Особенности национальной защиты
Уровень развития информатизации в России пока таков, что у нас нет частых крупных скандалов, связанных с утечкой конфиденциальной информации.
Василий Окулесский
Уровень развития информатизации в России пока таков, что у нас нет частых крупных скандалов, связанных с утечкой конфиденциальной информации. В то время как зарубежные компании, учебные заведения и правительственные учреждения чуть ли не каждую неделю сообщают об информационных потерях, в российских компаниях царит относительный мир и покой. И дело не только в том, что степень прозрачности нашего бизнеса дает возможность сохранять существенную часть корпоративной информации в тайне от широкой общественности. Российская ментальность не позволяет, по крайней мере пока, создавать системы, основанные на полном доверии и «доброй воле» граждан. И специалистам в области защиты информационной безопасности работать в России приходится иначе, решать свои профессиональные задачи им в чем-то труднее, а в чем-то проще.
Проблема защиты коммерческой информации в полной мере встала перед российскими организациями и предприятиями не так давно, в начале 90-х годов. В то время решение этой задачи рассматривалось в основном таким образом: достаточно все просто «запаролить», «зашифровать», поставить специальные замки на компьютеры, и все проблемы будут решены. Причем подобный подход сохранялся довольно долгое время, защита информации во многих компаниях в целом и в банках в частности сводилась к введению некоторых технических правил.
В некотором смысле работа по обеспечению безопасности информации строилась приблизительно так же, как на предприятиях в то время осуществлялся контроль за качеством. А сами отделы по защите информации напоминали отделы технического контроля на заводах. Главная задача сотрудников и тех и этих отделов состояла в том, чтобы измерять и контролировать различные технические параметры. И такая ситуация сохранялась очень долгое время.
Интересно, что новый подход как к защите информации, так и к проблемам качества наметился практически одновременно. От создания систем качества, контролирующих отдельные параметры, перешли к внедрению систем управления предприятием. Подобные изменения произошли и в области организации информационной безопасности — на смену решениям, защищающим отдельные параметры информации, пришли системы по организации управления процессами безопасности в целом.
Принципиальное отличие нового подхода состоит в том, что для его реализации формируется набор целей и задач, которые, в свою очередь, решаются с помощью определенных показателей. Однако необходимо понимать, что эта работа на 90% упирается в правильное управление персоналом. Можно с уверенностью сказать, что сейчас основной акцент делается не на решении технических проблем, связанных с защитой информации (два-три года назад речь шла об организации систем по защите информации), а на том, как правильно реорганизовать общую систему управления организации в целом и систему управления персоналом в частности. Следует помнить еще об одном — в том случае, когда речь идет о системном решении, внедрение на девять десятых происходит за счет организационных мер, а технические и программные средства составляют остальную, очень незначительную часть. Только в таком случае система будет полностью управляема и контролируема. Тем более, что основная задача состоит не в ликвидации последствий инцидентов, а в том, чтобы не допустить их возникновения.
При этом, если внимательно рассмотреть стандарты в области менеджмента информационной безопасности и качества, то видно, что по очень многим пунктам они перекликаются. Так, например, в последней версии международных стандартов, регламентирующих создание систем по защите информации, ясно сказано, что требования по обеспечению информационной безопасности должны соответствовать международной системе стандартов качества ISO 9001.
Таким образом, когда мы говорим об организации безопасности информации в настоящее время, речь идет о создании системы менеджмента. Все это, в свою очередь, позволяет несколько по-другому оценивать непосредственно систему организации безопасности информации.
Основная проблема
Несмотря на то что взгляд на проблему организации безопасности информации и общая концепция защиты информации в последнее время принципиально изменились, люди остались те же. Поэтому основная проблема, которую приходится решать специалистам в области защиты информации, состоит в том, чтобы научить сотрудников, и в первую очередь старших менеджеров компании, уважать собственные информационные ресурсы и защищать их. Довольно часто руководители даже самого верхнего эшелона управления довольно слабо представляют себе, зачем собственно им нужно заниматься обеспечением безопасности своих информационных ресурсов. Мало того, требования по защите информации довольно часто воспринимаются как очередное бюрократическое запрещение и попытка заставить сотрудников вместо реальной работы заниматься выполнением каких-то никому не нужных регламентов. Эта проблема «системная» и связана она даже не с недостатком корпоративной культуры в большинстве компаний, а с тем, что в обществе до конца не понимают, что такое информация, и довольно слабо осознают прямую связь между понятиями «информация» и «деньги». При этом известно, что порой стоимость информации может намного превышать стоимость золота.
