Рост количества вредоносного ПО различных типов, появление новых объектов для заражения, увеличение масштабов и частоты DoS-атак, утечки данных, спамовые и фишинговые атаки нового поколения и многие другие факторы выводят информационную безопасность на уровень одного из ключевых направлений снижения бизнес-рисков. Казалось бы, обеспечение информационной безопасности должно рассматриваться как важный компонент обеспечения непрерывности бизнеса. К сожалению, на практике темы информационной безопасности и непрерывности бизнеса имеют не так много точек пересечения.
«На мой взгляд, ошибочно уделять мало внимания информационной безопасности в контексте обеспечения непрерывности бизнеса, так как именно недооцененные и нескомпенсированные риски ИБ могут привести к сбоям в работе ИТ-систем и бизнес-процессов. Ущерб от этих сбоев может оказаться весьма существенным, вполне сравнимым с ущербом от традиционно рассматриваемых угроз, способных прервать деятельность предприятия», — считает Евгений Акимов, заместитель директора центра информационной безопасности компании «Инфосистемы Джет».
Отечественные службы безопасности редко рассматривают непрерывность бизнеса как неотъемлемую часть системы безопасности. «Инициатором проекта обеспечения непрерывности бизнеса может выступать директор службы безопасности, руководствуясь 14-м разделом стандарта ISO/IEC 27001, — отмечает Сергей Петренко, эксперт в области непрерывности бизнеса и информационной безопасности группы компаний “АйТи”. — В представлении бизнеса, а подчас и специалистов по ИБ и ИТ, понятие „непрерывность бизнеса“ (Business Continuity Management, BCM) нередко отождествляется с термином „аварийное восстановление после катастроф“ (Disaster Recovery, DR). Однако основная цель BCM — поддержание в актуальном состоянии достаточного количества структур, операций и ресурсов (в том числе активов), необходимых для стабильного функционирования организации в чрезвычайных ситуациях. Такое представление о BCM существенно отличается от DR, которое тесно (если не исключительно) связывается с ИТ. Сегодня фокус внимания при обеспечении непрерывности бизнеса смещается на организацию в целом, ее критически важные процессы».
Инициативы отраслевых регуляторов
Мы уже привыкаем к тому, что требования регуляторов следует рассматривать как новый класс уязвимостей с точки зрения ИБ. Невыполнение многих нормативных актов влечет за собой административное, уголовное или дисциплинарное наказание либо удар по репутации. Кроме того, всегда остается риск, что деятельность предприятия будет приостановлена на срок до 90 суток за невыполнение требований регуляторов в области ИБ.
Количество подобных требований постоянно растет, и помимо федеральных инициатив появляются требования со стороны отраслевых регуляторов. Например, в нефтяной индустрии необходимо принимать во внимание отраслевые требования в области ИБ со стороны «Газпрома», Консультативного совета по иностранным инвестициям и пр.
В еще более затруднительной ситуации оказались банковский и финансовый сегменты. До 31 марта должен быть подготовлен и внесен на рассмотрение в Госдуму проект закона «О национальной платежной системе». Суть его проста: определить требования к функционированию платежной системы и регулировать деятельность ее субъектов: операторов платежной системы, участников платежной системы, операторов услуг платежной инфраструктуры. К участникам платежной системы относятся операторы по переводу денежных средств и приему платежей, участники рынка ценных бумаг, почта и т. п. Чтобы стать участником платежной системы, необходимо выполнить ряд условий, в том числе и требования по ИБ. Операторы платежной системы обязаны обеспечить оценку рисков и управление ими, а также разработать меры обеспечения ИБ в платежной системе и осуществлять контроль за их соблюдением.
Статья 9 законопроекта гласит: «Банк России вправе устанавливать требования к деятельности операционных центров значимых платежных систем, включая требования к бесперебойности, информационной безопасности, а также порядок оценки соответствия операционных центров значимых платежных систем установленным требованиям».
