Есть ряд очевидных тенденций на рынке информационной безопасности, отрицать которые нельзя. Они заключаются в том, что вектор движения в ИБ меняется: от «бумажной безопасности», в основном предполагающей формальное соответствие требованиям регуляторов, он движется в сторону технической защищенности, соответствующей уровню рисков организации, и зачастую превосходящей формальные требования. В настоящей статье мы рассмотрим эти тенденции, чтобы понять, как их использовать в процессе обеспечения максимального уровня защищенности.
ТРЕБОВАНИЙ МНОГО…
Требования регуляторов (ЦБ, Роскомнадзор, МПС, SWIFT и т.д.) к защите информации постоянно ужесточаются. Это связано, прежде всего, с непрерывно возрастающим количеством киберугроз и внушительным техническим арсеналом злоумышленников. Последний включает в себя средства автоматизации создания вредоносного кода, не обнаруживаемого классической защитой (антивирусные решения, системы обнаружения и предотвращения вторжений и др.). Также укрепление арсенала нарушителей связано с использованием ими инструментов социальной инженерии, эксплуатацией как публично известных уязвимостей, так и уязвимостей нулевого дня.
Общий перечень требований регуляторов, актуальных на сегодняшний день, приведен в Таблице 1.
Таблица 1. Требования регуляторов по защите информации в финансовом секторе
Норматив
|
Область
регулирования |
Регулятор |
382-П
|
Безопасность
безналичных платежей |
ЦБ РФ |
552-П
|
Подключение к ЦБ РФ
АРМ КБР, АРМ ПУР |
ЦБ РФ |
152-ФЗ (ПДн)
|
Безопасность обработки
персональных данных (ПДн) |
Роскомнадзор |
PCI DSS
|
Безопасность данных
?платежных карт |
МПС (Visa, Mastercard) |
СТО БР
|
Обеспечение ИБ технологических
процессов обработки платежной
и неплатежной информации |
ЦБ РФ |
SWIFT Customer
Security Framework.
Supplementary Guide
|
Обеспечение безопасности
?выполнения переводов через SWIFT |
SWIFT |
ГОСТ (проект)
|
Обеспечение ИБ технологических
процессов обработки платежной
?и неплатежной информации |
ЦБ РФ |
…НО ОНИ ПОХОЖИ
При этом, несмотря на большое количество разрозненных требований регуляторов, во многом они очень схожи. Так, например, практически все эти требования включают в себя следующее:
- уточнение и, по возможности, отделение критической инфраструктуры от менее ценных информационных ресурсов, обеспечение защиты на сетевом уровне;
- безопасное конфигурирование информационных систем;
- внедрение дополнительных технических средств защиты информации, включая антивирусную защиту, средства обеспечения контроля целостности;
- управление доступом пользователей и администраторов;
- управление техническими уязвимостями и установка обновлений;
- проверка защищенности (путем проведения внутренних или внешних аудитов, тестирования возможности проникновения в защищаемую среду и пр.);
- обеспечение регистрации и мониторинга событий информационной безопасности;
- выявление инцидентов информационной безопасности и реагирование на них, расследование инцидентов и извлечение уроков из инцидентов;
- обеспечение физической безопасности;
- обучение и повышение осведомленности в области информационной безопасности;
- моделирование угроз и/или оценка рисков информационной безопасности;
- данный список можно продолжить.
НЕТ ЛОСКУТНОМУ ОДЕЯЛУ!
Безусловно, у каждого из внешних требований есть своя отраслевая специфика, которую необходимо учитывать. Но строить систему обеспечения информационной безопасности изначально стоит с учетом всех применимых требований регуляторов, также принимая во внимание корпоративную систему управления организации. В противном случае, система обеспечения информационной безопасности становится похожей на лоскутное одеяло, и для получения общей картины о текущем состоянии защищенности информации и об уровне соответствия внешним требованиям необходимо прикладывать дополнительные усилия со стороны специалистов по безопасности.
Стоит также отметить, что адекватное исполнение требований регуляторов помогает также обеспечить и реальную защищенность, а возникающие инциденты информационной безопасности практически всегда являются следствием невыполнения или неполного выполнения какого-либо из требований или группы требований стандартов.
ДЛЯ ПРИМЕРА
Для примера рассмотрим два применяемых к некоторым организациям финансовой сферы западных стандарта. Первый и давно известный – Payment Card Industry Data Security Standard (PCI DSS), и относительно новый SWIFT Customer Security Framework. У данных стандартов совершенно разные области оценки, которые в идеале не пересекаются. Именно поэтому на данном примере хочется показать, на каком участке можно добиться оптимизации ресурсов, необходимых для соблюдения требований стандартов, и по какому вектору можно направлять усилия для дополнительного повышения уровня защищенности.
Если не подходить к решению каждой из задач разрозненно, а изначально выстраивать работающие процессы, охватывающие всю организацию, либо наиболее ее критичные сегменты, то можно существенно упростить процесс одновременного соблюдения нескольких стандартов. Можно говорить о технической унификации, применении средств автоматизации и, как следствие, снижении затрат на обеспечение безопасности отдельного объекта инфраструктуры. Например, требования по безопасному конфигурированию систем применить и на компоненты в области действия PCI DSS и на серверы, реализующие подключение к SWIFT.
Хороший пример – процесс управления уязвимостями. Данное требование есть в обоих рассматриваемых стандартах. Если расширить область сканирования и установки обновлений на дополнительные серверы, рабочие станции, сетевое оборудование и т. д., то это не сильно увеличит как фактические финансовые расходы, так и трудозатраты системных администраторов и специалистов по защите информации. При этом будут соблюдаться требования сразу двух стандартов. По такому же принципу можно добиться оптимизации затрат по требованиям сетевой безопасности, физической защиты компонентов, мониторингу.
ОТ МИНИМУМА К МАКСИМУМУ
При этом стоит понимать, что должное выполнение требований регуляторов обеспечит только минимально необходимый уровень безопасности, останавливаться на котором нельзя, если организация действительно планирует защититься от актуальных киберугроз. Поэтому, помимо внедрения требуемых регуляторами мер и средств защиты надо проанализировать и сфокусировано защищать критически важные бизнес-процессы организации, а также наиболее уязвимые элементы инфраструктуры.
Определить проблемные и слабые места позволит анализ защищенности или так называемые пентесты. Этот метод оценки уровня безопасности позволяет моделировать атаку злоумышленника. Процесс включает в себя активный анализ инфраструктуры на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу, либо полный отказ в обслуживании. Результатом такого анализа или аудита может служить отчет, который содержит в себе все найденные уязвимости системы безопасности, а также рекомендации по их устранению. На основании полученной реальной картины и достоверных данных необходимо корректировать набор используемых инструментов защиты. Но это дополнительные финансовые затраты. Что делать?
ОБ АУТСОРСИНГЕ
В ближайшее время должен выйти новый стандарт ЦБ, который регламентирует использование аутсорсинговой модели ИБ в организациях финансового сектора. Но передача функций на аутсорсинг не освобождает от обязанности и не снимает ответственности с банков как в вопросах обеспечения ИБ, так и в обязательности соответствовать требованиям законодательства. Однако аутсорсинговая модель позволит решить многие задачи в области защиты информации и оптимизировать затраты, передать непрофильную деятельность внешнему подрядчику и сократить эксплуатационные издержки.
Это выход для многих компаний, т. к. не каждая организация имеет ресурсы для киберразведки (threat intelligence); не все оперативно получают информацию о новых угрозах, идентификаторы компрометаций и т. д. Не у всех выстроены и автоматизированы процессы по реагированию на инциденты, процессы проведения расследований (forensics). Аутсорсинговая модель ИБ позволит большему числу компаний повысить уровень информационной безопасности, защитить ценную информацию, финансы и репутацию.
Возвращаясь же к требованиям стандартов, нужно также помнить, что вслед за изменением ландшафта угроз любые стандарты имеют свойство периодически обновляться. И для того, чтобы организации могли избежать рисков, связанных с возможными архитектурными или иными ошибками, стоит выстраивать свои процессы изначально в соответствии с глобальными тенденциями в сфере обеспечения информационной безопасности, за которыми регуляторные требования, как правило, следуют с некоторым запозданием.