Речь в статье идет о проблемах и выгодах сочетания соответствия регулятивным требованиям с практикой безопасности ИТ.
Жесткие регулятивные требования к ИТ-инфраструктуре заставляют сместить фокус в обеспечении ИТ-безопасности. Даже для решения тех задач, которыми никто не хотел заниматься, теперь находится финансирование, поскольку компании стремятся выполнять все подобные требования. Во многом это позитивная тенденция для ИТ-безопасности, но есть у нее и негативные стороны.
Печально, что некоторые компании начали ставить знак равенства между соответствием регулятивным требованиям и ИБ, полагая, что соответствие таким стандартам, как PCI DSS, с такими нормами, как Health Insurance Portability, и правилами отчетности HIPAA, Sarbanes-Oxley Act (SOX) или GLB (Gramm-Leach-Billey act) автоматически обеспечивает достаточную безопасность ИТ-инфраструктуры и хранилищ данных. Но как наверняка скажут “ветераны” безопасности, это далеко не так.
“Это совсем не палочка-выручалочка и не волшебная серебряная пуля, это означает лишь то, что, что вы выполнили все правила, а совсем не то, что вы обезопасили себя, — считает Алан Шаймел, директор по стратегическому развитию компании StillSecure, занимающейся безопасностью. — Итак, это хороший старт, но далеко не конец пути”.
Шаймел и другие эксперты полагают, что для любой компании крайне важно осознать, что соответствие регулятивным требованиям и ИБ это не одно и то же. Некоторые практики-специалисты в области ИТ-безопасности пытаются вести борьбу с этой необоснованной верой в соответствие регулятивным требованиям, как в средство обеспечения безопасности, делая шаг назад и стараясь построить исчерпывающую программу безопасности, которая основана на лучших примерах управления рисками, а не только на регулятивных требованиях. По их мнению, прежде всего надо обеспечить ИБ, а соответствие нормативным требованиям приложится.
“Если вы будете слишком увлекаться соответствием регулятивным требованиям, то вполне можете упустить из виду проблемы ИБ, — говорит Верн Коул, директор по безопасности компании Varoli, занимающейся предоставлением интерактивных коммуникативных решений по запросу. — Это одна из причин, почему Varoli фокусирует свое внимание на таких стандартах, как ISO, поскольку, обеспечив согласованность с этим стандартом, выполнив все требования и тщательно ознакомившись со всеми подробностями стандарта, можно выполнить все регулятивные требования соответствующих организаций”.
Varoli находится сейчас в процессе сертификации своих ИТ-сервисов по стандарту ISO 27001 Международной организации по стандартизации (ISO). Процесс этот очень непростой и требует больших усилий, добавляет Коул.
“Мы сейчас пребываем в стадии согласования. Делается очень многое, и если вы поговорите с нашими инженерами, то они расскажут вам, как конкретно они подстраивают всю существующую инфраструктуру под требования ISO, к тому же надо сказать, что работают эти специалисты максимально быстро и старательно, чтобы достичь желаемого результата”.
Коул подчеркнул, что главные усилия сейчас сконцентрированы на переработке основной ИТ-инфраструктуры, чтобы дать возможность простого и эффективного контроля ИБ в будущем. “Мы модифицируем нашу архитектуру с тем, чтобы обеспечить строгий контроль за хранением информации, реализацией доступа к ней и за тем, как она консолидируется в едином центре. ”.
И все же, как говорится, овчинка стоит выделки. Как отмечает Коул, таким образом создается основа для ИБ и не только обеспечивается согласованность с существующими стандартами, но также упрощается согласованность с будущими стандартами по мере их появления.
“Требования HIPAA, PCI и GLB основаны на международных стандартах. Обычно они могут не включать в себя конкретно стандарт ISO, но когда вы разберетесь в них подробно, то увидите, что они всегда предъявляют требования безопасности к определенному набору данных, — говорит Коул. — Поэтому, следуя таким признанным во всем мире стандартам, как серия ISO 27000, мы будем удовлетворять и регулятивным требованиям”.
Коул и Вароли далеко не единственные, кто мыслит так прогрессивно. Брюс Вигнал, главный директор по информационной безопасности (CISO) из огромного контакт-центра Teleperformance, считает, что стандарты ISO — это “сердце всего” при организации практики безопасности в компании. Положив в основу всей инфраструктуры эти широкие стандарты, Вигнал смог с меньшими усилиями удовлетворить требованиям более специфических стандартов или регулятивным требованиям.
“Если мы реализовали ITIL поверх ISO или PCI поверх ISO, то это становится составными частями нашей политики безопасности и упрощает работу с отдельными частями”, — говорит Вигнал. По его мнению, построение системы безопасности на основе стандартов совсем не означает отказ от выполнения регулятивных требований, а наоборот, подразумевает подход, соответствующий духу норм безопасности, которые, в конечном счете, созданы для защиты данных.
Таким способом удается более эффективно удовлетворить требованиям как безопасности, так и регулятивных норм, чем в случае простого следования букве закона. К примеру, некоторые регулятивные нормы требуют шифрования конкретных наборов данных. Вместо того чтобы шифровать только конкретную информацию¸ Вигнал принял решение шифровать все. Это, по его словам, снимает проблему для его компании в настоящий момент и упрощает согласования с будущими требованиями регулирующих организаций.
“Когда начнут появляться новые сертификаты безопасности, для нас это не будет большой проблемой. Я уверен, что смогу обеспечить согласование с ними, поскольку я делаю все те вещи, которые должны быть сделаны”, — говорит он.
Использование такой практики, по мнению экспертов, упрощает ориентацию в предложениях вендоров продуктов безопасности.
К сожалению, миф о том, что безопасность и соответствие нормам — это одно и то же, отчасти поддерживается производителями оборудования в сфере безопасности, которые воспринимают требование соответствия, как возможность апеллировать к компаниям, которые, если и не купят их продукты, то будут искать простых путей решения проблем, связанных с ИБ и соответствием существующим нормативным требованиям.
“Когда кто-то приезжает к вам на белой лошади и говорит: “Ребята, я решу все ваши проблемы, просто дайте мне денег”, — вам хочется поверить ему, — делится своими соображениями Майк Ротман, президент и старший аналитик компании Security Incite. — Но соответствие нормативным требованиям и ИБ — это совсем не так просто. Поэтому, когда вендор утверждает, что он и то и другое делает запросто, вы должны относиться к его словам с подозрением, потому что это не правда, а лишь то, что хотят слышать клиенты”.
Такие эксперты, как Кен Тимински, бывший вице-президент и руководитель службы ИБ в компании Prudential Insurance Company of America, считают, что когда пользователи применяют правильный подход к обеспечению безопасности, требования соответсивя будут выполняться за счет людей, правил и процессов, но не за счет технологии. Еще одним преимуществом такого подхода становится то, что он позволяет не поддаться пустым обещаниям вендоров.
“Я видел десятки вендоров, которые приходят и говорят: “Я решу все возможные проблемы соответствия”. Неважно — будь это соответствие GLB, PCI или SOX или что-то иное популярное в конкретный момент времени, эти вендоры — эксперты только в этих конкретных регулирующих требованиях, — отмечает Тимински. — Я вижу, что многие люди делают ошибку, считая, что если они купили это новое устройство, то обеспечили соответствие требованиям PCI или SOX. На самом деле это гораздо более обширная проблема, чем может показаться на первый взгляд. Поэтому я советую всегда осознавать, что вы делаете и что хотите защитить. Тогда вам станет ясно, что даст вам технология в конкретной ситуации”.