Как ни странно, такая ситуация довольно часто встречается и в банках. С точки зрения руководителей бизнес-подразделений многих банков, которые работают непосредственно с клиентами, в том случае, если даже системы защиты информации не будет, ничего серьезного не случится — клиенты от этого в банк идти не перестанут.
И это несмотря на то, что сейчас развитие банковского бизнеса достигло такого уровня, при котором, по самым скромным оценкам, 70% активов любого банка составляют информационные ресурсы. А те деньги, которые физически находятся в банках, представляют собой очень незначительный процент от оборота. Таким образом, получается, что «живыми» деньгами является именно та информация, которая находится в банковских системах. Однако эту реальность понимает очень незначительная часть руководителей. Причем зачастую даже те из менеджеров, кто публично декларирует свое понимание ситуации, в реальной жизни не придают защите информации большого значения. Подобный подход объясняется просто. Пока у руководителя не было серьезных прецедентов, он особо не верит в то, что потеря информации может привести действительно к серьезным убыткам. А его поведение полностью соответствует известной русской пословице: «Пока гром не грянет, мужик не перекрестится».
Тем более, что приблизительные подсчеты говорят о следующем: день простоя стоит банку около 80% ежедневного оборота, именно столько потеряет банк в случае, например, вирусной атаки. Таким образом, можно оценить приблизительную стоимость информационного ресурса. Однако любой руководитель знает, что для того чтобы предотвратить такой вот, на их взгляд, «гипотетический ущерб», надо потратить несколько сотен тысяч долларов в год на обеспечение безопасности информации. На одни только средства антивирусной защиты надо потратить от 100 до 300 тысяч в год (из расчета, что антивирусная защита одного компьютера обойдется от 10 до 50 долларов в год). Все деньги, которые приходится тратить, учтены и известны, а вот польза, которую приносят такие системы, для руководства не слишком очевидна. При этом вероятность потерь, согласно оценкам банковского руководства, не столь велика. Таким образом, уже упомянутая приблизительная стоимость потерь, согласно всем подсчетам, не превышает той цены, которую банк должен ежегодно инвестировать в средства защиты информации. Именно поэтому случается, что сотрудники, обеспечивающие безопасность информации в банке, воспринимаются руководством как «нахлебники», которые в рабочее время занимаются ерундой, ловят какие-то непонятные вирусы, или как бюрократы, мешающие работе компании.
Поэтому специалистам в области защиты информации предстоит заниматься решением одной из самых важных задач — воспитанием высшего менеджмента. Эту проблему можно решить не с помощью кавалерийских атак или с применением каких-то технических средств, а постоянным убеждением руководства в том, что все делается исключительно в интересах клиентов, собственников и сотрудников, банка.
Внешние проблемы
Уровень внешней технической защищенности банков сейчас таков, что украсть информацию из банка «снаружи», через публичные каналы достаточно сложно. Такая ситуация объясняется несколькими причинами. Прежде всего потому, что, как в известном анекдоте: «Почему ни разу не „взломали“ вычислительную сеть Министерства обороны России? — Потому, что у нее нет физического выхода наружу», — большинство банковских систем работает по своим закрытым каналам. Конечно, веб-интерфейсы и публичные сети используются, однако это пока скорее исключение, чем правило. Несмотря на то что сейчас очень много говорят о различных интернет-сервисах, в действительности эта деятельность составляет незначительную часть бизнеса большинства банков. Таким образом, можно говорить о том, что проблема внешней защищенности банков от хакерских атак «в основном решена». Хотя это не означает, что можно спокойно «почивать на лаврах». Необходимо помнить о том, что методы защиты всегда идут чуть позади способов нападения, и можно ожидать появления новых способов проникновения.
Кроме того, вирусные атаки, которые также связаны с выходом во внешний мир, являются одной из самых серьезных помех, в том числе и для банков. Причем эта опасность до сих пор в значительной степени недооценена. Даже те вирусы, которые ничего не выводят из строя, наносят большой вред просто самим фактом своего появления: они сильно перегружают трафик и отвлекают людей от работы. В том же случае, когда вирус наносит реальный ущерб, это становится чрезвычайным происшествием. Кроме того, количество вирусов и «троянских коней» постоянно растет, и истребить это явление, судя по всему, невозможно.
В числе других «внешних» проблем, с которыми приходится сталкиваться службам информационной безопасности банков, можно отметить взрывы, пожары, наводнения, отключения электроэнергии. Однако как решать такого рода проблемы, известно, для этого существуют стандартные методы, и поэтому эти прецеденты существенной проблемы для организации безопасности не представляют.
