16 ноября, пятница 17:41
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Почему не работают законы в области ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Почему не работают законы в области ИБ

    Почему не работают законы в области ИБ и что с этим делать?

    Задачи государства в области информационной безопасности, как я их понимаю:
    1.Значительно увеличить объём и оборот рынка продуктов и услуг в области информационной безопасности.
    2.Повысить уровень реальной защищённости организаций от угроз в информационной сфере.

    Применяемое сегодня решение:
    Государственное нормативное регулирование порядка применения методов и средств ИБ в организациях.

    Положительные стороны применяемого подхода в свете рассматриваемых задач:
    1.Некоторое увеличение объёма рынка продуктов и услуг в области ИБ вследствие вынужденного обращения компаний к интеграторам с целью снижения рисков, обусловленных невыполнением требований регулирующих органов.

    Отрицательные стороны применяемого подхода в свете рассматриваемых задач:
    1.Компании защищаются не от угроз в области ИБ, а от административных рисков, связанных с невыполнением требований регуляторов. Идя по экономически оправданной линии наименьшего сопротивления, компании выполняют требования регуляторов на уровне, минимально необходимом для ухода от административных рисков, и останавливаются на этом. Как следствие, повышение уровня реальной защищённости компаний от ИБ-рисков ограничивается текущим уровнем собственного осознания проблематики ИБ руководством компаний независимо от наличия/отсутствия требований регуляторов. Таким образом, ни наличие требований регулирующих органов в области ИБ, ни жёсткий контроль их выполнения практически не влияют на уровень реальной защищённости организаций в области ИБ и не способствуют повышению экспертного уровня специалистов в области информационной безопасности.
    2.Ни универсальные документы, ни универсальные решения, позволяющие вывести защищенность большинства компаний от угроз в области ИБ на приемлемый уровень, ни практически, ни даже теоретически не могут быть созданы в силу уникальности каждой информационной системы и подсистемы в каждый момент времени.
    3.Неполнота, недостаточная конкретность и зачастую противоречивость регулирующих документов хоть и способствуют росту числа обращений к интеграторам за разъяснениями и услугами, но в то же время замедляют процессы самостоятельной работы организаций над повышением уровня своей безопасности в информационной сфере.

    Предложения:

    Отказаться от применяемого в настоящее время подхода, направленного на усиление нормативного регулирования вопросов информационной безопасности и выраженного в создании всё большего количества обязательных для применения документов нормативно-методического и технического характера.

    Стимулирование повышения уровня ИБ в компаниях и, как следствие, развития отрасли ИБ в целом, проводить с помощью показателей, формируемых на основе данных о реальной защищённости компаний и о реальных уязвимостях их систем.

    Технически это может быть организовано следующим образом:
    Государством на законодательном уровне обозначаются общие направления информационной безопасности. Такие как, например, обеспечение конфиденциальности персональных данных, коммерческой и банковской тайны; обеспечение непрерывного функционирования информационных систем, целостность бухгалтерской информации и т.д.
    Существующая или вновь созданная государственная или лицензированная организация проводит аудит (пентест) реальной защищённости организаций — объектов аудита с применением технических средств на предмет возможности и трудоёмкости нарушения описанных в законе общих принципов.
    Результатом такой работы может быть отчёт с указанием, например, количества человеко-часов, потребовавшихся аудитору для достижения конкретных результатов - «кражи» конфиденциальной информации, создания условий для остановки информационных систем или каналов связи и т.д.
    На основе таких результатов формируется (относительный) показатель уровня ИБ организации — объекта аудита.
    Полученные показатели открыто публикуются наравне с рейтингами финансово-аналитических агентств. (!!!)
    Такие меры будут развивать между компаниями конкуренцию, борьбу за имидж надёжной, защищённой организации, и должны «раскрутить маховик» индустрии ИБ.
    Не специалисты по ИБ будут приходить к руководству с протянутой рукой за бюджетом, а руководство будет спрашивать специалистов, как повысить реальный, а не бумажный уровень ИБ в организации.
    Этот подход, на мой взгляд, решает обе поставленные выше задачи.
    Положительных сторон здесь видно достаточно, а отрицательные — за вами, в порядке обсуждения.
    Последний раз редактировалось sunny; 24.04.2009, 13:13.

  • #2
    Отказаться от применяемого в настоящее время подхода, направленного на усиление нормативного регулирования вопросов информационной безопасности и выраженного в создании всё большего количества обязательных для применения документов нормативно-методического и технического характера.
    Sunny
    +100 пицот (как выразился бы многоуважаемый Xell)
    А со стороны исполнителя требований добавлю, часть требований исполняется также только на бумаге (кризис, понимаете).

