Задачи в сфере информационной безопасности в России являются только частью общемировых задач и проблем. Общее соотношение угроз в мире показывает, что Россия находится на втором месте по количеству кибертеррористических актов и хакерских атак. Однако если в США совершается 41% всех хакерских атак в мире, в России – не более 10%. Сложившаяся ситуация дает возможность воспользоваться относительно комфортным режимом и направить силы на повышение уровня защиты от предполагаемых угроз.
Под информационной безопасностью понимается комплекс организационных и технических мер, которые принимаются для обеспечения защиты, целостности, доступности и управляемости массивов информации. В рамках общей концепции безопасности государства информационная безопасность обеспечивает связанное взаимодействие всех элементов системы.
Структурные элементы информационной безопасности на международном и внутригосударственном уровне включают:
Защита всех составляющих требует разработки методического аппарата и создания собственной инфраструктуры. Задачи обеспечения информационной безопасности осложняются тем, что информационное пространство не имеет границ. Особенности работы сети Интернет и возможности беспроводной связи создают предпосылки для бесконтрольного и беспрепятственного переноса через рубежи государств огромных массивов данных, часто содержащих сведения, оборот которых в мире или в отдельных странах запрещен или ограничен.
Обеспечить безопасность внутреннего и внешнего периметров информационной системы компании могут «СёрчИнформ SIEM» и «СёрчИнформ КИБ».
Атакующие технологии развиваются быстрее защитных, поэтому даже государственные базы данных находятся в зоне риска. Для защиты государственной тайны применяются самые совершенные технологии. Но государственная тайна попадает в зону риска, как только выходит из наиболее охраняемого периметра и становится объектом взаимодействия государственных учреждений с коммерческими организациями или общественными институтами, степень защиты которых существенно ниже.
Однако и государственные защитные меры несовершенны, о чем говорят участившиеся взломы правительственных серверов в разных странах мира. Во время президентских выборов России в 2012 году на участках для голосования использовали систему веб-трансляции, чтобы фиксировать нарушения избирательного законодательства. Тогда на систему в течение суток было совершено до 1,2 млн атак. В этом же году злоумышленники атаковали государственные информационные сети Израиля 44 млн раз, Ирана – 28, США – 12 млн. Для сравнения: в течение 2016 года в России на государственные и частные ресурсы было совершено уже 70 млн кибернападений, что говорит о скорости возрастания и серьезности угрозы.
Проблема осложняется тем, что взломщики чаще всего не попадают под юрисдикцию государства, подвергшегося кибернападению. Преступники являются либо иностранцами, либо лицами без гражданства – «гражданами мира». Все это вынуждает искать общемировой консенсус в борьбе с угрозами и создавать общую систему информационной безопасности. Ведутся предварительные переговоры о возможности не только признавать кибератаки преступлениями, но и приравнивать их к вооруженным нападениям, когда целью являются государственные институты.
Еще пять лет назад министр обороны США Леон Панетта предложил приравнять кибератаки к вооруженным нападениям. Политик сравнил последствия от взлома компьютеров химических и ядерных предприятий и систем жизнеобеспечения городов с последствиями ядерного взрыва. Тогда американский конгресс поддержал идею министра, но пока инициатива не реализовалась в нормы права.
Редким примером систематизации норм в сфере защиты информационной безопасности служит правительственное соглашение между Россией и США, заключенное в 2013 году о сотрудничестве в научных исследованиях и разработках в ядерной и энергетической сферах. В документе в том числе перечислялись меры доверия и способы противодействия кибервойне, а также декларировалось создание общей системы информационной безопасности. Однако в 2016 году действие соглашения приостановили.
Дополнительным аргументом, который подтверждает необходимость создать международную нормативно-правовую базу по борьбе с киберугрозами, служит риск ущерба репутации государства. Использование информационных технологий в политической конкуренции стало привычным делом, и ущерб от «кибервыпадов» в адрес конкурирующего государства выражается не только в репутационных, но и в финансовых потерях. Информационная безопасность и защита репутации государства должны стать одним из инструментов в геополитическом противоборстве.
Все это укрепляет идею сосредоточить усилия мирового сообщества на выстраивании системы превентивных мер, одной из которых может стать криминализация преступлений в сфере информационной безопасности на максимально высоком уровне. Такой подход поможет в борьбе с киберпреступностью больше, чем преодоление последствий инцидентов.
В России все аспекты борьбы с ИБ-угрозами национального масштаба рассматриваются на уровне Доктрины информационной безопасности, которая служит основой для принятия нормативных актов. Среди фундаментальных вопросов доктрины – необходимость самостоятельного информационного присутствия России в международном сообществе и выбор каналов поставки достоверных данных и новостей, что позволит снизить ущерб от дезинформационных атак.
Применительно к качеству государственного или корпоративного управления уровень информационной безопасности определяется способностью государства или компании:
Информационная безопасность государства складывается из множества факторов. Массивы информации являются основным ресурсом, который поддерживает жизнеспособность государства в политической, социальной, экономической и военной сферах. Основным приоритетом государственной политики становится выделение роли и повышение значимости информационной безопасности в качестве системообразующего элемента управления.