Внутренние проблемы
Если же говорить о «внутренних» проблемах, возникающих при защите информации, то прежде всего стоит отметить сложности при организации управления доступом к системам. Задача службы информационной безопасности состоит в том, чтобы обеспечить сотрудникам доступ к тем ресурсам, которые им нужны для решения их профессиональных задач. И одновременно закрыть доступ к той информации, которую им знать нельзя. Кроме того, необходимо следить за тем, чтобы соблюдались все требования по конфиденциальности, и организовывать контроль за перепиской. Для решения всех этих проблем прежде всего необходимо вести серьезную работу с сотрудниками.
Кто должен управлять организацией доступа к системам и как контролировать тех, кто управляет? В какой-то степени эта проблема не имеет конца — надо постоянно контролировать тех, кто контролирует. Однако эти задачи необходимо решать, причем в тесном контакте с бизнес-структурами банка. Прежде всего, необходимо создать и наладить систему документооборота. Следующим шагом является утверждение должностных инструкций, положение о подразделениях, их взаимодействии и взаимозависимости. Должен существовать строгий регламент — кто, когда и в каком виде может создавать документы, а кто может их редактировать и удалять.
Вторая группа проблем как раз связана с тем, что в банке, так же, как и в любой другой организации, накапливается огромный объем информации. Необходимо четко определить, что, как именно и сколь долго следует хранить. Понятно, что хранить все и вечно невозможно, да и не нужно. Поэтому речь идет о том, чтобы четко классифицировать всю информацию и создавать регламенты, кто из сотрудников к какой информации может иметь доступ и как быстро необходимые сведения должны быть ему предоставлены. Все это требует создания достаточно сложных алгоритмов резервного и архивного хранения. Отдельная проблема связана с той информацией, за время хранения которой в банке сменилось несколько информационных систем. Понятно, что в решении всех этих задач принимает участие не только отдел по защите информации, но и другие структуры банка, в том числе и его бизнес-подразделения. Однако стоит понимать, что по своим масштабам эта проблема зачастую оказывается намного более серьезной, чем борьба с вирусами.
Еще одна группа проблем, с которой приходится сталкиваться специалистам по информационной безопасности, связана с тем, что банки постоянно имеют дело с новым программным обеспечением. Новый банковский продукт появляется раз в два-три месяца. Для того чтобы его поддерживать, надо либо что-то «дописывать» самим, либо где-то пытаться купить подходящие программы. Все это создает целую группу проблем, которую также необходимо решать. Приобретенные дистрибутивы надо где-то хранить, постоянно обновлять, писать к ним инструкции и добиваться того, чтобы они соответствовали нормативам. Кроме того, все программы надо проверять на наличие вирусов, тестировать, оценивать, насколько они соответствуют другому, уже используемому программному обеспечению. А также оценивать, какие ресурсы они займут. Мало того, в том случае, если банк приобретает ПО, разработанное на заказ, приходится решать вопрос о совместимости вновь разработанного продукта с теми системами, которые были установлены до этого.
Для того чтобы все вышеперечисленные проблемы могли решаться в нормальном режиме и с минимальными потерями, необходимо с самого начала системно подходить к обеспечению защиты информации. Лучше при этом использовать известные системы менеджмента качества.
Специфические проблемы
В сущности, банк точно такое же предприятие, как и все остальные. Поэтому проблемы, возникающие при организации защиты информации банка, не слишком отличаются от подобных проблем, имеющих место в других компаниях. Однако у банков есть и свои специфические проблемы, связанные с особенностями их работы. Скажем, разделение между платежными и информационными системами существует только в банковских структурах. Хотя стоит помнить, что платежные системы также являются информационными системами, и поэтому требования безопасности и в тех и в других примерно одинаковые.
Среди других специфических банковских проблем прежде всего стоит отметить комплекс задач по обеспечению безопасности платежей. Специалистам по защите информации довольно часто приходится сталкиваться с такими вещами, как подмена платежей, карточное мошенничество и невозвращение кредитов. Однако стоит понимать, что все эти проблемы так или иначе связаны с информационными проблемами, в основе которых лежит получение ложных данных о клиентах. Действительно, не все клиенты любят говорить о себе правду. Поэтому одна из задач, которые должна решать служба информационной безопасности, как раз и состоит в том, чтобы получить от клиентов действительно правдивую информацию. Все эти задачи могут решаться самыми разными способами, мало того, все время разрабатываются новые способы решения.
