Алексей Лукацкий — бизнес-консультант по безопасности компании Cisco; alukatsk@cisco.com

Холодная война во времена противостояния СССР и США касалась многих сфер нашей жизни. Продолжается она и сейчас — в области информационной безопасности. Несмотря на наличие успешного международного опыта, мы по-прежнему вынуждены применять к защите гостайны подходы 80-х годов.

Цена неважна

Опыт защиты государственной тайны повлек за собой перекос в области экономики защиты информации. Любой специалист по ИБ прекрасно понимает, что стоимость защиты не должна быть выше стоимости защищаемой информации. Этот основополагающий принцип преподавали долгие годы и в России. Только никто не задумывался, что у государственной тайны практически нет понятия «стоимость». Поэтому никто никогда и не думал о цене вопроса.

А вот в области коммерческой тайны, банковской тайны и других видов тайн (исключая, быть может, врачебную и ряд схожих с ней) принцип становится совершенно иным. Если средний ARPU клиента (доход в пересчете на абонента) оператора связи составляет 15–20 долл. в месяц (в год 180–240 долл.), то зачем я буду тратить на защиту этой информации сумму, в несколько раз большую в пересчете на одного клиента? А если речь идет о банке, в котором множество клиентов, фигурально выражаясь, «умерло», то есть не имеет никаких отношений с кредитной организацией и не приносит ей дохода? Утечка такой устаревшей информации вреда никому не нанесет. Тем не менее хранить такие данные требуется, например, по закону «О бухгалтерском учете». Размер ущерба равен нулю, а какова стоимость защиты? Где выполнение принципа об адекватности стоимости защиты и размера ущерба, зафиксированного в Европейской конвенции по персональным данным, которая имеет в России большую юридическую силу, чем даже федеральное законодательство?

Западные державы — враги

Изучив исторический бэкграунд и обстановку, в которой развивалась отрасль ИБ в России, можно понять, почему до сих пор в речах представителей спецслужб регулярно проскакивают фразы о том, что западные державы по сей день являются для России врагами, основная цель которых — поставить нашу страну на колени.

Такой подход нашел свое отражение и в области информационной безопасности — регуляторы считают

любого западного производителя состоящим на службе у тех или иных западных спецслужб. Считается, что глобальные вендоры только для того и живут, чтобы внедрить закладки в свою продукцию и наводнить ею все развивающиеся страны. А раз так, то понятно требование, часто возникающее в различных нормативных актах, по анализу исходных кодов программного обеспечения в поисках так называемых недекларированных возможностей или попросту закладок. Но если в ПО можно пытаться найти хоть какие-то оставленные в спешке или по неопытности вражеские следы, то как быть с требованиями использовать в аппаратном обеспечении только проверенную элементную базу? Притом что в России такой элементной базы давно уже нет и вряд ли предвидится в масштабе, необходимом для обеспечения всех отраслей российской экономики, а не только критически важных.

Ориентация на локальные нормативные акты

Еще одной нашей особенностью является ориентация на локальные нормативные акты в области ИБ, авторство которых принадлежит преимущественно ФСТЭК и ФСБ, ориентированным на защиту государственной тайны со всеми ее перегибами и перекосами. И эти же принципы закладывают в разрабатываемые нормативные акты. Все бы ничего, если бы эти акты носили рекомендательный характер или относились только к наиболее критичным областям. Увы — они обязательны к применению, но совершенно не приспособлены к реальной жизни. Чего только стоит требование ФСБ по использованию сертифицированной криптографии в Интернете, который построен на совершенно иных стандартах и протоколах криптографической защиты. А неформальный отказ ФСТЭК от применения беспроводных технологий или смартфонов по причине невозможности очерчивания так называемой контролируемой зоны? Или общее для обоих регуляторов требование применять только сертифицированные средства защиты даже для защиты информации, собственником и владельцем которой является не государство, а коммерческое предприятие. Где взять такие средства для операционных систем AIX, HP UX, iOS, Android OS, MacOS и т. д.? Их просто нет, а в ряде случаев (как, например, для BlackBerry или iPhone) и не может быть по причине закрытости самих платформ.

