В последнее время все большую популярность приобретают всевозможные стандарты в сфере информационной безопасности. Наиболее популярными в нашей стране являются:
- PSI:DSS , диктуемый "большой четверкой" пластиковых карт (AmEx, Maestro, Mastercard, Visa) - это индустриальный стандарт;
- серия стандартов ISO/IEC 27000 , разработанная институтом ISO на основе и BS7799 - это т.н. "лучшие практики" в сфере ИБ;
- Всяческие законы и постановления, большинство которых морально устарели: Законы об информации, ее конфиденциальности, ЭЦП, всяческие постановления НБУ и т.п. - это правовые регулирующие механизмы;
- Вопросам ИБ также уделяют некоторое внимание общеайтишные CobiT и ITIL .
Отчего возникает подобная активность? Причин несколько.
Во-первых, иностранные инвесторы все чаще требуют от своих украинских "дочек" выполнения тех обязательств, которые взяла на себя родительская компания. Особенно когда в дочернее предприятие мигрируют процессы по обслуживанию VIP-клиентов.
Во-вторых, соответствие индустриальным стандартам - это неплохое подспорье в бизнесе. Безопасность должна приносить прибыль, иначе ее очень трудно будет поддерживать. А формально подтвержденный статус компании, соответствующей, скажем, ISO27001, - это хорошее средство капитализации. Для клиентов сертификат от ISO - прекрасное доказательство зрелости системы управления ИБ компании. А это для поставщика услуг или аутсорсера, участвующего в тендере, неоценимый плюс. PCI:DSS в свою очередь необходим для самоего участия в обработке карточных транзакций, иначе вашему бизнесу грозят штрафы, тяжбы, отказ в процессинге и т.п.
В-третьих, для подтверждения корректности финансовых отчетов в компаниях, активно использующих ИТ-системыдля их составления, существуют целые своды контролей целостности данных при передаче из одной системы в другую, адекватности отчетов исходным данным и т.д. В основном у нас это коснулось мобильных операторов, так как в связке "Биллинг->ERP->Финансовый отчет" обрабатывается просто колоссальные объемы данных. На вооружение в этой связи взят SOX , который у себя на родине в Штатах является важнейшим компонентом успешного выхода на IPO . То есть, у нас это боле индустриальный стандарт, хотя он задумывался создателями как самый настоящий закон.
К сожалению, роль соответствия стандартам в сфере ИБ нередко переоценивают и путают с собственно информационной безопасностью. К сожалению, эта точка зрения активно поддерживается ведущими аудиторами и консультантами. Такой подход среди специалистов называется использованием "бумажных тигров" для защиты информации. Бизнес настаивает на том, что сертификат с печатью PCI защищает его от утечки информации и остановки операций. Масштабы заблуждения общественности в этой связи достигли невообразимых масштабов. Посему считаю своим долгом высказаться на эту тему.
Соответствие и безопасность не одно и то же. Между ними, по сути, нет никакой логической связи. Первое вполне возможно в отсутствие второго и наоборот. То есть, корректно заполненный чек-лист аудита PCI:DSS не может спасти компанию от утечки информации ( TJX и HeartLand успешно это продемонстрировали). А здоровая, зрелая и безопасная ИТ-инфраструктура может обойтись и без всяческих стандартов - особенно, если ее клиенты способны самостоятельно оценить состояние дел, а не равняются на заключение внешнего аудитора.
То есть, если компания сертифицирована по ISO27001, это значит только то, что в ней реализована СУИБ, удовлетворяющая требованиям этого стандарта, и компонентами которой являются 109 (вроде) контролей из коллекции ISO27002. Точка. Если после ухода аудиторов вы пригласите продвинутую команду пентестеров и они проведут полный спектр мероприятий (сканирование и эксплуатация уязвимостей, атаки с использованием инсайдеров, взлом замков, социальную инженерию с использованием НЛП и т.д., и т.п.) то скорее всего "бумажные тигры" их не остановят. Но это не значит, что аудит бесполезен, - это значит, что его не достаточно.
И соответствие, и безопасность компании необходимы. Но не следует их путать, нужно поддерживать и то, и другое. Постройте успешную СУИБ, ориентируясь на потребности бизнеса (т.е. результаты анализа рисков) и хорошие практики безопасной архитектуры и настройки ИТ-систем. Благо, источников такой информации немало - SANS , CIS , EFF ... Тысячи светлых умов только того и ждут, чтобы кто-то воспользовался результатами их работы.
Когда закончите, то есть построите СУИБ и начнете ее сопровождать, возьмитесь за приведение процессов и документации в соответствие выбранному стандарту. Это поможет усилить административную и физическую грани безопасности. После этого приглашайте аудиторов и наслаждайтесь зрелищем.
Поселите "бумажных тигров" за "огненными стенами", пусть трудятся сообща.
