Эффективность ИБ: смогут ли бизнес и власть договориться?
Одновременно с ростом рынка информационной безопасности увеличиваются затраты компаний на ИБ. В этой связи обозначилась тенденция соединения усилий государства и бизнеса в вопросе эффективного и экономичного управления ИБ. Именно в этом эксперты видят резервы успешного противостояния киберкриминалу, особенно тогда, когда ИБ встроена в систему комплексной безопасности инфраструктурных отраслей экономики. Данная проблема обсуждалась на круглом столе "ИБ на страже бизнеса и госструктур", организованном CNews Analytics и CNews Conferences.Вячеслав Статьев: Основная проблема - отсутствие самостоятельного закона о служебной тайне
На вопросы CNews ответил Вячеслав Статьев, директор по технологиям и решениям компании РНТ.
CNews: Что вы понимаете под термином "информационная безопасность?"
Вячеслав Статьев: В Доктрине информационной безопасности РФ дано общеизвестное определение понятия "информационная безопасность", которое может быть использовано в методическом плане при исследовании этого вопроса. Если же говорит о конкретной информационной системе (ИС) и ее пользователях, то необходимо отметить следующее. Цель получения и обработки информации состоит в ее последующем использовании для формирования целенаправленных воздействий на объект управления. При этом наблюдение и осознание происходящего с объектом осуществляется через соответствующие информационные модели, обеспечиваемые ИС, т.е. опосредовано, а реализация принятого решения осуществляется в рамках объекта управления, т.е. напрямую. Таким образом, между субъектом, принимающим решение, и объектом, на который это решение направлено, стоит некоторый посредник - информационная модель. Это является потенциальной угрозой ошибочного управляющего воздействия, так как эта информационная модель может неправильно отражать реальное состояние объекта управления. Поэтому одним из основных принципов, реализуемых в процессе функционирования ИС, должен выступать принцип системной безопасности, который означает, что использование предоставляемых ИС услуг, во-первых, не приводит к нежелательным для их потребителей последствиям в процессе выработки ими требуемого решения и, во-вторых, эти услуги не могут быть использованы третьей стороной во вред как самой ИС, так и легитимным потребителям ее услуг. Это относится, прежде всего, к достоверности и полноте информации, полезности и своевременности ее получения, защите от несанкционированного ее распространения, что и определяет понятие "информационной безопасности" для пользователей ИС.
Обеспечение различных видов безопасности, определенных в концепции национальной безопасности, напрямую зависит от решения вопроса информационной безопасности в виду того, что информационные ресурсы соответствующих ИС являются теми информационными моделями различных уровней управления и регулирования, через призму которых и рассматриваются вопросы обеспечения национальной безопасности.
CNews: Как в современных условиях обеспечить защиту персональных данных?
Вячеслав Статьев: Процесс создания информационных систем персональных данных (ИСПД) в защищенном исполнении определен в соответствующих нормативных документах президента РФ, правительства РФ, ФСБ и ФСТЭК. Для успешной реализации этого процесса необходимо, во-первых, осознание того, что защита персональных данных (ПД) является обязательной для всех организаций независимо от форм собственности. Во-вторых, нужно осознание того, что конкретные обязательства по защите ПД перед конкретными персоналиями берет на себя оператор (уполномоченное лицо) персональных данных, который осуществляет оценку угроз ПД, отнесение ИСПД к конкретному классу и реализацию соответствующих мероприятий по защите ПД. В-третьих, необходимо понимание, что аттестация (сертификация) ИСПД является отличной процедурой от ныне существующих подобных процедур. В-четвертых, необходимо понимание, что информационная система (ИС) организации может включать в свой состав несколько ИСПД, которые могут быть отнесены к различным классам. В-пятых, необходимо осознание того, что может потребоваться финансирование доработки своей ИС с целью удовлетворения требованиям по защите ПД. И, в-шестых, необходимо понимание, что процесс защиты ПД находится в начальной стадии своего развития.
CNews: Насколько важно обеспечение служебной тайны, какие сложности есть в этом направлении?
Вячеслав Статьев: Обеспечение служебной тайны является такой же важной задачей, как обеспечение коммерческой и банковской тайн, как защита персональных данных и интеллектуальной собственности. В этом вопросе государство, общество и личность равны. Основная проблема в настоящий момент заключается в отсутствии самостоятельного закона о служебной тайне, который должен регулировать внутренние и внешние взаимоотношения организации при обработке такой информации, хотя в ряде нормативных документов термин "служебная тайна" присутствует. Исторически до сих пор используется аббревиатура ДСП, которая нормативно определена только для органов исполнительной власти в постановлении правительства РФ № 1233 от 03.11.1994. Говорить о сложностях в этом вопросе можно ровно на столько, насколько сложно защищать служебную тайну в рамках требований к конфиденциальной информации, подвидом которой она является.
CNews: В каких областях, на ваш взгляд, возможна количественная оценка ИБ?
Вячеслав Статьев: В области информационной безопасности, как правило, о количественных оценках говорят применительно к рискам, хотя в принятых документах по защите персональных данных количественной оценке подлежат угрозы. Исходя из известного тезиса, что управлять можно только тем, что можно измерить, желательно распространить количественные оценки в области информационной безопасности как можно шире. Здесь можно говорить об оценке рисков, уровне защищенности, эффективности защиты, качестве информации и т.п. Важно, чтобы такие количественные оценки редуцировались, например, на уровень оценки ценовых, кредитных, инвестиционных, финансовых, операционных, управленческих рисков и т.п. Т.е. осуществлялась привязка качества функционирования информационной системы к качеству реализации бизнес-процессов. Кто владеет информацией, тот владеет миром.