Журнал «!Безопасноть деловой информации» №3

3№3 | 2-й квартал

Дорогие читатели!Этот номер верстался в самую горячую для нас пору, период подготовки к DLP-Russia. Во время формирования программы и создания материалов конференции идет активное переосмысление всех процессов и трендов, существующих на рынке информационной безопасности. Именно поэтому мы решили сделать этот номер тематическим.

Статьи, представленные в этом выпуске журнала, как и вы-ступления на самой конференции DLP-Russia, активно затра-гивают последние тенденции отрасли, вопросы взаимодей-ствия ИБ и бизнеса.

Более того, изменения, обусловленные последними тренда-ми, затронули и саму Ассоциацию, под эгидой которой вы-ходит наш журнал и проводится конференция. О новой кон-цепции, ребрендинге Ассоциации и конференции читайте на первых полосах этого выпуска.

Наталья МутельГлавный редактор журнала «!Безопасность Деловой Информации»

3

o!%�*2: ha. h“2%!, !=ƒ",2,

q% �!›=…,�

12

31

40

4

Áàçîâûå ýëåìåíòû ìåíåäæìåíòà ðèñêîâ ÈÁРиск-менеджмент в информационной безопасности — дисциплина далеко не новая, но по-прежнему вызывающая массу вопросов, критики и скепсиса.

Александр БондаренкоДиректор по развитию ЗАО «ЛЕТА»

50

№3, 2013

}--�*2,"…/� “2!=2��,,Áåçîïàñíîñòü áèçíåñ-ïðèëîæåíèéЗащита корпоративных приложений — довольно молодое направление в корпоративной информационной безопасности и пока еще строго не оформилось в отдельную отрасль.

Рустэм ХайретдиновЗаместитель генерального директора компании InfoWatch, генеральный директор Appercut Security

46

`*=��, ��…�2=K=Çàùèòà êîðïîðàòèâíîé èíôîðìàöèè vs çîíà êîìôîðòà ñîòðóäíèêîâЕдва ли есть другое ПО, которое бы вызывало столько споров этического характера, как DLP-системы.

Всеволод ИвановИсполнительный директор компании InfoWatch

54

}--�*2,"…/� “2!=2��,,Ýòàïû ïðèíÿòèÿ íîâîãî – îáúåêòèâíàÿ çàêîíîìåðíîñòüФраза о том, что «информационная безопасность является лишь обеспечивающим процессом», не будет открытием для профессионалов в сфере защиты информации.

Андрей ЕринДиректор службы информационной безопасности ООО «Каркаде»

58

bƒ 2/� "/“%2/Security Intelligence – íîâîå ðåøåíèå ñòàðîé çàäà÷è Почти любое ИБ-подразделение изо дня в день сталкивается с проблемами, которые с одной стороны банальны, а с другой – оказывают более чем значительное влияние на его работу.

Анна КостинаРуководитель направления систем управления безопасностью Центра ИБкомпании «Инфосистемы Джет»

62

5

DLP-RUSSIA 2008-2012. hŠnch

6ПЛЕНАРНЫХ ЗАСЕДАНИЙ

21ТЕМАТИЧЕСКАЯ СЕКЦИЯ

5КРУГЛЫХСТОЛОВ

nŠp`qkh

Промышленность

8,6%

Государственные организации

6,8%

Нефть и газ

5,9%

Энергетика

4,1%

Другое

3,6%

Образование и наука

3,2%

Строительствои недвижимость

2,3%

Телеком

7,7%

Банки, финансы,страхование

31,7%

Информационныетехнологии

13,1%

Информационнаябезопасность

11,3%

Банки, финансы,страхование

122 × 20 ÌÈÍ

ОБЩАЯ ПРОДОЛЖИТЕЛЬНОСТЬ ДОКЛАДОВ

6

Ежегодная конференция DLP-Russia по вопросам контроля информацион-ных потоков и защиты конфиденциальных данных от утечек

1410ПОСЕТИТЕЛЕЙКОНФЕРЕНЦИИ

837КОМПАНИЙ И ОРГАНИЗАЦИЙ

300ЗРИТЕЛЕЙОН-ЛАЙН ТРАНСЛЯЦИИ

101ВЫСТУПАЮЩИЙЭКСПЕРТ

0ek| onqeyemh“

`rdhŠnph“

84,4%

49,8%

16,3%

81,1%

Узнать об актуальных темах отрасли ИБ

Найти поставщиков продуктов и услуг

Найти новых клиентов

Услышать мнения экспертов по интересующим вопросам

50%

24%

17%

9%

Топ-менеджеры, руководители ИТ и ИБ

Технические специалисты

Менеджеры среднего звена

Консультанты, менеджеры по продажам, преподаватели

50%

24%

17%

9%

7

8 «!Безопасность Деловой Информации»

Ассоциация «DLP-Эксперт» была образована в 2008 году как объединение ведущих экспертов в области ИБ. Под эгидой Ассоциации активно развивается on-line площадка сообщества «DLP-Эксперт», проводится ежегодная конференция DLP-Russia и выпускается журнал «!Безопасность деловой информации».

В 2013 году Ассоциация, которая всегда пристально следила за переменами, происходящими на рынке, откликнулась на них изменением концепции и расширением списка рассматриваемых тем. Теперь деятельность Ассоциации посвящена вопросам, связанным с защитой корпоративной информации. В связи с этим было при-нято решение изменить название Ассоциации на Business Information Security Association, и конференции — на Business Information Security Summit.

DLP-Russia BISSBusiness Information Security Summit

становится

Наталья Касперскаягенеральный директор InfoWatch

6 лет назад мы с вами впервые задумались о том, что но-вому, молодому рынку средств защиты от утечек (DLP) для успешного развития нужна мощная платформа.

А именно, информационная площадка для концентра-ции и обмена знаниями и опытом, место для регуляр-ных встреч экспертов, специалистов и пользователей DLP-систем, обсуждения актуальных проблем и острых вопросов в области защиты конфиденциальной инфор-мации. Так возникло профессиональное сообщество

«DLP-Эксперт», появился сайт www.dlp-expert.ru, было положено начало ежегодной конференции DLP-Russia.Время, как известно, летит быстро, особен-но когда идет активная работа коллектива увле-ченных общей идеей людей. Все это время раз-витие рынка DLP было скорее эволюционным,


нежели революционным: мы прошли большой путь от первых, еще весьма несовершенных DLP-систем к «умному» программному обеспечению, контролиру-ющему все информационные потоки в организации.

Сегодня мы с вами являемся свидетелями уникаль-ного процесса смены парадигмы развития рынка защиты конфиденциальной информации от утечки в сторону проактивной защиты, прогнозирования информационных рисков в корпоративной среде.Глубоко анализируя тенденции рынка и запросы поль-зователей, мы отмечаем нарастающую потребность современных компаний в выявлении на ранней ста-дии подозрительной активности сотрудников, которая в дальнейшем может привести к утечке конфиденциаль-ной корпоративной информации. И уже сейчас можно с определенной долей уверенности сказать, что бли-

жайшее будущее DLP-рынка будет определяться созда-нием и развитием проактивных систем защиты от ин-сайда. Причем не только в России, стоящей в авангарде мировой ИБ-индустрии, но и на глобальном рынке.

Поэтому нам с вами предстоит огромная работа над развитием нового, намного более широкого и пер-спективного рынка. Прислушиваясь к последним тенденциям мы поддержали коллег из Ассоциации «DLP-Эксперт» в решении изменить концепцию Ас-социации и конференции, сделать более широким и универсальным список рассматриваемых вопросов по информационной безопасности и подобрать но-вые названия, отвечающие обновленному статусу.

Предлагаю начать прямо сейчас!

Рустэм Хайретдиновпрезидент Ассоциации «DLP-Эксперт»

Теперь наша ассоциация называется Business Information Security Association и я, соответсвенно, президент Ассоциации Business Information Security Association (сокращенно BISA).

В следующем году мы с вами встретимся на Business Information Security Summit (BISS), теперь конферен-ция с таким названием будет проходить вместо всем привычной DLP-Russia. Мы изменили не только назва-ние, но и концепцию: последние тенденции рынка за-ставляют нас обращаться к более широкому спектру проблем, и мы решили выбрать названия, которые будут наиболее полно отражать суть тех вопросов, ко-торые мы будем рассматривать в ходе конференции и на площадке Ассоциации.

Мы начинали как небольшой клуб из пары дюжин профессионалов, обменивающихся опытом противо-действия внутренним угрозам в условиях, когда при-вычные методы типа «все запретить, зашифровать и поставить антивирус» не действовали. Теперь нас многие сотни, при этом не все знакомы друг с другом лично — таков наш век информационных технологий.

Все это не зря, за нами десятки инициатив в рам-ках работы над подзаконными актами, отраслевые модели угроз и лучшие практики внедрения систем противодействия внутренним угрозам, методики ле-гитимных внутренних расследований и реальные дела в судах. Профессиональные сообщества для того и су-

ществуют, чтобы опыт работы профессионалов нака-пливался и становился доступным для всех.

Ежегодная конференция — это и отчет ИБ-сообщества за год, и рассмотрение основных тенденций отрасли, и обсуждение планов на ближайшее время. Что будет с рынком информационной безопасности страны? Как изменится рыночный и правовой ландшафт на-шей отрасли? Что мы можем сделать для расширения рынка и его цивилизованности? Утечки информа-ции — лишь первая, но не далеко единственная вну-тренняя угроза информацимонной безопасности, с которой столкнулись все мы. Поэтому все остальные внутренние угрозы — мошенничество, саботаж, зло-употребления привилегированных пользователей, закладки в заказном программном обеспечении — не останутся без внимания на нашей конференции.

Спасибо вам, что принимаете участие в работе Ас-социации, не важно, просто ли вы читаете наш сайт или активно участвуете в наших мероприятиях. Добро пожаловать на конференцию Business Information Security Summit’ 2014, крупнейшее мероприятие страны, посвященное вопросам информационной безопасности!

Наш новый проект:«ИБ. История развития»

Как считают три из четырех мировых религий,первый случай несанкционированного доступа

к защищаемой информации произошел ещево времена прародителей человечества,

Адама и Евы.

Несанкционированный доступ к плодам Древа познания Добра и Зла показал, что исключительно одним запре-том не может защитить информацию даже сам Господь Бог. Поэтому вопросами информационной безопасности человечество озаботилось еще с древнейших времен, и это тема не одного исследования. В этом номере мы начинаем большой проект, где будем рассматривать раз-личные аспекты истории становления рынка информа-

ционной безопасности.

Текст: Александр Токаренко

11

Краткая история ИБ в России

13

Проект: ИБ. История развития

Алексей ЛукацкийБизнес-консультант по безопасности, Cisco Systems

История информационной безопасности в России ведет свое начало с древнейших времен; но в более-менее управляемое русло она вошла со времен Ивана Грозного, когда российское государство начало активную внешнеполитическую деятель-ность. Потом Россия вошла во времена регулярной диплома-тической переписки, постоянные войны и конфликты… Незаметно царская Россия столкнулась с революционерами.

«Именно с шифрования начиналась история защиты информации в Российской

империи (да и не только в ней) и очень длительное время

только ею и ограничивалась…»

После Октябрьского переворота возник-ла еще большая необходимость в защите революционных интересов в информа-ционной сфере, при ВЧК был создан 8-й Спецотдел (в Красной Армии были свои органы защиты информации), который и можно считать прародителем отечествен-ной отрасли информационной безопасно-сти. Правда, тогда, в начале 20-го века, ни о каких компьютерах и речи не было,

и вся защита ограничивалась только обе-спечением конфиденциальности инфор-мации, т.е. ее шифрованием. Именно с шифрования начиналась история защиты информации в Российской империи (да и не только в ней) и очень длительное время только ею и ограничивалась…

Пока не пришло время первых вычисли-тельных машин.

Мнение Геннадия Емельянова

Что ставить во главу угла?Сильное государство, способное защитить своих граждан, или государство как оно есть сейчас у нас? Я лично исхожу из первого посыла, и поэтому считаю абсолютно правильным выделение технических каналов утечки информации из средств защиты от них в самостоятельное направление.

В описываемый период руководитель одного из структурных подразделений Управления КГБ СССР

Дело в том, что наши основные оппоненты (как ранее было принято говорить, противники), конечно, не сто-яли на месте и разрабатывали самые новые и мощ-ные средства технической разведки. Мы должны были им что-то противопоставить. Вопросами защиты ин-формации к этому времени занимались и КГБ СССР, и другие ведомства, в первую очередь, Министерство Обороны СССР.

Поэтому, на мой взгляд, было выделение вопросов защиты информации от технических каналов утеч-ки в отдельное направление. Что касается КГБ СССР (ныне ФСБ России), то за этим ведомством как была, так и остается главенствующая роль в области крипто-графической защиты, в надежности которой лично я, проработавший в этой сфере более 30-ти лет, не со-мневаюсь. Итак, ситуация привела к созданию само-стоятельной структуры — Гостехкомиссии СССР.

В это время я был руководителем одного из струк-турных подразделений Управления КГБ СССР. Непо-средственно столкнулся с этой проблематикой уже после распада СССР, будучи начальником управления ФАПСИ. Это было время становления новой норма-тивной базы России во всех сферах деятельности, в том числе и в области защиты информации. Мне при-шлось плотно общаться с аппаратом Гостехкомиссии, в адрес которого я могу высказать только высокие оценки. Нам пришлось разрабатывать ряд совмест-ных документов, и я весьма положительно могу ото-зваться о квалификации сотрудников Гостехкомиссии, ныне ФСТЭК. В настоящее время это моё убеждение только укрепилось.

Вместе с тем, я понимаю, что жить бизнесу под тре-бованиями двух серьезных ведомств достаточно не-легко, и поддерживаю желание как-то облегчить эту ситуацию.



Примерно с 1970-х годов Советский Союз плавно подошел к очередному этапу в истории отечественной информационной безопасности.