Банк России является ключевым регулятором деятельности платежных систем, об этом говорится в статье 17 законопроекта: «Информационная безопасность в платежной системе обеспечивается в соответствии с требованиями законодательства Российской Федерации совокупностью
технологических и организационных мер, аппаратно-программных и технических средств защиты информации. Оператором платежной системы, участниками платежной системы, операторами услуг платежной инфраструктуры должна проводиться оценка соответствия информационной безопасности в платежной системе требованиям к обеспечению информационной безопасности в порядке, установленном правилами платежной системы. Банк России вправе устанавливать требования к обеспечению и порядок оценки информационной безопасности в значимых платежных системах».
Важно, что с момента опубликования нового федерального закона до его вступления в силу должно пройти шесть месяцев, за это время все участники платежных систем должны выполнить требования по ИБ. Для тех, кто не обеспечит в срок соответствия всем этим требованиям, предусмотрены штрафы и отключение от платежных систем.
Как быть?
На этом фоне вступление в полную силу закона «О персональных данных», требования которого надлежит выполнить к 1 января 2011 года, отходит по срокам на второй план. Кроме того, все еще непонятно, насколько ревностно регуляторы будут отслеживать соблюдение требований закона № 152-ФЗ. По правилам, регулятор в лице ФСТЭК или ФСБ, придя в организацию и не обнаружив у нее реализованных мер безопасности в соответствии с документами, должен выдать предписание об устранении недостатков. При повторной проверке, если предписания не выполнены, он может ходатайствовать через суд о приостановлении деятельности предприятия. Вопрос: как регуляторы будут этими рычагами пользоваться? При отсутствии прецедентов вопрос остается открытым, но риски все равно существуют.
С другой стороны, не суд отзывает лицензию и приостанавливает деятельность, а отраслевой регулятор. Для банков им является ЦБ РФ, который всегда заявлял, что банки в обиду не даст. Тем не менее вопрос по-прежнему остается не до конца ясным.
Несмотря на отсрочку вступления закона о персональных данных в полную силу, мало кто рассматривает подобные риски и реально осознает, что до 1 января 2011 года осталось менее девяти месяцев, за которые надо привести корпоративную инфраструктуру в соответствие требованиям закона. Кто-то надеется на авось, а кто-то рассчитывает «договориться» с представителями регулятора. Те, кто уже имеет опыт общения с регуляторами по другим направлениям своей деятельности, рассчитывают именно «договориться».
Законопослушным организациям стоит прислушаться к рекомендациям экспертов. К примеру, Петренко рекомендует за оставшееся время предпринять следующие шаги. Во-первых, провести анализ бизнес-процессов предметной области компании, подразумевающий выделение и ранжирование значимых для бизнеса процессов и определение к ним требований по непрерывности. Во-вторых, выполнить анализ рисков, оценку и ранжирование значимых угроз и уязвимостей непрерывности бизнес-процессов, а также оценить достаточность существующих организационных и технических мер предупреждения прерываний бизнеса. В-третьих, провести анализ влияния рисков на бизнес-процессы и определить цели восстановления каждого упомянутого бизнес-процесса и поддерживающей его инфраструктуры. В-четвертых, определить необходимые и достаточные стратегии непрерывности бизнеса, для каждого рассматриваемого бизнес-процесса выбрать целевое время и целевые точки восстановления и подобрать соответствующие организационные и технические решения для обеспечения непрерывности бизнеса. В-пятых, разработать планы обеспечения непрерывности бизнеса (Business Continuity Plan, BCP) и восстановления его инфраструктуры после чрезвычайных происшествий (Disaster Recovery Plan, DRP). В-шестых, обеспечить информационную поддержку сотрудников компании по актуальным вопросам BCM. Наконец, в-седьмых, обеспечить всестороннюю поддержку и сопровождение программы управления непрерывностью бизнеса (Enterprise Continuity Program, ECP).
Надо помнить, что управление непрерывностью бизнеса — процесс постоянный. Его надлежащая корректировка должна производиться одновременно с преобразованиями в компании и изменениями внешней среды, в том числе — с изменениями требований регуляторов.