В мире существуют разные методы обеспечить конфиденциальность, целостность и доступность информации, которая имеет ценность, обусловленную её смыслом для существа мыслящего – то есть человека. Неудивительно, что слова «смысл» и «мыслить» являются однокоренными, а информация появляется лишь там, где есть человек, ведь для компьютера – бездушной машины – это всего лишь данные.
Фундаментально ещё не доказано, является ли информационная безопасность частью научного знания, есть ли объективно существующие законы этой науки, или же применяемые повсеместно практики – лишь ремесло, неотделимое от информационных технологий, и являющееся их свойством. Такая постановка вопроса, в своё время была темой научной работы автора этих строк и его коллег, результаты её позволили сделать интересные выводы на основе анализа полуформальных моделей некоторых методов защиты информации. Но об этом как-нибудь в другой раз.
Сегодня отметим то обстоятельство, что в сложившейся мировой практике обеспечения информационной безопасности есть два основных подхода:
риск-ориентированный подход, основанный на предположении, что организация способна рационально и с учетом ожиданий внешних сторон решить, какие информационные активы ей нужно защищать, какими способами, и как контролировать их достаточность, чтобы корректировать их в ходе непрерывного процесса управления рисками;
подход на основе «контрольной карты», предполагающий наличие однозначно трактуемой пошаговой инструкции, созданной внешней стороной, например отраслевым регулятором, скажем, Центральным банком. В силу тех или иных обстоятельств данная инструкция становится обязательной к исполнению.
Оба подхода нашли широкое применение повсеместно, доказали свою эффективность на практике, и по праву вошли в международные стандарты, такие как ISO 27001, ISO 27002, PCI DSS, ГОСТ Р 57580.1 и многие другие.
Концепция риск-ориентированного подхода основана на том соображении, что информационная безопасность есть объективная потребность организации. Снижение рисков, связанных с использованием ИТ-инфраструктуры для обработки, хранения и передачи информации, – это естественное желание бизнеса избежать ущерба.
Подобная методика описана в международном стандарте ISO 27001. Он описывает систему управления информационной безопасности, основанную на последовательном повторении цикла из следующих этапов: • планирование; • внедрение; • контроль; • коррекция.
На этапе планирования организация сама должна определить, какие свойства какой информации для неё критичны, от каких угроз их нужно защищать, и какими методами это можно сделать. Например, доступность витрины интернет-магазина необходимо защитить от DDoS-атаки. Конфиденциальность аутентификационных данных банк-клиента следует защитить от случайной или преднамеренной утечки, которой может воспользоваться злоумышленник для несанкционированного перевода денег. Целостность суммы платёжного поручения и реквизиты получателя платежа следует защитить от модификации в пользу третьих лиц. Систематизированные реестры защищаемых активов, угроз и актуальных уязвимостей информационной инфраструктуры появляются в результате процесса анализа рисков, для управления которыми разрабатываются соответствующие контрмеры.
На этапе внедрения разработанные контрмеры воплощаются в жизнь вместе с механизмами измерения объективных показателей их эффективности – метриками.
Метрики эффективности контрмер нужны, чтобы на этапе контроля оценить, действительно ли выявленный риск снижается так, как это было запланировано.
В случае, если какая-то из контрмер не работает так, как нужно – на этапе коррекции принимаются действия по её исправлению.
Этот цикл повторяется ежегодно и его регулярное повторение обеспечивает непрерывную адаптацию применяемых механизмов защиты информации к меняющимся обстоятельствам. В течение нескольких лет эта методика, будучи исполняемой должным образом, создаст зрелую систему информационной безопасности, отвечающую потребностям и ожиданиям организации, и будет поддерживать эту систему в актуальном состоянии.
Однако, на этом пути есть две главные проблемы, зачастую мешающие применению риск-ориентированного подхода.
Первая: это нужно уметь. Анализ рисков и разработка контрмер – сложная интеллектуальная работа, для выполнения которой нужны компетентные специалисты, иначе это превратится в профанацию и создаст у руководства компании и её собственников лишь иллюзию защиты. А грамотных специалистов на рынке труда мало;
Вторая: этого нужно хотеть. Есть такие виды информационных активов, нарушение конфиденциальности, целостности, или доступности которых очень неприятны и несут ущерб… но не для компании, которая ими оперирует. Классическим примером являются персональные данные. В случае их утечки будет ущерб? Будет. У кого случится ущерб? У субъекта персональных данных, у того самого гражданина, чьи данные утекли. Ему будут звонить навязчивые продавцы, а то и мошенники. Подробности его личной жизни или состав корзины покупок будут доступны в интернете всем желающим. Понесёт ли реальный ущерб компания – оператор таких данных? Если ответить на этот вопрос честно, то нет, не понесёт (допустим, что законодательства о защите персональных данных ещё нет, и оборотных штрафов тоже нет, так как эти механизмы – уже внешнее регуляторное воздействие, а не свободная воля самой компании-оператора). Особенно это так для естественных монополий, потому что им даже репутационный риск не особо грозит.
