligent Enterprise: Какие нормативные акты регламентируют ситуацию с информационной безопасностью у вас в компании? Как контролируется их соблюдение? Насколько глубокие изменения приходится вносить в работу систем при изменении самих документов? Велико ли противоречие между корпоративными требованиями и требованиями российских регуляторов?
Андрей Давыдов: AIG является крупнейшей страховой компанией в мире. Её головной офис находится в Нью-Йорке, где устанавливаются базовые стандарты информационной безопасности. Все подразделения в других странах, в том числе и в России, должны им соответствовать, но требования локального законодательства при этом также должны соблюдаться. Не секрет, что зачастую корпоративные стандарты для финансовых организаций более жесткие, чем требования многих государственных нормативных актов, включая американский акт Сарбейнса — Оксли, которому должны соответствовать все публичные компании в США и который многие считают драконовским.
На общекорпоративном уровне в компании AIG одновременно выполняется несколько блоков процессов и процедур, связанных с обеспечением информационной безопасности. Разработаны и тщательно соблюдаются корпоративные политики в этой области. При необходимости их приходится адаптировать к требованиям местного законодательства, в нашем случае российского, хотя это совсем не простое мероприятие.
Например, много работы было связано с тем, чтобы наши корпоративные стандарты соответствовали или как минимум не противоречили закону 152-ФЗ, который регламентирует обработку персональных данных. Исходя из требований ФСБ (ФСТЭК), мы разработали модель угроз и процедуры реагирования на различные инциденты информационной безопасности и при этом совместили политики реагирования на инциденты ИБ с глобальными политиками компании. Что касается международных стандартов, которыми мы руководствуемся, то это прежде всего PCI DSS, регламентирующий всё, что касается карточных платежей. Вместе с тем под требования закона «О национальной платежной системе» мы не подпадаем, поскольку не являемся оператором платежных систем, а используем мощности партнеров. Впрочем, при этом все равно приходится принимать все необходимые меры по защите персональных данных. В своей деятельности мы используем ряд общепринятых в банковской сфере практик, адаптированных под специфику страхового бизнеса. Эти практики зачастую предъявляют более высокие требования к информационной безопасности, чем в целом по страховому рынку.
При этом AIG не стоит на месте, а постоянно пересматривает стандарты и внедряет проекты, направленные на поддержание более высокого уровня информационной безопасности, чтобы соответствовать требованиям всевозможных стандартов, которые совершенствуются год от года. Из таких проектов хотелось бы отметить выполненный в 2011 году по всей нашей компании глобальный проект по защите корпоративных данных, который представляет собой целый комплекс правил и процедур, связанных с распределением прав доступа к различным информационным системам и базам данных, где ведется обработка персональных данных. По результатам проекта были внедрены новые политики и процедуры, тесно интегрированные в общие бизнес-процессы компании.
Какое место занимает ИБ-служба в вашей компании, кому она подчиняется? Имеют ли её сотрудники право голоса при обсуждении реализуемых ИТ-проектов?
Всё, что связано с обеспечением информационной безопасности, вынесено в отдельное самостоятельное направление в инсорсинговой компании AIG Global Services (AIGGS), которая занимается сопровождением ИТ-инфраструктуры в AIG. Данное подразделение отвечает за сетевую безопасность и централизованно управляет всем оборудованием в сети. В его функции входит обеспечение единства стандартов и процедур, их выполнение и проверка. Существуют процедуры и для услуг внешних партнеров, так называемые Security Review. Это опросник, состоящий из девяноста с лишним вопросов, каждый из которых мы прорабатываем с партнером по совместному проекту. По результатам внедрения требований, сформулированных в данном опроснике, мы добиваемся соблюдения наших политик в области информационной безопасности.
Как и во многих крупных компаниях, в том числе российских, у нас идет процесс централизации ИТ. Активно ведутся работы по переходу на модель shared services, а также по размещению наших систем в двух глобальных центрах обработки данных. В свою очередь это тоже способствует обеспечению корпоративной безопасности на всех уровнях.
Общемировые практики показывают, что централизованное управление является залогом надежности и безопасности всей сетевой инфраструктуры. Любой бизнес-процесс, в котором зоны ответственности распределены по нескольким службам, имеет уязвимые места, и наша задача — минимизировать риски путем максимально возможной централизации.
Компания AIG имеет большую разветвленную структуру, поэтому подразделения по информационной безопасности существуют не только на уровне головного офиса, но и в отдельных регионах. В каждом таком подразделении действует свой Business Information Security Officer (BISO), в задачу которого входит поддержание баланса интересов и недопущение конфликтов между участниками того или иного проекта при полном соблюдении стандартов. Данная структура позволяет нам успешно внедрять сложные проекты. Например, у нас уже давно внедрена и функционирует централизованная система защиты от утечек информации (DLP).
Проходят ли в вашей компании проекты по аудиту в области ИТ-безопасности?
