Специалист по информационной безопасности Softline Дмитрий Сугако рассказал об особенностях обеспечения информационной безопасности в Беларуси и ключевых направлениях Softline в этой области.

— Дмитрий, кто такие регуляторы и почему так важно соответствовать их требованиям в сфере ИТ-безопасности?

— Регулятором является государственный орган, который контролирует деятельность по обеспечению защиты информации от утечки и несанкционированных действий. Речь идет о информации, составляющих государственную тайну, или сведениях, охраняемых в соответствии с законодательством. У нас в стране функцию регулятора выполняет оперативно-аналитический центр при президенте Республики Беларусь (ОАЦ).

Почему это важно? В виду того, что информационные технологии сегодня очень бурно развиваются, а доступ к различного рода сервисам мы можем получить из любой точки земного шара, что создает огромное количество уязвимых узлов ИТ-инфраструктуры, важно использовать набор технологий по ее защите от несанкционированного входа и предотвращения утечек информации. В этом вопросе нам и помогает регулятор, предъявляя требования к информационным системам. Если взглянуть на них, то они вполне логичны. Для обеспечения защиты ограниченной для распространения информации важно выполнять ряд правовых, организационных и технических мер. Это касается и защиты персональных данных.

— Как сейчас обстоят дела с выполнением требований? Какие иллюзии существуют у компаний на этот счет?

— В целом ситуация не самая лучшая. Медленно, но белорусские компании движутся в направлении лучшего обеспечения информационной безопасности. В некоторых компаниях система защиты построена и настроена максимально приближенно к требованиям, но при этом в ней используются несертифицированные средства защиты. В других – не отражены требования к настройке в локальных нормативно-правовых актах организации. Каждая компания – частный случай, везде свои нюансы. В то же время есть и организации, которые соответствуют требованиям полностью.

Многие ИБ-специалисты и руководители считают, что соблюдение требований – это формальность, а основная защита заключается в использовании программно-аппаратных решений. На самом деле регламентирующие документы важны для создания надежной системы информационной безопасности. Например, злоумышленник заполучил через сотрудника компании конфиденциальные данные. В этом случае программное решение не сработает. Чтобы качественно защитить корпоративный периметр нужен комплексный подход, который подразумевает использование не только программных средств защиты, но также разработку и внедрение документов по информационной безопасности и совершенствование ЛНПА (локально нормативные правовые акты) организации. Проведение регулярных тренингов с сотрудниками компании. Этот процесс постоянный, нельзя создать и забыть. Сейчас обстановка меняется практически каждый день, а на изменения нужно реагировать.

— ​Что такое комплексные системы защиты? Какую защиту они обеспечивают? Почему и за счет чего окупаются существенные расходы на закупку таких систем?

— Главная задача комплексного подхода – оптимизация всей системы в совокупности, а не улучшение ее отдельных частей. Комплексные системы включают в себя целый ряд средств защиты, направленных на защиту информации от различного рода атак, обеспечение сохранности данных при физической утрате и поломках информационных носителей, обеспечение безопасности доступа к хранимым ресурсам, восстановление информационной системы в случае повреждений.

Надо помнить, что система защиты – это не только совокупность программных средств защиты, но и разработанные, внедренные локальные нормативно-правовые акты организации. Но, важное условие, стоимость систем защиты не должна превышать стоимости той информации, которая обрабатывается в инфраструктуре компании.

Одним из компонентов комплексного подхода является поддержание здорового климата в коллективе. Довольный сотрудник с меньшей долей вероятности сознательно нанесет ущерб компании, в которой он трудится. На безопасность влияет и осведомленность сотрудников организации о популярных методах атак. Даже если у специалиста нет намерений совершить что-либо во вред, в силу своей неосведомленности он легко может попасть на удочку злоумышленников. Поэтому одним из важных аспектов комплексного обеспечения информационной безопасности организации является еще и работа с персоналом.

— Как оценить вероятные потери?

— Потери от попадания информации не в те руки в большей степени финансовые. Результатом может быть проигранный конкурс на поставку какого-либо продукта. Да и банально, шантаж собственника информации злоумышленниками с целью получения выгоды. В этом случае злоумышленник может продать информацию заинтересованным лицам, конкурентам.

Другой вариант – вывод из строя оборудования ИТ-инфраструктуры, что влечет за собой простои в работе. Но угрозу представляют не только люди (свои/чужие, неважно), но и природные явления, технологические факторы (сбои в электропитании, охлаждении и т.д.).

Оценить вероятные потери можно с помощью двух основных методов оценки рисков: количественный и качественный. Однозначно сказать какой из двух методов лучше – просто невозможно. У каждого из них есть как достоинства, так и недостатки.

Количественный метод заключается в том, чтобы представить в денежном эквиваленте вероятные потери от реализации угроз. Звучит несложно! Неправда ли? Но для такого подсчета нам необходимо: оценить актив, определить процент ущерба, который может быть причинен активу в результате реализации угрозы. И это еще не все. Имея вышеназванные входные данные, мы можем оценить ущерб от одиночной атаки, но атаки могут совершаться неоднократно. На основании статистики компании, если такая имеется, или же мировой статистики, можем предположить, что реализация данной угрозы происходит пять раз в год. После этого умножаем значение единичной потери на количество предполагаемых ее реализаций и в результате имеем значение вероятных потерь в год.

