Бизнес и информационная безопасность – новые тенденции.

Илья Медведовский, к.т.н.

Директор Digital Security

idm@dsec.ru

Одной из основных проблем, до сих пор сдерживающих развитие информационной безопасности в мире, является непонимание топ-менеджеров необходимости обеспечивать не только физическую, но информационную безопасность. Сегодня вопросы компьютерной или информационной безопасности становятся для ряда компаний не просто вопросами безопасности бизнеса, а еще и жизненной необходимостью дальнейшего развития – выходом на новый жизненный цикл развития бизнеса компании.

Как соотносится развитие бизнеса и информационная безопасность; почему сегодня многие крупные компании вынуждены заниматься обеспечением безопасности не только для снижения информационных рисков, а и из-за прямой бизнес необходимости и требований рынка; какие дополнительные способы существуют у директора по ИБ для нахождения понимания у топ-менеджмента компании – эти вопросы будут рассмотрены в данном докладе.

Основной акцент сейчас мы сделаем не на необходимости обеспечения информационной безопасности – это понятно нам профессионалам и обсуждать здесь нечего – нужно действовать. Правда, это не всегда понятно топ-менеджменту. Посмотрим  на эту проблему под другим углом зрения. Какие существуют аргументы, почему еще компания вынуждена при определенных условиях внедрять эффективную систему управления безопасностью, основанную на современных международных стандартах:

Во-первых, это, прежде всего, акт Сарбаниса-Оксли, который посвящен внедрению механизмов внутреннего финансового контроля компании, акции которой котируются на Нью-Йорской фондовой бирже. К информационной безопасности относится статья 404 акта, в которой говорится о необходимости внедрения процедур внутреннего контроля над процессами компании, в том числе и над процессами, обрабатывающимися в информационной системе. При этом невыполнение акта ведет к уголовной ответственности руководства компании и исключения ее акций с Нью-Йоркской фондовой биржи. Согласно требованиям акта при проведении финансового аудита необходима также проверка выполнения статьи 404, что требует от компании соответствующей системы управления информационной безопасностью.

Во-вторых, это сегодня ни для кого не секрет, что большинство крупных компаний приглашают в качестве финансовых аудиторов консалтинговые компании большой четверки. При этом финансовое заключение аудитора большой четверки является открытой информацией и пристально анализируется рынком. В случае негативного отчета рынок реагирует соответствующим образом – падением доверия к акциям компании. Однако многие не учитывают тот факт, что в процессе финансового аудита, который занимает основную часть времени аудитора и является основной задачей, существует формальная проверка выполнения компанией базовых требований по обеспечению информационной безопасности. Безусловно, здесь речь не идет о глубоком технологическом аудите безопасности – формально оцениваются лишь базовые принципы безопасности, невыполнение которых может повлиять на итоговый отчет аудитора, тем самым, вызвав нежелательную для руководства компании реакцию рынка.

Аудиторы в данном случае справедливо исходят из того факта, что финансовая информация должна обрабатываться в доверенной среде; в среде, где существует система управления информационной безопасностью.

В-третьих, можно вспомнить существующий стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы РФ» и требования Национального банка Молдовы о необходимости соответствия системы управления информационной безопасностью банков требованиям стандарта ISO 17799. В Молдове введение этих регулирующих требований в 2003 году привело к необходимости учитывать требования ISO 17799 при построении системы управления ИБ в организациях банковской сферы, так как аудиторы Национального Банка Молдовы ежегодно проверяют выполнение требований стандарта.

В России стандарт ЦБ РФ по информационной безопасности был введен 1 декабря 2004 года и пока носит статус рекомендательного. Однако совершенно очевидно, что изменение статуса с «рекомендательного» на «обязательный» произойдет в ближайшее время, что повлечет за собой появление еще одного нормативного регулятора, который вынудит банки в РФ при построении своих систем руководствовать требованиями данного стандарта.

И еще один небольшой факт на заданную тему, который подтверждает наметившуюся тенденцию: в США Главная Счетная Палата при проведении финансового аудита проводит также и аудит информационной безопасности, применяя собственный стандарт FISCAM.   

Данная тенденция повышения значимости рыночных регуляторов в вопросах обеспечения информационной безопасности также подтверждается исследованием Ernst&Young, проведенном в 2005 году.

Источник: Ernst&Young

В заключение, можно сделать вывод о наметившейся в последние годы тенденции заниматься вопросами обеспечения информационной безопасности и, прежде всего – построением надежной системы управления безопасностью не только  из соображений обеспечения безопасности, а и из-за прямых или косвенных требований рынка или соответствующих рыночных регуляторов – контролирующих органов. И сегодня, заранее распознав эту тенденцию, мы как специалисты по информационной безопасности должны быть к этому готовы – уже сегодня имеет смысл начать объяснять руководству компаний существующие рыночные реалии в виде зарождающихся рыночных требований к системе управления информационной безопасностью.