Информационная безопасность в бизнесе: от «удаленки» до защиты данных
О тенденциях на рынке таких решений рассказали руководитель отдела внедрения решений информационной безопасности компании ICL Services Артем Фролов и руководитель группы консалтинга и аудита информационной безопасности ICL Services Алексей Симцов.
Защита данных
— Сегодня большое количество компаний, сотрудников работает дистанционно. Как обеспечить информационную безопасность при удаленной работе? Какие сложности и риски возникают?
Артем Фролов: В связи со сложившейся ситуацией, связанной с пандемией новой коронавирусной инфекции, к нам приходит очень много запросов по организации удаленной работы пользователей. Конечно, прежде всего, необходимо понимать, что нам нужно сделать в организационном и техническом плане, чтобы вся эта система у заказчиков работала без сбоев. В этой связи мы оказываем консультационные услуги по соблюдению требований регуляторов для различных компаний. И только после этого приступаем к проектированию и внедрению решений. Отмечу, что типовых проектов у нас не бывает, решение подбирается индивидуально исходя из задач каждого заказчика. Анализ рисков для бизнеса также в каждом случае уникальный.
Но, тем не менее, основные риски выделить можно. Прежде всего, это нарушение конфиденциальности при удаленной работе с информационными системами. Далее – доступность сервисов (DDoS-атаки) и нарушение целостности данных за счёт компрометации внутренних систем. В качестве примера, чтобы закрыть все основные риски, мы предлагаем организацию VPN-каналов с применением стойких алгоритмов шифрования, двухфакторную аутентификацию, проверку соответствия требованиям информационной безопасности (Compliance), комплексную систему антивирусной защиты. Доступ к информационным системам предоставляется только после всех этих проверок.
Для защиты от утечек информации предлагаем комплексные DLP-системы и межсетевые экраны нового поколения в целях ограничения доступа к информационным системам и предотвращения атаки со стороны удаленных пользователей.
На сегодняшний день это стандартный минимальный набор.
— Тема информационной безопасности не теряет актуальности никогда. Вы общаетесь с представителями разных компаний в России и ближнего зарубежья, расскажите, какова ситуация на рынке информационной безопасности сегодня?
По данным независимых экспертов, рынок информационной безопасности ежегодно растет на 10-15%. Основные проблемы лежат в области использования частных облаков, сетевых инфраструктур, мобильных устройств. Также ежегодно увеличивается доля подрядных организаций, которые обслуживают IT-инфраструктуру и различные средства технической защиты. Это создает много рисков для конечного заказчика.
— Правильно ли я понимаю, что информационная безопасность сейчас – это не просто «продай антивирус», и заказчики сейчас все реже обращаются с точечной проблемой?
Действительно, проекты, где нужен просто антивирус, случаются редко. В своей работе мы стараемся использовать комплексный подход, который предусматривает проведение как технического, так и организационного аудита. После мы проводим проектирование и стендирование, благодаря которому заказчик может оценить работу спроектированного решения в тестовой среде. Только после этого приступаем к этапу внедрения. Отмечу, что при моделировании угроз мы стараемся учитывать новые векторы атак, в том числе и возрастающую серьезность угроз. Это позволяет предлагать нашим заказчикам современные, комплексные решения, которые сокращают риски, связанные с информационной безопасностью.
— Можете выделить приоритеты среди запросов заказчиков? Что рынок сегодня беспокоит в наибольшей степени?
У нас большой практический опыт по защите информации в компаниях различных секторов экономики. Статистически больше запросов по защите финансового сектора и крупных технологических предприятий, компаний, которые в сравнении с остальными в наибольшей степени уделяют внимание вопросам информационной безопасности.
Очень много запросов от заказчиков поступает в части проведения работ по созданию систем безопасности значимых объектов, и часть запросов касается категорирования объектов КИИ. Основным триггером данных запросов является необходимость соблюдения ФЗ-187, а также реальные последствия компьютерных атак, которые ощутили на себе предприятия из различных сфер деятельности.
Закон о КИИ
— Защита информационных ресурсов сегодня не менее «горячая» тема, чем интернет вещей или цифровая трансформация предприятий. Что вкладывается в понятие «критическая информационная инфраструктура» и почему актуальность этой темы в России растет с каждым днем?
Алексей Симцов: Актуальность действительно растет. Это, в первую очередь, связано с тем, что появилось законодательство в данной сфере. Под «критической информационной инфраструктурой» подразумевается совокупность систем и сетей электросвязи объектов КИИ, нарушение деятельности которых, в случае возникновения компьютерных инцидентов, может нанести ущерб РФ. Закон принят в 2018 году и предусматривает поэтапное выполнение. В соответствии с требованиями закона, на первом этапе субъекты КИИ должны присвоить одну из категорий значимости принадлежащим им объектам КИИ. Сроки по первому этапу уже вышли и многие организации уже выполняют более масштабные работы по созданию систем безопасности значимых объектов.
Есть определенные требования к инфраструктуре, и регуляторы активно начинают требовать от компаний их выполнение. Идёт доработка различных нормативных актов, которые предписывают наложение существенных штрафов, административную и уголовную ответственность. Поэтому сейчас все участники рынка ведут активную работу по обеспечению соответствия законодательным нормам. Несмотря на сложность поставленной задачи, организациям необходимо уделять максимум внимания защите информации и обеспечить защиту КИИ.
Артем Фролов: Добавлю, что в случае реализации рисков, связанных с информационной безопасностью технологических предприятий, возможны катастрофы техногенного характера.
— Какие меры взыскания могут применить регуляторы к компаниям, не выполняющим требования?
Алексей Симцов: Для субъектов КИИ уже предусмотрена уголовная ответственность. Существуют даже судебная практика. Самый известный случай произошел во Владивостоке, где был вынесен приговор по уголовному делу. Фигурант этого дела занимал должность менеджера отдела продаж. Воспользовавшись своим положением, он передал персональные данные абонентов знакомому. Суд назначил реальный срок в виде 3-х лет лишения свободы.
Хочется отметить, что уже около полугода идет работа по проекту внесения изменений в КоАП в части установления административной ответственности. Предусмотрены достаточно большие штрафы. По одной статье – до 200 тыс. рублей. По другой – до 500 тыс. рублей.
Эти поправки еще не внесены, но важно понимать, что рано или поздно это произойдет. Поэтому работу по категорированию и созданию систем безопасности необходимо проводить уже сейчас, так как это длительный процесс. А штрафы в дальнейшем могут применяться неоднократно. Многие отрасли уже прошли этап категорирования. Но есть и те, кто этой работой еще не занимался.
— К процессу обеспечения безопасности КИИ необходимо подходить поэтапно. И первый вопрос, на который стоит ответить – как понять, является ли организация субъектом КИИ?
Алексей Симцов: В первую очередь, необходимо обратиться к законодательству в этой области. Объекты КИИ — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.
Субъект КИИ — это любой госорган, госучреждение, юридическое лицо или индивидуальный предприниматель, владеющий на законных основаниях объектом КИИ, функционирующим в сферах, определенных законом. Таких организаций очень много. Это может быть банковская или финансовая сферы, сфера транспорта, образования и науки, связи, ТЭК. Также к ним относятся оборонная, ракетно-космическая, добывающая, металлургическая, химическая и другие виды промышленности. Главным критерием при отнесении тех или иных организаций к субъектам КИИ является, в первую очередь, сфера деятельности. Если можно четко установить, что организация функционирует в сфере, регулируемой ФЗ-187, и владеет информационной системой, то она является субъектом КИИ.
При этом иногда по формальным признакам компания не работает в указанных сферах, однако, возможно, что информационная система функционирует в области этих сфер. Это может указывать на то, что организация является субъектом КИИ. Чтобы точно исключить эту вероятность, необходимо проводить дополнительный анализ систем.
— Какие дальнейшие шаги необходимо предпринять?
Артем Фролов: Необходимо провести категорирование объектов КИИ, создать системы обеспечения информационной безопасности и мониторинга объектов. В рамках построения таких систем предлагается реализация многоэтапного проекта, который включает в себя проектирование, разработку документации, внедрение системы обеспечения информационной безопасности, проведение испытаний и передачу в эксплуатацию.
Компания ICL Services давно присутствует на рынке и имеет большой практический опыт. Основными результатами и преимуществами для заказчиков является обеспечение соответствия требованиям нормативных документов, в том числе федеральных законов, снижение затрат по сбору, хранению данных с различных источников, создание единой информационной базы данных и т. д.
— 21 мая вы планируете провести вебинар на эту тему. Расскажите подробнее, что будет рассмотрено на вебинаре?
Алексей Симцов: Мы отслеживаем обратную связь от заказчиков, поступающие запросы, информацию в сети. Видим, что, несмотря на большое количество информации, обзоров, семинаров на просторах интернета, возникают вопросы по определению, по соотнесению своих систем к объектам КИИ. Также много вопросов, как организовать работу подразделений предприятия по защите КИИ. Поэтому было решено провести вебинар, где мы рассмотрим требования законодательства, дадим практические советы по самоопределению, рекомендации по категорированию в рамках наших работ и нашего накопленного опыта. Также мы расскажем о том, каких действий и ошибок организациям стоит избегать при проведении категорирования. Рассмотрим примеры из жизни, с которыми нам приходилось сталкиваться в рамках проектов защиты КИИ.
Семинар будет интересен и направлен на широкую аудиторию. Он полезен руководителям компаний, специалистам информационной безопасности. По итогам вебинара участникам будут предложены опросные листы. После заполнения мы в качестве консультации поможем определить, относятся ли компании участников-представителей к субъектам КИИ.
— Какие рекомендации вы можете дать по обеспечению безопасности объектов КИИ при реализации дистанционного режима работы?
Алексей Симцов: Вопрос касается письма Федеральной службы по техническому и экспортному контролю, в котором даются рекомендации по обеспечению безопасности объектов КИИ при реализации дистанционно режима.
В этом письме достаточно подробно разъяснено, каким образом необходимо обеспечивать защиту. Могу отметить важные моменты, которые в нем есть. Необходимо, в первую очередь, определить перечень средств, который будет предоставлен работникам для удаленной работы. Обозначить их минимальные права и привилегии. Также надо исключить возможности эксплуатации средств сторонними лицами. Главное, субъекты КИИ должны исключить возможность дистанционного управления и изменения настроек. То есть, на «удаленку» стоит отправлять только мониторинг, но никак не управление.
При соблюдении всех этих рекомендаций бизнес может быть спокоен: данные компаний будут под надежной защитой.