Статья нашего эксперта в области информационной безопасности "Не дай нам Бог жить в эпоху перемен"

Размышления под сурдинку на темы статьи В.А. Окулесского «Счастье для всех!»

Раз дощечка, два дощечка — будет лесенка,
Раз словечко, два словечко — будет песенка.

Владимир Шаинский

Проблема большого количества нормативных документов, поднятая автором, безусловно приводит многих к состоянию когнитивного диссонанса. Да, разобраться в этом сонме бумаготворчества наших регуляторов – не просто. Но, зачатую, это вызвано не их количеством, а тем, что к великому сожалению сейчас в институтах не учат правильно читать нормативные акты, правильно их увязывать. И это беда не только тех иб-шников, кто сидит «на земле», но и проверяющих от регуляторов, которые вываливают список «на сорок листов» с нормативкой и, не вникая в их суть, требуют безоговорочного выполнения всех требований. Но вернемся к статье. Один профессор, оценивая научную работу соискателя на ученую степень как-то сказал: «Работа содержит много актуального и нового. К сожалению, все актуальное – не ново, а все новое – не актуально». Почему? Попробую объяснить.



ЭФФЕКТ ГАЗОНОКОСИЛКИ

Давайте подумаем, почему сейчас так много разных требований? Можно ли создать единые универсальные требования по безопасности информации, которые подходили бы каждому? Задача благородная, но не выполнимая. Нет, конечно, если всех подстричь под одну гребенку, как траву на газоне, то, наверное, задача будет разрешимая. Однако, так не получится. Также как нельзя найти два одинаковых дактилоскопических узора, принадлежащих разным людям, так нельзя найти и две одинаковые информационные системы. С одной стороны, они все разные и находятся в разных условиях, обрабатывают информацию разного рода, имеют разные угрозы безопасности информации, а, значит, и требования к ним должны быть разные. С другой стороны, все эти системы используют одну и ту же инфраструктуру и, как оказывается, разделить их не так-то просто, даже на уровне приложений, так как информация между ними мигрирует.

Мы все прекрасно понимаем, что предметом защиты является информация (вернее даже ее полезные свойства). Однако, как я уже однажды писал, в силу особенностей самой информации (ее идеальной составляющей), точкой приложения усилий по обеспечению безопасности информации является окружение (среда), в котором она обращается, то есть инфраструктура и информационные технологи. При этом элементы инфраструктуры должны рассматриваться именно как факторы, влияющие на реализацию угрозы, а не как объект защиты [1]. А из этого следует важнейший вывод: требования должны применяться именно к инфраструктуре и информационным технологиям, они должны быть безопасны и надежны для объекта защиты.

Обратимся к классике. Что такое информационная система? Это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств [2]. Почему-то сейчас превалирует очень узкое трактование этого определения. Одна информация – одна информационная система. Вот и получается, что в организации появляется несколько информационных систем, обрабатывающих, например, защищаемые персональные данные: кадровая, бухгалтерия и еще какая-нибудь, хотя, на самом деле все они используют одну и туже информационную технологию (например, платформу 1С), используют одни и те же базы данных, то есть, по своей сути, это всего лишь одна информационная система, решающая разные задачи. Ведь, наверное, нет идиотов, которые разворачивают две платформы 1С отдельно для бухгалтерии и кадров. А теперь, помятуя уже сделанный вывод, можно сказать, что требования должны предъявляться именно ко всей системе, использующей одну и ту же информационную технологию, а не к ее отдельным элементам.

Регулятор выдвигает разные требования, предполагая, что у потребителя есть только одна специализированная система, так проще сформулировать требования. Именно этим и объясняется такое обилие различных требований. Но применять их надо с умом, с учетом того, какая информация обрабатывается, откидывая те нормы, которые покрывают друг друга, а не стараться выполнить и те и другие (как говорят: и нашим и вашим за рупь спляшем). Думать надо, правильно читать для чего нужны требования, анализировать, а этому, к сожалению, сейчас не учат.

Здесь на память приходит аналогичная ситуация с требованиями для ГИС [3] и ИСПДн [4]. Какие требования применить, если ГИС еще и обрабатывает персональные данные? «Земские» иб-шники мучались-мучались, терзаясь в когнитивном диссонансе, пока не вышло письмо от ФСТЭК России [5], которое разъяснило, что меры по обеспечению безопасности персональных, установленные приказом ФСТЭК России от 18.02.2013 г. № 21, аналогичны мерам приказа ФСТЭК России от 11.02.2013 г.№ 17 и поэтому достаточно руководствоваться только требованиями приказа № 17. И проблема была решена. Хотя, на мой взгляд, даже этих скромных усилий регулятора по разъяснению для особо непонятливых, что масло масляное не требовалось (посмотрите внимательно п. 21 приказа № 17: этап дополнения уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных). Просто исполнители не захотели читать положения приказа так, как они написаны и побоялись брать на себя ответственность. Но, в целом, опыт регулятора можно считать положительным и полезным. И, в принципе, такие разъяснения, сопоставляющие разные требования из уст регулятора позволили бы снизить градус проблемы большого количества разных требований.



