Февраль 05, 2020

Как бизнесу защитить информацию?

Иван Каткин

За несоответствие стандартам информационной безопасности деятельность компаний может быть приостановлена, однако некоторые белорусские фирмы продолжают использовать даже несертифицированное оборудование и программное обеспечение.

Как бизнесу обеспечить комплексную защиту информации и не нарушить требования регулятора, газете «Белорусы и рынок» рассказал специалист по информационной безопасности (ИБ) Softline Дмитрий СУГАКО.

— Кто в Беларуси является регулятором в сфере информационной безопасности?

— Регулятор — государственный орган, который контролирует деятельность по обеспечению защиты информации от утечки и несанкционированных действий. Речь идет о данных, составляющих государственную тайну, или сведениях, охраняемых в соответствии с законодательством. У нас в стране функцию регулятора выполняет оперативно-аналитический центр при президенте Республики Беларусь (ОАЦ).

Компаниям для гарантированной защиты информации, в том числе персональных данных, нужно обеспечить выполнение комплекса правовых, организационных и технических мер. А для этого компания должна определить класс своей системы (механизм описан в государственном стандарте СТБ 34.101.30), а потом в приказе ОАЦ № 62 «О некоторых вопросах технической и криптографической защиты информации» найти соответствующие требования к ней.

— Все ли компании выполняют требования?

— В некоторых компаниях система защиты уже создана и даже максимально приближенно настроена к требованиям, но используется несертифицированное оборудование, ПО и т. д.; в других — не отражены требования к настройке в локальных нормативно-правовых актах (ЛНПА) организации.

Многие специалисты по информационной безопасности и руководители считают, что соблюдение требований — это формальность, а основная защита заключается в использовании программно-аппаратных решений. На самом деле для создания действительно надежной системы информационной безопасности важны регламентирующие документы. К примеру, если злоумышленник получит конфиденциальные данные через сотрудника компании, то в этом случае программное решение не сработает.

Чтобы качественно защитить корпоративный периметр, нужен комплексный подход, который подразумевает использование только программных средств защиты и разработку документов по информационной безопасности конкретной компании и их соблюдение. Это процесс не одного дня, а месяцев и даже года.

                                                                                   Дмитрий Сугако

— Как проверяется выполнение требований регулятора? Каковы санкции за несоответствие?

— Для того чтобы официально подтвердить факт выполнения требований, необходимо пройти аттестацию системы защиты. Аттестат должны иметь все компании, обрабатывающие информацию, распространение которой ограничено. В противном случае это будет считаться нарушением законодательства. Документ выдается на пять лет и подтверждает, что система ИБ способна защищать свои информационные ресурсы, то есть соответствует требованиям ОАЦ. Кроме того, наличие аттестата требуется при организации взаимодействия с другими аттестованными информационными системами. Провести аттестацию могут только компании, которые имеют на это разрешение (лицензию ОАЦ).

Для подтверждения соответствия требованиям ISO 27001 необходимо отдельно пройти аудиторскую проверку. На практике ваше обеспечение ИБ может соответствовать всем требованиям ISO, но это не означает, что ваша компания соответствует требованиям ОАЦ, и наоборот, хотя во многом требования дублируются.

При несоответствии требованиям регулятор делает предупреждение и дает предписание об устранении недостатков в определенные сроки. Невыполнение условий грозит приостановкой деятельности организации.

— Как белорусским компаниям обеспечить выполнение обязанностей в сфере ИБ?

— Чтобы поддерживать соответствие системы информационной безопасности стандартам и требованиям, необходимо регулярно проводить аудит. Сегодня это наиболее эффективный способ получения независимой оценки уровня защищенности компании.

Аудит позволяет собрать необходимую информацию о событиях с критической степенью риска, о подозрительных сайтах и приложениях, из-за которых возникают угрозы безопасности, или о компьютерах в локальной сети, которые уже стали жертвой вирусной атаки. Кроме того, после проведения аудита заказчикам предоставляются рекомендации по совершенствованию системы защиты и отдельное описание мер по ликвидации обнаруженных проблем.

— Что означает комплексная система защиты?

— Главная задача комплексного подхода — оптимизация всей системы в совокупности, а не улучшение отдельных ее частей. Комплексные системы включают целый ряд средств, направленных на защиту информации от различного рода атак (вирусных, хакерских), обеспечение сохранности данных при физической утрате и поломках информационных носителей, создание безопасного доступа к хранимым ресурсам, восстановление информационной системы в случае повреждений.

Надо понимать, что система защиты — это не только совокупность программных средств, но и разработанные и внедренные локальные нормативно-правовые акты организации.

Обычно стоимость таких систем не превышает стоимости информации, которая обрабатывается в инфраструктуре компании.