Эпоха КГБ и ПДИТР Слова: КГБ СССР, Гостехкомиссия СССР, противодействие иностранным разведкам

Перед государством, которое все пыталось «догнать и перегнать Америку», очень остро встала задача обе-спечения сохранности своих государственных тайн, на которые посягали иностранные технические раз-ведки. Примерно в это время и проявилось впервые разделение, последствия которого мы ощущаем до сих пор, – разделение на криптографию и все осталь-ное, которыми занялись Комитет государственной безопасности (КГБ) и Государственная техническая ко-миссия (Гостехкомиссия) соответственно. КГБ, являю-щийся наследником 8-го Спецотдела ВЧК, продолжал

обеспечивать криптографическую защиту каналов связи высших органов государственной власти, дипло-матических представительств и миссий, а также ана-логичных структур, нуждающихся в надежном сокры-тии своих секретов.

А Гостехкомиссия была создана в 1973-м году для ор-ганизации и координации работ по противодействию иностранным техническим разведкам (ПДИТР). Этот период длился примерно до середины-конца 80-х го-дов, до перестройки.

«В 1990-м году парламентская комиссия, созданная по распоряжению

президента Бориса Ельцина и возглавляемая академиком

Юрием Рыжовым, впервые ввела термин «информационная безопасность»



Эпоха Гостехкомиссии и ФАПСИ Слова: ФАПСИ СССР, Гостехкомиссия СССР, малиновый пиджак, перестройка, первыеЭВМ, Борис Ельцин, Юрий Рыжов

Конец 80-х годов и начало 90-х запомнились многим как времена малиновых пиджаков, полной неразберихи, рэкета, гласности, перестройки, кооперативов и первых олигархов. Именно в это время бывшая главная спецслужба страны вступает в свое не самое лучшее время – ее лихорадит, она постоянно переименовывается, ее покидают сотрудники, оседающие в коммерческом секторе, который растет очень активно и семимильными шагами движется в ногу с прогрессом.

А прогресс неумолим – появляются первые компьюте-ры. При этом службы безопасности фирм и кооперати-вов новых русских возглавляют «бывшие» сотрудники КГБ, привнесшие в коммерческую сферу весь свой богатый опыт защиты тайн и секретов; правда, на этот раз уже коммерческих. Пожалуй, с этого времени можно отсчитывать начало коммерческого сегмента отрасли информационной безопасности. Хотя задачи перед ней стояли схожие с областью государственных секретов – обеспечение конфиденциальности и защи-ты от прослушки.

В конце 80-х годов значительно расширились задачи и возможности КГБ и Гостехкомиссии по основным направлениям деятельности в области ИБ — шифро-

вание (включая и спецсвязь) и ПДИТР (электронную разведку я специально оставляю в стороне). 91-92-й годы можно назвать переломными в области форми-рования концепции обеспечения информационной безопасности в стране на долгие годы.

В 1990-м году парламентская комиссия, созданная по распоряжению президента Бориса Ельцина и возглав-ляемая академиком Юрием Рыжовым, впервые ввела термин «информационная безопасность». Эта комис-сия, работавшая 40 дней, разрабатывала Концепцию национальной безопасности, а также иерархию осно-вополагающих документов, на которые должны были опираться все нормативные акты по безопасности.



«Часть документов и множество идей, появившихся в то время, действует

и до сих пор, продолжая устаревший, но все-таки никем не отмененный курс в области информационной безопасности»

Из интервью Рыжова на Радио Свобода в январе 2003-го года: «Я выступал как председатель Комиссии Верховного совета СССР по разработке концепции на-циональной безопасности и говорил, что нам в первую очередь нужно обеспечить следующую иерархию без-опасности: безопасность и права личности, потом об-щества и потом государства при условии, что оно обя-зано служить людям и обеспечивать две эти первые безопасности. Это была первая парадигма, которая ставила все с головы на ноги, потому что предыдущие столетия эта парадигма была иная: живет государство – и оно является главным».

В июне 2011 года Юрий Рыжов в интервью журналу «Эхо России» так писал про период работы своей ко-миссии: «Я примерно с 90-го года заболел проблемой национальной безопасности моей страны. Когда-то с согласия Горбачева, а потом по его поручению я воз-главлял комиссию Верховного Совета по разработке Концепции национальной безопасности. Мы хотели перевернуть советскую и Победоносцева, обер-про-курора Синода, который в период «подморозки» Алек-сандра III провозгласил православие, самодержавие и народность... а у нас было сказано: государство, обще-ство, а только потом – человек.

Мы старались перевернуть эту парадигму в обратном направлении: главное – безопасность личности, вто-рое – общества, третье – государства, и лишь в том случае, если оно обеспечивает две первых. За послед-ние 20 лет, с тех пор, как я увлекся этой безнадежной задачей, все вернулось. Только вместо Победоносце-ва некий Сурков теперь выступает, такие лица».

Если бы тогда идеи Рыжова были приняты, кто знает, как бы сейчас развивалась отрасль ИБ в России. Хотя попытки переломить ситуацию нашими регуляторами (как минимум ФСТЭК) предпринимались. Но безу-спешно. Сама комиссия Юрия Рыжова была закрыта Дмитрием Язовым и Владимиром Крючковым, позже прославившимися в рамках ГКЧП.

Примечательна цитата председателя КГБ Владимира Крючкова: «Все хорошо, все разумно, но концепция комиссии Рыжова — это для будущего, а нам нужно работать здесь и сейчас. Поэтому следует принять срочно нашу концепцию». С этой концепцией мы все знакомы. На первом месте находится безопасность государства, затем идет безопасность общества и только потом безопасность личности.

Отказавшись от идеи академика Рыжова, наши спец-службы продолжают развивать эту концепцию. Созда-ется Федеральное агентство правительственной связи и информации, до 2003-го года ставшее основным стопором всех инициатив, связанных с так называе-мой гражданской криптографией.

В 92-м году появляются первые руководящие доку-менты Гостехкомиссии (по сути, списанные с амери-канской «Радужной серии»), устанавливающие тре-бования к защите средств вычислительной техники и автоматизированных систем. Часть документов и множество идей, появившихся в то время, действует и до сих пор, продолжая устаревший, но все-таки ни-кем не отмененный курс в области информационной безопасности.

Мнение Сергея Вихорева

Да, было дело в наше время...Вернемся в эпоху «малиновых пиджаков» и немного повспоминаем. В стране разброд и шатания. Все стали сразу коммерсантами, управление многими отраслями было потеряно. Защита информации особо никому не была нужна. Людей надо было еще подготовить к пониманию этой проблемы.

В тот период заместитель начальника и позже начальник 2-го отдела 2-го Управления Гостехкомиссии России

Да, ушедшие из армии, КГБ, Минпромсвязи специали-сты пытались как-то выживать. Кто-то в челноки запи-сался, а кто-то пытался делать то, что умел: защищать информацию. Да, приходя в коммерческие структуры, они мыслили еще старыми категориями и пытались организовать процесс так, как умели, «по-армейски». Надо было что-то делать. И вот в то время в Гостехко-миссии образовалась группа энтузиастов, пытавших-ся как-то наладить весь этот процесс. Здесь нельзя не вспомнить уже ушедших от нас Евгения Анатольевича Беляева и Виктора Александровича Вирковского, и ныне здравствующих Андрея Петровича Курило, Алек-сандра Ивановича Ефимова, Анатолия Александро-вича Стрельцова, Бориса Ивановича Пальчуна, Ана-толия Васильевича Шеина, Илларию Лаврентьевну Бачило и многих, многих других (уж простите меня те, кого не упомянул!). Ну, где-то там, в конце списка, был и ваш покорный слуга. И начали-то в первую очередь не с техники, а с закона. Долго и кропотливо писали первый «трехглавый» закон. Вносили изменения в УК РФ (знаменитая 28 глава).

Потом дошла очередь и до технических вопросов. Раз-рабатывали РД. Не задумывались, почему эти РД до сих пор живут? Да потому, что писались они тщатель-но, каждое слово выверялось и взвешивалось. Пом-ню, когда встал вопрос (это уже было на более позд-них этапах эпохи информационной безопасности) о необходимости перехода к методологии международ-ного стандарта «Общие критерии», его переводом за-нимались не только наши специалисты-технари. При-влекались и лингвисты из института русского языка имени Виноградова, и американские специалисты как носители языка и как специалисты. В это время (это можно отследить по периодическим изданиям) многие должностные лица Гостехкомиссии частенько выступали на конференциях, в прессе с разъяснени-ем важности проблемы защиты информации. Так ска-зать вели просветительскую деятельность. И она, как видно сейчас, увенчалась успехом.

Особо надо сказать о системе лицензирования и сер-тификации. Это два серьезных инструмента внеры-ночного регулирования. Лицензирование позволило поставить под контроль разработку средств защиты и оказание услуг в этой сфере и тем самым оградить потребителя от недоброкачественных продуктов, с од-ной стороны, а с другой стороны, защитить специали-стов. Знаете, а ведь лицензирование в сфере защиты информации появилось раньше, чем издали закон «О лицензировании». Намного раньше! И оно на том эта-пе (да и сейчас тоже) помогло отсеять тех, кто пытался неквалифицированно решать проблемы защиты ин-формации.

А сертификация? Сейчас о том, что не надо серти-фицировать средства защиты, не говорит разве что ленивый. А на самом деле как? Вы будете покупать электрочайник, если у него не будет сертификата по электрической безопасности? Наверное, нет. Потому что вам дорого ваше здоровье. А безопасность ин-формации ведь как радиация: все знают, что она есть, но никто ее руками не щупал. Пока не случится самое страшное. Вот и была создана система испытательных лабораторий, в которой были специалисты, способ-ные оценить защиту.

Вспоминаю, как впервые сертифицировали Windows для Минатома. Ведь мы эту работу делали вместе с американскими спецами. И они к нам в Саров при-езжали, и мы к ним в Кремниевую Долину. И коды проверяли. Наши-то требования были посерьезнее, чем американские, и они это признавали, и считали правильным. Но Windows тогда не мог все их реали-зовать. Искали компромисс, даже выпустили специ-альный вариант РД под этот случай, который учитывал некоторые организационные особенности использо-вания операционной системы. В общем, с задачей справились. Не говорю о сегодняшнем качестве сер-тификации, думаю, здесь есть что улучшать. Но систе-ма, созданная в то время, — работает!





Эпоха глобализации и первых отечественных ИБ-стартаповСлова: Интернет, Всемирная сеть, стартап, интернет-безопасность, антивирус

Середина и конец 90-х годов вспоминается не только экономическим и очередным политическим кризисом, но и активным использованием Интернета (хотя первые попытки подключения к Всемирной Сети были, безусловно, и раньше). В это время в Россию начинают приходить первые иностранные компании, являющиеся признанными мировыми игроками на рынке информационной безопасности.

На этом рынке начинают появляться и отечественные компании, которые сейчас модно называть стартапа-ми. В то время об этом мало кто думал – стояла задача получить государственный заказ (а иначе, если чест-но, отечественным продуктам было сложно выбиться «в люди»), выпустить продукт, соответствующий руко-водящим документам ФСТЭК, получить сертификат соответствия.

Российские компании ориентировались на государ-ственный сектор, имея в своем портфолио достаточно небольшой спектр продуктов (1-3, не более); преиму-щественно в сфере защиты персональных компьюте-ров (СЗИ от НСД), локальных сетей Novell и каналов связи (шифраторы X.25, IPX/SPX, TCP/IP). В это же время западные компании активно осваивали сег-мент Интернет-безопасности, предлагая российским потребителям межсетевые экраны, системы предот-вращения вторжений, сканеры безопасности и т.п. И только антивирусная индустрия стояла немного особ-

няком: два игрока — «Диалог-Наука» (продвигавшая Aidstest, Dr.Web и ряд других, уже забытых антивирус-ных продуктов) и «Лаборатория Касперского» (снача-ла являющаяся подразделением НТЦ КАМИ) активно конкурировали с иностранными антивирусами от ком-паний Norton, Dr.Solomon и др.

А вот регуляторы в это время были не очень активны. ФАПСИ, по сути, монополизировало рынок средств шифрования и не пускало туда посторонних (эта тен-денция сохраняется до сих пор). А Гостехкомиссия про-должала спокойно заниматься темой ПДИТР и попутно изредка радовала своими «новыми» руководящими документами. В 2003-м году президент Путин упразд-нил ФАПСИ, разделив его между Министерством обо-роны, ФСБ и ФСО. В 2004-м году прекратила свое существования и Гостехкомиссия, превратившись по решению Путина в Федеральную службу по техниче-скому и экспортному контролю (ФСТЭК).

«На рынке начинают появляться и отечественные компании, которые

сейчас модно называть стартапами»

Мнение Натальи Касперской

Об условиях, в которых многие начинали свой бизнесПервое, что стоит сказать об условиях, в которых многие начинали свой бизнес, — это то, что рынка тогда фактически не существовало, он был пустым. В середине 90-х компьютеры только-только начинали появляться. Домашних ПК было мало. Компьютеры, в основном, стояли в офисах и использовались для рабочих целей. Поэтому проблема защиты информации в те годы не стояла так остро, как сейчас. Количество объектов, которые надо было защищать, также было небольшим.

В описываемый период менеджер антивирусного проекта «AVP», с 1997 года руководитель компании «Лаборатория Касперского»

В 90-е гг. стали возникать разнообразные отечествен-ные компании, и их было довольно много. В одной ан-тивирусной сфере существовало с десяток различных групп, разрабатывавших эту тему. Я говорю «группы», а не «компании», потому что они не всегда в конечном итоге формировались в компании. Некоторые отмира-ли, мутировали или примыкали к кому-то. Например, у нас в «Лаборатории Касперского» был разработчик Вадим Богданов, он пришел к нам с собственной про-граммой защиты от вирусов AntiApe. Тем не менее, многие компании, появившиеся в 90-е годы, успешно работают и по сей день.