Безопасность и риски
Стоит упомянуть об одной закономерности: чем более удобный для клиента продукт внедряется банком (например, обслуживание по SMS, карточные системы), тем больше проблем приходится решать службе информационной безопасности, тем сложнее защищать информацию, причем не только банковскую, но и личную информацию самого клиента. Поэтому, с одной стороны, все банки стремятся предлагать клиентам как можно больше удобных для них сервисов и постоянно говорят о том, что гарантируют безопасность информации. С другой стороны, любой серьезный банк постоянно предупреждает своих клиентов о том, что использование любых публичных сетей снижает уровень безопасности. Мало того, применение, например, беспроводных технологий порой ставит в тупик службы защиты информации.
Поэтому основной принцип, на котором строит свою работу любой банк, состоит в том, чтобы правильно оценивать риски. Именно в этом, кстати сказать, состоит самое главное отличие защиты коммерческой информации от защиты информации в государственных структурах. В госорганизациях, как правило, денег не считают, если задача поставлена, она должна быть решена любыми средствами. В основе деятельности коммерческих банков лежит оценка рисков. Абсолютной защиты не бывает, и поэтому в том случае, когда принимается какое-либо решение, руководство должно просчитывать, какие потери может понести банк. Предпринимается комплекс мер, которые могут смягчить последствия потери: формируется резервный фонд, заранее подготавливаются юристы и предупреждаются клиенты. Система строится таким образом, чтобы любой клиент, приобретая определенную услугу, знал, к каким последствиям это может привести и что сам он от потерь также не застрахован. Бывает, что на основе предварительной оценки рисков по той или иной услуге руководство приходит к выводу, что эту услугу банк пока еще не готов предоставлять.
Подобный подход помогает научиться управлять рисками информационной безопасности и безопасности бизнеса. В том случае, когда руководство банка спрашивает мнение специалистов в области информационной безопасности, оно, как правило, получает квалифицированную консультацию. При этом довольно часто решающими факторами оказываются требования бизнеса и желания клиентов. Интересно, что и сами банковские клиенты находятся в «раздвоенном состоянии». С одной стороны, они хотят все больше и больше сервиса и удобств при получении различных банковских услуг. С другой стороны, постоянно идет разговор о том, что в наше время человек постепенно лишается какой-либо приватной жизни, а его данные становятся достоянием общественности и даже злоумышленников.
Однако утечка информации может произойти каким угодно путем, и кража данных через банковскую систему — только один из вариантов. Паспортные данные могут украсть, вскрыв базу данных или просто разрезав сумочку с документами. Причем в случае физической потери документа последствия могут быть гораздо более серьезные. И об этом стоит всегда помнить. Абсолютно надежных и закрытых систем не бывает. Даже в том случае, если доступ к базе данных открыт всего нескольким людям и все они друг друга контролируют, всегда может случиться, что данные окажутся незащищенными. Противоречие между удобством и незащищенностью информации будет только углубляться. Придумать абсолютно защищенные системы невозможно — всегда найдется человек, который сможет обойти систему. Это диалектическое противоречие, которое, кстати сказать, способствует внутреннему развитию систем обеспечения защиты информации.
Стандарты
В области защиты информации стандартизация играет очень большую роль прежде всего потому, что только с помощью стандартов можно добиться того, чтобы в банках повсеместно практиковался системный подход при решении задач по обеспечению безопасности. До последнего времени в России не существовало строгих правил на этот счет. Однако в самое ближайшее время ситуация может измениться. В силу вступил стандарт Центрального банка Российской Федерации по безопасности информации, который вводит системный подход в законодательные рамки. Пока Центробанк рекомендует всем российским банкам использовать этот подход. Однако стоит понимать, что, во-первых, не прислушиваться к мнению Банка России остальным банкам, работающим на нашей территории, довольно трудно. Кроме того, скорее всего эти требования в самое ближайшее время приобретут статус обязательных.
Вступление России в ВТО, с точки зрения специалистов в области защиты информации, является положительным моментом, так как потребует от всех банков обязательного выполнения Базельского соглашения (Basel-2). Это соглашение представляет собой набор стандартов, среди которых есть обязательные требования к защите информации, основанные на международных регламентах. Все это потребует от руководства компаний и банков обязательного следования всем стандартам, даже в том случае, если менеджеры не понимают, зачем им это нужно. Однако они будут вынуждены подчиниться и выполнять все требования, и постепенно, несомненно, оценят все преимущества стандартизации.
Источник: CIO, №10 от 16 октября 2006 года
Комментарии 0