Компьютерная системы защиты информации

 

"Финансовая газета. Региональный  выпуск", 2011, N 10

 

КОМПЛЕКСНАЯ СИСТЕМА  ЗАЩИТЫ ИНФОРМАЦИИ

 

Актуальность проблемы, связанной  с обеспечением безопасности информации, возрастает с каждым годом. Наиболее часто потерпевшими от реализации различных  угроз безопасности являются финансовые и торговые организации, медицинские и образовательные учреждения. Если посмотреть на ситуацию десятилетней давности, то основной угрозой для организаций были компьютерные вирусы, авторы которых не преследовали каких-то конкретных целей, связанных с обогащением. Современные хакерские атаки стали более изощренными, организованными, профессиональными, разнообразными и, главное, имеющими конкретную цель, например направленными на хищение данных банковских счетов в конкретных банковских системах. Совершенствование сферы информационных услуг, особенно в сфере дистанционного банковского обслуживания, способствует развитию интеллекта киберпреступников.

Статистика подтверждает необходимость  комплексной системы защиты информации (КСЗИ). В России, как и за рубежом, она обусловлена двумя во многом пересекающимися группами факторов: требованиями бизнеса и законодательства.

К требованиям бизнеса относятся:

минимизация рисков, связанных с  утечками информации;

безопасность ключевых бизнес-процессов;

выполнение требований информационной безопасности в рамках договоров  с контрагентами.

Должный уровень информационной безопасности организации обеспечивает дополнительную привлекательность в лице партнеров, заказчиков или инвесторов.

В части российского законодательства основным стимулом для развития информационной безопасности является Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (в ред. от 23.12.2010), требования которого распространяются практически на все российские организации. Для выполнения требований законодательства необходимо руководствоваться нормативно-методологической базой ФСТЭК России (в части, касающейся некриптографических методов защиты информации) и ФСБ России (в части, касающейся криптографических методов защиты информации), а также стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", который пока носит рекомендательный характер для финансовых организаций.

Распространение на российские организации  требований международных стандартов информационной безопасности, как правило, имеет добровольный характер. Однако некоторые виды деятельности требуют  обязательного выполнения международных стандартов, например стандарт PCI DSS является обязательным для выполнения банковскими организациями с собственным процессингом платежных карт.

Для построения комплексной системы  защиты информации необходимо понимание  руководством актуальности проблемы. Создание системы обычно закладывается и формулируется в документе "Политика информационной безопасности", доступность которого для каждого сотрудника - одно из многочисленных необходимых условий эффективного результата. Для разработки политики информационной безопасности следует провести подготовительную работу - выявить потребности бизнеса в области информационной безопасности (это первый этап построения системы). На этапе обследования к активному участию привлекаются руководители бизнес-подразделений, являющихся ключевыми с точки зрения критичности бизнеса. Результатом обследования становятся зафиксированные и формализованные потребности всех заинтересованных сторон в обеспечении информационной защиты.

 

Аудит и консалтинг в области информационной безопасности

организации

 

Преимущество привлечения стороннего консалтинга заключается в том, что заказчик получает оценку независимых  экспертов в области обеспечения  информационной безопасности. Например, в процессе работы команды консультантов может быть выявлена ситуация, связанная с отсутствием должного уровня документирования процессов информационного обеспечения бизнеса. Без него бизнес может стать заложником служб IT-обеспечения. Это может произойти в случае сбоя в ключевой информационной системе, отсутствия плана аварийного восстановления и необходимых инструкций администраторов информационных систем. Самая банальная ситуация - увольнение IT-специалиста без передачи дел замещающему его специалисту в достаточном объеме.

Подразделения, желающие скрыть недостатки своей работы, могут использовать нерешенность организационных вопросов в качестве причины для отказа в предоставлении информации, поэтому для беспрепятственной работы внешних специалистов решать эти вопросы необходимо заблаговременно - подписание договоров о неразглашении, назначение рабочих групп из состава как организации-заказчика, так и исполнителя с четким разграничением обязанностей и полномочий, заблаговременное информирование привлекаемых подразделений.

