Аналитика и комментарии

30 марта 2018

Россия – одна из немногих стран, у которой несколько сотен нормативных актов, регулирующих сферу информационной безопасности

Исторически так сложилось, что Россия – одна из немногих стран, у которой несколько сотен нормативных актов, регулирующих сферу информационной безопасности. И поэтому у многих складывается впечатление, что ИБ сводится к выполнению требований регулятора или, точнее, нескольких регуляторов – Банка России, ФСТЭК и т.д. Но при этом упускается из виду, что любой, даже самый новый нормативный акт – это ответ на вызов вчерашнего дня. Технологии идут вперед гораздо быстрее, чем информация кодифицируется и ложится в основу того или иного закона, распоряжения или указания.

Следующий этап – это защита от угроз, когда нормативные акты не помогают и защиту организации все равно «ломают». Например, организация выполнила 17-й приказ ФСТЭК, 235-й и 239-й приказы о критической инфраструктуре, но это ей не помогло. И не потому, что она неправильно прочитала документы, просто в них не учтены те виды угроз, которые появились в промежутках между тем, как регуляторы вносят изменения в эти акты. А это происходит в среднем раз в полгода, так что можно легко понять, почему возникают подобные ситуации.

И последние два этапа – это уже высший пилотаж. Когда безопасность рассматривается не как страховка и не как налог, от которого мы не можем отказаться, а как бизнес-функция. Лучше всего, когда мы воспринимаем обеспечение безопасности не как нечто предотвращающее и мешающее, а как то, что помогает географически расширяться и зарабатывать. То есть когда мы начинаем смотреть на безопасность как на отдел продаж или на ИТ, или на юридический департамент. К такому пониманию сейчас только-только приходят и в России, и во всем мире. Понятно, что переход на этот уровень осмысления дается нелегко, ведь нас много лет подряд учили, что все обстоит иначе.

Поводов для того, чтобы совершить этот переход, несколько. Первый из них – страх. Все вендоры рассказывают вам про различные вирусы, угрозы, инсайдеров, утечки и говорят, что у них есть решения, которые позволят вам бороться с этими бедами. Примерно то же самое говорит и регулятор: есть угрозы, и я, как регулятор, выработал комплекс защитных мер, которые рекомендую вам выполнять. На первом этапе и то, и другое действительно позволяет выстроить защиту от тех угроз, которые компания для себя рассматривает в качестве приоритетных.

Второй вариант, или подход, – это выполнение нормативных требований. Мы не смотрим на угрозы или делаем это мельком, а идем по другому пути – берем табличку в конце указания ЦБ РФ или ФСТЭК и применяем защитные меры, которые там прописаны. Перед регуляторами мы чисты, а то, что у нас пропали деньги или оказались зашифрованными файлы в момент подачи бухгалтером годового отчета, – это издержки. Это тоже достаточно распространенный подход, поскольку у нас влияние нормативных документов традиционно сильно, и уважительное отношение к ним продолжает превалировать над многими другими вещами.

И третий подход – когда мы смотрим, насколько те или иные меры помогают нам с точки зрения защиты бизнеса. Он не слишком распространен не только в России, но и в мире. Причи- на этого проста: безопасники не очень любят, когда их эффективность меряют в деньгах, они в большинстве случаев говорят, что так делать неправильно и их функция не в том, чтобы увеличивать доходы бизнеса, а в том, чтобы его защищать. Когда руководитель компании начинает «копать глубже», то есть выяснять, от чего конкретно безопасник защитил компанию, то выходит «пшик». Безопасник, например, говорит – от прихода регулятора. А что бы было, если бы регулятор пришел и обнаружил, что то или иное постановление или указание не выполнено? Компания либо заплатила бы 10-20 тыс. рублей, либо вообще ничего не заплатила бы, поскольку во многих случаях отсутствует правоприменительная практика.