За информационную безопасность России на современном этапе отвечают различные государственные учреждения, в том числе Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), специализированные подразделения министерств и ведомств, а также межведомственная комиссия при Совете Безопасности. Однако участники процесса борьбы с кибератаками считают, что на современном этапе необходимо объединить функции и передать отдельному регулятору уровня федеральной службы с самостоятельными ресурсами и значительными полномочиями.
Пока российская система переживает стадию роста и отвечает не всем требованиям, позволяющим обеспечить ИБ в полном объеме. Причин несколько.
Независимость, или степень локализации систем, жизненно важных для функционирования государства, обеспечивается за счет:
Важный аспект обеспечения независимости – создание четко выстроенной системы межведомственного взаимодействия и самостоятельной структуры для управления рисками с опорой на нормативно-правовую базу, что обеспечит полномочия и возможности для работы. Существенной проблемой становится и отсутствие собственной аппаратной части, что ставит систему ИБ России в положение зависимости от иностранных поставщиков.
С июня 2015 года по май 2016 года Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) зафиксировал минимум 20 масштабных кибератак на платежные системы. Злоумышленники пытались украсть у российских банков 2,87 млрд рублей. Вместе с ИБ-подразделениями банков и правоохранительными органами FinCERT удалось предотвратить кражу более 1,5 млрд рублей.
Уязвимыми элементами ИБ в российском финансовом секторе остаются нехватка квалифицированных специалистов, программное обеспечение и недостаточная координация с правоохранительными органами. Тогда как нарушение целостности системы взаимодействия банков грозит кризисом платежей и коллапсом экономики в отдельных регионах.
Отдельным вопросом, касающимся одновременно и независимости, и защищенности финансового сектора, становится необходимость использования системы SWIFT для международных расчетов. Безопасность информационных потоков со сведениями о международных транзакциях обеспечивает возможность корпоративных субъектов выполнять свои финансовые обязательства, что отражается на общем кредитном рейтинге России.
Важной задачей становится обеспечение на должном уровне информационной безопасности в социальной и образовательной сферах. Ярким проявлением отсутствия должных мер защиты является вовлечение несовершеннолетних в опасные сетевые сообщества террористической или суицидальной направленности. Основная причина кроется в недостаточной локализации популярных интернет-ресурсов и невозможность полного контроля с российской стороны над глобальными социальными сетями. В первом случае проблема заключается в том, что принцип давления на крупнейшие ресурсы с требованиями о предоставлении персональных данных пользователей срабатывает не всегда, как в случае с «Твиттером» и «Фейсбуком. Во втором случае требуется координация различных служб, так как справиться с проблемой только силами МВД и Роскомнадзора невозможно. За 2016 год Роскомнадзор заблокировал 17 тыс. доменных имен и пользователей, но они появляются вновь – под другими именами, но с тем же кругом последователей.
Угрозы информационной в России и мире преимущественно экономического «происхождения». Кибертерроризм с целью подорвать политическую стабильность менее распространен, а мнимый масштаб ему придает широкое освещение в СМИ. Кроме того, громкие взломы чаще всего носят «рекламный» характер и служат своеобразной презентацией услуг той или иной хакерской группировки, которая планирует поставить навыки и умения на коммерческий «конвейер». Акты, носящие публичный характер, как, например, атака вируса WannaCry, выполняют еще и функции разведки, хакеры таким образом определяют степень защищенности мировых информационных ресурсов и готовятся к новым, более серьезным и масштабным операции.
По оценке американского Центра стратегических и международных исследований, ежегодный ущерб от преступлений, связанных с хищением компьютерной информации, по всему миру превышает 440 миллиардов долларов.
Информации корпораций, банков и правительственных организаций угрожают не только хакеры. Среди угроз безопасности:
На государственном уровне разрабатывается не только стратегия борьбы с угрозами, но и «наступательные» кибероперации, когда государственные структуры совершают акты кибершпионажа или повреждают сети государств-«конкурентов» с целью похить или повредить критическую информацию. Уже к 2014 году в США, например, власти взяли под контроль почти весь объем производства spyware (программы для кражи и перенаправления данных с компьютера пользователя) и adware (программы распространения «вирусной» рекламы).
Другие инструменты совершения атак на государственные, корпоративные и личные устройства включают:
Ransomware, или программы-вымогатели. При запуске программы компьютер или мобильное устройство теряют работоспособность по различным причинам. Для возвращения работоспособности необходимо заплатить хакерской группировке. Особенность атак с помощью программ-вымогателей «новой волны» в том, что злоумышленники требуют выкуп в криптовалюте, оборот которой находится в теневой зоне, и отследить получателя которой крайне затруднительно.
Лжеантивирусы. Версия программ-троянов. Пользователь добровольно устанавливает вредоносное ПО на компьютер, которое в дальнейшем или блокируют работу ПК и требуют заплатить деньги, или помогают проникнуть в систему другим вирусам.
Madware-программы. Нацелены на повреждение ПО мобильных устройств.
