Алексей Бабенко, старший аудитор компании «Информзащита»
В общем случае на предприятия банковской сферы распространяется стандарт PCI DSS, возлагаемый международными платежными системами, и комплекс стандартов Банка России ИББС (либо требования к защите персональных данных, согласно «классическому» подходу, через выполнение нормативных документов РКН, ФСТЭК и ФСБ). Также в ряде компаний, по большей мере с иностранным участием, уже начинается внедрение стандартов ISO 27000.
Такое разнообразие требований для выполнения в организации, которая уже работает по сложившимся правилам и имеет внутренние регламенты обеспечения безопасности, вызывает вполне понятное беспокойство, а при условии, что зачастую нужно сделать «все и сразу» представляется неподъёмным грузом работ. Исходя из опыта нашей компании в области проведения работ по консалтингу и аудиту на соответствие различным стандартам, в том числе и локальным, для десятка организаций от ТОП5 банковской сферы до небольших компаний, можно выявить общий подход к достижению соответствия практически любым требованиям. При этом, как показывает практика, осуществление одновременного приведения в соответствие с требованиями различных регуляторов, происходит гораздо с меньшими временными, финансовыми и ресурсными затратами.
Работы по приведению соответствия начинаются с ответа на два простых вопроса: «как защищать?» и «что защищать?». Причем, если вопрос «как?» в той или иной мере освещен в стандарте, либо в наборе требований, то вопрос «что?» является для организации ключевым. Одним из важнейших первоначальных шагов является грамотное определение области применения требований и рассмотрение возможности ее сокращения. Уменьшение может осуществляться за счет проведения работ по межсетевому сегментированию, физическому перемещению ресурсов, ограничению доступа пользователей, удалению и обезличиванию информации, ограничению использования специфичных технологий, а также рассмотрение возможности отказа от части существующих процессов.
Вслед за определением области применения и требований следует стадия предварительного обследования и составления плана устранения несоответствий. Стоит заметить, что основная цель данного этапа — изучение существующих процессов, их формализации и документирования, а не оценка текущего уровня соответствия конфигураций ресурсов. В связи с этим, основным инструментом проведения обследования являются интервьюирование и изучение нормативно-регламентирующей документации.
Результатом предварительного аудита выступает отчет о текущем уровне соответствия и определенный на его основании план устранения выявленных несоответствий. При этом важно обратить внимание на детализацию и применимость плана действий. Являясь основным документом, на который будут ориентироваться все участники процесса, план должен содержать однозначные, согласованные решения, доступные для выполнения ответственным лицам. Написание плана, содержащего лишь общие тезисы, делает работу по устранению несоответствий не только сложно выполнимой, но и, как правило, приводит к неверной трактовке и некорректной реализации требований.
Также значимыми атрибутами являются четко обозначенные сроки и ответственные за выполнения каждой задачи плана лица. Это позволяет контролировать процесс выполнения и помогает принять действия по корректировке работ на ранних стадиях возникновения проблем.
Вторым большим блоком работ является непосредственное устранение несоответствий согласно ранее разработанному плану. Как правило, действия включают в себя комплекс организационно-технических мер по доработке, внедрению и документированию процессов, а также по настройке и внедрению программно-технических средств обеспечения информационной безопасности.
Следует обратить внимание на обеспечение необходимого уровня документирования всех внедряемых процессов. При этом не стоит забывать о том, что выполнимость разработанных документов прямо пропорциональна простоте и доступности информации, содержащейся в них. К сожалению, не редки случаи когда большие объемы разработанных документов не используются, а при попытке использования занимают немыслимые временные затраты, вследствие чего не работает процесс, который тщетно пытались описать. В результате получается привычная картина: если выполнять все, что требуется, то становится некогда работать, а безопасность, вместо средства поддержания, превращается в «поглотителя» бизнеса.