Одним из компонентов комплексного подхода является поддержание здорового климата в коллективе. Довольный сотрудник с меньшей долей вероятности сознательно нанесет ущерб компании, в которой он трудится. Безопасность зависит и от осведомленности сотрудников организации о популярных методах атак. Даже если у специалиста нет намерений совершить что-либо во вред, в силу своей неосведомленности он легко может попасть на удочку злоумышленников. Работа с коллективом — один из важных аспектов комплексного обеспечения информационной безопасности организации.

— Каким может быть ущерб при утечке информации? Как бизнесу оценить свои риски?

— Если информация попадет не в те руки, ущерб в большей степени будет нанесен в финансовом плане. Результатом может стать, например, проигранный конкурс на поставку какого-либо продукта или банальный шантаж собственника информации. Злоумышленники могут продать информацию заинтересованным лицам, конкурентам.

Другой вариант — вывод из строя оборудования информационной системы, что влечет за собой простои в работе.

Но угрозу представляют не только люди (свои или чужие), но и природные явления, технологические факторы, такие как сбои в электропитании или охлаждении.

Существует два основных метода оценки рисков: количественный и качественный, и каждый имеет как достоинства, так и недостатки.

Количественный метод заключается в том, чтобы представить в денежном эквиваленте вероятные потери от реализации угроз. На первый взгляд, задача не сложная, но для такого подсчета необходимо оценить актив, определить процент ущерба, который может быть причинен активу в результате реализации угрозы. И это еще не все. Имея названные входные данные, мы можем оценить ущерб от одиночной атаки, но атаки могут совершаться неоднократно. На основании статистики компании, если такая имеется, или же мировой статистики можно предположить, что реализация данной угрозы происходит, например, пять раз в год. После этого умножаем значение единичной потери на количество предполагаемых ее реализаций и в результате имеем значение вероятных потерь в год.

Качественный метод заключается в формировании экспертной группы из компетентных специалистов, которые создают матрицу с указанием вероятности риска и ущерба от него. Затем эксперты заполняют матрицу, используя метод «мозгового штурма» или любой другой способ. На следующем этапе создается другая матрица, в ней отражаются решения по минимизации реализации рисков. Напротив каждого из решений проставляются соответствующие баллы. По результатам заполнения матрицу анализируют и выбирают оптимальное решение.

— Если методы относительны, как тогда быть компаниям?

— Компании могут опираться на ряд международных стандартов в сфере защиты информации. Например, ISO/IEC 27001 (ISO 27001). В нем собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента ИБ для демонстрации способности организации защищать свои информационные ресурсы. Этот стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности.

Кроме того, следовать международным стандартам должны все компании, имеющие международные связи. Это требование со стороны заказчика, то есть иностранного предприятия.

В нашем законодательстве есть ряд своих уточняющих документов, которые регламентируют требования к системам защиты, например приказ ОАЦ № 62. Если же говорить об информационной безопасности в целом, то такими регламентирующими документами будут выступать Конституция Республики Беларусь, концепция информационной безопасности РБ, закон об информации, информатизации и защите информации, а также другие законы Республики Беларусь, которые косвенно задают общий вектор информационной безопасности.

— Какие существуют стратегии работы с рисками?

— При работе с рисками существует четыре основных стратегии: принятие, снижение, перенаправление, отказ от риска. Принятие означает, что с риском и возможными последствиями просто смиряются, перенаправление заключается в страховании активов, но в нашей стране эти подходы не пользуются  особой популярностью.

Политика регулятора заключается либо в минимизации рисков с помощью сертифицированных решений, либо в отказе от риска, то есть в ликвидации источника угрозы.

— Гарантирует ли выполнение как белорусских, так и международных требований высокий уровень защищенности?

— Успешно пройденная аттестация системы косвенно говорит о степени защищенности. Аттестат показывает, что система защиты отвечает требованиям регулятора. На общий уровень защищенности компании влияет совокупность факторов: уровень системы защиты (программно-аппаратный комплекс, лицензионное и сертифицированное ПО), работа с персоналом, аттестация и многое другое. Идеальной безопасности не существует, но использование различных инструментов в комплексе позволяет добиться максимального уровня ИБ.

Подписка на Все
20 января 2021
С 21 января в Беларуси розничные цены на дизельное топливо и автомобильный бензин увеличатся на 1 копейку.
20 января 2021
Светлана Тихановская направила в Еврокомиссию письмо с просьбой помочь с кампанией по вакцинации от Covid в Беларуси.
20 января 2021
Продажи грузовиков МАЗ в России сократились в 2020 году более чем на 3%.
20 января 2021
Нацбанк изменил график проведения заседаний правления по вопросам денежно-кредитной политики.
20 января 2021
Правительство Беларуси расширило утвержден перечень социально значимых товаров, цены на которые регулируются Министерством антимонопольного регулирования и торговли не более 90 дней в течение одного года.
20 января 2021
Белорусские синоптики предупредили об оранжевом уровне опасности в четверг из-за резкого потепления.

Страницы