Среди ИБ-компаний, создававшихся в то время, было очень много таких, которые занимались шифровани-ем. Это естественно, ведь российская школа шифро-



вания традиционно считается одной из самых силь-ных. Тогда криптографов готовила Высшая Школа КГБ, которая потом была переименована в Акаде-мию ФАПСИ. Люди, окончившие отделение крипто-графии, имели знания и возможность создавать свои продукты, и они начинали активно этим зани-маться. Поэтому на российском рынке информаци-онной безопасности сложилась довольно нетипич-ная ситуация, при которой предложение продуктов, обеспечивающих шифрование данных, практически превышает спрос.

Еще одной отличительной особенностью того време-ни был рынок труда. Люди в тот момент оказались на стыке эпох, когда от системы пожизненного найма и гарантированной работы мы пришли к ситуации, при которой государственные организации не мог-ли платить своим сотрудникам, а частные компании еще только начинали зарождаться. Множество лю-дей либо получали копейки, либо оказались вовсе выброшенными на улицу. Поэтому людям приходи-лось искать новые сферы применения своим на-выкам, и квалифицированного специалиста можно было нанять за достаточно небольшие деньги. Это был рынок работодателя.

Потом постепенно эта ситуация стала меняться, но все равно компании, которые имели возможность платить зарплату в валюте, выигрывали у организа-ций, которые этой возможности не имели.

Quiet! Spanish (Republican) poster from the Spanish Civil War 1936-1939.

Мнение Александра Токаренко

Необходимость консолидацииЯ бы не относил 2007-2012 годы и Закон «О персональных данных» к началу новой эпохи в ИБ.

Скорее, они лишь предвестники ее наступления. Осознание необходимости консоли-дации профессионалов ИБ действительно произошло, появились первые профессиональные ассоциации, к мнению профессионального сообщества стали прислушиваться регуляторы... Но я считаю, что показателем новой эпохи будет тот момент, когда профсообщество станет действительным игроком в сфере информационной безопасности России.

Руководитель комитета, член Правления АРСИБ



Эпоха персональных данных и отраслевых стандартовСлова: ФЗ-152, Федеральный закон «О персональных данных», «Четверокнижие» ФСТЭК,

защита персональных данных

В 2007-м году началась новая эпоха в российской отрасли защиты информации. Отечественные депутаты решили не отставать от всего прогрессивного челове-чества и приняли новый закон «О персональных данных», задавший определен-ный вектор в развитии информационной безопасности.

Сначала этому закону никто не придал большого зна-чения, а многие и до сих пор про него мало что знают (от Урала на восток, исключая города-миллионники). И только в 2008-м году, после выхода «четверокнижия» ФСТЭК и методических документов ФСБ по защите персональных данных, отрасль очнулась ото сна и стала активно привязывать все, что в ней делалось, к теме персональных данных.

Шутка ли, требования по защите информации впер-вые стали обязательными для всех юридических лиц и индивидуальных предпринимателей в Рос-сии. А это без малого пять миллионов потенциаль-ных потребителей продукции и услуг в области за-щиты информации. Это не требования по ключевым системам информационной инфраструктуры, которые мало кто видел, которые распространяются всего на

две с небольшим тысячи организаций, которые опи-раются на так и не вступивший в силу закон. И это не требования СТР-К с его непонятным статусом. И это не требования по защите коммерческой тайны, которые ФСТЭК так и не выпустила в свет.

На фоне законодательства о персональных данных стала активно развиваться и тема отраслевых стан-дартов. И хотя законодательной базы под ней не было, это не помешало Банку России, НАУФОР, НАПФ и ряду других ведомств, госкорпораций и монополий выпу-скать свои «отраслевые» требования по обеспечению информационной безопасности. И это понятно — на ФСТЭК с ее неторопливостью в выпуске новых и, что самое важное, актуальных документов мало кто рас-считывал, а защищать свои информационные активы как-то было нужно.

Мнение Алексея Волкова

Эти времена на поверку оказались не «лучшими»«Новая эпоха в российской отрасли защиты информации», начавшаяся с момента вступления в силу закона «О персональных данных» (2007 год), лично мне дала знать о своем скором наступлении в момент опубликования текста закона в Российской газете (2006 год).

Независимый эксперт, блогер

Не потому, что я усиленно «мониторил» законодатель-ство и сразу же стремился его выполнять — просто в СБ компании, где я в тот момент работал, была рас-сылка юридической службы с рекомендациями для каждого подразделения, на что обратить внимание. Прочитав текст и осознав широту охвата (5 млн. юри-дических лиц), я, тем не менее, решил для себя, что не очень люблю тему персональных данных: в ней, как и в любом compliance, очень мало простора для творчества – что называется, «бери да делай». В 2006 году «брать», а потому «делать», особо было нечего — ни ФСТЭК, ни ФСБ, ни Роскомнадзор ничего не изда-ли, поэтому я «задвинул» ПДн до лучших времен.

Времена эти не заставили себя долго ждать и на поверку оказались не совсем «лучшими». На фоне многих неприятных «мелочей», вроде неразберихи с классификацией специальных информационных систем персональных данных и непонятного статуса документов ФСТЭК с грифом «для служебного пользо-вания», настоящим громом среди ясного неба ока-зались требования тотальной сертификации средств защиты информации, аттестации автоматизирован-ных систем, обрабатывающих персональные данные, поголовного лицензирования деятельности по техни-ческой защите информации и использования исклю-чительно сертифицированной криптографии. Про все это в 2008 году я не знал практически ничего, и пото-му решил поучиться, но перед этим — «погуглить». Так я узнал о существовании блогов Царева, Лукацкого и Токаренко.

Оплатив обучение и интернет-трафик, бизнес требо-вал возврата инвестиций, и на одном из предприя-тий своей зоны ответственности я «замутил» проект по созданию системы защиты персональных данных «своими силами». Action plan, разработанный для это-го, оказался настолько удачным, что был распростра-нен на другие предприятия, а люди, не входившие в scope, просили поделиться материалом и опытом. Я

выступил на нескольких конференциях регионального масштаба и написал пару практических статей. Пре-красно понимая, что идея защиты ПДн изобретена не в России, для расширения кругозора я стал инте-ресоваться - а как же там, «у них»? И чем больше я погружался в тему персональных данных, тем больше понимал ее «российские особенности». С одной сторо-ны, словно снежный ком растущее знание наводило грусть, тоску и негодование, зато с другой, позволило почти на равных общаться с признанными (по моему мнению) авторитетами в этой области — все теми же Токаренко, Лукацким и Царевым.

С Евгением Царевым (кстати, именно он подкинул мне идею стать блогером) мы написали пару статей, потом возникла мысль написать еще одну – большую, про историю персональных данных в России и в мире, и к нам присоединился Александр Токаренко. С Алек-сеем Лукацким (автором этой статьи) и Александром Бондаренко я познакомился несколько позже, потом в блогосферу как-то «влились» Ю.В.Травкин, М.Ю.Еме-льянников и другие профессионалы, которым было что сказать. В итоге, сообщество оказалось настоль-ко сплоченным, что не побоялось выступить единым фронтом сопротивления в момент первого «перепи-сывания» закона «О персональных данных».

Персональные данные и сейчас продолжают активно «будоражить» умы специалистов по защите информа-ции. Блогосфера ИБ за это время заметно выросла – и количественно, и качественно. Появились новые имена, новые лица, новые направления и новые мне-ния. Люди пишут в Facebook, Twitter, LinkedIn, поя-вились хорошие специализированные площадки. Но лично для меня именно персональные данные стали тем драйвером, который позволил войти в сообще-ство ИБ, лично узнать и работать с высококлассными специалистами и просто замечательными людьми. За это я и благодарен эпохе «первой редакции 152-ФЗ».



Интезаров А., Соколов Н. , плакат: «Строго храни военную и государственную тайну!», 1952

Мнение Андрея Прозорова

Мне повезло,я успел поработать в нескольких из описываемых эпох.

Ведущий эксперт по ИБ компании InfoWatch, член Ассоциации «DLP-Эксперт», блогер



Я не буду брать в расчет начавшуюся в 2011-м году эпоху гонений на Интернет под соусом защиты детей и борьбы с экстремизмом (все-таки это не совсем тема информационной безопасности).

Эпоха растерянности ибшников и ФСТЭК v2.0Слова: Закон «О защите детей от информации, причиняющей вред их здоровью и разви-

тию», Елена Мизулина, Борьба с экстремизмом в Интернете, гонения на Интернет

И про регулярно возникающую идею цифрового су-веренитета я тоже ничего говорить не буду (это пока больше политика, чем конкретные действия). Погово-рим о двух других важных событиях, которыми озна-меновался 2012-й год, и которые станут началом оче-редного витка развития отечественной отрасли ИБ.Первое событие произошло там, где этого уже никто не ждал, — во ФСТЭК. Произошедшие организацион-ные изменения в руководстве этого госоргана приве-ли к тому, что он стал поворачиваться к потребителю лицом и впервые за последние лет 15-20 вновь стал поднимать упавшее знамя методолога в области за-щиты информации. Новые документы по персональ-ным данным и государственным системам, планы по изменению системы сертификации, планы по новым руководящим документам с требованиями к сред-ствам защиты, активное привлечение отраслевых экспертов и потребителей к совместной разработке и экспертизе проектов нормативных документов… Все

это позволяет надеяться, что у нас наконец-то появит-ся аналог американского NIST, выпускающего различ-ные методические (а местами и обязательные) доку-менты по широкому спектру вопросов, не мешающие, а помогающие российским организациям защищать свои информационные активы.А вот второе событие скорее из разряда негативных или, как минимум, не имеющих положительной окра-ски. Речь идет о потерянности безопасников, многие из которых обучались, воспитывались и росли в лихие 90-е и 2000-е годы. Парадигма стала меняться. Биз-нес уже не устраивает старый подход к защите инфор-мации любыми средствами и без учета его потребно-стей. Последний начинает требовать от безопасников считать деньги, говорить на языке бизнеса, оценивать эффективность своей работы… А многие ли безопас-ники готовы к этому? Многие ли знают, как перестро-иться под новые требования своих работодателей? Многие ли сумеют преодолеть этот кризис?..

Сначала это было безоговорочное выполнение СТР-К и РД НСД, потом безопасники все чаще стали поль-зоваться международными стандартами (в первую очередь ISO 27001). Ну, а в последнее время мы на-чинаем поглядывать в торону «ИБ для бизнеса». Мы ориентируемся уже на лучшие практики по управ-лению ИТ (ITIL, COBIT5), они заметно обгоняют уже устаревающие «непрерывно совершенствующиеся системы управления» (ISO 27001, ISO 22301, ISO

20000, ISO 9001). По пути развития и «взросления» идут и наши регуляторы. В недавних документах ФСТЭК России уже заметен «риск-ориентированный подход», усилился акцент на «управлении инцидента-ми» и «внутренних аудитах».

Современным руководителям ИБ необходимо посто-янно обучаться и развивать свои навыки, ведь объем знаний растет, а перемены в технологиях и подходах происходят все чаще и глобальнее.



В книге великого русского писателя-фантаста Ивана Ефремова «Дорога ветров» есть такие строки: «Было самое глухое время — «час быка» (два часа ночи) — власти злых духов и чёрного (злого) шаманства».

Час быка прошел?..

Мне кажется, что описанное в «Часе быка» Ефремова, время в отрасли российской информационной безо-пасности постепенно проходит. Прогресс остановить достаточно сложно, и железный занавес, о котором в последнее время приходится слышать все чаще, – это все-таки некоторая страшилка, не имеющая под со-бой реальных оснований.

Поколение людей, управляющих российской отрас-лью информационной безопасности и возглавляющих практически все структуры, дающие новым веяниям зеленый свет, постепенно уходит. Ему на смену прихо-дит «молодежь», выросшая вместе с информационны-

ми технологиями, которые не видятся чем-то непонят-ным, а поэтому запретным.

Именно это поколение встанет у руля в ближайшее время и сможет направить корабль, в котором все мы находимся, в правильном направлении. И тут главное – не столкнуться со «стрелой Аримана», также описан-ной Ефремовым как неизбежное зло, порождаемое неустроенным обществом, когда любые, даже самые благие действия коррумпированной и некомпетент-ной власти только ухудшают ситуацию в обществе и в области информационной безопасности в частности.

Songquan Deng / Shutterstock.com


ЕВРОПА и СШАОСОБЕННОСТИ зАщИТы ПЕРСОНАЛьНыХ ДАННыХ

Екатерина ЛяшенкоКонсультант-аналитик по вопросам ИБ

компании IT Terra

Евгений ЦаревГлава представительства Swivel Secure в России

На сегодняшний день защита персональных данных в США и Европе (Евросоюзе)

стоит на страже государственных интересов национальной безопасности и

безопасности граждан.

Эти страны объединяет высокая степень проработки во-просов по защите персональных данных (далее – ПДн) и определенный уровень влияния на законодательство по защите ПДн в других государствах. Однако под воз-действием исторических и культурных факторов в США и Европе сложились разные принципы и подходы к за-щите персональных данных. В этой статье мы рассмо-

трим и сравним основные из них.

31


Изначально национальное законодательство европейских стран ограничивалось общим правом граждан на неприкосновенность личной жизни. И с начала 30-х гг. ХХ века такое право было юридически закреплено в конституциях Ирландии, Исландии, Италии, Испании, однако эти права носили общий характер.

Европа (Евросоюз)




До начала 70-х гг. считалось нормальным явлением, что работодатели имеют доступ к любым данным, не имеющим статуса секретных. Естественно, в личную жизнь работника вторгаться было нельзя, но базы дан-ных о них формировались достаточно произвольно и особо не скрывались.

Однако развитие IT-индустрии открыло простор для злоупотребления базами персональных данных, в т. ч. в криминальных целях. Усилилась опасность разгла-шения персональных данных работника.

Это послужило предпосылкой к тому, что в 1970 году германской землей Гессен принимается закон о за-щите персональных данных. А в 1977 году вводится первый в мире Федеральный закон «О защите персо-нальных данных» Тем самым Германия стала первой страной Евросоюза, принявшей подобный закон. Со-гласно действующему законодательству Евросоюза, личная информация (персональные данные человека)

могут быть получены и обработаны только при соблю-дении строгих условий и в законных целях.