    Комментарий


    • #3
      Сообщение от sunny Посмотреть сообщение
      Почему не работают законы в области ИБ и что с этим делать?
      Предпосылки не совсем верные ;-) В 91-м году была сформирована при Правительстве комиссия по выработке доктрины национальной безопасности. В результате работы были высказаны очень здравые вещи, которые легли в основу ФЗ "О безопасности". Суть была проста - безопасность должна быть дифференцированной в зависимости от того, кого мы защищаем. Государство - один уровень. Бизнес - второй. Гражданин - третий. Но тогдашнему руководству КГБ идея не понравилось и результаты работы комиссии легли под сукно. И у нас появилась Концепция, Доктрина национальной безопасности, в которой было все перепернуто с ног на голову, роль бизнес/общества в безопасности нивелирована, а рулить остались силовики. А т.к. последние были знакомы только с защитой ГТ, то они применили свои знания и на область всей остальной информации ограниченного доступа. Отсюда и все последствия, которые разгребаются до сих пор.

      Комментарий


      • #4
        Алексей Лукацкий, Tempora, как известно, mutantur
        То поколение уходит, придут новые люди и новые подходы. Это те, кто в 90-е был ещё слишком молод, чтобы заниматься тогдашним "бизнесом", и к кому осознание происходящего стало приходить недавно, и у кого осталась память о том, и понимание того, чтО мы потеряли. Вот у этих людей приходит сейчас здоровый азарт и бодрая ...злость.
        Старым режимщикам спасибо и поклон, они честно делали своё дело. Пусть идут на заслуженную пенсию с почестями и регалиями.

        Комментарий


        • #5
          surfer, согласен. Почти везде кадровые ресурсы ИБ сильно ограничены, и всё больше сил и времени уходит на бумажное соответствие.
          Уверен, рано или поздно мы придём к реальным показателям, жизнь заставит.
          Пусть это будет раньше: начальные условия в нелинейных динамических процессах дорого стоят

          Комментарий


          • #6
            Сообщение от Алексей Лукацкий Посмотреть сообщение
            В 91-м году была сформирована при Правительстве комиссия по выработке доктрины национальной безопасности. В результате работы были высказаны очень здравые вещи, которые легли в основу ФЗ "О безопасности". Суть была проста - безопасность должна быть дифференцированной в зависимости от того, кого мы защищаем. Государство - один уровень. Бизнес - второй. Гражданин - третий. Но тогдашнему руководству КГБ идея не понравилось и результаты работы комиссии легли под сукно
            осмелюсь заметить, для более молодых коллег..в 91м,особенно после ГКЧП в августе, тогдашнему руководству КГБ было просто не до концепций и доктрин...да самого КГБ в 91м не стало

            Комментарий


            • #7
              Сообщение от Алексей Лукацкий Посмотреть сообщение
              Но тогдашнему руководству КГБ идея не понравилось и результаты работы комиссии легли под сукно.
              "Под сукно" тогда "легли" не только результаты работы комиссии и наработки "Конторы", но и сама "Контора"...
              И "ляпать" ИБ начали так как сами понимали (или не понимали)...
              Сообщение от sunny Посмотреть сообщение
              Старым режимщикам спасибо и поклон, они честно делали своё дело. Пусть идут на заслуженную пенсию с почестями и регалиями.
              Есть такое индейское жилище - "фигВам" называется (с)

              Рано еще на покой Т.к. "осознание происходящего" в наличии и "осталась память о том, и понимание того, чтО мы потеряли"
              Да и на пенсию не очень-то проживешь...

              Комментарий


              • #8
                Вот еще одна причина, почему Законы не работают:

                Хотели как лучше... А получилось - как всегда... (с) Черномырдин

                Комментарий


                • #9
                  Сообщение от sunny Посмотреть сообщение
                  [B]Почему не работают законы в области ИБ
                  Потому что их нет
                  То, что есть, скорее можно назвать декларациями о намерениях. Они сформулированы так, что невозможно понять, какие именно решения должны быть приняты защищающейся стороной и какие именно действия должны быть предприняты

                  Сообщение от sunny Посмотреть сообщение
                  Отрицательные стороны применяемого подхода в свете рассматриваемых задач:
                  1. ...Идя по экономически оправданной линии наименьшего сопротивления, компании выполняют требования регуляторов на уровне, минимально необходимом для ухода от административных рисков, и останавливаются на этом. Как следствие, повышение уровня реальной защищённости компаний от ИБ-рисков ограничивается текущим уровнем собственного осознания проблематики ИБ руководством компаний независимо от наличия/отсутствия требований регуляторов.
                  Что же в этом плохого? Если это мой бизнес (или моя единоличная ответственность перед акционерами, клиентами, работниками). Я могу ошибаться, но это мое право и моя ответственность. Будет гораздо хуже, если ошибка государственного регулятора обяжет меня делать заведомо неэффективные в моем частном случае затраты.

