Алексей Лукацкий — бизнес-консультант по безопасности Cisco; alukatsk@cisco.com |
Проект учебника для CIO-клуба ИТ-директоров 4CIO содержит раздел по информационной безопасности, состоящий всего из пяти пунктов: политика ИБ, технические средства, антивирусы, шифрование и ЭЦП. Но это даже не верхушка айсберга, это, скорее, снежок на ней. Нельзя заниматься информационной безопасностью в России в отрыве от реалий, о которых любой ИТ-директор знать обязан. Мы поговорим о том, что обычно скрыто от глаз многих ИТ-директоров — сертификации и аттестации, лицензировании и требованиях регуляторов, о самих регуляторах (а их в России семь) и многих других не менее важных вопросах, без которых знания CIO будут неполны.
Несмотря на близость двух направлений — ИТ-поддержки бизнеса (ИТ) и информационной безопасности (ИБ) — многие ИТ-директора далеко не всегда понимают, в чем особенности обеспечения информационной безопасности... в России. Именно в России. С западной точки зрения многие отечественные CIO поступают вполне адекватно — внедряют антивирусные технологии, системы управления патчами, межсетевые экраны и системы предотвращения вторжений. Наиболее продвинутые задумываются об интеграции систем корреляции событий ИБ в общую систему Service Desk или о выстраивании процессов обеспечения ИБ в соответствии с лучшими практиками, описанными в CoBIT или ITIL. Признаюсь, что и специалисты по ИБ не всегда понимают задачи ИТ, но сегодня мы будем говорить не об этом.
Что такое информационная безопасность
Несмотря на кажущуюся простоту, это ключевой вопрос, в ответе на который и кроются все разногласия, недопонимания и просто конфликты между ИТ и ИБ. Даже внутри одной организации можно встретить разные объяснения этого термина. И это не значит, что кто-то прав, а кто-то ошибается, — правы все. Просто толкование этого понятия очень сильно зависит от множества факторов и условий. Вот определение (немного откорректированное) из Доктрины информационной безопасности России: «ИБ — это состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса». Здесь самое важное — это понимание каждого из трех ключевых элементов: «стейкхолдер», «интерес», «информационная сфера».
Начнем со стейкхолдеров (от английского stakeholder — заинтересованная сторона). Для кого работает служба информационной безопасности? В абсолютном большинстве случаев — для себя самих и регулирующих органов, о которых мы поговорим позже. Так уж сложилось, что многие специалисты по безопасности делают работу исходя из своего понимания ее важности и нужности, в отрыве от потребностей бизнеса. Они блокируют доступ к «Одноклассникам», читают чужую почту с благой целью борьбы с утечками информации, блокируют USB-порты и выполняют многие другие функции, ценность которых понятна не всем. А какие заинтересованные стороны охвачены ИТ-поддержкой бизнеса? Помимо самого ИТ-отдела, это рядовые сотрудники, которые пользуются результатами его труда. Это, конечно же, бизнес, в том числе сами специалисты по информационной безопасности, которым ИТ важны для достижения определенных значений бизнес-показателей. Это могут быть клиенты и партнеры, которые получают доступ как минимум к Web-сайту компании, а как максимум — еще и к отдельным частям внутренней информационной системы (например, к системе управления складскими запасами или логистике, как это сделано в Cisco). А вот интересы регуляторов ИТ-департамент волнуют мало. Иногда ИТ-руководитель вообще не знает о таких регуляторах (а зря!).
Переходим к «информационной сфере». Согласно распространенному мнению, что ИБ защищает информацию, для многих специалистов по ИБ именно информацией сфера их ответственности и ограничивается. Хотя на самом деле и к информации они имеют такое же отношение, как ИТ к выдаче зарплаты (то есть косвенное). Если посмотреть на то, что делают многие службы ИБ, мы увидим, что ни о какой информации и речи не идет. Системы криптографической защиты шифруют не информацию, а данные (в файлах, в сети или в почтовом трафике). Межсетевой экран блокирует не информацию, а поток сетевых пакетов, содержимое которых (исключая заголовок пакета/фрейма) совершенно никак не влияет на принятие решения о пропуске или блокировании. Хотя на самом деле межсетевой экран даже данные не блокирует, а всего лишь ограничивает доступ к конкретным IP-адресам. Сканеры безопасности осматривают инфраструктуру в поисках дыр и тоже не имеют отношения к информации. И так почти везде. Даже составление перечня сведений конфиденциального характера, с которого обычно начинаются будни любого нового директора по ИБ, никакого отношения к информации не имеет. Этот список оперирует не информацией, а ее видами — «информация о клиентах», «информация о ценах», «ноу-хау» и т. д. Что скрывается за каждым этим названием, знает не каждый специалист по ИБ, так как это требует очень тесного контакта с бизнесом, а специалисты по информационной безопасности к этому не склонны.
