Состоялся круглый стол по вопросам построения корпоративных систем информационной безопасности
В военном деле давно и прочно бытует метафора извечной борьбы брони против пушки. В век информационных технологий осады, сражения и войны все еще продолжаются, хотя и ведутся теперь по большей части с помощью летящих по сетям IP-пакетов, а не авиабомб, снарядов и пуль. Ассоциация менеджеров провела круглый стол «Мировые стандарты и российская практика построения эффективной системы информационной безопасности», в котором участвовали теоретики и практики создания информационной «брони».
Начальник отдела защиты автоматизированных систем АКБ «Росбанк» Олег Чепиков отмечает: стандарты являются образцом, относительно которого можно проводить оценку текущего состояния системы управления информационной безопасностью и определять цели развития системы |
Теоретиков представлял директор по сертификации систем управления информационной безопасностью головного офиса BSI MS Кейт Блэкмор, который рассказал о содержании стандарта ISO/IEC 27001:2005. Ряд отечественных ИТ-директоров и специалисты по информационной безопасности, а также директор компании KPMG Кристофер Гулд, который затронул вопросы внедрения британского стандарта BS 7799 на российских предприятиях, репрезентировали практиков.
Стандарты BS 7799, ISO 17799 и ISO/IEC 27001:2005 имеют характер рекомендаций и представляют собой набор организационных критериев, политик и процедур, касающихся построения системы информационной безопасности компании. Как отметил начальник отдела защиты автоматизированных систем АКБ «Росбанк» Олег Чепиков, стандарты являются образцом, относительно которого можно проводить оценку текущего состояния системы управления информационной безопасностью (СУИБ) и определять цели развития системы. Кроме того, сертификации на соответствие этим стандартам показывают партнерам и клиентам компании, что управление информационной безопасностью находится в ней на должном уровне. Однако стандарты не дают ответа, какой конкретно должна быть реализация тех или иных элементов системы управления и контроля. Тем не менее, подчеркнул Блэкмор, в стандартах имеются политики, внедрение которых обязательно. Например, при определении уровня рисков для ресурсов необходимо четко определить, кто владелец ресурса, поскольку именно на него стандарт возлагает ответственность. Впрочем, как признал Блэкмор, критерии соответствия СУИБ предприятий требованиям стандартов — качественные, работа над созданием количественных оценок ведется уже несколько лет, но еще не завершена. В России авторизованное обучение специалистов по BS 7799 проводит Академия информационных систем.
Практическим опытом работы СУИБ поделился ИТ-директор компании «Аэрофлот-российские авиалинии» Сергей Кирюшин. По его словам, до 95% входящего почтового трафика «Аэрофлота» составляет спам, что означает необходимость держать в десять раз более мощные почтовые серверы, чем это действительно нужно. Также в 2004 году по сравнению с 2003-м в 48 раз увеличилось число вирусных атак, а по данным 2005 года, это число повысилось еще на треть. Кирюшин отметил, что число угроз увеличивается с ростом сложности информационной системы, но 80% усилий при построении систем безопасности должно пойти на организационные вопросы, и начинать нужно именно с них, кроме того, во всех функциональных подразделениях компании должны быть выделены сотрудники, занимающиеся информационной безопасностью.
Рекомендательный стандарт построения систем информационной безопасности Центрального банка РФ был охарактеризован Чепиковым как эклектичный, составленный из кусков разных стандартов и внедряемый банками так же, по частям. Вместе с тем, начальник управления информационной безопасностью службы экономической безопасности «Альфа-банка» Валерий Бутенко подчеркнул, что стандарт ЦБ основан на практическом опыте и привел в качестве примера из стандарта политику эшелонированной системы антивирусной защиты, то есть в банке должны совместно применяться антивирусные системы разных производителей.
Руководитель проектов по информационной безопасности компании «Крок» Дмитрий Сергеев отметил, во многом подводя черту дискуссии, что существуют два подхода к построению СУИБ: «теоретический» (от требований стандартов) и «практический» (от опыта). «Крок» в своей деятельности (широкий спектр решений и услуг в области защиты информации) старается брать лучшее из обоих подходов. Что касается российских предприятий, то, по мнению Сергеева, большинство их использует «феодальный» метод построения СУИБ, то есть такой, когда основное внимание уделяется защите «периметра» предприятия и его сети. До уровня «пронизывания» требованиями безопасности бизнес-процессов таким предприятиям пока далеко. Впрочем, комплексную систему невозможно построить за одну итерацию.