В последние годы тема информационной безопасности приобретает все большую актуальность, охватывая самые широкие слои общества — от рядовых граждан до крупных корпораций. О необходимости защиты конфиденциальной информации, будь то персональные данные, банковская тайна или секретные правительственные документы, в век бурного развития информационных технологий знает практически каждый. При этом отдельные отрасли экономики уделяют повышенное внимание теме защиты конфиденциальной информации в силу особой ценности той информации, которой владеют.
Одной из таких «особых» отраслей является банковская сфера: несмотря на высокий уровень защищенности финансово-кредитных организаций, эта отрасль в последние годы неизменно остается одним из «лидеров» по количеству утекающих конфиденциальных данных. Почему это происходит? Прежде всего потому, что информация, которой владеют банки, очень ценна и легко конвертируема в реальные деньги. Надо отдать должное отрасли: банки не сидят сложа руки, осваивают современные технологии защиты информации, принимают комплексные меры безопасности, разрабатывают специальные процедуры, регламенты и стандарты. На одном из таких стандартов стоит остановиться подробнее: по мнению многих экспертов, это один из наиболее конкретных, четких и понятных стандартов по защите информации, когда-либо разработанных для российских организаций.
Расскажите сначала про новый документ «менеджмент инцидентов», почему он появился?
Этот документ ранее отсутствовал в комплекте документов данного стандарта. Стандарт ЦБ РФ по обеспечению информационной безопасности организаций банковской системы состоит из нескольких документов, описывающих управление рисками, документацией, дающих рекомендации по самооценке и др. Теперь в него вошел еще один документ — по управлению инцидентами. По сути в документе говорится, как правильно выявлять и реагировать на инциденты информационной безопасности, такие как, например, утечка информации. Появление такого документа было очевидным шагом развития стандарта. До этого Центробанк уже давал свои рекомендации в области управления и обеспечения информационной безопасности, оценки рисков, защиты персональных данных и другие.
Какие нововведения предусматривает новая редакция?
Сначала бросаются в глаза «косметические» изменения: была незначительно изменена терминология, которая используется в стандарте, чуть больше внимания уделено процессному подходу. С каждой новой версией все больший акцент делается именно на нем: то есть организациям нужно не просто внедрять средства защиты, а организовывать те или иные процессы по управлению и обеспечению информационной безопасности! Действовать комплексом мер защиты, а не ограничиваться установкой отдельных технических решений.
Из важных изменений я бы отметил ужесточение требований по защите и обработке персональных данных, появление термина «утечка информации» и расширение перечня защитных мер. Ужесточение мер защиты персональных данных продиктовано обновлением законодательства РФ по персональным данным, которое, в свою очередь, обусловлено постоянным ростом числа утечек персональных данных россиян. Так, по данным аналитического центра компании InfoWatch (разработчик систем защиты конфиденциальной информации от утечки), в России персональные данные являются самым массовым типом утекающей информации — 81% общего объема информации, утекающей из отечественных организаций.
Почему важно появление термина «утечка информации»?
Проблематике защиты информации от внутренних угроз (угроз со стороны сотрудников компании, к которым относятся, например, саботаж, воровство информации с целью перепродажи, промышленный шпионаж и т.д.) было уделено много внимания и в предыдущих версиях стандарта. Однако предлагавшиеся меры защиты были направлены на противодействие внешним угрозам. Сейчас же даются рекомендации по методике расследования инцидентов, связанных с утечкой информации в результате действий сотрудников, появились положения по контролю съемных носителей (всем известные «флэшки» и др.).
В новой версии совершенно справедливо изменены акценты, а с учетом выхода рекомендаций по управлению инцидентами и ожидаемых в конце года рекомендаций по защите от утечек информации — это шаг регулятора в верном направлении, к защите от действительно актуальных угроз.
Как это отразится на работе финансовых учреждений?
Новый стандарт является хорошим и общепринятым стандартом по информационной безопасности. Его используют более 60% кредитных организаций в России. Некоторые специалисты по информационной безопасности компаний других отраслей экономики также ориентируются на него.
Тем организациям, которые уже приняли данный стандарт в качестве обязательного, придется дорабатывать свою систему информационной безопасности: реализовать дополнительные меры по защите персональных данных, усилить контроль над разработкой программного обеспечения, обеспечить защиту от утечки информации.
Как вы в целом оцениваете стандарт и его перспективы?
В целом разработчики стандарта идут в правильном направлении, выпускают обновления, соответствующие лучшим мировым практикам и подходам, например, международному стандарту по информационной безопасности ISO 27001, который был взят за основу при разработке рассмотренного нами стандарта ЦБ РФ. Последний уже сейчас, на мой взгляд, является лучшим из разработанных в России стандартов и рекомендаций в области управления и обеспечения информационной безопасности. Поэтому с каждым годом все больше российских компаний защищают свою конфиденциальную информацию, ориентируясь на данный стандарт.