По сути, они всегда занимались в лучшем случае защитой данных. А если вспомнить классическую модель DIKW (data, information, knowledge, wisdom — данные, информация, знания, мудрость), то сфера деятельности служб ИБ крутится вокруг самого низшего уровня этой модели, который и ценности-то никакой не представляет. Например, на этом уровне невозможно определить, что означает, скажем, число «42». Это может быть как возраст сотрудника вневедомственной охраны, так и размер спецодежды, оборот компании в миллионах долларов и т. п. Пока нет контекста, можно говорить только о данных. И именно этим понятием оперирует большинство средств защиты. Добавление контекста позволяет подняться на уровень информации и уже более отчетливо понимать, что циркулирует в информационной системе. Средств защиты на этом уровне почти нет, исключая, может быть, DLP-решения по контролю утечек. Но и этого недостаточно. Информация об обороте компании требует защиты или нет? Мы не знаем этого, не имея представления о ценности той или иной информации и не обладая знанием, как эта информация может быть использована. Только разбираясь в этом, можно говорить о реальной защите бизнеса в информационной сфере. Средства анализа рисков, позволяющие выделить наиболее ценные информационные активы, пока не получили широкого распространения.
Вернемся к понятию информационной сферы. Если посмотреть на Доктрину информационной безопасности, то сфера — «это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений». В определении мы видим, что, например, ИТ-департамент больше интересует информационная инфраструктура, чем сама информация, которая в инфраструктуре создается, хранится, обрабатывается, передается. И вот у нас вновь нестыковка со специалистами по ИБ, которые оперируют в основном понятием «данные». Государственные и отраслевые регуляторы тоже не поднимаются выше уровня данных, в то время как многие ИТ-директора уже давно говорят об управлении информацией, а иногда и об управлении знаниями. Существует разрыв, который делает взаимодействие двух служб сложным, да и общаются они не всегда на одном языке.
Если обратиться к инфраструктуре, то большинство используемых сейчас в России средств защиты работает на самом ее низшем уровне — уровне сети или уровне операционной системы. Но большинство современных атак сегодня концентрируется на более высоких уровнях — базы данных, ERP-, CRM-, SCM-, ДБО-, SCADA-решения и т. п. Есть ли решения по защите данных систем? Безусловно. На Западе они представлены, пусть и не в таком количестве, как антивирусы или системы предотвращения вторжений. Но в России они практически неизвестны.
И наконец, «интересы стейкхолдеров». Пожалуй, самый интересный и самый важный пункт в определении ИБ. Интересы специалистов по ИБ понятны и давно отражены во множестве учебников и документов регуляторов. Это классическая триада КЦД: конфиденциальность, целостность, доступность. Но несмотря на упоминание триады почти все усилия специалистов по ИБ (и регуляторов в том числе) направлены на достижение только конфиденциальности — мы исторически всегда старались сохранить что-то в тайне.
А вот многими ИТ-специалистами этой задаче присваивается самый низкий приоритет. Для многих из них гораздо важнее доступность и целостность элементов информационной сферы. Что приоритетнее: шифровать возраст сотрудников компании и образование клиентов по требованию ФСБ (ведь это персональные данные) или обеспечить бесперебойную работу серверного сегмента компании? Что критичнее: не дать утечь информации о размерах добычи нефти или не дать злоумышленнику подменить (нарушить целостность) команду управления задвижками трубопровода, инициируя катастрофу?
Но ведь этим интересы ИТ не ограничиваются. Многим ИТ-специалистам куда важнее задачи по снижению капитальных затрат, интеграции новой системы управления предприятием в корпоративную информационную систему или ухода от «зоопарка ПО» в сторону стандартизации программной платформы. Как это сочетается с «незыблемой» для многих «безопасников» триадой? У юристов интересы тоже будут свои: защита от преследования за нарушение законодательства или договорных отношений, а также соответствие тем или иным нормативным актам. Для бизнеса вопросы ИТ и ИБ вообще кажутся сущей мелочью по сравнению с ростом стоимости акций, ростом доли рынка и маржинальности или экспансии на новые рынки сбыта. А для пользователей тайна переписки, бесперебойный и скоростной Интернет и доступ к «Одноклассникам» в рабочее время гораздо важнее «всяких» реинжинирингов бизнес-процессов и внедрений инновационных практик в модернизацию производства. Это тоже интересы, и их стоит учитывать ИБ.
