Рыночные регуляторы в обеспечении информационной безопасности

ТЕНДЕНЦИИ

Одной из основных причин, сдерживающих развитие информационной безопасности (ИБ) в мире, является непонимание топ-менеджерами необходимости защищать не только физические ресурсы, но и информационные.

Какие дополнительные способы существуют у директора по ИБ для нахождения понимания у руководства компании? Взглянем на проблему обеспечения информационной безопасности, не всегда понятную топ-менеджерам, под другим углом зрения. Рассмотрим причины, вынуждающие компанию при определенных условиях внедрять эффективную систему управления безопасностью на основе современных международных стандартов.

Во-первых, это прежде всего акт Сарбейниса-Оксли (SOX), который посвящен внедрению механизмов внутреннего финансового контроля компании, акции которой котируются на Нью-Йоркской фондовой бирже. К информационной безопасности относится статья 404 данного акта, в ней говорится о необходимости внедрения процедур внутреннего контроля над процессами компании, в том числе и над процессами, обрабатывающимися в информационной системе. Невыполнение акта ведет к уголовной ответственности руководства компании и исключению ее акций с Нью-Йоркской фондовой биржи. Положениями акта предусмотрена также обязательная проверка выполнения статьи 404 при проведении финансового аудита, что требует от компании соответствующей системы управления ИБ. При этом следует учесть трактовку SOX аудиторами, согласно которой при проверке внутренних способов контроля в области ИТ применяется стандарт COBIT, регламентирующий вопросы управления ИТ, а в области безопасности проверяется соответствие именно стандарту ISO 17799. Непосредственно в SOX нигде не сказано о необходимости такого соответствия данным стандартам, однако на сегодня подобная практика их использования является общепринятой для SOX-аудиторов.

Во-вторых, большинство крупных компаний приглашают в качестве финансовых аудиторов консалтинговые фирмы большой четверки. При этом финансовое заключение аудитора большой четверки является открытой информацией и пристально анализируется рынком. В случае негативного отчета рынок реагирует соответствующим образом - падением доверия к акциям компании. Однако многие не учитывают тот факт, что в процессе финансового аудита, который занимает значительную часть времени аудитора и является его основной задачей, существует формальная проверка выполнения компанией базовых требований по обеспечению ИБ. Безусловно, здесь речь не идет о глубоком технологическом аудите безопасности - формально оцениваются лишь базовые принципы безопасности, невыполнение которых может повлиять на итоговый отчет аудитора, тем самым вызвав нежелательную для руководства компании реакцию рынка.

Аудиторы в данном случае справедливо исходят из того, что финансовая информация должна обрабатываться в доверенной среде, где существует система управления ИБ.

В-третьих, можно вспомнить действующий стандарт ЦБ России "Обеспечение информационной безопасности организаций банковской системы РФ” и требования Национального банка Молдовы о необходимости соответствия системы управления информационной безопасностью банков требованиям стандарта ISO 17799. В Молдове введение этих регулирующих требований в 2003 г. привело к необходимости учитывать требования ISO 17799 при построении системы управления ИБ в организациях банковской сферы, так как аудиторы Национального банка этой республики ежегодно проверяют выполнение требований стандарта.

В нашей стране стандарт ЦБ РФ по информационной безопасности был введен 1 декабря 2004 г. и пока носит статус рекомендательного. При этом 26 января нынешнего года вышла новая версия данного стандарта, что свидетельствует об очевидном намерении Центробанка изменить его статус с рекомендательного на обязательный в самое ближайшее время. Это повлечет за собой появление еще одного нормативного регулятора, который вынудит российские банки при построении своих систем руководствоваться требованиями стандарта ЦБ РФ.

В-четвертых, в России в марте 2006 г. ожидается принятие ГОСТа 17799, а в декабре - ГОСТа 27001 (BS 7799:2). В связи с этим стоит обратить внимание на принятие в 2002 г. в Японии в качестве национального стандарта BS 7799:2, что вместе с поддержкой внедрения процедуры сертификации правительством этой страны привело к тому, что сегодня в Японии более 1270 компаний имеют сертификат ISO 27001 (ранее BS 7799:2).

И еще один небольшой факт, свидетельствующий о наметившейся тенденции: в США Главная счетная палата при проведении финансового аудита проводит также и аудит информационной безопасности, применяя собственный стандарт FISCAM.

Данная тенденция повышения значимости рыночных регуляторов в вопросах обеспечения ИБ также подтверждается исследованием Ernst&Young, проведенным в 2005 г. (см. рисунок).    

Главные стимулы, влияющие на развитие ИБ в компаниях

В заключение можно сделать вывод о том, что в последние годы компании начали активнее заниматься вопросами ИБ и прежде всего построением надежной системы управления безопасностью не только из соображений обеспечения этой самой безопасности, но и исходя из прямых либо косвенных требований рынка или соответствующих рыночных регуляторов - контролирующих органов. И сегодня, заранее распознав эту тенденцию, мы, как специалисты по информационной безопасности, должны быть к этому готовы: уже сейчас имеет смысл начать рассказывать руководству компаний о существующих рыночных реалиях, в частности о зарождающихся требованиях к системе управления ИБ.

 Автор статьи - к. т. н., директор Digital Security. Связаться с ним можно по адресу: idm@dsec.ru.