Отсутствие в РФ законодательно структурированной культуры обмена информацией ставит под угрозу внутренние данные компаний. Однако основной проблемой в этой области эксперты называют халатность самих участников рынка по отношению системам защиты.
Тяжелее всего компанию защитить от внутренних угроз. Большое количество сотрудников и безответственное отношение к разделению информации между ними увеличивают риск утечки данных через внутренние источники
Фото: Александр Щербак, Коммерсантъ / купить фото
Государства — члены СНГ заявили о желании совместно бороться с преступлениями в сфере информационных технологий. Проект соглашения об этом в апреле был подписан главами МИД на очередном саммите СНГ в столице Узбекистана. В России проблема информационной безопасности хотя и признается официально, но до сих пор не имеет достаточной законодательной базы. Впрочем, для коммерческих компаний главная проблема сохранности информации заключается не в недостатке законодательных основ, а в низкой правовой культуре субъектов информационного пространства.
Закон и беспорядок
В последние десять лет случаи неправомерного использования информации и несанкционированного доступа к информационным системам стали встречаться все чаще, рассказывает юрист международной фирмы Dentons Яна Чирко. Но разрешение споров в данной сфере, а также привлечение к ответственности лиц, допустивших это, весьма затруднительно. Во-первых, рассказывает госпожа Чирко, законодательство не успевает вовремя реагировать на новые формы "компьютерных преступлений". Например, Уголовный кодекс РФ только в прошлом году был дополнен статьей 159.6, устанавливающей ответственность за мошенничество в сфере компьютерной информации, хотя компьютерное мошенничество (и, в частности, фишинг) — явление не новое. Во-вторых, в правоприменительной практике до сих пор существует проблема признания электронных документов (выписок из информационных систем) в качестве надлежащих доказательств.
В период с конца 1990-х по настоящее время были приняты десятки нормативных правовых актов, которые регламентируют как техническую (криптография, электронная подпись, требования к материальным носителям охраняемой информации определенных видов и прочее), так и юридическую сторону информационной безопасности (ИБ) в различных сферах экономики и управления. Но, несмотря на обширную законодательную базу, а также возрастающую актуальность вопросов обеспечения ИБ, говорить о совершенстве законов в данной сфере, к сожалению, не приходится. Законодательство об информационной безопасности имеет как концептуальные недостатки, так и некоторые пробелы в праве, поясняет Яна Чирко. Например, даже сам термин "информационная безопасность" понимается по-разному субъектами информационных отношений и правоприменительными и законодательными органами. А понятия "информационная безопасность", "охраняемая информация", "защита информации" иногда воспринимаются или указываются в правоустанавливающих документах как синонимы, хотя таковыми не являются.
В компании "Энвижн Групп", занимающейся разработкой технологических решений для рынка ИБ, отмечают, что рост угроз в этой сфере особенно хорошо виден по количеству инцидентов, освещаемых в последнее время в СМИ. Среди лидеров по востребованности защиты информации директор дивизиона систем безопасности компании "Энвижн Групп" Владимир Дрожжин выделяет государственный и финансовый секторы. У первого движущим фактором является развитие электронного правительства, а у второго — возникновение новых угроз и рисков финансовых потерь. Кроме того, в этот список входят телекоммуникационные компании, а также предприятия нефтегазового сектора, добавляют эксперты. Перечень востребованных ими услуг по защите информации, рассказывает руководитель направления IT-аутсорсинга ГК "Корус Консалтинг" Андрей Мелузов, может включать в себя различные опции — электронную цифровую подпись, защиту трафика шифрованием, мониторинг. Но в большинстве случаев речь идет о связке аудита и предоставления программно-аппаратных средств по защите информации.
"По степени востребованности мер безопасности всех клиентов можно разделить на две группы. Первая — это крупные клиенты, которые внедряют дорогостоящие системы, например, EMC Documentum — для документооборота, или SAP — для учета или управления производством. Для этой группы клиентов безопасность, разумеется, стоит на первом месте. В таких компаниях, как правило, есть свои разработанные регламенты, модели угроз, методики, которым необходимо следовать при внедрении новых информационных систем. К этой же группе относится и госсектор: в государственных структурах в принципе нельзя работать с данными в системе, если не приняты обусловленные законом меры безопасности, в том числе по защите персональных данных", — говорит господин Мелузов.
Вторая группа, по его словам, это средние и небольшие компании, которым гораздо важнее получить быстрый и значимый результат от внедрения информационных систем, повысить эффективность бизнеса, свою управляемость и мобильность. Безопасность в этом случае не играет ключевой роли. За исключением стандартных мер по защите IT-инфраструктуры, такие клиенты редко прибегают к серьезным мерам безопасности, таким как электронная цифровая подпись, шифрование или мониторинг.