ЭПОХА БОЛЬШИХ ПЕРЕМЕН

Не могу не согласиться с тезисом автора о том, что мы живем в интересное время, что мы не изучаем информационную безопасность, а создаем ее. Да, сейчас идет очередной этап смены нормативных документов, переход на новый виток с учетом сложившихся обстоятельств. С одной стороны, это хорошо, с другой – трудно. Одновременно в ходу и уже устаревшая нормативка, например, СТО БР и еще только разрабатываемая.

ИБ-шникам на земле трудно: не ясно чем руководствоваться, какова преемственность документов новой генерации, какова практика их применения. Да, к сожалению, это трудности переходного периода, трудности роста. Но они скоро уйдут! По крайней мере, я на это надеюсь.

Тенденция новой генерации нормативки вполне ясна: создать некий каталог «кирпичиков», как говорит автор статьи, из мер защиты и дать рекомендации как эти «кирпичики» складывать в той или иной ситуации. И этому есть объективные причины. Любая мера защиты направлена на устранение или ослабление угрозы безопасности информации. А сама угроза информационной безопасности не зависит от категории (значимости) информации и определяется объективными факторами и уровнем развития науки и технологий, то есть угроза, если она есть, для любой категории защищаемой информации будет идентична. А вот эффективность принятых мер защиты будет разной для разных категорий информации. Поясню, как всегда, «на яблоках». Пусть имеется Нечто (купюра в 100 рублей, завещание, бриллиантовое колье – не важно). Имярек хочет это Нечто украсть. Нечто можно спрятать: в коробочку из под конфет, закрыв на ключ в ящике стола, поместив в сейф. В данном случае мера защиты – это спрятать. А эффективность – коробочка, стол, сейф. И в зависимости от значимости предмета (кстати, это сущность весьма субъективна и зависит от владельца) прятать мы будем с разной эффективностью (надёжностью).

Именно по этому пути идет и мегарегулятор кредитно-финансовой сферы – Банк России. Каталог мер защиты выпущен и застандартизирован [6]. А затем выпускаются ряд Положений для различных типов организаций, устанавливающих требуемый уровень защиты (читай – эффективность принимаемых мер) с отсылкой к действующему стандарту и определяющих общие положения по организации защиты [7]. Обратите внимание: никаких конкретных технических требований в этих документах нет! Правда, объективности ради надо сказать, что вопросы, связанные с защитой критической инфраструктуры [8], к каковой относятся организации кредитно-финансовой сферы, пока полностью не взаимодействуют с этими документами. Но, думаю, это явление временное, тем более, что Банк России сейчас активно приводит отдельные документы к утвержденным стандартам.

Ну, а что касается других документов типа Положений ЦБ № 382-П, № 379-П, № 381-П, № 607-П, Указаниям ЦБ № 2831-У, № 4793-У, № 4212-У и прочая, так это немного не о том (кстати сюда можно отнести и серию СТО БР – этот стандарт применяется добровольно, то есть не носит обязательного характера, а является только «лучшими практиками»). Да, в этих документах есть вопросы, касающиеся защиты информации, но (!) это не технические требования и они применяются в строго ограниченной сфере своей компетенции. Это, можно сказать, подчеркивает важность решения вопросов обеспечения безопасности информации и контроля за ними в различных сферах деятельности кредитно-финансовых организаций, но не устанавливает каких либо требований. Эти документы говорят КАК надо делать, а не ЧТО надо делать.

И еще, контроль и мониторинг информационной безопасности, антифрод, обмен информацией об инцидентах, борьба с мошенническими сайтами и операциями – это, конечно, очень близко к информационной безопасности, но выходит за рамки предметной области. Так что не надо все смешивать в одну кучу. И если на службу информационной безопасности банка вешают еще и антифрод, то это не означает, что антифрод является задачей информационной безопасности, это самостоятельная задача (оценка по определенным критериям правильная или неправильная транзакция – здесь нет защиты информации, здесь защита капиталов клиента от действий, совершенных от его имени) и регулируется она своими правилами.

А ревизия и систематизация всех действующих нормативных документов Банка России и их взаимоувязка действительно назрела. Может, Банк России прислушается…