Основными компонентами законодательства о защите персональных данных Евросоюза являются:

Директива о защите прав частных лиц при обра-ботке персональных данных и о свободном пере-мещении таких данных 1995/46/EC

Директива о конфиденциальности и электронных средствах связи (e-Privacy Directive ) 2002/58/EC-

Директива 2006/24/ЕС (Data Retention Directive)

Модельный закон «О защите персональных дан-ных», принятый межпарламентской ассамблеей государств-участников СНГ, принципы и нормы которого тем или иным образом должны быть учтены в национальных законодательствах

Давайте рассмотрим каждый из них по отдельности.

Полученная информация собрана с конкретны-ми, четко определенными и законными целями и в дальнейшем не используется для альтернатив-ных целей.

Полученная информация должна быть правди-вой, релевантной и не должна выходить за рамки, необходимые для выполнения указанных целей, для которых она была собрана и/или в дальней-шем будет обработана.

Полученная информация должна быть точной и, если необходимо, актуальной.

Полученная информация должна храниться в виде, позволяющем определить личность субъек-та информации не дольше, чем это необходимо для выполнения целей, для которых она была со-брана или в дальнейшем будет обработана.

Должно быть получено согласие физического лица на использование и обработку его информации.

Необходимо создание специального надзорного органа в каждом европейском государстве, кото-рый бы следил за соблюдением вышеуказанных принципов и правил национального законода-тельства.

1

3

2

4

Директива 1995/46/EC является обязательной для всех стран-членов ЕС и выступает предметом для под-ражания в области законодательства.

Основными целями принятия Директивы 1995/46/EC на тот период времени были:

Защита фундаментальных прав и свобод, защита информации физических лиц

Свободное движение информации в рамках Ев-ропейского Союза с одновременной защитой прав физического лица

Создание унифицированного уровня защиты ин-формации на территории Европейского Союза

Под персональными данными в Директиве понимает-ся любая информация в отношении физического лица. Что касается обработки информации, то она может быть как автоматической, так и не автоматической.

Из документа следует, что государства в рамках Европейского Союза должны обеспечивать соблю-дение следующих семи принципов:

Полученная информация обрабатываться долж-ным образом и согласно законодательству.

1

3

2

1

3

6

4

7

5

2

Директива о защите прав частных лиц при обработке персональных данных и о свободном

перемещении таких данных 1995/46/EC



Следует заметить, что данная директива не регла-ментирует обработку личной информации, связанной с общественной безопасностью, защитой, государ-ственной безопасностью и криминальным законода-тельством. Директива 1995/46/EC определяет как обязатель-ства человека, ответственного за определение целей и средств обработки личной информации (ревизора данных), так и права человека, чья информация ис-пользуется (субъект данных).

Собственно ревизор данных обеспечивает сбор и обработку личных (персональных) данных в соответ-ствии с выше указанными принципами, однако он также должен при необходимости предоставлять дан-ные об информации, целях и способах ее обработки субъекту данных.

Информация, которая должна быть предоставлена субъекту данных, может в себя включать:

Личность ревизора и его представителя, если та-ковой имеется.

Цели использования информации, для достиже-ния которых была собрана информация.

Информация о получателях или категориях полу-чателей информации.

Также ревизор данных должен реализовать соответ-ствующие технические и организационные меры для предотвращения незаконного доступа к инфор-мации и ее случайной потери, повреждения и изме-нения.

Права субъекта данных

Согласно Директиве 1995/46/EC субъект данных име-ет следующие права:

Во-первых, право на доступ к личной информации субъекта, а именно:

Право получать копии обработанной ревизором информации

Право получать от ревизора данных уведомления о том, используется ли в конкретный момент ин-формация, относящаяся в субъекту данных

Право получать информацию о целях обработки информаци

Право получать информацию о категориях ис-пользуемых данных

Право получить информацию о получателях лич-ных данных

Право на исправление, уничтожение или блоки-рование данных, обработка которых не соответ-ствует положениям Директивы.

Во-вторых, право возразить против конкретных ме-тодов обработки информации.

Следует подчеркнуть, что личные веб-страницы и сайты, создаваемые пользователями сети Интернет, должны также соответствовать Директиве 1995/46/

EC и исполнять описанные в ней правила сбора, обра-ботки и предоставления личной информации.

В прецедентном решении от 6 ноября 2003 Европей-ский суд признал женщину, узнавшую и разместившую на своем веб-сайте информацию о знакомых церков-ных добровольцах, виновной в нарушении Директивы 1995/46/EC.

Причина такого решения в том, что создание лич-ного веб-сайта не считается приватной домашней деятельностью и подпадает под действие Директивы 1995/46/EC.

Директива 1995/46/EC просуществовала уже прак-тически 20 лет и вполне естественно, что:

устарела в плане технологий и подхода к регули-рованию вопроса защиты персональных данных в современном обществе,

не в полной мере сфокусирована на практиче-ской стороне вопроса защиты,

не до конца отвечает на вопросы относительно трансграничной передачи данных.

Однако стоит заметить, что все же свои функции она выполнила в надлежащем объеме.

1

3

2

1

3

2

a

c

b

d

f

e



Директива о конфиденциальности и электронных средствах связи 2002/58/EC

Директива о сохранении данных, созданных или обработанных при предоставлении

общедоступных услуг электронной почты или общественных сетей связи 2006/24/ЕС

В дополнение к Директиве 1995/46/EC Евросоюзом была принята Директива 2002/58/EC, которая наце-лена на обеспечение защиты личной информации в сфере телекоммуникаций.

Директива 2002/58/EC охватывает общественно до-ступные электронные сервисы связи в государствен-ных телекоммуникационных сетях. В частности Дирек-тивой 2002/58/EC регулируются такие данные как:

«данные трафика» (данные необходимые для пре-доставления связи)

«данные о месторасположении» (данные, указы-вающие географическую позицию устройства).

Также Директивой 2002/58/EC регулируются вопро-сы о незапрашиваемых соединениях (спам), cookies и вредоносном/злонамеренном ПО.

Согласно Директиве 2002/58/EC, провайдеры услуг связи должны сообщать о нарушениях соответству-ющим государственным органам. Также они должны уведомлять об этом абонентов или потребителей, на

которых может быть оказано негативной воздействие. Например, кража личности, потеря репутации и т.д. Вместе с уведомлением провайдер должен предоста-вить список предлагаемых контрмер, которые будут использованы для исправления уязвимостей в безо-пасности.

В Директиве 2002/58/EC также уделено внимание cookies, которые могут быть установлены на устрой-ство абонентов только после прямого согласия або-нента или пользователя. Следует заметить, что такое согласие может быть получено только после того, как абоненту была предоставлена информация, требуе-мая Директивой об электронной конфиденциальности, и после того, как ему было дано право отказаться от доступа. Что касается спама, Директива 2002/58/EC указыва-ет, что судебная защита для нарушивших положения о незапрашиваемых соединениях может быть предо-ставлена согласно судебным нормам.

Директива 2006/24/ЕС вносит изменения и до-полнения в Директиву 2002/58/EC и определяет принципы и правила обеспечения безопасности в отношении хранения данных, сгенерированных или обработанных в связи с предоставлением общедо-ступных услуг электронной связи или связи общего пользования.

Данная Директива 2006/24/ЕС обязывает провай-деров услуг хранить всю информацию о пользовате-лях, обеспечивая требуемый уровень безопасности и защиты.

Интересно, что некоторые страны ЕС не имплемен-тировали в национальное законодательство положе-

ния Директивы 2006/24/ЕС, несмотря на окончание срока, предусмотренного самой Директивой. В этом случае директива все равно применяется независи-мо от бездействия законодательных органов государ-ства-члена ЕС. Таковым было решение Европейского суда.

Директива 2006/24/ЕС расширяет контроль за элек-тронными публичными коммуникациями граждан, от-того крайне медленно внедряется в национальные за-конодательства. Так, несколько лет назад в Германии был признан неконституционным закон, принятый как раз в целях имплементации Директивы. И до сих пор в Германии новый закон так и не утвержден.

b

a



Вопрос защиты персональных данных в США своими корнями уходит в 1791 год, когда был принят «Билль о правах» (Bill of Rights) — неофициальное название первых десяти поправок к Конституции США, которые закрепляют основные права и свободы человека и гражданина. Именно в этом документе впервые встречается такое понятие как «неприкосновенность личной жизни».

Jasper Johns, «Three Flags»

США

Акт о перемещаемости и подотчетности страхования здоровья» (HIPAA от англ. Health

Insurance Portability and Accountability Act)



Столетие спустя молодой адвокат Л. Брендайс со-вместно с судьей С. Уорреном подготовил и опублико-вал статью «Право на частную сферу», затрагивающую этическую и правовую проблемы вмешательства в частную жизнь. Однако соответствующий закон, огра-ничивающий вмешательство в частную жизнь, так и не был принят. Следующим историческим этапом развития вопроса, связанного с защитой персональных данных, можно считать принятие Всеобщей декларации прав чело-века 10 декабря 1948 г. на Генеральной ассамблее ООН. В статье 12 указывалось, что никто не может под-вергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на его честь и репутацию. Каждый человек имеет право

на защиту законом от такого вмешательства и таких посягательств.

В США в связи со спецификой ее политического устрой-ства нет единого всеобъемлющего законодательства, регулирующего сбор и обработку личной информации – персональных данных. Вместо этого защита инфор-мации регулируется множеством федеральных зако-нов и законов штатов.

На уровне штатов в большинстве из них действуют неко-торые формы законодательства о защите информации.

На федеральном уровне в США подход к законодатель-ству о защите информации выборочный, при котором одни секторы промышленности охвачены, а другие нет.

Основная цель HIPPA – обеспечить защиту индивиду-ально идентифицируемой информации о здоровье. В частности, законом определяется, кто имеет доступ к информации о здоровье.

В большинстве случаев такая информация может быть использована только профессиональными медицин-

скими работниками, которые применяют ее в целях планирования и организации лечения. Информация, которая должна охраняться, включает записи и запи-ски врачей, документацию касательно медицинского страхования, информацию о счетах, а также разгово-ры между медиками касательно лечения пациента.

1.

3.2.

4.

Четыре наиболее важных федеральных закона о защите информации:

Акт о перемещаемости и подотчетности страхования здоровья (HIPAA от англ. Health Insurance Portability and Accountability Act)

Акт о добросовестном и точном проведении кредитных операций (FACTA от англ. Fair and Accurate Credit Transaction Act)

Акт об охране конфиденциальности детей в интернете (COPPA от англ. Children’s Online Privacy Protection Act)

Акт Грэмма-Лича-Блайяли (Gramm-Leach-Bliley Act-GLBA)

Рассмотрим более детально особенности каждого Акта.



Основная цель COPPA – создание руководящего доку-мента для операторов web-сайтов, предназначенных для детей, предписывая рамки определенных правил в отношении сбора данных лиц, не достигших 13 лет.

Акт ограничивает сбор такой персональной инфор-мации, как имя и фамилия ребенка, его домашний адрес, адреса электронной почты, номера телефонов, номера социального страхования и любых других дан-ных, персонально идентифицирующих детей или их родителей, в том числе IP-адресов или имен пользова-телей в cookies. Акт гласит, что операторам web-сайтов вменяется в обязанности:

Публикация «Порядка работы сайта с конфиден-циальной информацией» (privacy policy), который бы ясно утверждал, кто является оператором, ка-кую информацию он собирает о детях, и что он будет делать с этой информацией (будет ли она

продаваться третьим лицам?). Ссылка на этот «По-рядок работы сайта с конфиденциальной инфор-мацией» должна быть ясно различимой на сайте.

Получение поддающегося проверке согласия ро-дителей перед сбором персональных данных о детях до 13 лет.

Предоставление родителям возможности просма-тривать любую информацию, собранную об их детях. Родителям также должно быть позволено удалять (но не изменять) любую информацию об их детях, которая уже собрана.

Отказ от принятия на себя полномочий по сбору не являющихся необходимыми для работы дан-ных о детях.

Защита данных, собранных о детях через Интернет.

Акт о добросовестном и точном проведении кредитных операций (FACTA от англ. Fair and

Accurate Credit Transaction Act)

Акт об охране конфиденциальности детей в интернете» (COPPA от англ. Children’s

Online Privacy Protection Act)

Акт Грэмма-Лича-Блайли (Gramm-Leach-Bliley Act-GLBA)

Цель FACTA – помочь защитить кредитные данные кли-ентов от рисков, связанных с кражей данных.

Согласно FACTA, на чеках с кредитных и дебетовых карт, за исключением чеков, выписанных от руки, не должно быть указано больше пяти последних цифр

номера карты. Также следует заметить, что в соответ-ствии с FACTA, лицо, подающее запрос на отчет о кре-дитоспособности, имеет право попросить не включать в документ пять последних цифр номера социальной защиты.

Акт Грэмма-Лича-Блайли известен как Акт о модерни-зации финансовых служб 1999 года (Financial Services Modernization Act). Его цель — защитить финансовые данные физического лица от незаконного использова-ния, и он содержит следующие условия:

Банки, брокерские фирмы и страховые компании должны предпринимать адекватные меры для

обеспечения безопасности персональных данных.

Эти финансовые учреждения должны сообщать клиенту, как и с кем они делятся или кому прода-ют персональные данные.

Также должна быть предоставлена возможность анну-лировать участие в практике обмена информацией.