Говоря об организационных процедурах, внедряемых под требования стандартов, стоит предостеречь от тех же проблем, что и при написании документации – процедуры должны быть выполнимы. При этом, чем проще их исполнение, тем меньше нарушений будет допущено в процессе реализации. Создание процедур автономно от участников, вовлеченных в описываемый процесс, нередко влечет за собой неудобства для исполнителей, прямое бойкотирование исполнения, либо выполнение «для галочки», не несущее в себе ничего, кроме потери служебного времени.
При внедрении программно-технических средств рекомендуется убедиться в том, что все существующие встроенные средства защиты операционных систем, баз данных, прикладного программного обеспечения, а также имеющиеся наложенные средства защиты уже настроены, используются должным образом и покрывают максимум из необходимых требований. Выбирая решения для внедрения, стоит обратить внимание на объем пунктов стандарта, покрываемых данным средством. Рекомендуется самостоятельно убедиться в том, что требования действительно покрываются в полной мере, а не просто частично затрагиваются, как это часто бывает, и о чем скромно умалчивают маркетинговые материалы, предлагающие выполнить одним решением «все и сразу». Также всегда стоит помнить о развитии бизнеса, обуславливающем увеличение количества ресурсов, и планировать внедрение с прицелом на будущее, отдавая предпочтение масштабируемым решениям от надежных поставщиков.
Если стандарты содержат требования к обязательному проведению оценки защищенности, в том числе внешнего и внутреннего сканирования, проведения тестов на проникновение, внутренних аудитов и контролей, то по окончанию реализации плана необходимо проконтролировать выполнение данных работ. Часто встречающаяся ошибка – проведение контроля защищенности до завершения большей части работ. Во-первых, это не ведет к выполнению требований, ведь, как правило, требования говорят о контроле до положительного результата, а во-вторых, не несет пользы для организации – подтверждение о том, что система защиты нестойкая, на этапе когда ее практически нет, новостью не будет. Сразу уточню, что речь не идет о ситуации, когда проведение тестов на проникновение осуществляется с целью демонстрации организации слабости существующей системы защиты и служит стимулятором действий.
Третьим шагом является обязательный контроль выполнения всех пунктов плана защиты и повторный, полный аудит выполнения всех требований стандарта. При этом на аудите уже используется полный набор методов проверки: начиная от документации и интервью, и заканчивая анализом конфигураций, наблюдением и контролем свидетельств выполнения процесса. Любая оценка соответствия ограничена во времени и, за редким исключением, производится анализ не полного набора всех ресурсов в области применения стандарта, а ограниченной выборки. Важно заметить, что при определении выборки, следует ориентироваться на такие параметры как повторяемость и однотипность ресурсов, критичность ресурса в бизнес процессе, наличие средств централизованного управления и обновления, количество поддерживающего персонала, а также специфичные требования самого стандарта на соответствие которому проводится аудит.
Последний по списку, но не по значению шаг, который многие забывают, получив долгожданный сертификат – поддержание соответствия стандарту. К сожалению, наша практика показывает, что по завершению финального аудита жизнь по заданным требованиям прекращается. Это ведет за собой автоматическое несоблюдение процедур, поддерживающих стандарт, постепенный упадок уровня информационной безопасности, нередко приводящий к громким компрометациям, и большие проблемы при прохождении повторных и внеплановых проверок.
Если необходимо обеспечить физическую безопасность, ставится большая железная дверь с замком, и десятки лет она надежно выполняет свои функции по защите. Когда мы говорим о защите от информационных угроз, то это сродни ситуации, когда к нашей двери каждую неделю выходит новая отмычка, доступная в большинстве магазинов, а то и просто лежащая бесплатно. Как долго в данном случае вы будете тянуть со сменой секрета в замке? Поддержание соответствия, как часть обеспечения информационной безопасности - это процесс, требующий постоянного выполнения, корректировки и улучшения. Лишь выполняя эти меры, вы всегда будете уверены в степени своей защищенности и с легкостью пройдете любые проверки со стороны регуляторов.