Качественный метод заключается в формировании экспертной группы из компетентных специалистов, которые создают матрицу с указанием вероятности реализации риска (например, крайне вероятно, вероятно, маловероятно и т.д.) и ущерба, который он наносит (например, низкий, средний, высокий, крайне высокий). Затем матрица заполняется экспертами, используя метод «мозгового штурма», или любым другим способом. На следующем этапе создается другая матрица, в которой отражаются решения, направленные на минимизацию возможности реализации рисков. Напротив каждого из решений проставляются соответствующие баллы. По результатам заполнения матрица анализируется и выбирается оптимальное решение.

— Как видим, методы весьма относительны. Но как тогда быть?

— Есть ряд международных стандартов, касающихся защиты информации. Например, ISO/IEC 27001 (ISO 27001), в котором собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента ИБ для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности. Есть достаточное количество и других стандартов, сборников лучших практик и т.д.

— Это международные стандарты. А действуют ли они у нас? Каким требованиям должны следовать белорусские компании?

— Да, они действует и у нас. Следовать международным стандартам должны все компании, имеющие международные связи (требование со стороны заказчика, иностранного предприятия).

Кроме того, в нашем локальном законодательстве есть ряд своих уточняющих документов, регламентирующих требования к системам защиты. Например, Указ Президента №449 и в раскрытие его требований приказ ОАЦ №66. Для выполнения требований данного приказа существует группа стандартов СТБ 34-ой серии (требования к документации, средствам защиты, алгоритмам шифрования и т.д.).

Но если мы говорим об информационной безопасности в целом, то такими регламентирующими документами будут выступать Конституция Республики Беларусь, Концепция информационной безопасности РБ, Закон об информации, информатизации и защите информации и другие Законы Республики Беларусь, которые косвенно задают общий вектор направления информационной безопасности.

— Какие существуют стратегии работы с рисками?

— Существует четыре основных стратегии при работе с рисками: принятие, снижение, перенаправление, отказ от риска. Перенаправление (страхование активов) и принятие (то есть, смирится с фактом риска и его последствиями) не пользуются особой популярностью у нас в стране. Политика регулятора заключается либо в минимизации с помощью сертифицированных решений, либо в отказе от риска, то есть ликвидации источника угрозы.

Чтобы понимать, какие требования должна выполнять та или иная компания, она должна определить класс своей системы. После чего в приказе №66 найти соответствующие требования под конкретную систему.

— Как проверяется выполнение требований? Существуют ли штрафы за несоответствие?

— Для того, чтобы официально подтвердить факт выполнения требований необходимо пройти аттестацию системы защиты. Аттестат должен быть у всех компаний, обрабатывающих информацию, распространение которой ограничено. В противном случае это будет считаться нарушением законодательства. Аттестат – документ, который выдается на 5 лет и подтверждает, что система защиты способна защищать свои информационные ресурсы, то есть соответствует требованиям ОАЦ. Кроме этого, наличие аттестата требуется при организации взаимодействия с другими аттестованными информационными системами. Провести аттестацию могут только компании, которые имеют на это разрешение (лицензию ОАЦ).

Для подтверждения соответствия требованиям ISO 27001 необходимо отдельно пройти аудиторскую проверку. На практике ваше обеспечение ИБ может соответствовать всем требованиям ISO и иметь соответствующий сертификат, но это не означает, что ваша компания соответствует требованиям ОАЦ и наоборот, хоть во многом требования дублируются – это разные процедуры.

По поводу штрафов. При несоответствии требованиям регулятор дает предупреждение и предписание об устранении недостатков в определенные сроки. Невыполнение условий грозит вплоть до приостановки деятельности организации.

— Соответствие требованиям гарантирует компании высокий уровень защищенности?

— Наличие аттестата косвенно говорит о степени защищенности.  Документ показывает, что система защиты отвечает требованиям регулятора. На общий уровень защищенности компании влияет совокупность факторов: уровень системы защиты (программно-аппаратный комплекс, лицензионное ПО, сертифицированные средства защиты), работа с персоналом, аттестация и многое другое. Идеальной безопасности не существует, но использование различных инструментов в комплексе позволяет добиться максимального уровня ИБ.

— Как Softline может помочь обеспечить соответствие необходимым требованиям информационной безопасности?

— Чтобы привести систему информационной безопасности к соответствию стандартам необходимо регулярно проводить аудит. Сегодня это наиболее эффективный способ получения независимой оценки уровня защищенности компании. Softline предлагает проведение аудита для упорядочения существующих мер защиты или расследования произошедших инцидентов (например, утечки информации).

Аудит позволяет собрать необходимую информацию о событиях с критической степенью риска, о подозрительных сайтах и приложениях, из-за которых возникают угрозы безопасности, о компьютерах в локальной сети, которые уже стали жертвой вирусной атаки. Кроме того, после проведения аудита мы предоставляем заказчикам рекомендации по совершенствованию системы защиты, отдельное описание мер по ликвидации обнаруженных проблем.

У нас есть необходимые лицензии для проектирования, создания и аттестации систем защиты информации. Мы всегда готовы помочь с внедрением сертифицированных инструментов ИБ, проведением аудита, регламентацией бизнес-процессов, прохождением аттестации и проверкой регулятора.

Остались вопросы?

Вы можете задать их Дмитрию:

Тел: +375 (17) 336-55-95 (доб. 4473)  |  Dmitriy.Sugako@softline.com

Задать вопрос