2

4

3

5

1

1

2



Следует заметить, что как для Евросоюза, так и для США характерны общие принципы обработки персо-нальных данных, которые заключаются в следующем:

Не должно существовать секретных баз с персо-нальными данными

Должны быть определены механизмы, которые позволили бы отдельным гражданам проверить, какая информация личного характера находится в соответствующих базах данных и как она ис-пользуется

Должны быть определены методы, позволяющие отдельным гражданам предотвратить использова-ние информации, собранной в базах персональ-ных данных для одних целей в других целях без их согласия

Должны быть разработаны процедуры, позволя-ющие индивидуумам скорректировать или отме-нить информацию о себе в базах с персональны-ми данными

Организации, создающие, хранящие или переда-ющие третьей стороне идентифицируемые пер-сональные данные, должны обеспечить должный уровень защиты ПДн и быть уверенными в том, что ПДн используются только для определенных целей, а также принять меры предосторожности для предотвращения их использования злоумыш-ленниками

Хочется повторить, что различие между подходами к защите информации в Евросоюзе и США, скорее всего, сложилось исторически.

В Европе защита информации объявлена одним из прав человека и регулируется всеобъемлющим зако-нодательством об охране информации.

В США, в отличие от Европы, защита информации в основном диктуется рынком. Также следует заметить, что с принятием закона «О патриотизме», принятого в ответ на события 11 сентября 2001 года, правитель-ство США значительно снизило ограничения на сбор личной информации органами власти.

В 2002 году был принят Закон Сарбейнза-Оксли, кото-рый во главу угла ставит, скорее, не защиту персональ-ных данных, а максимальную открытость баз данных с целью предотвращения угроз общественной безопас-ности. В США более активно, чем в европейских стра-нах, допускается проверка на наличие криминального прошлого для значительного числа работников (для руководителей, в сфере кредитования, ипотеки, в го-сударственных учреждениях, финансовых структурах и др.). Во многих штатах допускается мониторинг пове-дения работников не только на работе, но и во внера-бочее время.

Самое главное, о чем всегда нужно помнить, невзи-рая на страны и континенты, что понятие «защита пер-сональных данных» очень условно, так как от противо-правных действий защищаются не электронные базы данных и бумажные архивы, а человек.

Подводя итоги

2

4

3

5

1

Династия:Касперские

41


«Передавать свое мастерство детям, заниматься одним делом всей семьей — этим традициям старались следовать в старину»

Наталья Касперскаягенеральный директор ГК InfoWatch

Считалось, что так, из поколения в поколение, оттачивается мастерство, передаются профессиональные секреты, зарабатывается доброе имя. В бурный век скоростей, ухода от традиций и появления новых высокотехнологичных профессий мы с интересом для себя обнаружили, что и в такой сложной отрасли, как информационная безопасность, существуют и плодотворно трудятся много славных династий. Мы поговорили с представителями одной из них — Натальей Касперской и ее сыном Иваном.

Говорят, что на решение Софьи Кова-левской стать математиком повлияли математические таблицы, висевшие над ее столом в детстве. Что привело вас в информационную безопасность? Были ли какие-то предпосылки для этого (дет-ские увлечения, родственники, книги)?

В информационную безопасность я при-шла практически случайно. Мой первый муж занимался борьбой с вирусами, а я стала первым продавцом его тогда еще маленького продукта. Позже я зарегистри-ровала компанию и занялась ее управле-нием, включая разработку, но началось все именно с продаж антивируса. За 10 лет компания эта изрядно выросла, я про-дала свои акции и занялась бизнесом InfoWatch.

Что же касается выбора технического об-разования, то здесь все довольно просто: мои родители были инженерами, куда же

еще мне было еще идти? Мама работала инженером-конструктором, отец имел сте-пень кандидата технических наук, руково-дил лабораторией в НИИ. Естественно, я тоже уделяла много внимания физике и математике, даже участвовала в олимпи-адах, правда, не побеждала в них. Выбор технического вуза стал вполне логичным продолжением.

Как относились ваши близкие к тако-му выбору?

Разумеется, они отнеслись положительно, ведь они в каком-то смысле и направляли меня на эту стезю. Но вообще говоря, они бы поддержали любой мой выбор. Напри-мер, в детстве я хотела стать ветеринаром, и родители не возражали. К сожалению, в школе у меня были большие сложности с химией, а для поступления на любой естественно-научный факультет требова-лось сдать экзамен по этому предмету.


Для меня химия оказалось непреодолимым препят-ствием, а технические науки давались легко, так что выбор профиля вуза стал прагматическим решением.

Посвящаете ли вы детей в свою деятельность?

Разумеется, оба моих сына как-то связаны с дея-тельностью в ИТ. Старший, Максим, работает в сфе-ре маркетинга, он изучает маркетинговый потенциал различных географических рынков для «Лаборатории Касперского», младший, Иван, занят в сфере про-граммирования. Дочь Александра, несмотря на юный возраст (8 лет), очень быстро осваивает планшеты и прочие гаджеты, но понять, задаток ли это для работы в ИТ или ИБ, пока, конечно, сложно.

Ваш младший сын Иван пошел по вашему пути. Рады ли вы этому выбору? Считаете ли его перспек-тивным?

Если учесть, что программистом я никогда не работа-ла, то по моему пути все же скорее пошел Максим. Иван сам выбрал программирование, и я его, ко-нечно, всячески поддерживала в этом решении. Но на работу в InfoWatch взяла только с условием, что у него будет такой же испытательный срок, как у всех, и если его работа не устроит технического директора,

то Ивана немедленно уволят. Пока им довольны. Так что вопрос о перспективах не ко мне – у Ивана есть руководитель, и если он считает его перспективным, то хорошо. Говорить о дальнейшей карьере в области управления пока рановато, на мой взгляд.

Как вы относитесь к династийности вообще и в информационной безопасности в частности? Вли-яет ли, по вашему мнению, факт взросления в се-мье специалистов в какой-то области на професси-ональные качества человека?

Я не вижу разницы между династийностью в информа-ционной безопасности и в других сферах деятельности. В принципе, династийность – это хорошо. Прекрасно, когда в компании есть кто-то, кто думает о долгосроч-ных целях, кому можно было бы передать бизнес, а не просто продать его, рискуя, что сторонние люди изме-нят твое дело до неузнаваемости.

Если говорить о профессиональных качествах челове-ка, то на них влияет не факт того, что он живет в семье специалистов в какой-то области. В семье растут не специалисты, а люди. Специалистом становятся поз-же. Безусловно, родители прямо или косвенно влияют на выбор ребенка, но конкретные знания и навыки он осваивает в большей степени сам.


Вообще, на мой взгляд, роль родителей состоит не в том, чтобы навязать свою волю, а в том, чтобы помочь ребенку определиться с выбором. А уж когда он определился с тем, что ему интересно, то сделать все, чтобы дать ему лучшее образование в этой профес-сиональной области. Например, когда Максим захотел изучать географию, я поддержала его, но предложила поступать в лучший вуз, который готовит специалистов в данной сфе-ре — МГУ им. Ломоносова, на географический факультет. Он поступил.

Важно то, что человек, начинающий «династийную» карьеру, должен пройти все ее сту-пени. Принципиально, чтобы родители не брали свое чадо сразу на позицию топ-менед-жера. Когда человек в 25 лет уже руководит огромным отделом, а то и компанией, — это неправильно, потому что пре-

жде всего он должен понять, как вообще функциони-рует предприятие, начиная с самых низов. И когда бу-дущий наследник приобретет определенный опыт, его можно перевести на другой участок работы, чтобы он попробовал разные аспекты деятельности компании и на нижнем уровне изучил их специфику. Далее необ-ходимо понять, насколько у человека сильны менед-жерские качества, стоит ли выдвигать его на менед-жерские позиции либо оставить его в той сфере, где он силен как специалист. Во втором случае стоит дать ему несколько советов по поиску менеджеров со стороны.

Будете ли вы рады, если еще кто-то из ваших де-тей посвятит свою жизнь ИБ?

Мне не так важно, с какой профессией свяжут жизнь мои дети. Информационная безопасность мне инте-ресна только с той точки зрения, что дети могут стать моими потенциальными преемниками в бизнесе. Если же у них не будет интереса к этой сфере, пусть занима-ются тем, что станет любимым делом для них и опять же пытаются применить это в бизнесе. Ну, а если они категорически не пожелают заниматься бизнесом, то тогда этот бизнес придется продать. Но в этом случае я, скорее всего, пущу деньги на благотворительность, а не оставлю наследникам, так как считаю, что зараба-тывать надо уметь самим. Большое наследство только развращает.

«Если говорить о профессио-нальных качествах человека, то на них влияет не факт того, что он живет в семье специалистов

в какой-то области. В семье растут не специалисты, а люди»




Иван КасперскийРазработчик «Центра инноваций Натальи Касперской»

Расскажите немного о вашем детстве, насколько повлияли занятия ваших роди-телей на ваш выбор посвятить жизнь информационной безопасности?

Когда я учился в средней школе, меня на летние каникулы отправили в детский разви-вающий летний лагерь. Там я случайно попал на занятия по программированию, на ко-торых нам рассказывали о классическом языке программирования «Паскаль», мы пи-сали «Змейку», какие-то другие игры. Помню, что мне очень понравились эти занятия, и когда я вернулся домой и попросил родителей подыскать мне похожий компьютерный кружок. Мама записала меня в какой-то компьютерный центр, где я также изучал базо-вые языки программирования, писал простейшие программы. Этот процесс меня так увлек, что в старших классах я поступил в Лицей Информационных Технологий и решил всерьез осваивать профессию программиста. Явно выраженного влияния со стороны родителей в этом вопросе не было, скорее, когда я сам выразил желание пойти в про-граммисты, они его одобрили.

Где вы учились, помогали ли вам родители постигать знания?

Вначале была общеобразовательная школа с углубленным изучением английского язы-ка, затем Лицей Информационных Технологий № 1533, а потом факультет ВМК МГУ им. М.В. Ломоносова. Родители особо не помогали, но не потому, что не хотели – я, собственно, никогда не подходил за советом, старался все делать сам.

Как началась ваша трудовая деятельность?

В 2010 году, когда я учился на 3-м курсе университета, я пришел в компанию InfoWatch на должность младшего программиста.

«Конечно, маме было приятно, что я пошел по ее стопам. Но не более того.

Наверное, в том числе потому, что слово «династия» применительно к профессии,

которой в нашей стране лет 30-40 от силы, звучит слишком уж громко»

Как отнеслись ваши родители к выбору профессии?

Родители были совершенно не против, радовались, что я выбрал такой престижный вуз. Мне с детства нравилась математика, программирование, поэтому мой выбор не стал для них сюрпризом.

Поддерживают ли они вас сейчас, дают ли советы?

Да как-то я сам справляюсь:) Если серьезно, то мы ведь сейчас работаем в разных направлениях: я зани-маюсь собственно программированием, а родители больше в бизнесе, управлении компаниями.

Чувствуете ли вы свою ответственность, связанную с тем, что вы продолжатель династии? В чем это выра-жается (стараетесь большему научиться, общаетесь с

профессионалами, пытаетесь создать какие-то свои проекты)?

Нет, не чувствую. В нашей семье это никогда не рас-сматривалось как продолжение профессиональной династии. Конечно, маме было приятно, что я пошел по ее стопам. Но не более того. Наверное, в том числе потому, что слово «династия» применительно к профес-сии, которой в нашей стране лет 30-40 от силы, звучит слишком уж громко.

Как вы видите свое будущее, к чему стремитесь в профессиональном плане?

Честно признаюсь, пока не знаю. Сейчас мне очень нравится то, чем я занимаюсь. Что меня будет интере-совать в будущем, посмотрим.



Эффективные стратегии

Рустэм Хайретдинов Заместитель генерального директора компании InfoWatch, генеральный директор Appercut Security

Безопасность бизнес-приложений

Если разделить все угрозы корпоративным приложениям на внешние/внутренние и случайные/намеренные, то мы получим четыре группы угроз: внешние случайные, внешние намеренные, внутренние слу-чайные и внутренние намеренные. Для начала просто перечислим их:

Внешние случайные угрозы — это стихий-ные бедствия, а также техногенные и полити-ческие катастрофы, которые влекут за собой нарушение функционирования инфраструк-туры, необходимой для работы приложений. Как мы видим из событий последних лет, чаще всего это нарушение электропитания и каналов связи, пожары в центрах обработки данных и т.п.

Внешние намеренные угрозы — это разно-го рода атаки извне – вирусные, DoS/DDoS, хакерские и комбинированные целевые.

Защита корпоративных приложений — довольно молодое направление в корпоративной информационной безопасности, которое пока еще строго не оформилось в отдельную отрасль. Тем не менее, по мере системного решения проблем с традиционной инфраструктурной безопасностью (защитой не данных и процессов их обработки, а мест, где они могут храниться и каналов, по кото-рым они могут передаваться), задача защиты приложений встает все острее.



С увеличением числа объектов возможных атак, свя-занных с распространением бизнес-приложений, имеющих Интернет-интерфейсы (Интернет-банкинг, электронная коммерция, электронные госуслуги, элек-тронные торговые площадки) пропорционально увели-чилось и количество атак на них.

Если мы внимательно посмотрим на перечень внеш-них угроз корпоративным приложениям, то увидим, что защищать приложения от практически всех внешних угроз можно, оставаясь в парадигме защиты инфра-структуры. То есть для защиты приложения от внешних угроз практически не важно, какие процессы оно ав-томатизирует, гораздо важнее, какую инфраструктуру оно использует.

Решения по обеспечению непрерывности бизнеса, защита от DDoS-атак, межсетевые экраны, антивиру-сы, системы обнаружения вторжений, web-application firewalls – все эти инструменты отлично работают и без глубокого понимания того, какие бизнес-процессы ре-ализованы в функциях приложений. Не мудрено, что такие решения внедряются быстрее и эффективнее, технологии быстро совершенствуются под усложняю-щиеся атаки, статистика открыта, производители выпу-скают не только программные «заплатки», но и публи-куют «лучшие практики» организации защиты.

Исключение составляют разве что целевые атаки, направленные не на доступность или конфиденциаль-ность информации, а на ее целостность. Для того что-бы извне заставить приложение сделать то, что нужно нападающему, будь то перечисление денег на нужный счет или раскрутка центрифуг в обратную сторону, нуж-но досконально знать, что и как реализовано в прило-

жении на довольно низком уровне. Поэтому вряд ли такая угроза действительно является только внешней – при большинстве целевых атак, скорее всего без инсайдера, сообщившего нападающему доселе неиз-вестные детали, не обошлось.

