Несоответствие требованиям законов и отраслевых стандартов, регулирующих область информационной безопасности, постепенно превращается для российских компаний в реально ощутимые бизнес-риски. В связи с этим, по мнению Андрея Дроздова, президента московского отделения международной ассоциации ИТ-специалистов ISACA, для российских предприятий и организаций становятся всё более актуальными задача комплексного непротиворечивого соответствия сразу нескольким ИБ-стандартам и законам, действующим в этой сфере, а также подготовка к соответствующим проверкам. Именно этой теме он и посвятил свое выступление на состоявшейся в Москве конференции PCI DCC Russia.
Конечной целью выполнения задач комплексного соответствия регулятивным требованиям является выстраивание такой системы управления информационной безопасностью и информационными технологиями, которая согласована с общекорпоративной системой управления и интегрирована в нее. По мнению экспертов ISACA, корпоративное управление ИБ и ИТ складывается из следующих пяти компонентов: соответствие использования ИТ стратегическому развитию бизнеса; управление соответствующими рисками; обоснование полезности ИТ и ИБ; управление ИТ- и ИБ-ресурсами, включая персонал; измерение производительности использования ИТ- и ИБ-ресурсов.
Для построения корпоративной среды управления ассоциация ISACA предлагает методики, учитывающие необходимость структурированного подхода к решению задач управления как компанией в целом, так и отдельно ИБ и ИТ. Представление ISACA об иерархии действующих в области ИБ регулятивных норм в системе корпоративного менеджмента отражено на схеме (см. рисунок).
Стандарт COBIT, как подчеркивает г-н Дроздов, является зонтичным по отношению к другим стандартам, он помогает ликвидировать разрывы между бизнес-рисками, требуемыми мерами контроля и техническими проблемами управления. Этот стандарт предоставляет в распоряжение пользователей лучшие международные практики решения управленческих задач, позволяет реализовать необходимый для этого инструментарий.
По словам г-на Дроздова, в ближайшие два месяца можно ожидать выхода пятой версии COBIT (возможно, в эти же сроки и в переводе на русский язык). Помимо содержимого предыдущей версии COBIT 4.1 в пятую версию войдут требования к управлению инвестициями в ИТ, стандарты бизнес-управления ИБ, стандарт управления ИТ-рисками и ряд других документов, среди которых, как обещается, будут и рекомендации ИТ- и ИБ-специалистам по общению с бизнес-руководством.
Поскольку сегодня в России доминируют как наиболее обязательные (с позиции бизнеса) к исполнению стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС), стандарт безопасности данных индустрии платежных карт PCI DSS и Федеральный закон № 152-ФЗ “О персональных данных”, то не удивительно, что первые проекты по реализации соответствия комплексу регулятивных требовании затронули именно их.
Руководитель проекта коммерческого отдела департамента безопасности ИТ компании МАСКОМ Сергей Иванов поделился на конференции PCI DCC Russia опытом построения информационной системы, совмещающей соответствие требованиям закона “О персональных данных” и стандарту PCI DSS. Проект был реализован силами специалистов компаний МАСКОМ и Digital Security. Целью проекта была минимизация затрат, сроков разработки и внедрения технических решений, позволяющих выполнить такое совмещение. Заказчиком выступало крупное российское торгово-сервисное предприятие, специализирующееся на предоставлении транспортных услуг.
Проект состоял из трех классических для ИТ-проектов этапов: обследования, приведения в соответствие с требованиями стандарта PCI DSS и Федерального закона № 152-ФЗ и оценки этого соответствия вместе с сертификационным аудитом. В разработанных по результатам этапа обследования документах содержались рекомендации приведения корпоративных ИКТ заказчика в согласованное соответствие с упомянутыми требованиям.
Самым ответственным, по словам г-на Иванова, оказался второй этап, потребовавший детального сравнения требований стандарта и закона, а также требований со стороны заказчика, в том числе продиктованных существующей ИКТ-инфраструктурой.
Как отметил г-н Иванов, в проекте активно использовались испытательно-отладочные стенды, построенные с применением виртуализации, и разделение инфраструктуры заказчика на отдельные зоны за счет межсетевого экранирования, что обусловлено разными требованиями закона № 152-ФЗ к разному классу информационных систем, а также стремлением к максимальному сужению области, подлежащей проверке на соответствие стандарту PCI DSS. Завершился проект сертификационным аудитом на соответствие PCI DSS и оценкой соответствия ИСПДн заказчика требованиям закона “О персональных данных”.
По словам заместителя руководителя центра ИТ и начальника коммерческого отдела компании МАСКОМ Александра Вернигоры, проект дал заказчику возможность оптимизировать процессы обеспечения корпоративной ИБ в целом — как в части документального оформления процесса обеспечения ИБ, так и в технической его реализации. Проект позволил сократить время вывода корпоративных ИКТ на уровень соответствия обоим регулятивным требованиям, уменьшить количество ИБ-решений и расходов на их поддержку. Г-н Вернигора сообщил, что если бы заказчик выполнял требования PCI DSS и закона № 152-ФЗ по отдельности, то соответствующие проекты стоили бы для него на 30—40% больше, чем проект по совмещению требований. Итоговая экономия составила примерно 2 млн. руб.