Естественно, что в этой ситуации у бизнеса возникают вопросы: скажем, штрафы за невыполнение тех или иных регуляторных требований составляют десятки тысяч рублей, а на решения по безопасности надо потратить миллионы, а то и десятки миллионов рублей. И во многих случаях бизнес делает очевидный выбор: штрафов нет, наказаний нет, а тратить большие деньги в нынешней сложной экономической ситуации никто не стремится. Поэтому у нас и есть компании, которые тратят куда большие средств на туалетную бумагу или кофе для сотрудников, чем на обеспечение защиты информации.

Нам важно определить, какие средства защиты нам все-таки использовать и как все же регулятор будет смотреть на эту проблему. И тут надо сказать, что, начиная с 2011 года, у нас произошел взрывной рост выпуска нормативных актов в сфере ИБ. Если до 2011 года у нас было выпущено всего порядка 100 документов по защите, то за 4-5 лет их вышло около 300. Возникает вопрос, как во всем этом массиве разобраться, что из этого нужно выполнять, а что необязательно. Требования разные, написанные разными людьми, зачастую даже разными отделами одного и того же ведомства. И ведь никто не говорит, какие из этих указаний и требований являются жестко обязательными, какие – менее обязательными, дается алгоритм выбора. Есть энтузиасты, которые собирают все эти требования и создают «простыню», в которой перечислены порядка 2000 мер. Понятно, что выполнять их все просто-напросто невозможно – ни у кого не хватит для этого ни сил, ни человеческих ресурсов, ни денег. К сожалению, тема унификации и кодификации этих требований не находит своего выражения, хотя разговоры об этом ведутся с завидной частотой. Причина этого в том, что ни один из регуляторов не хочет терять свои рычаги влияния, и очевидно, что в обозримые шесть лет такого регулятора не возникнет. А это значит, что разные регуляторы будут продолжать по-разному влиять на рынок. Спасает в этой ситуации, пожалуй, только то, что люди, работающие в этих ведомствах, получили более или менее схожее образование, поэтому мыслят они в одной парадигме.

При этом, как я уже говорил, регуляторы, определяя базовый набор защитных мероприятий, дают свободу творчества: каждая организация вольна сама выбирать перечень защитных мероприятий в зависимости от модели угроз, бизнес-процессов и т.д. Это в определенном смысле изменение парадигмы. С одной стороны, это несколько облегчает жизнь компаний – им не надо выполнять то, что им не нужно. А с другой стороны, это приносит трудности, потому что организациям приходится думать и выбирать. Причем разные наборы инструментов и способов защиты могут быть даже у тех компаний, которые работают в одной и той же сфере бизнеса, поскольку подходы к организации защиты у них будут разными.

Если организация работает не только под надзором Банка России, но у нее есть и платежные карты, то она подпадает под международный стандарт PCI DSS. Если она решила придерживаться стандарта ISO, то там она столкнется с несколько иным набором требований. В общем итоге получится, что надо выполнять где-то порядка 400-500 требований. В чем-то указания и рекомендации наших ЦБ РФ, ФСТЭК и международных стандартов, конечно же, пересекаются, но не полностью. И тут мы опять возвращаемся к теме востребованности унификации требований и рекомендаций. В то же время мы понимаем, что это не решит вопрос, в какой последовательности реализовывать защитные меры: ведь есть те, которые важны в первую очередь (например, контроль привилегированного доступа или установка обновлений), и те, которые не так важны (например, установка обманных систем или защита от спама, или установка решений по предотвращению утечек информации).

Кстати, я как раз хотел бы более подробно остановиться на DLP-решениях. На сегодняшний день у нас сложился самый большой рынок в мире таких систем, но беда в том, что их эффективность стремится к нулю. Поэтому сами по себе DLP-решения используются не столько для того, чтобы предотвратить утечки, сколько для того, чтобы найти в компании «вредителя», который вместо работы сидит на посторонних сайтах и тратит деньги работодателя на свои личные развлечения. Если злоумышленник достаточно квалифицирован, он найдет способ «утянуть» закрытую информацию, и даже самая разрекламированная DLP-система ему в этом не помешает. Поэтому мы видим, что по статистике 80 % внедрений DLP-решений оканчиваются неудачно – эти системы не оправдывают надежд, которые на них возлагают их покупатели.

