Управляя инцидентами

В последние годы тема информационной безопасности приобретает все большую актуальность, охватывая самые широкие слои общества — от рядовых граждан до крупных корпораций. О необходимости защиты конфиденциальной информации, будь то персональные данные, банковская тайна или секретные правительственные документы, в век бурного развития информационных технологий знает практически каждый. При этом отдельные отрасли экономики уделяют повышенное внимание теме защиты конфиденциальной информации в силу особой ценности той информации, которой владеют.

Одной из таких «особых» отраслей является банковская сфера: несмотря на высокий уровень защищенности финансово-кредитных организаций, эта отрасль в последние годы неизменно остается одним из «лидеров» по количеству утекающих конфиденциальных данных. Почему это происходит? Прежде всего потому, что информация, которой владеют банки, очень ценна и легко конвертируема в реальные деньги. Надо отдать должное отрасли: банки не сидят сложа руки, осваивают современные технологии защиты информации, принимают комплексные меры безопасности, разрабатывают специальные процедуры, регламенты и стандарты. На одном из таких стандартов стоит остановиться подробнее: по мнению многих экспертов, это один из наиболее конкретных, четких и понятных стандартов по защите информации, когда-либо разработанных для российских организаций.

Итак, в начале июня стандарт Центрального банка РФ по обеспечению информационной безопасности организаций банковской системы (СТО БР ИББС) обновился в очередной раз. Это пятое обновление, и довольно кардинальное: изменился набор мер, добавились новые термины, документы, сместились акценты. В чем заключаются основные изменения и чего от них ждать российским банкам, «Известиям» рассказал Андрей Прозоров, ведущий эксперт по информационной безопасности компании InfoWatch.

Расскажите сначала про новый документ «менеджмент инцидентов», почему он появился?

Этот документ ранее отсутствовал в комплекте документов данного стандарта. Стандарт ЦБ РФ по обеспечению информационной безопасности организаций банковской системы состоит из нескольких документов, описывающих управление рисками, документацией, дающих рекомендации по самооценке и др. Теперь в него вошел еще один документ — по управлению инцидентами. По сути в документе говорится, как правильно выявлять и реагировать на инциденты информационной безопасности, такие как, например, утечка информации. Появление такого документа было очевидным шагом развития стандарта. До этого Центробанк уже давал свои рекомендации в области управления и обеспечения информационной безопасности, оценки рисков, защиты персональных данных и другие.

Какие нововведения предусматривает новая редакция?

Сначала бросаются в глаза «косметические» изменения: была незначительно изменена терминология, которая используется в стандарте, чуть больше внимания уделено процессному подходу. С каждой новой версией все больший акцент делается именно на нем: то есть организациям нужно не просто внедрять средства защиты, а организовывать те или иные процессы по управлению и обеспечению информационной безопасности! Действовать комплексом мер защиты, а не ограничиваться установкой отдельных технических решений.

Из важных изменений я бы отметил ужесточение требований по защите и обработке персональных данных, появление термина «утечка информации» и расширение перечня защитных мер. Ужесточение мер защиты персональных данных продиктовано обновлением законодательства РФ по персональным данным, которое, в свою очередь, обусловлено постоянным ростом числа утечек персональных данных россиян. Так, по данным аналитического центра компании InfoWatch (разработчик систем защиты конфиденциальной информации от утечки), в России персональные данные являются самым массовым типом утекающей информации — 81% общего объема информации, утекающей из отечественных организаций.

Почему важно появление термина «утечка информации»?

Проблематике защиты информации от внутренних угроз (угроз со стороны сотрудников компании, к которым относятся, например, саботаж, воровство информации с целью перепродажи, промышленный шпионаж и т.д.) было уделено много внимания и в предыдущих версиях стандарта. Однако предлагавшиеся меры защиты были направлены на противодействие внешним угрозам. Сейчас же даются рекомендации по методике расследования инцидентов, связанных с утечкой информации в результате действий сотрудников, появились положения по контролю съемных носителей (всем известные «флэшки» и др.).

В новой версии совершенно справедливо изменены акценты, а с учетом выхода рекомендаций по управлению инцидентами и ожидаемых в конце года рекомендаций по защите от утечек информации — это шаг регулятора в верном направлении, к защите от действительно актуальных угроз.

Как это отразится на работе финансовых учреждений?

Новый стандарт является хорошим и общепринятым стандартом по информационной безопасности. Его используют более 60% кредитных организаций в России. Некоторые специалисты по информационной безопасности компаний других отраслей экономики также ориентируются на него.

Тем организациям, которые уже приняли данный стандарт в качестве обязательного, придется дорабатывать свою систему информационной безопасности: реализовать дополнительные меры по защите персональных данных, усилить контроль над разработкой программного обеспечения, обеспечить защиту от утечки информации.

Как вы в целом оцениваете стандарт и его перспективы?

В целом разработчики стандарта идут в правильном направлении, выпускают обновления, соответствующие лучшим мировым практикам и подходам, например, международному стандарту по информационной безопасности ISO 27001, который был взят за основу при разработке рассмотренного нами стандарта ЦБ РФ. Последний уже сейчас, на мой взгляд, является лучшим из разработанных в России стандартов и рекомендаций в области управления и обеспечения информационной безопасности. Поэтому с каждым годом все больше российских компаний защищают свою конфиденциальную информацию, ориентируясь на данный стандарт.