Для подтверждения соответствия требованиям международных стандартов информационной безопасности организация должна пройти сертификационный аудит. При проведении сертификационных аудитов к консалтинговым компаниям должно предъявляться требование о наличии необходимого статуса, позволяющего выполнять такие работы. Например, для проведения сертификационного аудита на соответствие международному стандарту защиты процессинга платежных карт PCI DSS консалтинговая компания должна иметь статус QSA (Qualified Security Assessor), а для проведения сертификационного аудита на соответствие международному стандарту системы менеджмента/управления информационной безопасности ISO 27001 - статус партнерства BSI (British Standards Institution).

Сертификационный аудит, как правило, длится несколько дней, его результатом являются получение или продление соответствующего сертификата либо набор замечаний и рекомендаций по их устранению.

Подготовка к сертификационному  аудиту - более длительный и сложный  процесс, который может длиться  месяцы или годы и требует взаимодействия бизнес-подразделений, служб IT-обеспечения, информационной безопасности и консалтинговой организации.

Предоставление услуг по защите информации, в соответствии с российскими  стандартами и законами, подпадает  под действие Федерального закона от 08.08.2001 N 128-ФЗ "О лицензировании отдельных видов деятельности" (в ред. от 29.12.2010), согласно которому организации, оказывающие услуги по защите информации, должны обладать соответствующими лицензиями и аттестатами, основными из которых являются (приведен далеко не полный перечень всех существующих лицензий):

лицензия ФСТЭК России на разрешение деятельности по технической защите конфиденциальной информации;

аттестат аккредитации органа по аттестации объектов информатизации ФСТЭК России;

лицензия ФСБ России на осуществление  технического обслуживания шифровальных (криптографических) средств;

лицензия ФСБ России на распространение  шифровальных (криптографических) средств.

Аттестация проводится для подтверждения  выполнения требований ФСТЭК России или ФСБ России, аттестующим органом  здесь может быть организация, имеющая  соответствующую аккредитацию органа по аттестации (документ, подтверждающий этот статус, тоже называется аттестатом). Аттестат соответствия также выписывается для автоматизированной системы.

Сертификация по требованиям стандарта - процедура, подразумевающая получение  организацией какого-либо международного статуса, например сертификата соответствия PCI DSS compliance или сертификата на соответствие системы менеджмента информационной безопасности требованиям международного стандарта ISO/IEC 27001:2005.

Во избежание путаницы необходимо обратить внимание на то, что требования сертификации в контексте российского законодательства распространяются на средства защиты информации. Так, сертификаты ФСТЭК России или ФСБ России распространяются на конкретное средство защиты, например антивирус или межсетевой экран, а сертификат ISO/IEC 27001:2005 - на организацию.

 

Сертифицированные специалисты

 

Ответ на вопрос о необходимости  наличия в штате организации  собственных специалистов по информационной безопасности однозначен - да, нужны. Внешний  консалтинг и аутсорсинг не смогут решить все вопросы информационной безопасности. При помощи консалтинга можно выявить и формализовать потребности бизнеса, грамотно обосновать необходимость затрат, написать проекты организационно-распорядительной документации, запустить комплекс технических средств, организовать его техническое сопровождение. Но многие функции отдавать внешним специалистам по разным причинам неправильно, например такие, как информирование высшего менеджмента, защита бюджетов, проведение расследований инцидентов информационной безопасности, организация работы по обучению и информированию персонала, контроль за соблюдением норм информационной безопасности в его организационной части, аудит действий администраторов автоматизированных систем.

Более того, любая заинтересованная в обеспечении информационной безопасности организация должна иметь в штате подразделение информационной безопасности, которое должно подчиняться высшему руководству и быть независимым от других подразделений. Наличие в штате организации специалистов, имеющих соответствующее образование, предусмотрено и законодательством. Например, наличие собственных систем дистанционного банковского обслуживания с применением технологий электронной цифровой подписи, т.е. средств криптографической защиты информации, автоматически подпадает под Закон о лицензировании отдельных видов деятельности, в частности требуется лицензия ФСБ России на обслуживание шифровальных (криптографических средств), а данная лицензия, как и все остальные лицензии ФСТЭК России и ФСБ России, связанные с деятельностью по защите информации, предполагает штатных специалистов по информационной безопасности.