В конце 90-х – начале 2000-х годов в России был переведен международный стандарт по оценке ИТ с точки зрения информационной безопасности — ISO/IEC 15408:1999, который стал национальным стандартом ГОСТ Р ИСО/МЭК 15408 «Общие критерии оценки безопасности информационных технологий». Но Россия так и не смогла перейти на данный общепринятый стандарт оценки ИТ с точки зрения ИБ. Мы по старинке пользуемся руководящими документами ФСТЭК, разработанными в 1992–1998 годах. Не потому, что ISO 15408 плох, а потому, что сертификационные лаборатории не знают, как жить по новым правилам. А еще потому, что Совет Безопасности не знает, что плохого несут в себе «Общие критерии». Именно такой тезис прозвучал из уст одного руководителя отдела Совета Безопасности в 2000 году.

Осенью прошлого года СоДИТ сообщил о том, что перевел первую часть новой версии стандарта ISO/IEC 15408:2009. Какая его ждет судьба? Если государевы службы, ответственные за сертификацию, по-прежнему не будут принимать его в расчет, замечательная инициатива СоДИТа так и пропадет втуне. А пока у меня нет оснований думать, что наши регуляторы положительно на деле, а не на словах отнесутся к этому проекту. Ведь у ФСТЭК готовится новое положение об оценке соответствия средств защиты информации, которое будет построено на тех же самых принципах, что и в 90-х — обязательная сертификация, аттестация и т. п.

И так почти во всем. Мы гармонизируем, а по сути просто переводим иностранные стандарты в области ИБ, но никакого статуса у них нет. И пользоваться ими никто не спешит. Отчасти из-за того, что ГОСТы давно уже не обязательные нормативные документы, отчасти из-за того, что перевод у нас корявый или перевели мы не самую последнюю версию документа. В итоге хорошая идея интеграции России в мировое сообщество и использования существующего опыта и уже разработанных стандартов, прописанная в законодательстве о техническом регулировании, в области ИБ так и остается только идеей.

Закрытость требований по безопасности

Многие требования по защите до сих пор являются закрытыми или были таковыми еще совсем недавно. Возьмем, к примеру, первую версию требований ФСТЭК по защите персональных данных — так называемое четверокнижие. По традиции эти документы, ориентированные на семь миллионов (!) операторов персональных данных, носили гриф «для служебного пользования», и просто так их найти было невозможно. Только после постоянной критики и проведения парламентских слушаний ситуация начала меняться. С трех документов из четырех сняли гриф, а спустя всего два с половиной месяца и вовсе документы отменили, заменив на пресловутый приказ № 58. Один же документ (про базовую модель угроз) так и остался частично закрытым, поскольку регулятор до сих пор считает информацию о том, как надо защищаться от утечек по техническим каналам (в частности, ПЭМИН), секретной информацией.

Но это не единственный пример. Все требования ФСБ к средствам защиты по сей день являются секретными. Пресловутые СТР-К до сих пор имеют гриф «ДСП». И уже совсем странной выглядит закрытость постановления правительства, в котором прописана обязательная сертификация средств защиты персональных данных. Хотя с точки зрения потребителя такая закрытость иногда полезна. Ведь согласно законодательству любые обязательные к исполнению и контролю требования должны быть опубликованы. А раз они не опубликованы, то и исполнять их никто не обязан.

Резюме, или Что делать?

Все ли особенности российской отрасли ИБ, которые стоит знать ИТ-директору, я описал в своем мини-исследовании? Разумеется, нет. Я оставил за скобками последние произошедшие изменения законодательства в области ИБ, которые могут серьезно повлиять на деятельность ИТ-директора (например, требования использования только сертифицированных средств защиты для обеспечения безопасности персональных данных, Web-сайтов госорганов или государственных информационных систем). Я не рассказал о специфике российского образования в области ИТ-безопасности. Я ни словом не упомянул о разнице между зарубежными и многими отечественными разработчиками средств защиты. Я умолчал про отказ от восприятия риск-ориентированного подхода. Все это я уже либо описывал в своем блоге, либо повествовал об этом в иных публикациях (например, в недавно завершенной онлайн-публикации книги «Мифы и заблуждения информационной безопасности» на проекте bankir.ru).