Итак, переходим к внутренним угрозам корпоратив-ных приложений. Начнем с простых.

Внутренние случайные угрозы. У корпоративного приложения два типа пользователя: непривилегиро-ванный (например, оператор или аналитик) и приви-легированный (администратор или программист). В отличие от системного программного обеспечения, где приложение разрабатывается целиком вовне, у делового программного обеспечения почти всегда есть внутренний разработчик, занимающийся, как говорится, «кастомизацией» бизнес-платформы. По-этому у бизнес-приложения и присутствуют два типа привилегированных пользователей.

Поскольку речь идет о случайных, ненамеренных угро-зах, нельзя не упомянуть об ошибках. Ошибка опера-тора, который ввел не те данные (помните комичный случай с перечислением 22222222222222,22 евро заснувшим за монитором сотрудником немецкого банка?) Ошибка администратора, вовремя не обно-вившего систему и оставившего брешь в защите или назначившего избыточные права рядовому пользо-вателю. Ошибка программиста (а также последую-щая халатность или некомпетентность тестера и при-емщика бизнес-приложения), своей программной конструкцией поставившего под угрозу стабильность приложения или конфиденциальность и целостность данных, им обрабатываемых.Это делает приложение

«Если мы внимательно посмотрим на перечень внешних угроз корпоративным приложениям, то увидим, что защищать

приложения от практически всех внешних угроз можно, оставаясь в парадигме за-

щиты инфраструктуры»



уязвимым от атак извне. «Незакрытые» каналы пере-дачи служебных данных, использованных при отладке приложений, могут служить неконтролируемым заказ-чиком каналом утечки информации.

Здесь уже, не разобравшись с тем, а что же именно делает приложение, никто не сможет дать рекоменда-ций по тому, какие действия считать ошибкой, а какие — нет. Нельзя защищаться от таких угроз, просто купив и установив какое-нибудь внешнее решение — оно по-требует не только тонкой настройки, но и постоянной донастройки правил по мере роста функционала при-ложения и изменения бизнес-требований.

И последний тип угроз, наименее изученный и наи-более разрушительный, — это злоупотребление тех же пользователей приложений. Оператор, особенно в сговоре с другими сотрудниками, может проводить мо-шеннические операции, для системы выглядящие как абсолютно легитимные. Администратор может похи-щать или намеренно изменять данные к собственной выгоде, а может делегировать это оператору, назна-

чая ему необычные привилегии. Программист может оставлять одному ему известные входы в приложение в обход всей системы авторизации для похищения данных или по расставленным заранее триггерам за-пускать незапланированные процессы — от явного и полного разрушения приложения и данных в нем до незаметной манипуляции данными к своей же выгоде.

Задача защиты информации и процессов приложе-ния от внешних угроз если и не решена, то, как ми-нимум, понятны пути ее решения (за исключением целевых, также называемых «таргетированных» атак, которые мы не относим исключительно к внешним). Множество специализированных продуктов на любой вкус и кошелек доступно на рынке. Внедрение их не требует «вертикализации», то есть специализации на каком-нибудь конкретном функционале приложения — любое веб-приложение, будь то интернет-банкинг или электронная торговая площадка, защищаются от DDoS-атак приблизительно одинаково, а системы бес-перебойного питания или резервные каналы связи вообще не имеют отношения к приложениям.

Модель угроз бизнес-приложениям:


Внутренней же безопасностью приложений нам только предстоит начать системно заниматься. Решения по про-тиводействию мошенничеству, мониторы транзакций СУБД, контроль прав пользователей и действий системных администраторов, поиск опасных программных конструкций и т.д. решают задачу каждый на своем фронте.

У всех этих решений есть много общего:


1.

2.

4.

3.

Для их эффективного использования нужно глубоко погрузиться в автоматизи-рованный бизнес-процесс и смысл деятельности каждого пользователя прило-жения, привилегированного и непривилегированного.

Поскольку нарушитель всегда конкретное лицо: сотрудник компании, аутсор-сер или контрактор, то мало просто выявить и даже пресечь нарушение. Не-обходимо легитимно собрать доказательства, чтобы в рамках правового поля воспитать или наказать провинившегося сотрудника.

Никакой пилотный проект, кроме полномасштабного внедрения, не позволит почувствовать полный функционал продукта на ваших процессах и данных. Принцип «поставьте мне софт, я его посмотрю» в этих рамках не реализуем.

Практически никакие решения не будут работать «из коробки». Основная тя-жесть по настройке и постоянной донастройке любой системы по противодей-ствию внутренним угрозам данным и процессам приложения лежит на заказ-чике, с поставщика можно лишь взять методики настройки.

И производители решений, и поставщики, и сами заказчики заинтересованы, чтобы такие решения внедрялись успешно. Поэтому осознание этих четырех принципов позволит избежать ложных ожиданий.

Защита [заказных] бизнес-приложений. The Next Big Thing корпоративной информационной безопасности. Пока это осознали только те компании, бизнес которых напрямую завязан на Интернете – интернет-порталы и социальные сети, для которых защищенность своих систем означает конкурентное преимущество, а суточный простой или утечка данных могут стоить сотни миллионов долларов капитализации. Но и сырьевые компании, а особенно банки и телеком-компании уже начали заниматься этим вплотную. Спешите поймать волну!



АлександрБондаренко Директор по развитию ЗАО «ЛЕТА»

Базовые элементы менеджмента рисков информационной безопасности

Личное дело:Родился в 1982 году. Окончил Московский энергетический институт по специальности «Вычислительные машины, комплексы, системы и сети», Технический университет г. Ильменау (Германия) по специальности «Инженерная информатика».На рынке ИТ и ИБ с 2004 года.

Директор по развитию ЗАО «ЛЕТА». Основатель ИБ-стартапа - ISM Systems. Автор блога Security Insight: http://secinsight.blogspot.ru/.

Обладатель ряда профессиональных серти-фикаций, в том числе CISA, CISSP. Активный участник российского ИБ-сообщества.В сферу информационной безопасности попал, увлекшись программированием на Linux во время обучения в Германии.

Увлечения: путешествия, чтение и прыжки с парашютом.

Любимые писатели: Стивен Кинг и Виктор Пелевин.



Риск-менеджмент в информационной безопасности — дисциплина далеко не новая, но по-прежнему вызыва-ющая массу вопросов, критики и скепсиса. В данной статье я предлагаю рассмотреть некоторые аспекты внедрения процесса управления рисками информа-ционной безопасности, которые стоит учитывать для того, чтобы добиться нужного результата.

Первое, что нужно понимать, это нужен ли риск-менед-жмент в организации вообще, и для каких целей он будет использован.

Внедрение процесса управления рисками ИБ мо-жет быть обусловлено желанием соблюсти фор-мальные требования федерального законодатель-ства или отраслевого регулятора либо желанием иметь формализованный механизм обоснования расходов и/или планирования деятельности по обе-спечению безопасности. Выбор того или иного ва-рианта объясняется текущими потребностями ор-ганизации (точнее, ее руководства) и накладывает свой отпечаток на то, как организуется управление рисками информационной безопасности. Однако вполне можно себе представить и организации, в которых риск-менеджмент как таковой не сильно нужен, и достаточно обходиться общими рекомен-дациями и лучшими практиками по информацион-ной безопасности.

Если же мы взглянем на нормативную базу, то увидим, что менеджмент рисков информационной безопасно-сти является неотъемлемой составляющей очень мно-гих нормативных документов: ISO 27001, 152-ФЗ, PCI DSS, СТО БР ИББС, 382-П и других. При этом надо пом-нить, что в общем случае нормативные документы и стандарты диктуют два несколько отличающихся друг от друга подхода к риск-менеджменту:

Первый подход заключается в том, что риск-менед-жмент является основой и краеугольным камнем всей системы защиты. Такой подход, к примеру, исповеду-ет стандарт ISO 27001. Согласно требованиям этого

документа, одним из первых шагов при построении системы управления информационной безопасно-стью является проведение оценки рисков, на осно-вании которой формируется список необходимых для реализации защитных мер (оформляется в виде SOA- Statement of applicability).

Второй подход заключается в том, что риск-менед-жмент используется как дополнительный инструмент, необходимый для адаптации (расширения) общих требований некого нормативного документа под ин-дивидуальные особенности объекта защиты. К доку-ментам, которые исповедуют такой подход, относятся стандарты PCI DSS и СТО БР ИББС, а также преслову-тый 21-ый приказ ФСТЭК, определяющий требования к обеспечению защиты персональных данных. Смысл этого подхода заключается в том, что соответствующий нормативный документ устанавливает набор требова-ний, обязательных к исполнению, позволяющий обе-спечить базовый уровень защиты. А необходимость реализации дополнительных мер или усиления тех, что включены в «базовый набор», должна определяться на основании оценки рисков.

Оба подхода имеют право на существование, но надо понимать, что в первом случае риск-менеджмент предполагает довольно масштабную работу, затраги-вающую все активы в рамках области действия си-стемы управления информационной безопасностью, а во втором случае риск-менеджмент применяется адресно только для тех объектов (или проектов), где он необходим.

Вторым важным аспектом является выбор методоло-гии оценки рисков информационной безопасности. Количество методологий в мире оценивается в не-сколько десятков. По своей структуре они во многом схожи, но различаются в некоторых мелочах и тонко-стях. Европейское агентство ENISA провело неплохое исследование, результатом которого стала довольно подробная инвентаризация большинства общеиз-вестных методологий оценки и управления рисками

«Риск-менеджмент в ИБ —дисциплина далеко не новая, но

по-прежнему вызывающая массу вопросов, критики и скепсиса»



информационной безопасности. Отчет агентства можно скачать по ссылке: http://rm-inv.enisa.europa.eu/rm_ra_methods.html. Со своей стороны, я рекомендовал бы обратить внимание как минимум на следующие методики: OCTAVE, NIST SP 800-30, ISO 27005, РС БР ИББС-2.2-2009, RiskIT.

Третье, что стоит учесть, внедряя процесс управления рисками информационной безопасности в органи-зации, — это то, каким образом данный процесс будет коррелировать с общим риск-менеджментом орга-низации (если он, конечно же, есть).

К сожалению, на практике в большинстве случаев эти два процесса существуют сами по себе (так происходит почти всегда, если процесс управления рисками информационной безопасности внедряется исключительно для формального выполнения требований нормативных документов). А это, в свою очередь, мешает представить результат оценки рисков информационной безопасности бизнес-руководству организации. Как быть? В данном случае «мостиком» может и должен стать набор критериев, которые будут использованы для оценки возможного ущерба от реализации рисков информационной безопасности. Вот, например, какой набор критериев предла-гает стандарт ISO/IEC TR 13569:2005 (также введенный в России как ГОСТ Р ИСО/МЭК 13569):

Оценка риска:



Такие критерии должны создать единую основу для общения между экспертом по оценке рисков и биз-нес-руководителями, принимающими решения по результатам оценки. После введения подобных кри-териев всем будет ясно, что именно понимается под уровнем риска «4» или «средний».

Четвертым аспектом, о котором стоит упомянуть, явля-ется то, что результаты оценки рисков во многом зави-сят от того, какая аналитическая база использовалась.

В идеале эксперт (или эксперты), который проводит оценку рисков, должен заранее сформировать доволь-но подробную базу угроз, из которой по определенным критериям будут отбираться те, которые актуальны для выбранного объекта защиты. Создавая такую базу, в первую очередь надо определить структуру описания угроз. Вот, например, какая формула уже довольно давно была предложена в методических документах ФСТЭК: угроза НСД в ИСПДн: = <источник угрозы>, <уязви-мость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

Вторым вариантом является описание угрозы в виде сценария возможного негативного события: хищение информации внешним нарушителем за счет внедре-ния вредоносного программного обеспечения через средства электронной почты.

Для формирования подобной базы могут быть исполь-зованы методические материалы и публичные источ-ники (базы угроз, уязвимостей, инцидентов), в том числе выпущенные соответствующим регулирующим органом. И, наконец, пятым важным аспектом является вопрос автоматизации оценки рисков информационной безо-пасности. В силу того, что оценка рисков предполага-ет необходимость проведения очень серьезной ком-бинаторики элементов каждой из возможных угроз, выполнение оценки рисков, например, в Excel-файле хоть и возможно, но сопряжено с некоторыми трудно-стями, как минимум, связанными с тем, что результа-ты вполне могут занять не одну сотню строк, что неиз-бежно скажется на удобстве восприятия информации и работы с ней.

Решений по автоматизации в настоящее время из-вестно немало. Среди отечественных систем можно выделить RVision: Risk Manager от компании ISM SYSTEMS, ГРИФ от Digital Security (к сожалению, по имеющейся у меня информации, продукт уже много лет не обновлялся, и видимо его разработка свернута) и BCM-Analyser от IRADD.

На западе решений по риск-менеджменту значитель-но больше. В настоящее время они, как правило, включаются в состав больших решений класса GRC. В качестве примеров отдельных инструментов для ав-томатизации управления рисками информационной безопасности можно отметить Modulo Risk Manager, vsRisk, LogicManager, Gael Risk Manager.

Вот основные аспекты, на которые стоит обратить вни-мание, внедряя процесс управления рисками инфор-мационной безопасности.

В качестве завершения хотелось бы поделиться сво-им видением того, а что же собственно ждет дисципли-ну риск-менеджмент в будущем. Думаю, можно с уве-ренностью утверждать, что в ближайшей перспективе бумажно-ручные методы оценки рисков полностью потеряют свою актуальность. Будущее за автомати-ческими системами и решениями, работающими с большими объемами данных (то, что сейчас на запа-де модно называть Big Data). Системами, основная задача которых будет заключаться в анализе собирае-мой из разных источников информации, прогнозиро-вании на основании данной информации возможных рисков информационной безопасности и представле-нии ее в удобном для принятия управленческого ре-шения виде.

