ИБ и закон: какие решения нужны пользователям?
Сегодня ИБ-рынок находится под влиянием двух во многом взаимоисключающих факторов: необходимости доведения систем защиты компаний и организаций (вне зависимости от их масштаба и сферы деятельности) до уровня современных требований и все большего проникновения интерактивных и интеграционных сервисов во все сферы деятельности. Что необходимо знать пользователям, и какие решения позволят им соответствовать требованиям стандартов?Ни для кого не секрет, что помимо федерального закона № 152-ФЗ "О персональных данных" существует множество стандартов безопасности. Большинство из них действуют уже во второй-третьей редакциях, а значит, не содержат значительных недочетов. В качестве примеров можно упомянуть BS 7799-1:2005, ISO/IEC 17799, ISO/IEC 27000 — стандарты в области управления ИБ-рисками, построения и контроля ИБ-систем. При этом есть не только типовые стандарты для всех видов организаций, но и стандарты, учитывающие специфику отдельных отраслей — например, ISO/IEC 27799 для медицины. Многие из существующих стандартов переведены на русский язык группами энтузиастов, некоторые утверждены в виде ГОСТов (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р ИСО/МЭК 15408, ГОСТ Р ИСО/МЭК 17799 и ГОСТ Р ИСО/МЭК 27001). Для успешного функционирования стандартов созданы центры подготовки специалистов в области безопасности и центры сертификации организаций. В сложившихся условиях компания, желающая построить или укрепить свою систему безопасности, имеет все необходимое для начала работ. Однако, как показывают статистика продаж программных продуктов и списки реализованных проектов, до недавнего времени ситуация с собственной безопасностью для многих компаний не была объектом пристального внимания. Что же изменилось?
Закон определяет
Результатом ратификации 19 декабря 2005 года конвенции совета Европы "О защите физических лиц при автоматизированной обработке персональных данных" стал уже упомянутый федеральный закон № 152-ФЗ "О персональных данных". Положения, сформулированные в нем, задавали основное направление развития ИБ, которое конкретизировалось техническими требованиями регуляторов. Несмотря на то, что закон вступил в силу уже достаточно давно, организациям, которые начали свою деятельность до момента вступления закона в силу, была дана отсрочка — до начала 2011 года. И эта отсрочка подходит к концу. Тем не менее, по мнению аналитиков, ситуация, безусловно, во многом улучшилась, однако часть компаний до сих пор не привела ИС в соответствие с требованиями данного законодательного акта. В чем же состоят сложности с внедрением положений закона?
Все рабочие места необходимо обеспечить системой централизованной защиты
Во-первых, данный закон описывает не только требования к защите локальных сетей организации. Кроме установки антивирусных средств и межсетевых экранов, компании должны обеспечить защиту данных при передаче их по техническим каналам (что уже не только замедляет до критически низкого уровня скорость передачи, но и требует получения соответствующих лицензий на работу с криптографическими системами), а также защиту от перехвата речевой информации и данных в виде информативных электрических сигналов и физических полей (то есть защиту от удаленного съема информации с технических устройств, в том числе клавиатур и мониторов). Также для реализации положений закона компаниям необходимы средства предотвращения несанкционированного доступа к информации и многое другое.
При этом модернизация системы информационной защиты должна сопровождаться организационными мерами — разработкой и внедрением процедур работы с важной информацией, обучением персонала, контролем созданной системы безопасности. Естественно, создание такой масштабной системы требует наличия соответствующих средств и квалифицированных специалистов. По различным оценкам, стоимость внедрения системы защиты, соответствующей требованиям закона 152-ФЗ, составляет 10–25 тысяч рублей в расчете на одно рабочее место. При этом основная часть расходов приходится на закупку средств защиты - на аудит, разработку документации и сертификацию уходит менее 20%. Согласно опросам, основными проблемами в порядке их убывания называются неясность путей реализации тех или иных требований, бюджетные ограничения и нехватка кадров.
Пользователь требует
Вторым фактором, действующим на ИБ-рынок, является неготовность пользователей к тому уровню требований безопасности, которые предъявляются при работе с современными сервисами, обмене данных через интернет. Ситуация осложняется острейшим кадровым голодом — количество опытных специалистов, имеющих опыт создания систем информационной безопасности и активного противодействия взлому подотчетных им сетей и кражам информации, критически мало. Особенно остра кадровая проблема в отдаленных регионах, где сейчас активно разворачиваются федеральные программы.
В связи с этим пользователи требуют создания "универсальных солдат" — программных продуктов, способных обеспечить безопасность сразу всех направлений, связанных с защитой данных. В ответ на это производители ПО разрабатывают комплексные системы, а также упрощают доступ к программным продуктам, снижая планку требований к знаниям и опыту пользователей систем и уменьшая время приобретения требуемых решений. Последним примером такого подхода стал вывод на рынок новой продуктовой линейки компании "Доктор Веб", созданной в рамках разработки единого централизованно управляемого программного продукта.
Что нужно сделать
Практический совет перед началом работы по применению положений закона о защите персональных данных состоит в том, что в первую очередь стоит назначить ответственного за данный проект сотрудника, имеющего право работать со всеми подразделениями компании. На втором этапе необходимы оценка важности данных и выработка подходов, упрощающих систему защиты до минимально необходимого уровня. И только третьим этапом должна стать закупка ПО.
Выбирая ПО, необходимо помнить, что, в соответствии с требованиями, все рабочие места, на которых обрабатываются персональные данные, и все каналы связи с сетями общего доступа необходимо защитить системой централизованной защиты, имеющей антивирусную подсистему и подсистему контроля доступа к локальным и сетевым ресурсам. Аналогом такой системы является модуль родительского контроля, входящий в состав Dr.Web Enterprise Security Suite компании "Доктор Веб".