                  Повышение уровня защищенности от угроз ИБ - отнюдь не самоцель. Цель - это нахождение оптимального баланса, при котором риски ИБ становятся приемлемыми, а затраты на их дальнейшее снижение нецелесообразными. И кто, кроме меня, сможет определить этот баланс?

                  Сообщение от sunny Посмотреть сообщение
                  Предложения:
                  Отказаться от применяемого в настоящее время подхода, направленного на усиление нормативного регулирования вопросов информационной безопасности и выраженного в создании всё большего количества обязательных для применения документов нормативно-методического и технического характера.
                  Те же плюс стопицот!

                  Сообщение от sunny Посмотреть сообщение
                  Стимулирование повышения уровня ИБ в компаниях и, как следствие, развития отрасли ИБ в целом, проводить с помощью показателей, формируемых на основе данных о реальной защищённости компаний и о реальных уязвимостях их систем.
                  А вот с реализацией этого пожелания будут сложности...

                  Сообщение от sunny Посмотреть сообщение
                  Существующая или вновь созданная государственная или лицензированная организация проводит аудит (пентест) реальной защищённости организаций — объектов аудита с применением технических средств на предмет возможности и трудоёмкости нарушения описанных в законе общих принципов.
                  Собственно, вот тут собака и порылась.
                  1. Технических специалистов, способных, а главное - готовых провести пентест, крайне мало. Не скажу, что их можно сосчитать по пальцам, но мало. Пентест - это, все-таки, вполне реальное проникновение на защищаемый объект

                  Сообщение от sunny Посмотреть сообщение
                  Результатом такой работы может быть отчёт с указанием, например, количества человеко-часов, потребовавшихся аудитору для достижения конкретных результатов - «кражи» конфиденциальной информации, создания условий для остановки информационных систем или каналов связи и т.д.
                  2. А какую коррупционную схему вы создаете Вот приходит аудитор в компанию накануне сделки слияния/поглощения, проводит аудит и видит у них полный швах. Если опубликовать результаты, компания потеряет в цене пару десятков нероссийских лямов. Вы сможете устоять перед соблазном "не заметить" что-нибудь за пару лямов? Я вот в себе сомневаюсь

                  Сообщение от sunny Посмотреть сообщение
                  Такие меры будут развивать между компаниями конкуренцию, борьбу за имидж надёжной, защищённой организации, и должны «раскрутить маховик» индустрии ИБ.
                  3. А сомневаюсь, поскольку в вашей схеме нет ответственности аудитора. Это в финансовой отчетности все просто: какое-нибудь приложение 4 к форме 132-ё, оно как мед, либо есть, либо нет. Если аудитор не заметил ее отсутствие или скрыл ее наличие - ату его. А в ИБ многое держится на личной оценке эксперта. Один эксперт скажет, что система защищена, поскольку файрвол настроен хорошо, а второй - что не защищена, поскольку файрвол настроен плохо. И кто из них прав? А если не прав, чем он за свою неправоту отвечает? Имиджем аудитора? Тьфу, плюнуть и растереть - деньги не пахнут.

                  Компании рискуют имиджем, и готовы за этот имидж платить. Как компании, заказывающие сертификацию, готовы платить за сертификат. И раскручиваться будет не "маховик ИБ", а "маховичок еще одной системы сертификации".

                  Сообщение от sunny Посмотреть сообщение
                  Не специалисты по ИБ будут приходить к руководству с протянутой рукой за бюджетом, а руководство будет спрашивать специалистов, как повысить реальный, а не бумажный уровень ИБ в организации.
                  Этот подход, на мой взгляд, решает обе поставленные выше задачи.
                  Положительных сторон здесь видно достаточно, а отрицательные — за вами, в порядке обсуждения.
                  Вы очень хорошо и правильно написали про стимулирование компаний и определение основных принципов, только предложенный метод все-таки не решит проблему. На мой взгляд, гораждо эффективнее другой способ: если хочешь, чтобы кто-то что-то сделал, сделай так, чтобы он сам этого захотел.