После прочтения материала может показаться, что все настолько плохо, что информационные технологии развиваться в России нормально не могут. Конечно же, это не так. Я осознанно акцентировал внимание на некоторых достаточно спорных моментах, а некоторые вопросы намеренно преувеличил, показав немного однобокий взгляд на проблему. Взгляд, которым смотрит на ИТ и ИБ регулятор. Но в этом и заключалась моя цель — я хотел показать: то, что кажется ИТ-директору незыблемой истиной, таковой на самом деле не является. И что нельзя заниматься информационными технологиями в отрыве от информационной безопасности. Разумеется, есть компании, которым не ведомы все те ужасы, что я описал. Многие еще не сталкивались с нашими регуляторами и их нормативной базой. Но это не значит, что их нет. Сложности есть, и если рассматривать один из сценариев развития событий в отрасли ИБ, то ситуация может только ухудшиться. А значит, ИТ-директор должен быть готов не только к интеграции в мировое ИТ-сообщество и применению лучших ИТ-практик, о которых активно говорится на различных ИТ-мероприятиях, но и к еще большему закручиванию гаек с точки зрения ИБ. Поэтому стоит перейти к рекомендациям. Что же делать ИТ-директору в России с точки зрения информационной безопасности?

Во-первых, понять, что ИБ — это область, на которую можно и нужно смотреть с разных точек зрения. Не только с точки зрения ИТ, но и с точки зрения регуляторов и собственной службы ИБ. Ведь они зачастую требуют выполнения достаточно жестких нормативов по безопасности не потому, что такова их прихоть (хотя и такое бывает), а потому, что таковы реалии нашей жизни. И действия служб ИБ связаны, в том числе, и с защитой своего работодателя от претензий со стороны ФСТЭК и ФСБ. Разумеется, часто это делается необдуманно, без учета интересов всех сторон, особенно бизнеса. Поэтому задача ИТ-директора — найти компромисс между не всегда адекватными требованиями по безопасности, требованиями ИТ и требованиями бизнеса. Ведь в конце концов любое предприятие существует ради получения прибыли, и безопасность должна быть одной из функций, помогающей, а не препятствующей достижению этой цели.

Во-вторых, ИТ-директор должен повысить свою квалификацию по теме информационной безопасности в России. Именно в России, поскольку эта тема сильно отличается от того, что обычно написано относительно ИБ в западных учебниках или преподается на многих курсах MBA или MBI. Неплохо будет, если авторы готовящегося «учебника для CIO» включат в свое пособие чуть больше информации, чем это предполагается сейчас. А еще лучше, если будет организован проект с рабочим названием «Учебник для CISO».

В-третьих, и это скорее рекомендация для руководителей служб ИБ, необходимо налаживать контакт не только со стороны ИТ-директора, но и со стороны CISO — движение должно быть двусторонним. А то зачастую «живут» они в одной организации как кошка с собакой, перекладывая ответственность за неработающие приложения или сеть друг на друга. А страдает при этом бизнес.

В-четвертых, различным объединениям в области ИТ (СоДИТ, АПКИТ, АЗИ, АРСИБ и т. п.) необходимо вырабатывать консолидированное мнение относительно того, что такое информационная безопасность для современного бизнеса и как ее развивать и регулировать.

И наконец, последняя рекомендация. Речь идет об экспертных советах, которые могут быть проводниками для российской власти. О таких советах уже думают в ФСТЭК (правда, пока ориентируясь на то, что в советы войдут представители сертификационных и аттестационных лабораторий регулятора, что мало чем отличается от текущей ситуации). К помощи экспертов обращаются в ФСБ (правда, пока не очень активно и не на регулярной основе). Экспертный совет есть в Институте современного развития (ИНСОР), к мнению которого прислушивается президент РФ. Существуют различные комиссии и рабочие группы при правительстве, президенте и иных органах исполнительной власти. Им нельзя забывать про вопросы информационной безопасности в контексте модернизации и инновационного развития. Иначе информационная безопасность станет тем балластом, который и выкинуть будет нельзя, но и который идти вперед мешает.