 

П.Ерошкин

Начальник управления

информационной безопасности

компании "Техносерв"

Подписано в печать

09.03.2011

 

 

 

Ерошкин П. Комплексная система  защиты информации // Финансовая газета. Региональный выпуск. 2011. N 10. С. 15.

 

"Управление в кредитной организации", 2009, N 3

 

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - ФАКТОР ОБЕСПЕЧЕНИЯ

КОНКУРЕНТНЫХ ПРЕИМУЩЕСТВ

 

Кризисные процессы, происходящие в  экономике России, сделали более  контрастными давно существовавшие проблемы, позволили по-новому оценить  приоритеты и пути решения этих проблем. Всего год назад многие организации  бизнес-сообщества стремились к повышению капитализации и доходности. В современных условиях многие из них борются за само право на дальнейшее существование. Значительно в большей степени, чем прежде, они чувствительны к финансовым потерям.

 

Об усилении конкуренции и ее особенностях в настоящее время

 

В вопросе о продолжительности  стагнации российской экономики  мнения экспертов расходятся, но в  том, что она имеет место, согласны все. Например, глава Сберегательного  банка Российской Федерации, экс-министр  экономического развития и торговли Герман Греф считает, что Россия должна готовиться как минимум к трехлетней стагнации экономики.

Прямым следствием стагнации рынка  является усиление конкуренции, которое  становится одним из наиболее значимых факторов, влияющих на все сферы экономической жизни.

При этом необходимо учитывать, что  в настоящее время конкуренция  развивается в условиях объективно существующего высокого технологического уровня большинства производственных процессов и интеллектуального  уровня значительной части занятых в них специалистов. Нельзя не отметить, что в начале XXI в. в нашей стране произошли положительные сдвиги в высшей школе и особенно в системе корпоративного послевузовского обучения.

 

Внедрение современных информационных технологий

 

Сегодня от компании требуется больше мобильности в принятии решений, больше скорости, больше гибкости. Выполнение этих условий, эффективный менеджмент в целом невозможны без внедрения современных средств вычислительной техники.

Развитие бизнеса, удержание и  расширение доли на рынке, в том числе в кредитной сфере, все в большей степени связываются с использованием новых информационных технологий. Все больший объем информации создается, обращается, обрабатывается и накапливается исключительно в электронном виде. Это относится практически ко всей платежной информации и отчетности банков.

Так, в ближайшее время начнется внедрение системы передачи в  банки решений налоговых органов  о приостановлении операций по счетам налогоплательщиков в электронном  виде. Это обусловлено тем, что использовать, обрабатывать и сохранять информацию в электронном виде не только удобнее, надежнее, но и выгоднее. Хотя иногда и приходится слышать, что "без компьютеров было лучше", но это воспринимается уже только как шутка.

"Электронное правительство" - не дань моде, а насущная необходимость, условие успешного развития всех сторон социально-экономической жизни в нашей стране. Остаться в стороне от происходящих в сфере мировой информатизации процессов нам уже просто не удастся. Но с другой стороны, перевод информационных потоков в электронный вид требует и новых подходов к защите информации.

Несанкционированное копирование  и хищение значительных объемов  представляющих интерес данных в  электронном виде в отсутствие специальных  защитных систем осуществить тоже намного проще. Таким образом, эффективность внедряемых вычислительных информационных систем, целесообразность затрат на их создание во многом зависят от уровня безопасности, который они обеспечивают.

 

Роль подразделений информационной безопасности

 

Рассматривая рыночную стоимость  предприятий, современные маркетологи  пришли к выводу о том, что важнейшими ее составляющими являются: бренд, человеческий капитал и применяемые технологии.

В этом контексте, оценивая роль и  место подразделений информационной безопасности в организационной структуре, можно отметить, что данные подразделения своим трудом придают особое свойство предлагаемому организацией на рынке продукту - безопасность. Они непосредственно участвуют в формировании бренда, способствуют повышению квалификации персонала. Для того чтобы убедиться в этом применительно к кредитным организациям, достаточно, например, поинтересоваться у потенциального клиента, какому банку он доверит свои денежные средства - тому, где реально обеспечена информационная безопасность, или тому, где ее нет?