Кибербуллинг, или использование информационных атак для воздействия на психологию жертв.
Под постоянной угрозой находятся и компьютеры частных пользователей, которые бессистемно относятся к защите персональных данных, и тщательно охраняемые базы данных международных корпораций. Компании в США и Евросоюзе готовы платить за хакерскую атаку и похищение данных у конкурентов от 3 до 12 млн долларов. Притом, если атака производится на военный или промышленный объект, цена увеличивается в пять раз.
В России объем киберпреступлений частного характера существенно меньше, но это обстоятельство одновременно является и основанием неподготовленности систем безопасности большинства российских компаний, что отмечают на уровне МВД.
Если в политической сфере пока не выработали общих норм международного права, определяющих направления борьбы с угрозами информационной безопасности, то в сфере стандартизации мер и систем безопасности нормы не только разработаны, но и успешно применяются. Это стандарты производственного и коммерческого оборота, который относятся к системе ISO/IEC 27000.
Двойная аббревиатура ISO/IEC указывает на то, что стандарты – это итог сотрудничества Международной комиссии по стандартизации (ISO), чьими нормативными актами определяется качество процессов производства и менеджмента, и Международной Энергетической комиссии (IEC). ISO/IEC 27000 содержат ряд рекомендаций и практических советов для внедрения системы менеджмента информационной безопасности (СМИБ). В России на базе ISO/IEC 27000 и внутренних разработок приняты около 22 тыс. внутренних стандартов аналогичных систем, некоторые из них утверждены в качестве ГОСТов, например, ГОСТ Р ИСО/МЭК 27000–2012.
Помимо стандартов серии ISO/IEC 27000 европейские государства разрабатывают и внедряют собственные нормативные документы, определяющие требования к обеспечению информационной безопасности. Зачастую национальные стандарты, разработанные для внутригосударственного применения, используются другими государствами. Национальный уровень перешагнули, например, разработанные в Великобритании Практические правила управления информационной безопасностью BS 7799.
Компании, которые беспокоятся о защите собственной конфиденциальной информации и сертифицируют товары и услуги по системе ISO 9001, должны стремиться организовать собственную систему менеджмента информационной безопасности (СМИБ) на основе ISO/IEC 27000–2016 или более ранних версий, если внедрение СМИБ началось до введения новой редакции стандарта.
Согласно модели менеджмента ISO 9001, процесс создания и внедрения системы включает четыре этапа, которые обозначаются аббревиатурой PDCA:
| PLAN | Планируй | На стадии Plan разрабатывают внутреннюю нормативную документацию, проводят аудит систем, инвентаризацию подверженных риску или критических активов, разрабатывают систему технических мер. |
| DO | Делай | На стадии Do внедряют разработанную систему и средства оценки эффективности принятых мер. |
| CHECK | Изучай | На стадии Check, оценивают качество работы системы, причем оценка должна носить целевой и регулярный характер. |
| ACT | Действуй | На стадии Act производят доработку и устранение выявленных недочетов. |
При внедрении СМИБ путем PDCA система будет соответствовать требованиям международных стандартов сертификации.
В России наиболее полные собственные стандарты СМИБ разработала банковская сфера. Документы, утвержденные в итоге как Стандарт Центрального банка России по информационной безопасности, вобрали лучшие мировые практики, включая методики оценки рисков CRAMM и OCTAVE.
Существует четыре стандарта, которые определяют общие положения, правила реагирования на инциденты и порядок аудита систем безопасности. Порой банки не могут определить, какой именно стандарт внедрять: стандарт ЦБ или ISO/IEC 27000. Если первый требует соблюдать регулятор, то сертификация в соответствии со вторыми требуется для полноценной работы на мировых рынках.
Российский банковский ИБ-стандарт отталкивается от идеи, что построение СМИБ основано на противоборстве собственника и злоумышленника за контроль над информационными активами. Основной источник угрозы стандарт видит не в лице внешнего врага, а в лице персонала организации. Соответственно выстраивается и комплекс защитных мер, который делает необходимым внедрение DLP-систем, разработанных для предотвращения внутренних инцидентов.
«СёрчИнформ КИБ» сертифицирована ФСТЭК России и включена в Единый реестр российских программ для электронных вычислительных машин и баз данных. Это 100% российская программа, которая соответствует всем требованиям отечественных регуляторов к средствам защиты информации.
В качестве основного инструмента борьбы с угрозами авторы стандарта предлагают использовать периодически пересматриваемый прогноз опасностей. Такая позиция во многом соответствует международному подходу в сфере кибербезопасности.
По сравнению с обычными системами защиты СМИБ имеет несколько преимуществ:
При построении СМИБ важно учитывать, что обеспечение ИБ на международном, государственном и корпоративном уровне в первую очередь основывается на нормативно-правовой базе, стандартах, прогнозах и превентивных мерах и только во вторую – на практической реализации стратегий СМИБ. При этом от общества (если речь о государственном уровне) и от сотрудников (если речь о компаниях) закономерно ожидают понимания степени опасности и поддержки инициатив в направлении обеспечения ИБ.
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных