100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №34 "Надо стремиться к внедрению Security Best Practices"28.04.2009 15:16
Миф №35 "Все должны соответствовать требованиям ФЗ-152 «О персональных данных» с 1-го января 2010 года"29.04.2009 12:48
Подобный материал:
1   ...   22   23   24   25   26   27   28   29   ...   69

Миф №34 "Надо стремиться к внедрению Security Best Practices"28.04.2009 15:16


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Термин «Best Practice» переводится как «лучшая практика» или «передовой опыт». Это формализованный успешный практический опыт в какой-либо области. Впервые идея использования лучших практик была сформулирована еще в 1914 году американским инженером Фредериком Тейлором. Занимаясь управленческим консалтингом в области научной организации труда он заметил, что «среди всего многообразия методов и инструментов, используемых в каждый момент каждого процесса, всегда есть один метод и инструмент, который работает быстрее и лучше остальных». Иными словами в любой деятельности всегда существует оптимальный способ достижения заданной цели, который, оказавшись эффективным в одном месте, будет таким же эффективным и в другом месте.

Есть такой и опыт и в области информационной безопасности. Однако на практике современная ситуация немного отличается от описанной Тейлором и в лучшие практики по безопасности, ввиду ее непубличности, записывают не просто оптимальные методы, а действительно лучшие из лучших, собранные зарубежными компаниями-лидерами. В качестве одного из таких примеров можно назвать международный стандарт ISO 27001, который был также принят и в России в качестве национального.

Надо ли стремиться к такому передовому опыту и внедрять его в своей организации? Ответ на этот вопрос будет неоднозначный. Приведу аналогию - мировой рекорд в метании молота принадлежит Юрию Седых (СССР), установленный в далеком 1986-м году в Штутгарте. Его достижение в 86.74 метра не достигнуто до сих пор. По сути, этот мировой рекорд и способы его достижения и есть лучшая практика в легкой атлетике. Стоит ли стремиться к этому показателю? Профессиональным спортсменам, участвующим в Олимпиадах и чемпионатах мира, может и стоит. Но спортсмен-любитель никогда не достигнет таких результатов. А обычному человеку метание молота и вовсе ни к чему.

С безопасностью ситуация аналогичная. Формализованный передовой опыт может не подойти конкретному предприятию. Причин для этого множество. Он может не фокусироваться на информационных технологиях, как это часто бывает в промышленности. Его уровень зрелости может сильно отличаться от уровней компаний, чей опыт лег в основу лучших практик. Его бюджет на ИБ может быть на порядки меньше. Его руководство может не разделять или не понимать важности информационной безопасности. Оно может находиться в государстве с отличающимся законодательством в области защиты различных видов тайн и интересов граждан. И еще множество иных причин, мешающих не только приблизиться к тому, что описано в «best practices», но и не нужных в данный момент конкретному предприятию. Стремясь к ним можно не только не получить желаемого уровня ИБ, но и навредить ему.

Иными словами «лучшие практики» - это не то, что надо безоглядно внедрять на своем предприятии только потому, что они «лучшие» и все стараются вас убедить, что без некоторых лучших практик вам не жить. Значит ли это, что передовым опытом не стоит пользоваться? Конечно же нет. Просто надо знать, что вы используете, для чего и в каком объеме. Помимо того же ISO 27001 есть еще множество интересных рекомендаций, которые также отражают эффективные подходы к реализации информационной безопасности. Но собраны они не от лучших из лучших, а от большой массы середнячков, которые и составляют основной костяк бизнеса во всех странах. К числу таких рекомендаций можно отнести Cisco SAFE (Security Architecture for Enterprise) в области сетевой безопасности, Standard of Good Practice от ISF, оперирующий на более высоком уровне и дающий рекомендации в области управления ИБ, пользователями, приложениями, разработкой и т.д.

Миф №35 "Все должны соответствовать требованиям ФЗ-152 «О персональных данных» с 1-го января 2010 года"29.04.2009 12:48


В рамках рубрики "Мнение эксперта" мы продолжаем публикацию книги А.В.Лукацкого "Мифы и заблуждения информационной безопасности"


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Многие очень часто ссылаются на эту дату 1-го января 2010 года, с которой якобы все должны соответствовать требованиям Федерального закона «О персональных данных». Именно к этой дате приурочивают приведение своих информационных систем в соответствие с требованиями регуляторов. И именно с этой даты все ожидают проверок со стороны Роскомнадзора, Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ). И когда в прессе появляются сообщения о плановых и внеплановых проверках со стороны ФСТЭК или Роскомнадзора и направлении дел о нарушении требований закона в прокуратуру многие недоумевают - как же так, ведь 1-е января еще не наступило.

На самом деле, многие предприятия должны привести свои информационные системы в соответствие с 29 января 2007 года, когда вступил в силу ФЗ-152, а не с 1-го января 2010 года. Ведь в законе написано, что не позднее 01.01.2010 необходимо привести в соответствие ИСПДн, созданные ДО вступления федерального закона в силу. Но закон ни слова не говорит об информационных системах персональных данных, созданных ПОСЛЕ вступления федерального закона в силу. Следовательно, ИСПДн, созданные после 29 января 2007-го года, должны были быть сразу приведены в соответствие с требованиями законодательства. Но сделали это единицы из тех 7 миллионов операторов персональных данных, которых насчитали наши регуляторы.

Возникает вопрос «что значит созданы?». Ни один нормативный акт не говорит об этом, т.к. сам термин «информационная система» появляется только в федеральном законе «Об информации, информационных технологиях и защите информации», принятом в тот же день, что и закон «О персональных данных». Раньше в большинстве нормативных актов использовался термин «автоматизированная система». Была даже разработана целая серия национальных стандартов по автоматизированным системам. И вот там у нас встречается термин «создание автоматизированной системы». Согласно ГОСТ 34.003-90 "Автоматизированные системы. Термины и определения" процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки. Иными словами дата создания информационной системы ПДн определяется датой, стоящей в этом акте.

Но давайте представим на минутку, что никаких исключений нет и все информационные системы должны быть приведены в соответствие регулятивным требованиям до 1-го января 2010 года. Реально ли это? Если не брать в расчет финансы, то каждый оператор персональных данных тратит на все мероприятия не менее года (вопрос легитимности части из этих мероприятий мы не рассматриваем):

· Регистрация оператора ПДн - 1-2 месяца
· Лицензирование деятельности по технической защите конфиденциальной информации - 3-5 месяцев
· Классификация ИСПДн - 1-3 месяца
· Разработка частной модели угроз - 4-8 месяцев
· Сертификация средств защиты информации  - 3-6 месяцев
· Аттестация ИСПДн (для систем 1-2 класса) - 2-6 месяцев.

Учитывая, что в России насчитывается не более 100 сертификационных и аттестационных лабораторий ФСТЭК, а число сотрудников регулирующих органов не велико, то при числе в 3-7 миллионов операторов ПДн, общее время приведения всех в соответствие составит... не менее 1000 лет.