«Открытые технологии» поделились своей методологией внедрения систем управления ИБ
На семинаре «Обеспечение информационной безопасности в финансовых организациях: опыт, подходы и решения» представители компании «Открытые технологии» предложили следующее определение: «Информационная безопасность — это использование ИТ без большого ущерба для бизнеса компании». Такое определение подразумевает, что возможен урон как от недостаточности защитных мер, так и от их избыточности, а оптимальной является ситуация, когда сумма расходов на ИБ и потенциального ущерба будет минимальной. Поскольку и тот, и другой компонент изменяются со временем, то для сохранения оптимального соотношения нужна система управления информационной безопасностью, СУИБ.
Концепция построения СУИБ проработана в серии международных стандартов ISO 17799 и принятом в прошлом году ISO 27001, которые базируются на британских стандартах BS 7799. Оба стандарта готовятся «Гостехкомиссией» для переиздания в качестве российских. ISO 27001 отличается тем, что использует систему качества, сформированную стандартом ISO 9001. Тем не менее входящие в него лучшие практики перешли из BS 7799 с дополнениями и улучшениями, которые были сформулированы со времени принятия первой версии британского стандарта. Для ISO 27001 уже сформирована система сертификации, и в России уже есть компании, имеющие подтверждение соответствия.
В «Открытых технологиях» приняты следующие ПИБы: защита сетевых взаимодействий, антивирусная защита и защита от анонимных массовых рассылок, а также защита от утечек конфиденциальной информации, управление событиями ИБ, управление учетными записями и правами доступа, обеспечение непрерывности бизнеса. По оценкам Евгения Акимова, менеджера направления информационной безопасности в «Открытых технологиях», на управление информационной безопасностью стоит тратить до 10% бюджета, выделенного на ИБ, тогда и оставшиеся 90% будут тратиться более эффективно.
В России финансовое законодательство достаточно жесткое. В частности, у нас есть стандарт Центрального банка РФ, который, по утверждению разработчиков, основан на ISO 27001. Однако Александр Кузнецов, руководитель направления СУИБ в «Открытых технологиях», утверждает, что стандарт СТО БР ИББИ-10-2006 (вторая версия стандарта ЦБ РФ), не совсем соответствует требованиям ISO 27001. Хотя большая часть российского стандарта посвящена управлению рисками, но иногда в нем встречается сочетание «модель угроз и злоумышленников» или «противоборство собственника и злоумышленника за контроль над активами». Такие формулировки характерны для российской школы информационной безопасности, которая нацелена не на управление информационными рисками, а на обеспечение конфиденциальности, целостности и доступности информации.