Принцип самообороны
На вопрос, обзаводиться собственной службой, обеспечивающей информационную безопасность, или отдавать этот комплекс услуг на аутсорсинг, в большинстве крупных российских компаний отвечают однозначно: только опора на собственные силы. Практически во всех отечественных банках, промышленных и телекоммуникационных компаниях, газовых и нефтяных предприятиях есть собственные отделы по защите информации. Чаще всего они являются подразделениями департаментов безопасности, реже — IT-служб или отдельными структурами. Например, в ОАО "Банк "Санкт-Петербург"" этими вопросами занимается отдел информационной безопасности, входящий в состав дирекции по безопасности. Данная структура обеспечивает не только технические и технологические решения по защите информации, но и занимается повышением осведомленности сотрудников в вопросах ИБ, взаимодействия с лицензирующими и контролирующими органами, а также влияет на принятие решений о внедрении IT-технологий, отмечает начальник отдела информационной безопасности банка "Санкт-Петербург" Анатолий Скородумов. Такая же ситуация и в банке ВТБ24, где подразделения информационной безопасности являются структурными подразделениями службы безопасности, рассказывает пресс-секретарь банка по СЗФО Иван Макаров. К тому, чтобы передавать вопросы защиты собственной информации сторонним компаниям, отечественный бизнес пока относится настороженно.
"На данный момент наш банк не готов отдать основные функции по обеспечению информационной безопасности на аутсорсинг. Но банк давно и плодотворно сотрудничает с рядом компаний Москвы и Санкт-Петербурга по вопросам приобретения и внедрения технических средств защиты информации, проведения аудитов по информационной безопасности, оказания консалтинговых услуг по вопросам, связанным с защитой персональных данных, исполнением требований стандарта PCI DSS, а также пользуется услугами аккредитованных удостоверяющих центров", — рассказывает господин Скородумов.
Согласно данным консалтинговой компании IDC, аутсорсинг занимает незначительную долю рынка услуг информационной безопасности. Старший аналитик IDC Виктор Цыганков отмечает, что отношение владельцев бизнеса к передаче корпоративной ИБ на аутсорсинг, зависит от специфики конкретного предприятия и степени информированности руководства. Весомым аргументом здесь является репутация поставщика услуг.
"Аутсорсинг в области информационной безопасности — тема модная, но практически не работающая, за очень редким исключением перевода в аутсорс отдельных функций, например, Service Operation Center", — рассуждает Илья Медведовский, директор компании Digital Security, занимающейся аудитом в сфере ИБ.
В Петербурге рынок услуг по информационной безопансности — это доли процента относительно Москвы, убежден господин Медведовский. Причем этот рынок давно поделен, и новых драйверов для его роста сейчас практически нет. Увеличивается он исключительно вместе с ростом развития информационных технологий и в соответствии с его текущим уровнем зрелости. По мнению генерального директора Telecom Daily Дениса Кускова, этот рынок весьма консервативен, а потому медлителен и прибавляет около 5% каждый год.
Инсайдерская угроза
К услугам компаний, профессионально занимающихся информационной безопасностью, размышляет Андрей Мелузов из компании "Корус Консалтинг", стоит обращаться прежде всего для защиты информации от внутренних угроз, так как это более сложная задача, чем защита от внешнего проникновения. Планируя комплекс мер по защите информации необходимо понимать, о какой модели угроз идет речь в каждом конкретном случае. Если заказчик заинтересован в защите от внешних попыток проникновения и взлома, то здесь эффективны стандартные меры безопасности: ЭЦП, защита трафика шифрованием, мониторинг. В случае когда указанные меры приняты, в компании выстроена грамотная политика безопасности, используются все современные средства защиты, проводится регулярный аудит информационных систем, данные будут защищены. Но в случае необходимости защитить данные от внутренних угроз, например, от действий пользователей, обладающих большим объемом прав, необходимо проводить мероприятия, общие для всей IT-инфраструктуры предприятия — для системы электронного документооборота и ERP (Enterprise Resource Planning — планирование ресурсов предприятия), системы бюджетирования, почтовой переписки, сети передачи данных, мобильных устройств сотрудников. Впрочем, и этого может оказаться мало.
"Частым заблуждением является мнение, что реализация технических мер может решить все вопросы обеспечения безопасности. На самом деле это не так. Технические мероприятия могут закрыть только часть угроз и снизить вероятность реализации других. Но статистика и опыт работы в данной сфере показывают, что не менее важную проблему представляет случайная или намеренная утечка информации через сотрудников компании. Парольная фраза для доступа к корпоративной системе с важными сведениями, приклеенная скотчем к крышке ноутбука, разрушает все созданные технические барьеры. Или, например, социальная инженерия. Сотрудник может сообщить по телефону интересующие злоумышленника сведения, если тот представится, например, представителем службы поддержки", — резюмирует Владимир Дрожжин из "Энвижн Групп".
Бизнес, к сожалению, не всегда может точно определить, что угрожает его информационной безопасности. Особенно, это касается малых предприятий, зачастую манкирующих вопросами защиты информации. Наибольший спрос на аутсорсинг ИБ наблюдается у средних предприятий, убежден Денис Кусков. Создать свои подразделения по ИБ они еще не в состоянии, но до необходимости защиты информации уже доросли. Крупные же предприятия не подпускают к своим базам человека или компанию со стороны. А малый бизнес попросту не задумывается об этом, больше заботясь о сокращении издержек.
Господин Дрожжин считает, что внимание к вопросам информационной безопасности в малых и многих средних компаниях значительно ниже, чем в финансовом, государственном или промышленном секторах. Причина — в отсутствии бюджета, недостатке квалифицированных кадров и безответственном отношении к обрабатываемой информации. Несмотря на требования законодательства и возможную ответственность за их невыполнение, многие компании готовы заплатить штраф или купить комплект документов, обеспечивающих формальное выполнение требований, вместо того, чтобы проводить комплекс реальных работ.