Получается, что если организация достаточно цинично подходит к вопросу анализа рисков, то она, руководствуясь соображениями экономии, может не включить подобные активы в перечень защищаемых. Что же делать в таком случае?
Мы выяснили, что бизнесу может не хватить мотивации для защиты критичных данных, при нарушении конфиденциальности, целостности или доступности которых компания может пострадать лишь косвенно, а то и вообще не пострадать, несмотря на то что где-то в другом месте ущерб от такого инцидента будет реальным. Кроме того, для эффективного управления рисками необходимы компетенции, которые есть далеко не в каждой организации.
В таком случае на помощь приходит регулятор, который выполняет анализ рисков за целую отрасль, а то и вообще за всех субъектов в рамках его полномочий. В роли регулятора может выступать Центральный Банк, орган исполнительной власти, законодатель, профессиональное сообщество, саморегулируемая организация, отраслевой монополист, социально ответственный бизнес. В результате анализа рисков регулятор определяет перечень критичных информационных активов и меры, которые следует предпринять для их защиты от угроз, которые регулятор считает актуальными. То есть выполняет за участника отрасли самый сложный этап риск-ориентированного подхода: планирование. Примерами такого подхода являются законодательство о персональных данных и стандарт безопасности данных индустрии платёжных карт (PCI DSS).
На примере платёжной индустрии разберёмся, как это работает. Основная масса её участников – это небольшие торгово-сервисные предприятия (мерчанты) и поставщики услуг. В таких организациях, в силу их размера, редко можно встретить выделенного специалиста по информационной безопасности. Очень часто системная часть ИТ-инфраструктуры таких компаний отдана на аутсорсинг крупным облакам, за собой же они оставляют только разработку прикладного программного обеспечения. При этом такие участники индустрии платёжных карт влияют на безопасность карточных данных и способны создать значительные риски. Коллективный регулятор в лице международных платёжных систем, в том числе платёжной системы «Мир» и Совета по стандартам безопасности индустрии платёжных карт (PCI SSC), выполнили анализ рисков и определили две категории данных, подлежащих защите. Это данные о держателях карт (ДДК) и критичные аутентификационные данные (КАД). К первым относится номер карты, срок её действия и имя держателя карты, ко вторым – ПИН-код карты, проверочное значение СVV2 и полное содержимое магнитной дорожки и чипа карты. Регулятор определил, что конфиденциальность этих данных представляет особую ценность для индустрии, а её нарушение приведёт к неприемлемому ущербу. Далее регулятор разработал перечень контрмер, снижающих риск нарушения конфиденциальности ДПК и КАД, распределил его по двенадцати тематическим разделам и назвал получившуюся контрольную карту стандартом PCI DSS.
Кроме этапа планирования, на котором разрабатывается перечень контрмер и контрольных метрик (проверочных процедур, описанных в стандарте PCI DSS), регулятор взял на себя и этап контроля (оценки) цикла Plan-Do-Check-Act. Был создан институт квалифицированных аудиторов безопасности (QSA), обучением, ежегодной квалификацией и контролем качества работы которых также занимается регулятор. Для участников индустрии, в зависимости от объемов карточных данных, на безопасность которых они способны повлиять, является обязательным либо внешний аудит с привлечением QSA-аудитора, либо заполнение листа самооценки SAQ (самостоятельно или также с привлечением QSA-аудитора).
Готовая контрольная карта – достаточно широко применяемый в мире механизм. Достаточно вспомнить поваренные книги или контрольные карты, используемые экипажами воздушных судов для перевода самолёта во взлётную или посадочную конфигурацию. Они применяются там, где нет времени на длительный анализ и эксперименты: суп должен быть готов к обеду, а самолёт должен приземлиться безопасно, вовремя и на том аэродроме, куда экипаж планировал прилететь.
Рассмотрев два подхода к информационной безопасности, мы можем сделать ещё одно интересное наблюдение. Эти подходы можно совмещать. Например, если организация внедряет систему управления информационной безопасностью по стандарту ISO 27001 и выстраивает цикл Plan – Do – Check – Act, то добавить внешние требования законодательства о защите персональных данных или требования стандарта PCI DSS логичнее всего при переходе от этапа планирования к этапу внедрение. Инструментом этого перехода является документ Положение о применимости (Statement of Applicability), содержащий описание внедряемых контрмер и метрики их эффективности. Именно в этот перечень могут быть добавлены требования внешних регуляторов, чтобы они стали органичной частью системы управления. На практике такой подход показал свою эффективность и успешно прошёл сертификационные аудиты как по ISO 27001, так и по PCI DSS.