Отечественному пониманию ИБ свойственна ориентация на обеспечение только конфиденциальности. Давайте посмотрим на основной закон в области ИТ и ИБ — № 149-ФЗ «Об информации, информационных технологиях и защите информации». В части, посвященной защите, он оперирует только понятием «конфиденциальность». Из нижеприведенного исторического экскурса становится понятно, почему. Спецслужбы, разрабатывающие, комментирующие и согласующие этот закон (как и все остальные смежные законы), были ориентированы на защиту только государственной тайны, то есть конфиденциальность была всегда превыше всего.
В результате законодательство слишком погрузилось в различные виды тайн. У нас в нормативно-правовых актах их зафиксировано 50 видов. И почти ни слова в нормативно-правовой базе не говорится о доступности, целостности, контролируемости, подотчетности и других важных свойствах информации. Представим себе, что речь идет о защите систем управления технологическими процессами (АСУТП или SCADA), и концепция защиты на основе обеспечения конфиденциальности рассыпается, как карточный домик. В АСУТП почти нет конфиденциальной информации — вся информация открытая. Но вот целостность ее и доступность обрабатывающих ее систем должны обеспечиваться на самом высоком уровне. И таких примеров зацикливания на конфиденциальности множество.
Что же мы видим? В зависимости от опыта, образования, предыдущих мест работы, бизнеса компании, подчиненности ИБ на предприятии и других факторов определение понятия информационной безопасности может сильно варьироваться. Даже на одном и том же предприятии оно будет меняться при разных директорах ИБ — бывшем «силовике» или бывшем выпускнике MBA. И как правило, взгляды на ИБ со стороны одноименной службы и департамента ИТ различаются.
Исторические предпосылки
Чтобы понять, почему ИТ и ИБ в России находятся в таком невыгодном положении, необходимо сделать экскурс в историю формирования отечественного рынка ИБ. Мы увидим, что сложившаяся система отношений в области ИБ — не хороша и не плоха. Она является следствием нашей истории, а не чьего-то недосмотра.
Исторически в России ИБ всегда была в руках спецслужб, обеспечивающих сохранность государевых тайн. До перехода к рыночной экономике их усилия были направлены на противодействие иностранным техническим разведкам. С возникновением рынка и конкуренции у бизнеса, разумеется, возникла своя задача хранения секретной информации. В связи с проводимыми реформами произошли существенные сокращения в подразделениях системы государственной безопасности. Оказавшиеся на улице сотрудники сформировали основу служб безопасности коммерческих структур. Высокий спрос на этих специалистов объяснялся в первую очередь низким уровнем квалификации владельцев первых рыночных компаний и высоким уровнем мифологизации деятельности служб государственной безопасности в советском обществе.
Бывшие сотрудники органов безопасности, отлично разбирающиеся в тонкостях утечки информации через батареи отопления и электрические розетки, ничего не понимали в реальных потребностях бизнеса. Они прекрасно знали, как защищать государственную тайну, и этот опыт стали привносить и в жизнь обычных «булочных» и «парикмахерских». На первых порах это не сильно сказывалось на результате. Сотрудники спецслужб, обладающие одинаковым набором знаний и умений, работали по обе стороны баррикад: одни пытались украсть, другие — предотвратить кражу.
С развитием информационных технологий менялась картина угроз. Появились вирусы, а за ними черви, DDoS-атаки, взломы ПО и т. д. Но образование выходцев из спецслужб так и осталось прежним, полученным в 60–70-х годах, когда о вычислительной технике многие знали только понаслышке. Эти люди продолжают работать и сегодня, возглавляя различные структуры, ответственные в России за ИБ: Совет Безопасности, ФСТЭК, ФСБ, БСТМ МВД, СВР, ФСО, различные межведомственные комиссии, комитеты в Госдуме и т. п. Именно эти органы исполнительной и законодательной власти отвечают не только за защиту государственной тайны, но и за информационную безопасность граждан, общества, бизнеса, задачи которой отличаются от государственных. Именно эти люди определяют, как будет развиваться ИБ... со всеми вытекающими отсюда последствиями.