В качестве источников входной информации при этом могут являться не только внутренние прикладные си-стемы и средства защиты, но также и внешние источ-ники, такие как социальные сети, форумы, блоги, пу-бличные базы уязвимостей, базы зафиксированных инцидентов ИБ и другие ресурсы. Риск-менеджмент должен перейти в разряд операционных процедур, а не оставаться неким действом, которое совершается раз в 1-2 года по заранее определенному ритуалу, и чьи результаты очень быстро теряют актуальность.

Ссылки:RVision: Risk Manager

ГРИФ BCM-Analyser

Modulo Risk Manager vsRisk

LogicManagerGael Risk Manager

http://www.ismsys.ru/risk-managerhttp://www.dsec.ru/products/grif/http://www.iradd.ru/index.php?option=com_content&view=category&id=2:bcm-analyser& layout=blog&Itemid=15&layout=defaulthttp://www.modulo.com/risk-managerhttp://www.vigilantsoftware.co.uk/http://www.logicmanager.com/index.phphttp://www.gaelquality.com/gael-risk

защита корпоративной информации vs зона комфорта сотрудников

55

Академия генштаба

Всеволод Иванов Исполнительный директор компании InfoWatch

Едва ли есть другое ПО, которое бы вызывало столько споров этического характера, как DLP-системы. В основном, недовольство и сомнения высказывают сотрудники, а не руководители компаний, в которых внедрено DLP-решение.

Их можно понять: мысль, что за тобой следит «Большой брат», заставляет чув-ствовать дискомфорт. Кто знает, как ру-ководство использует информацию, кото-рую сотрудник считает приватной? Да и вообще, столь резкое проникновение в его зону комфорта неминуемо вызывает у человека неприятие и даже возмущение.

В то же время, владельцев бизнеса тоже можно понять: компания должна защи-щаться не только от внешних, но и от внутренних угроз. Часто дело даже не в недоверии к подчиненным, не в желании

«Где же эта черта между необходимостью отслеживать

движение информации и создавать комфортные условия

для работы сотрудников?»

уличить их в чем-то неблаговидном, а в том, что руководство компании хорошо знает одну из истин ИБ, которая уже ста-ла общим местом: очень много утечек происходит случайно, из-за ошибки или невнимательности персонала. Желание защититься от таких инцидентов вполне оправданно.

Ну, и конечно, не стоит закрывать глаза на проблему злоумышленных утечек. Таких в российских компаниях, по данным Ана-литического Центра InfoWatch, не менее 77% от общего числа инцидентов.

Прежде всего, хотелось бы подчеркнуть, что DLP-система призвана контролировать ин-формацию, а не сотрудника, и ее цель состоит в том, чтобы конфиденциальные данные не покинули защищаемый периметр организации. Лингвистический движок системы не предназначен для слежения за личной жизнью сотрудников. Он детектирует перемеще-ние информации, представляющей ценность для бизнеса, контролирует употребление


Академия генштаба

«На сегодняшний день утечки клиентской информации из

отечественных компаний являются одной из самых острых проблем

в области ИБ»

ключевых слов и прочее. DLP-решение соотносит это с конкретными персоналиями только в том случае, если есть серьезное подозрение в утечке.

Однако не буду скрывать, я знаю некоторых офицеров безопасности, которые стремятся знать все обо всех в организации. Они делают это не из праздного любо-пытства или вуайеризма, а из соображений, что лич-ные отношения могут серьезно влиять на бизнес.

Давайте посмотрим правде в глаза: очень часто они оказываются правы. Тем не менее, я считаю, что при наличии такой строгой политики безопасности в ком-пании правильнее и этичнее предупреждать об этом людей непосредственно при приеме на работу. Но и у сотрудников есть свои обязательства: их рабочее время принадлежит компании, поэтому его использо-вание для решения глубоко личных вопросов – ровно такой же вопрос этики и взаимного уважения с рабо-тодателем.

Распространено мнение, что DLP-система часто втай-не используется для того, чтобы начальство могло ви-деть, кто и что говорит о нем. Конечно, нельзя ручаться, что никто и нигде этим не занимается. Однако систе-мы защиты от утечек пока редко работают на превен-тивное выявление внутренних угроз, да и алгоритмы обнаружения этих угроз совсем другие, гораздо более сложные. Например, критичным для подозрения на саботаж является не единичное негативное высказы-вание о руководстве, а некое нестандартное поведе-ние, включающее в себя цепочку различных действий от многократного высказывания недовольства руко-водством или политикой компании до мониторинга ре-крутинговых сайтов, просмотра вакансий конкурентов или полного копирования клиентской базы.

На мой взгляд, выявление желания сотрудника уйти – это, прежде всего, повод для руководства задуматься, о том, почему люди покидают компанию, и что-то во-время скорректировать. Именно люди «делают» ком-

панию, составляют ее главный актив и конкурентное преимущество. Поэтому информация о том, что со-трудники ищут другое место, должна быть не поводом для вызова «на ковер», а возможностью удержать цен-ного специалиста.

При этом компания имеет полное право обезопа-сить себя, приняв определенные меры к тому, чтобы менеджер, планирующий уйти к конкуренту, не смог унести с собой клиентскую базу. На сегодняшний день утечки клиентской информации из отечественных ком-паний являются одной из самых острых проблем в об-ласти информационной безопасности. В большинстве случаев, клиентская база воспринимается сотрудни-ками как «бесхозная» или принадлежащая лично им, но отнюдь не компании, информация. Это убеждение столь широко распространено в нашей стране, что пе-реманивание сотрудников конкурирующих организа-ций с расчетом на то, что они принесут с собой и базу клиентов, стало для многих компаний инструментом ведения бизнеса, своеобразной best practice.

Замечу, что все действия, которые обычно предше-ствуют переходу специалиста в конкурирующую ор-ганизацию (мониторинг рекрутинговых сайтов, про-смотр вакансий конкурентов и пр.), не несут в себе ничего подозрительного для нынешних DLP-решений, ведь никакого инцидента еще не произошло. Однако фактически уже на этой стадии компания может пред-принять определенные действия по превентивной защите своих информационных активов. В частности, обратить особое внимание на то, какая информация пересылается вовне из-под учетной записи данного сотрудника, что записывается на съемные носители, отправляется на печать и пр.

Этот момент кажется нам очень важным, поэтому мы стремимся делать то, чего никто пока на рынке не де-лает, – помогать компаниям предотвращать утечку не в момент попытки инсайдера вынести информацию, а заблаговременно.


...Легко в бою

Этапы принятия нового – объективная закономерность

Андрей Ерин Директор службы информационной безопасности ООО «Каркаде»

Работая в сфере ИБ в разных компаниях, я столкнулся с двумя глобальными про-блемами: во-первых, выделение ресурсов всегда происходит по остаточному прин-ципу, во-вторых, большинство топ-менед-жеров очень слабо разбираются в тема-тике защиты информации. При этом цели ставятся масштабные.

Иначе и быть не может, потому что безо-пасники со своим функционалом защиты вмешиваются практически во все процессы компании. Да еще приходится «влезать» в компетенцию других руководителей, напри-мер, в сферу HR для повышения осведом-ленности персонала или в сферу операцион-ного директора, разбираясь с процессами и оценивая активы.

Вот это противоречие между масштабностью задач и распределением ресурсов по оста-точному принципу, на мой взгляд, и является основной трудностью нашей профессии. По-этому руководителю направления ИБ не сто-ит надеяться на то, что с неба падет «манна небесная». Чтобы добыть эту самую «манну»

Фраза о том, что «информационная безопасность является лишь обеспечивающим процессом», не будет открытием для профессионалов в сфере защиты информации. Напомню её только затем, чтобы задать тон статье, речь в которой пойдет о правилах поведения с руководством компании при внедрении новинок информационной безопасности.



«Смягчая операционные риски, руководители компании ставят перед ИБ

глобальные задачи, выделяя при этом ресурсы по своему разумению»

для выполнения своих же функций, безопаснику необ-ходимо очень постараться. И тут недостаточно глубо-ких технических знаний, хорошо бы еще владеть так-тикой общения с руководством.

Кто-нибудь из коллег может обидеться за «топов», кото-рых я обвинил в слабой компетенции в области инфор-мационной безопасности. И совершенно напрасно: нет в компетенциях руководителя компании понятия «информационная безопасность». Вот что по этому по-воду написано в Википедии:

Основные умения и знания исполнительного директора:

Основы менеджмента и финансов

Планирование

Организация операционной деятельности

Лидерство

Координация действий и ресурсов (включая управление эффективностью)Знание психологии

Итак, сфера информационной безопасности для руко-водства компании ограничена операционной деятель-ностью, точнее операционными рисками. Смягчая эти самые операционные риски, руководители компании и ставят перед информационной безопасностью гло-бальные задачи, выделяя при этом ресурсы по своему разумению. Вот и приходится крутиться – стараться разговаривать с бизнесом на их языке, применять те же приемы и методы работы, что и с капризными клиентами, которые отлично видят далекую стратегию, но не могут структурировать свои «хотелки» до уровня: «DLP на хосте или шлюзе», SIEM, IDM, BYOD и т.д.

Одним из таких приемов я бы хотел поделиться. Он сформулирован на основе эмпирических наблюдений в ходе практической деятельности и теоретических знаний, полученных мною при изучении курса социо-логии в университете.

Я обратил внимание на закономерности, которые повторялись в ходе моих докладов руководству о ре-зультатах аудита защищенности информации или в начале различных проектов по ИБ. Всегда сначала шла реакция отстраненности, потом агрессивное поведение, и зачастую проекты просто не начина-лись, а мои идеи и предложения плавно ложились под сукно. Но стоило растянуть эти доклады по времени или вернуться к этому вопросу позже, то успех был практически гарантирован. Я вспомнил, что в ходе учеб в университете уже читал в учебни-ках социологии о подобных закономерностях. И на-чал искать информацию в этом направлении.

В ходе моих изысканий были найдены несколько те-орий принятия изменений. Большинство из них ос-новывалось на теории о стадиях проживания горя/потери, впервые сформулированной Элизабет Кю-блер-Росс в своей книге «On Death and Dying» в 1969 году. Почему эта теория подошла к моим эмпириче-ским наблюдениям? Сложно сказать. Возможно, для топов известие о проблемах в их любимой компании сродни известию о тяжелой болезни. Возможно для людей вся новая информация, которая переворачи-вает их мировоззрение, воздействует именно таким образом — отрицание, агрессия, принятие (вспомним судьбу Коперника).

Есть еще одно убедительное объяснение, найденное мною в научных публикациях: человеческий разум по своей природе нуждается в когнитивной стабиль-ности. По этой причине сомнение в состоятельности базового представления всегда вызывает у человека тревогу и ощущение незащищенности. А люди не лю-бят тревожиться и потому предпочитают считать, что происходящее соответствует их представлениям даже в тех случаях, когда это приводит к искаженному, про-тиворечивому и фальсифицированному восприятию и истолкованию событий.

После краткого предисловия переходим к сути. Пропу-щу процесс совмещения научной теории, доказанной годами исследований, и моих практических наблюде-ний. Перейду сразу к получившимся определениям этапов принятия нового, при условии, что это новое переворачивает устоявшееся мировоззрение. Этих этапов всего пять.

1

3

2

4

5

6



Краткие примеры проявлений пяти этапов и пути выхода из нихДавайте рассмотрим теорию этапов принятия нового и попробуем разобраться, как вести себя в ходе каждого из этапов. К сожалению, универсального ответа нет. В многообразии корпоративных культур компаний и личностей руководителей невозможно предположить, как сложатся карты в конкретном случае. Я просто поделюсь опытом своих успешных выходов из сложившихся ситуаций:

ОтрицаниеЛюди приходят на совещание не подготовленные, не читают заранее при-сланные материалы, в ходе совещания отвлекаются и не слушают, стараются увести разговор от темы. Видно, что им не интересно, они могут проверять почту на телефо-нах, подписывать документы, взятые с собой. Как правило, в последующем они не могут вспомнить содержание встре-чи, удивляются, что уже знакомились с данным вопросом.

В случае, если вы увидели признаки проявления пове-дения, характерно-го для этапа отри-цания, не давите, не требуйте много-го. Сейчас задача одна — ознакомить с информацией и отпустить тему, переключиться на привычные для ау-дитории объекты.

АгрессияЕсли после проявле-ния отрицания про-должать настаивать на своих выводах или предложениях, то ход встреч пере-ходит в следующую фазу, начинают появляться яркие негативные выска-зывания, демон-стративный уход, хлопанье дверями, разнос за что-ни-будь, подвернувше-еся под руку.

Если вы все же довели ситуацию до данного этапа, важно не прини-мать негатив как личную обиду. Пом-ните, что агрессия направлена не на вас, а на ситуацию, а вы просто служи-те источником этой самой ситуации. Единственный выход — не давить дальше.

ТоргЭто менее выра-женный этап, тем не менее, он тоже проявляется в таких высказываниях: «А давайте, напишите дельную инструк-цию, и все будет хорошо», «А давайте не будем тревожить всю компанию, про-ведем мероприятия только по процес-сам конкретного отдела».

Это хороший этап, свидетельство вашего будущего успеха. Тут задача согласиться хоть на что-нибудь, на-чать деятельность. Любая зацепка — это уже прогресс в ваших начинаниях.

АпатияВажный этап в процессе принятия нового. Встречал его в обязательном порядке в каждом случае, проявляется он в разных словах и поступках, но смысл всегда одинаковый: «Да делайте, что хо-тите, там посмотрим, что получится».

Короткий этап, соз-дающий иллюзию, что можно рас-слабиться. Как бы не так, этот этап является самым плодотворным во всей эпопее. К нему нужно гото-виться заранее, запасаться ресур-сами, планировать взаимодействие с многочисленными подразделениями. Необходимо поль-зоваться всеми возможностями и быстро делать свое дело, успеть все запланированное и помнить про следу-ющий этап!

ПринятиеЭтот этап очень интересно подводит итог всей предыду-щей цепочке собы-тий. Руководство компании в один прекрасный момент вдруг прозревает, вызывает тебя на ковер и начинает разнос, оперируя знакомыми до боли фразами: «Как можно было жить без этого раньше? Почему сразу не предлагали? Почему не отстаивали свою точку зрения?»

Ответственный этап в деле выжи-вания эксперта по информационной безопасности. На этом этапе необходимо быть психологически и организационно готовым доказать, что вы сделали все, что было в ваших силах, а то и больше, для реали-зации своих идей, которые первона-чально встретили непонимание и отпор.



Однажды, на одном из совещаний, меня распекали за то, что у нас недостаточно хорошо реализована функция, которая так необходима производственно-му процессу. Я приводил аргументы о том, что все что сделано – сделано на мой страх и риск во внерабо-чее время. И о том, что я уже давно и неоднократно говорил о внедрении необходимого решения и даже представлял его план, но получил категорический от-каз. Так вот, на том совещании мне была высказана шикарная фраза: «Вы не настойчиво говорили». Впо-следствии эта мысль повторялась в той или иной ин-терпретации в различных компаниях и ситуациях.

Заключительный этап приучил меня чутко улавливать его начало, тот переломный момент, когда собствен-ники или топы начнут жестко спрашивать за успех реализации тех идей, против которых они изначально выступали.

Есть еще один немаловажный фактор в данной тео-рии, который служит основой для практического при-менения теории в жизни: этапы необходимо растянуть во времени. В научных публикациях на эту тему пишут об обязательности «прожить» каждый из периодов в течение некоторого времени. Период этого «прожи-тия» различный, зависит от личности людей, которые проходят данные этапы, от степени новизны, от уров-ня тревожности, которую вызывают сообщения о но-вом явлении. И от многих других факторов, которые, наверное, можно просчитать в рамках серьезных ис-следований. Но пока таких исследований нет, прихо-дится просто внимательно наблюдать за признаками окончания одного периода принятия нового и начала другого.

Надеюсь, что мой опыт пригодится коллегам в нелег-ком деле внедрения новых методов и решений по за-щите информации, а может, и в иных сферах жизни.


Взятые высоты

Security Intelligence — новое решение старой задачи

Анна Костина Руководитель направления систем управления безопасно-стью Центра информационной безопасности компании «Инфосистемы Джет»

Личное дело:Окончила факультет информационной безо-пасности Московского инженерно-физиче-ского института (МИФИ).

С 2006 года работает в Центре информаци-онной безопасности компании «Инфосисте-мы Джет». С 2009 года возглавляет направ-ление систем управления безопасностью.

Является аккредитованным преподавателем по системам управления информационной безопасностью и непрерывностью бизнеса. Привлекается сертификационными органа-ми для проведения надзорных аудитов на соответствие требованиям стандарта ISO/IEC 27001.

Автор публикаций по теме информацион-ной безопасности в различных отраслевых изданиях.

В школьные годы планировала стать пере-водчиком.

Увлекается сноубордом.



«Любая достаточно ушедшая впередтехнология неотличима от чуда»

Артур Кларк

Почти любое ИБ-подразделение изо дня в день сталкивается с проблемами, которые с одной стороны банальны, а с другой – оказывают более чем значительное влияние на его работу в целом. Например, достаточно сложно обосновать принятие любых решений, связанных с обеспечением ИБ, — будь то увеличение бюджета, расширение штата сотрудников, принятие решения о внедрении какого-либо средства защиты и т. п. Да и вопрос с демонстрацией эффективности подразделения ИБ остается открытым. И это при том, что усилия по «приближению» информационной безопасности к бизнесу принимаются весьма значительные.

Опыт нашего общения с ИБ-специалистами компаний самых различных отраслей показывает, что процессы обеспечения ИБ в них работают и уже автоматизиро-ваны с использованием дорогостоящих и мощных тех-нологий. Более того, в них накоплен большой объем данных о состоянии информационной безопасности и изменении её уровня в динамике. На основе этих данных можно было бы многое показать и рассказать о работе ИБ. Но они разнородны и носят в основном технический характер. Именно поэтому подразделе-ния ИБ зачастую не могут воспользоваться этими дан-ными в общении с руководством.

Ситуацию может усложнить территориальное распре-деление компаний. Задача контроля ИБ на удаленных площадках чаще всего решается посредством регу-лярной отчетности, направляемой филиалами в го-ловной офис, полнота и достоверность которой может вызывать вопросы. В итоге, целостной картиной про-исходящего может не обладать даже подразделение ИБ. О хоть сколько-нибудь глубокой погруженности в данный вопрос бизнес-руководства и вовсе говорить не приходится.

Не менее важным фактором является количество времени, затрачиваемое безопасниками на анализ поступающих данных и подготовку разного рода отчет-ности. Известны прецеденты, когда на подготовку еже-недельных отчетов о состоянии ИБ в головном офисе и филиалах крупной компании у одного специалиста

уходило 4-5 часов. И это время тратилось только на то, чтобы свести получаемые данные по ИБ воедино. Очевидно, что описанные проблемы можно решить с помощью инструмента разноуровневой аналитики тех данных, которые формируются в ходе функционирова-ния процессов обеспечения ИБ.

ИБ: принцип «золотого сечения»Начав прорабатывать этот вопрос и искать технологию, которая могла бы лечь в основу такого инструмента, мы в первую очередь обратили внимание на решения класса Business Intelligence, уже на практике доказав-шие свою эффективность. И действительно, ведь, что такое современный бизнес-анализ? Это − комплекс технологий, методов, средств и инструментов извлече-ния значимой информации из гетерогенных данных, её представления и анализа.

А теперь взглянем, какова ситуация, сложившаяся се-годня в сфере ИБ. В большинстве случаев в арсенале организаций имеется превеликое множество разно-родных систем безопасности различного функционала (от защиты информации от утечек и контроля действий пользователей до анализа уязвимостей и множества других). При этом существенно затруднен сквозной анализ через все эти средства, т.к. они предоставля-ют информацию в совершенно разных форматах: это и базы данных, и отчеты, и журналы событий. А ско-рость реакции (во многом зависящая от возможности



«Деятельность по ИБ не всегда прозрач-на для руководства. Так, руководство не всегда досконально понимает куда

уходят деньги, затраченные на ИБ, и какой эффект дают эти траты»

быстрого сбора информации о ситуации в части ИБ), например, при возникновении инцидента ИБ может оказаться весьма критичной для деятельности ком-пании в целом. Получается, что в части решаемых за-дач аналитика в информационной безопасности мало чем отличается от бизнес-аналитики. В обоих случаях имеют место большое количество источников данных, потребность в разнородных отчетах, связывающих между собой такие данные, необходимость в форми-ровании новых отчетов и расширении числа источни-ков данных.

Наложение на существующие потребности отече-ственных компаний наших собственных наработок в области управления ИБ, разработки коннекторов к системам ИБ, мониторинга эффективности и анали-тики по ИБ, позволило нам выявить своеобразные «пропорции золотого сечения», на основе которых мы создали новый продукт – аналитическую систе-му Jet inView Security. Она сочетает в себе классиче-ский функционал Business Intelligence и Data Mining и решает проблему непрозрачности ИБ для бизнеса и сложности ИБ-аналитики как таковой.

Инструкция по примененияJet inView Security позволяет с минимальными трудо-затратами оперативно накапливать и анализировать информацию из разных подсистем безопасности и бизнес-систем с последующими преобразованием и подачей её в виде аналитических панелей различного уровня детализации. Его функционал позволяет прак-тически мгновенно «спускаться» от высокоуровневой аналитики к данным более низкого уровня в рамках интерфейса одной системы (вплоть до перехода в консоли систем-источников). В итоге руководители

ИБ-подразделения получают возможность вместо пер-манентного анализа регулярных отчетов о работе си-стем безопасности, «ручного» поиска дополнительной информации из других источников, в максимально наглядной форме, в рамках «единого окна», видеть актуальное состояние дел в области ИБ с желаемым уровнем детализации.

Благодаря модульной структуре система отличает-ся повышенной гибкостью, легко кастомизируется и адаптируется. Кейсы, решаемые Jet inView Security, включают в себя централизованный контроль ИБ, мо-ниторинг эффективности подразделения ИБ, поведен-ческий анализ работы систем и пользователей.

«Доложить обстановку!»Как уже говорилось выше, деятельность по ИБ далеко не всегда прозрачна для руководства. Это влечет за собой ряд проблем. В частности руководство не всегда досконально понимает куда уходят деньги, затрачен-ные на ИБ, и какой эффект дают эти траты. Руководи-тели подразделений ИБ, в свою очередь, сталкиваются со сложностями при демонстрации отдачи от деятель-ности ИБ, эффекта от вложенных в ИБ средств.

В связи с этим для наших заказчиков актуальным оказалось создание иерархии показателей результа-тивности и эффективности ИБ (от бизнес-метрик до технических показателей). Использование таких ме-трик позволяет количественно и качественно оценить ожидаемые результаты от внедрения мер по защите информации (в том числе, с точки зрения эффектив-ности расходования средств) и определить степень со-ответствия внедряемых и уже внедренных процессов ожиданиям компании.



Jet inView Security позволяет проводить автоматиче-ский расчет значений метрик по поступающим от подсистем ИБ данным, давая возможность выявлять реальные и потенциальные недостатки в обеспече-нии ИБ, принимать своевременные и обоснованные меры по его улучшению и устранению коренных при-чин возникших отклонений.

«А что это вы тут делаете, а?»В случае возникновения инцидентов ИБ часто требу-ется быстро собрать и сопоставить информацию из разных, не связанных между собой источников. Jet inView Security позволяет делать самые разнообраз-ные срезы данных за считанные секунды. Например, − произошла утечка информации? Можно быстро по-смотреть, кто, когда и куда отсылал по почте или со-хранил на флешку файлы, содержащие критичную для компании информацию, с кем эти люди общались в последнее время по почте, на какие сайты ходили в день утечки (за день до этого, за неделю и т.д.).

Помимо этого, часто работодатели озабочены эф-фективностью работы своих сотрудников – «Сколько времени проводят в Интернете?», «На сколько опаз-дывают на работу?» и т.п. Все это также можно анали-зировать. Подобных примеров применения системы может быть масса. И единственное ограничение по получению данных – наличие источников, из которых можно взять интересующую информацию. Все осталь-ное, как говорится, − это дело техники.

«Что происходит в дальних землях?»Частая проблема в крупных территориально распре-деленных компаниях – это контроль информацион-ной безопасности на удаленных площадках. Подклю-чив подсистемы безопасности филиалов к Jet inView Security, можно получать объективную информацию о состоянии ИБ в них. При этом доступ к данным обо всех филиалах будут иметь только сотрудники головно-го офиса, а специалисты на местах будут видеть дан-ные только по своему филиалу.

По большому счету, результатом описанного опыта по использованию методологии бизнес-анализа приме-нительно к новым вводным, в новой концепции с учетом потребностей ИБ, стало не только появление но-вого продукта. Jet inView Security — результат своеобразной эволюции технологии BI в Security Intelligence — дает возможность бизнесу взглянуть на информационную безопасность под новым углом. Его использо-вание позволяет наглядно демонстрировать руководству результаты работы, оценивать соответствие ИБ ожиданиям бизнеса, контролировать состояние ИБ в «одном окне» и эффективность внедряемых мер обе-спечения ИБ, сократить трудозатраты на рутинную деятельность, определить верные векторы развития ИБ.


Авторы:

Алексей Лукацкий, Бизнес-консультант по безопасности компании, Cisco SystemsНаталья Касперская, генеральный директор ГК InfoWatch

Рустэм Хайретдинов, президент Ассоциации «DLP-Эксперт», генеральный директор Appercut SecurityВсеволод Иванов, исполнительный директор компании InfoWatch

Екатерина Ляшенко, консультант-аналитик по вопросам информационной безопасности IT TerraЕвгений Царев, глава представительства Swivel Secure в России

Александр Бондаренко, директор по развитию ЗАО «ЛЕТА»Андрей Ерин, директор службы информационной безопасности ООО «Каркаде»

Анна Костина, руководитель направления систем управления безопасностью Центра ИБ компании «Инфосистемы Джет»

Иван Касперский, разработчик «Центра инноваций Натальи Касперской»Наталья Мутель, главный редактор журнала «!Безопасность Деловой Информации»

Комментарии:

Геннадий Емельянов, председатель Совета Межрегиональной общественной организации«Ассоциация защиты информации»

Сергей Вихорев, заместитель Генерального директора по развитию ОАО «ЭЛВИС-ПЛЮС»Александра Токаренко, руководитель комитета, член Правления АРСИБ

Алексей Волков, независимый эксперт, блогерАндрей Прозорова, ведущий эксперт по ИБ компании InfoWatch, член Ассоциации «DLP-Эксперт», блогер

Информация:

Номер журнала: №3, третий квартал 2013 годаТираж: 1000 экз.

Распространяется бесплатноНомер свидетельства: ПИ № ФС 77 – 54908

Свидетельство о регистрации СМИ: ПИ № ФС 77 – 54908Зарегистрировавший орган Федеральная служба по надзору в сфере связи, информационных технологий и

массовых коммуникацийУчредитель: Bisness Information Security Association

Главный редактор: Наталья МутельАрт-директор: Валерия Аникина

Адрес редакции: 123022, Москва, 2-ая Звенигородская ул., д. 13, стр. 41Отпечатано в типографии «АМА-ПРЕСС»: 107392, г. Москва, Зельев пер., дом 3

Интернет-версия издания: http://dlp-expert.ru/bdi

Контакты по вопросам рекламы и размещения материалов:

Е-mail: [email protected], Телефон: 8 903 724-33-10

Редакция не несёт ответственности за достоверность рекламных материалов. Любое воспроизведение материалов и их фрагментов возможно только с письменного согласия редакции.

Рукописи не возвращаются и не рецензируются.

Журнал«!Безопасность Деловой Информации»

Журнал «!Безопасноть деловой информации» №3

Documents