Перейдем к тому, в чем заключается принцип Парето, поскольку он как раз и призван помочь нам отсеять то, что неважно, и то, что критически важно. Его иногда называют 80 на 20, хотя на самом деле Парето никогда про это ничего не говорил. Он просто выявил закономерность, которую сформулировал следующим образом: небольшая доля причин отвечает за большую долю результата. То есть речь идет о приоритизации. Стоит отметить, что этот принцип применяется отнюдь не только в сфере ИБ, но и в других областях человеческой деятельности. В нашем случае этот принцип можно проиллюстрировать следующим образом.

80% совершают несанкционированный доступ, то есть компьютерные преступления, если они уверены в том, что это не станет известным и за ними никто не следит. Это можно сравнить с тем, как люди берут в компании ручки и бумагу, не задумываясь о том, что это является банальным воровством. Точно так же многие сотрудники считают, что ничего страшного в том, что они возьмут информацию, с которой они работали, на домашний компьютер или, например, при увольнении.

88% ИТ-специалистов допускают месть работодателю после своего увольнения – либо в форме смены паролей при увольнении, либо стирая бэкап-файлы, либо пользуясь за счет компании бесплатным интернетом, либо другими способами. Естественно, что эта модель срабатывает, когда с айтишниками расстаются недружелюбно.

20% уязвимостей приводят к 80% всех атак. Это означает, что не надо устранять все – вместо этого надо сконцентрироваться на самых важных из них, наиболее часто проявляющихся.

Атаки обычно направлены на 95% уязвимостей, для которых уже существуют способы устранения. Статистика говорит именно об этом. Очень ярким примером, подтверждающим это, является атака WannaCry. Об этом вирусе и о том, какую конкретно уязвимость систем он использует, было известно заблаговременно, но тем не менее многие компании оказались к атаке не готовы. Конечно, ущерб от этого вируса был не критичным, однако этот пример очень показателен.

80% функционала современных средств защиты не используется. Производители стараются по максимуму включить в продукт все, что только можно. Им проще поддерживать один товар, чем соз- давать разные изделия под разные задачи.

А покупатели в результате сильно переплачивают за функции, которые им на самом деле не нужны, и потом мучаются, эксплуатируя вещь, поскольку она оказывается достаточно «тяжелой».

Стоимость лицензии на систему защиты составляет 15-20 % от совокупной стоимости владения, то есть от всех затрат, которые возникают в результате внедрения той или иной системы защиты.

Если мы транслируем принцип Парето на мероприятия и меры, прописанные в нормативных документах разного уровня, то убедимся, что он работает и здесь. У нас, как я уже говорил, есть огромное количество законов, указаний и предписаний. Между тем, если на практике все обобщить, то можно выделить следующий набор высокоуровневых мероприятий:

  • моделирование угроз, то есть мы должны понять, с чем конкретно мы боремся, хотя у регуляторов, за исключением ФСБ, пока никакой методики на этот счет не появилось;
  • предотвращение неправомерного доступа, уничтожения, модификации, блокирования информации на объекте защиты;
  • недопущение воздействия на технические средства обработки информации, то есть борьба с DDos;
  • применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • оценка эффективности принимаемых мер в виде аттестации, самопроверки, внешнего аудита и т.д.;
  • учет машинных носителей, что требует правильного толкования самого понятия «машинный носитель», поскольку в противном случае придется контролировать и учитывать буквально каждую флешку и смартфон;
  • обнаружение фактов несанкционированного доступа и принятие мер;
  • восстановление информации и правил доступа к ней, а также регистрация соответствующих действий;
  • контроль за принимаемыми мерами;
  • наличие ответственного сотрудника;
  • непрерывное взаимодействие с ГосСОПКА, ликвидация последствий компьютерных атак, которые находятся в ведении 8-го отдела ФСБ.

Следует понимать, что регуляторы идут в сторону непрерывного и постоянного мониторинга инцидентов в сфере ИБ. В принципе, при правильной постановке проблемы так и должно быть.

Поделиться:
 

Возврат к списку