                  Хочешь, чтобы твоими акциями торговали на фондовых рынках? Соглашайся на персональную ответственность за любые финансовые махинации управляемой тобой компании. А чтобы ты мог эту ответственность нести, создай систему внутреннего контроля, благодаря которой ни одна финансовая операция не может быть осуществлена без твоего ведома или без ведома назначенного тобой человека. Даже если это "в случае чего" - "злые происки врагов", подкупивших сисадмина. Вот это - мотиватор, заставляющий компании вкладывать значительные средства во внутренний контроль и в ИБ как в его неотъемлемую часть.

                  А чтобы оценить, насколько полон твой контроль, вот тебе в помощь аудитора? выбирай того, кому ты лично доверяешь. Ае сли аудитор ошибется, то в случае инцидента он понесет ответственность. Причем финансовую и тоже персональную. Точнее, персональную ответственность понесет его CEO, ну а исполнителю уже по инерции мало не покажется.

                  Вот тогда все становится на свои места. А государство всего лишь устанавливает правила взаимоотношений и ответственность сторон, и спокойно стоит в сторонке, не вмешиваясь в ненужные ему технические детали.

                  Комментарий


                  • #10
                    Toparenko,
                    Есть такое индейское жилище - "фигВам" называется (с)
                    Ну, значит, "Была у меня почта полевая, а теперь будет морская!" (с) Печкин
                    Реализация закона не потребует расходов, покрываемых за счет государственного бюджета.
                    "Бессовестно врут" (с) "Домовёнок Кузя"
                    Потребует расходов, потребует. Цена ошибки - как минимум фонд оплаты труда РСКН (точнее, той её части, что контролирует ПДн).

                    malotavr,
                    Что же в этом плохого?
                    В процитированном ничего плохого нет, оно в следующем предложении:
                    Таким образом, ни наличие требований регулирующих органов в области ИБ, ни жёсткий контроль их выполнения практически не влияют на уровень реальной защищённости организаций в области ИБ и не способствуют повышению экспертного уровня специалистов в области информационной безопасности.
                    , что свидетельствует о неэффективности применяемого подхода.

                    Повышение уровня защищенности от угроз ИБ - отнюдь не самоцель. Цель - это нахождение оптимального баланса, при котором риски ИБ становятся приемлемыми, а затраты на их дальнейшее снижение нецелесообразными. И кто, кроме меня, сможет определить этот баланс?
                    Всё правильно, никто. Только вы говорите о целях, которые ставят компании, осознающие проблематику ИБ, а я говорю о целях государства в моём понимании. Могу ошибаться, конечно, но пока "я так думаю!".

                    1. Технических специалистов, способных, а главное - готовых провести пентест, крайне мало.
                    Да, мало. Но спрос рождает предложение, и Москва не сразу строилась. Сотрудников РСКН, вон, тоже мало. Или было мало.

                    2. А какую коррупционную схему вы создаете Вот приходит аудитор в компанию накануне сделки слияния/поглощения, проводит аудит и видит у них полный швах. Если опубликовать результаты, компания потеряет в цене пару десятков нероссийских лямов.
                    Коррупционный вопрос важный и интересный, есть над чем подумать и что обсудить.
                    Пока соображения такие:
                    1. Рейтинговые агентства существуют и как-то работают, и вроде никто по этому поводу не беспокоится. Предлагается схема во многом аналогичная, и непонятно, почему "там" проблем нет, а "тут" будут. Или "там" они есть, но мы их не видим?
                    2. Много ли потеряла капитализации та же МГТС, когда мы увидели её внутренние документы с ПД в открытом доступе? Отдала бы она пару миллионов, чтобы этого факта никто не увидел?
                    3. Проблема, если она существенна, не кажется нерешаемой. Как вариант, публиковать сведения не внезапно, а раз в год на всех по графику. Можно результаты первого аудита не публиковать, а передавать только в организацию, давая ей, например, год для устранения безобразий, после чего публиковать открыто результаты следующего аудита.

                    3. А сомневаюсь, поскольку в вашей схеме нет ответственности аудитора. Это в финансовой отчетности все просто: какое-нибудь приложение 4 к форме 132-ё, оно как мед, либо есть, либо нет. Если аудитор не заметил ее отсутствие или скрыл ее наличие - ату его. А в ИБ многое держится на личной оценке эксперта. Один эксперт скажет, что система защищена, поскольку файрвол настроен хорошо, а второй - что не защищена, поскольку файрвол настроен плохо. И кто из них прав? А если не прав, чем он за свою неправоту отвечает? Имиджем аудитора?
                    Прав будет тот, кто подтвердит протоколом аудита бОльшее количество дыр. Если один сказал "всё ОК", а второй предъявил файлы с ноутбука CEO, то прав будет второй. Да, отвечает имиджем аудитора. Было бы неплохо, если бы доход конкретных людей, проводящих аудит, был тем выше, чем больше дырок они найдут. Это была бы персональная мотивация.

                    На мой взгляд, гораждо эффективнее другой способ: если хочешь, чтобы кто-то что-то сделал, сделай так, чтобы он сам этого захотел.
                    Так это я и пытаюсь сделать. Чтобы каждый захотел повышать своё ИБ, он должен знать, что к нему "придут" по любому, и придут не за бумажками, а за реальным ИБ, и об этом станет известно всем впоследствии.

                    Хочешь, чтобы твоими акциями торговали на фондовых рынках? Соглашайся на персональную ответственность за любые финансовые махинации управляемой тобой компании.
                    Персональная ответственность за махинации, вроде, и так есть. Если мало - можно добавить, я не против, но, во-первых, один подход не исключает другого, а во-вторых, ответственность будет, а ИБ всё равно не будет, пока "петух" не клюнет каждого. Вот я и предлагаю "петуха" зарядить на постоянную массовую работу.
                    Последний раз редактировалось sunny; 28.04.2009, 19:05.

                    Комментарий


                    • #11
                      Сообщение от sunny Посмотреть сообщение
                      "Бессовестно врут" (с) "Домовёнок Кузя"
                      Потребует расходов, потребует. Цена ошибки - как минимум фонд оплаты труда РСКН (точнее, той её части, что контролирует ПДн).
                      Это то они предусмотрели - см. там же:
                      Работы по формированию и использованию массивов персональных данных в органах государственной власти и органах местного самоуправления по мере внедрения норм закона будут освобождаться от неоправданного дублирования за счет использования Реестра персональных данных.
                      Получаемая экономия бюджетных средств будет компенсировать затраты на ведение указанного Реестра в Уполномоченном органе государственной власти.
                      А вот средства на ИСПД (где большая куча К1) гос. и муниципалов они не предусматривали

                      Комментарий


                      • #12
                        Toparenko,
                        Это то они предусмотрели - см. там же:
                        "Семён Семёныч!"
                        А вот средства на ИСПД (где большая куча К1) гос. и муниципалов они не предусматривали
                        Мы можем просто многого не знать. Средства на создание всяких ИС, похоже, выделялись в хорошем количестве:
                        Щёголев:«Мы вбухали гигантские деньги, а где результат? Мы можем посчитать, какие деньги вложены в наши ИС – это десятки миллиардов. И при этом мы только в марте начали пересылать по ведомствам официальные документы в электронном виде. Я знаю организации, где у руководителей и сотрудников стоит на столе по 3 компьютера, не считая ноутбуков. И все это за государственные деньги. Мы были слишком богатыми»

                        Только вот возможно ли сэкономить существенные деньги за счёт того, что, например, ГАИшник при регистрации автомобиля будет не сам вбивать в базу адрес регистрации владельца, а запрашивать его из другой системы? Не знаю, не уверен. Тем более, что на такую интеграцию, опять же, нужны деньги. И на защиту каналов связи, и на их резервирование.
                        Тут надо это... как его... EBITDA (прости, Господи) считать
                        Последний раз редактировалось sunny; 30.04.2009, 12:50.

                        Комментарий


                        • #13
                          Сообщение от sunny Посмотреть сообщение
                          Мы можем просто многого не знать.
                          Не исключаю и это
                          Сообщение от sunny Посмотреть сообщение
                          Средства на создание всяких ИС, похоже, выделялись в хорошем количестве:
                          Щёголев:«Мы вбухали гигантские деньги, а где результат? Мы можем посчитать, какие деньги вложены в наши ИС – это десятки миллиардов. И при этом мы только в марте начали пересылать по ведомствам официальные документы в электронном виде. Я знаю организации, где у руководителей и сотрудников стоит на столе по 3 компьютера, не считая ноутбуков. И все это за государственные деньги. Мы были слишком богатыми»
                          Но больше склоняюсь к тому, что средства на созадния ИС "вбуханы" немалые - а про защиту никто и не думал (или делали по своим "понятиям").
                          М.б. где-то все-таки думали (но не все точно), но до появления ФСТЭКовского четырехкнижия и 2-х ФСБ-шных документов для ИСПД было достаточно 3Б/2Б/1Д - что далеко не то, что стало после

                          Комментарий

                          Пользователи, просматривающие эту тему

                          Свернуть

                          Присутствует 1. Участников: 0, гостей: 1.

                          Обработка...
                          X