В последнее время аналитики много говорят о том, что вследствие широкого распространения технологий виртуализации и облаков теряется контроль над ИТ-инфраструктурой. Чтобы не допустить подобных уязвимостей, у нас любой ИТ-проект обязательно проходит аудит в области безопасности. Скажу больше, такой аудит проводится при любом значительном изменении в работе систем.
Каждый проект в компании регламентируется рядом процедур. Сначала формируется пакет документов, где описываются экономические показатели, суть и архитектура проекта. Затем он передается на рассмотрение BISO, который имеет право одобрить проект или вернуть на доработку со своими рекомендациями. Эта процедура интегрирована в процесс запуска проекта, и без ее прохождения ни один проект не может быть внедрен. Процедура также является неотъемлемой частью в работе project management office, который занимается управлением проектами в компании.
Кроме того, мы проводим аудит программного кода приложений, для чего также существует специальная организационная структура. Это касается как ПО собственной разработки, так и ПО от внешних поставщиков. При этом проводится поиск незадекларированных возможностей и вероятных уязвимостей. Без прохождения такой процедуры мы не можем использовать программное обеспечение. По результатам такой проверки ПО публикуется на корпоративном сайте разрешенных к использованию в компании программных продуктов.
Кроме того, у нас детально прописаны стандарты в области оборудования, ПО, различных настроек и процедур. Например, нашим корпоративным стандартом является сетевое оборудование компании Cisco Systems. Оно централизованно управляется AIG Global Services. Скажем, если подключить к сети посторонний компьютер, то он не получит доступа к ресурсам. Мы сможем подключить его только при исполнении целого ряда условий, включая соответствие корпоративным политикам в области разграничения прав доступа и соблюдения безопасности.
Если говорить о контроле данных, то у нас закрыт доступ к бесплатным почтовым службам. Сотрудникам на рабочем месте разрешается пользоваться только корпоративной почтой в корпоративных целях. Запрещено обращение к файлообменным сервисам. Наша DLP-система полностью запрещает запись на любые внешние носители. Регулярно обновляются «черные» и «белые» списки сайтов.
Как избежать конфликта между ИТ- и ИБ-службами в процессе работы?
На основании моего опыта тут необходима полная, максимально возможная интеграция процессов безопасности в процессы ИТ. Только в этом случае у компании будет уверенность в том, что без прохождения одного из этапов, включая выполнение требований по обеспечению безопасности, нельзя перейти к следующему. У нас процедуры, связанные с обеспечением информационной безопасности, встроены в логику работы информационных служб.
В любых проектах в области информационной защиты присутствует как техническая, так и организационная составляющая. Каково их соотношение в проектах, связанных с обеспечением сетевой безопасности?
И техническая, и организационная составляющие важны в любых ИБ-проектах. В том, что касается обеспечения именно сетевой безопасности, они равнозначны. Недостаточно поставить оборудование и ПО, необходимо разработать политики и регламенты и добиться от пользователей, чтобы процедуры соблюдались. Например, когда мы проводили мероприятия в рамках мер по соблюдению законодательства о защите персональных данных, мы доводили регламенты и инструкции до всех сотрудников под подпись.
Мы не делаем проектов без всех согласований на организационном уровне. И тут нам помогает то, что в нашей централизованной структуре AIGGS существуют процедуры ИТ-управления, или IT Governance. Они позволяют доводить до бизнеса, какие задачи, связанные с обеспечением информационной безопасности, являются зоной ответственности именно бизнеса, а не только ИТ- и ИБ-подразделений. И от бизнеса работоспособность всей конструкции зависит не меньше, чем от функционирования технических средств.
В этом процессе мы высоко оцениваем вовлеченность юридической службы. Именно ее сотрудники помогают службе ИТ-безопасности сформулировать риски на понятном для бизнеса языке, связанные с нарушениями требований к информационной защите в целом и сетевой в частности. В нашей структуре задача IT Governance и состоит в том, чтобы выработать однозначно понимаемые всеми формулировки.
При этом можно закрыть такие риски, которые, казалось бы, невозможно предусмотреть. Вспомним несколько громких инцидентов текущего года, связанных с «неосторожными» комментариями сотрудников крупных российских компаний в социальных сетях. В каждом таком случае возникал широкий общественный резонанс, сотрудника увольняли, а репутация компании страдала. У нас же довольно давно прописаны политики поведения персонала компании в новых медиасредствах, включая социальные сети. Эти политики на регулярной основе доводятся до всех сотрудников. У российских предприятий в этой сфере пока нет таких регламентов. Очень многое делается и для того, чтобы избежать атак с использованием методов социальной инженерии. У нас существует обучающий центр, в котором проводятся интерактивные курсы, посвященные в том числе и информационной безопасности. Они локализованы и доносят все политики и регламенты, которые действуют в компании.
Все эти меры направлены на получение синергетического эффекта от интеграции ИТ и ИБ с обеспечением эффективности и непрерывности роста бизнеса компании AIG во всех регионах присутствия.