версия для печати
Развитие ИБ-стандартов: по западной модели

Развитие ИБ-стандартов: по западной модели

Отечественный рынок информационной безопасности впервые за всю историю своего существования приблизился к рынкам развитых западных стран, имеющих четко выстроенную систему стандартов и нормативных регулятивных актов, которые определяют вектор развития отрасли.

Изменения в сфере регулирования информационной безопасности в 2009 году позволили сформировать, фактически, новый рынок ИБ – с новыми правилами и новыми рыночными нишами. Роль катализатора роста выполнил Федеральный закон №152 «О персональных данных», однако не менее интересные процессы наблюдались в развитии российских отраслевых стандартах, изменении отношения к сертификации по международному стандарту ISO 27001:2005 и пр.

Напомним, что Федеральный закон №152 «О персональных данных» вступил в силу 26 января 2007 года. Его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В соответствии с Законом, все организации, осуществляющие автоматическую обработку персональных данных (ПДн) граждан, должны были к 1 января 2010 года уведомить уполномоченный орган о деятельности в качестве операторов персональных данных. Однако на момент принятия Закона игроки рынка не были готовы к аттестации своих систем обработки персональных данных на соответствие требованиям регулятора. Кроме того, согласно отчету ГК «Стинс Коман»,  более 60% операторов персональных данных на тот момент вообще оценили законодательство в сфере защиты ПДн как непрозрачное. И смогли доказать это органам государственной власти, получив, согласно изменениям, внесённым Законом №363-ФЗ от 27 декабря 2009 года, отсрочку до 1 января 2011 года. К этому сроку они должны быть готовы предъявить документальные подтверждения наличия сертифицированных средств защиты информации. В противном случае им грозят административные санкции.

Эксперты рынка отмечают, что Закон «О персональных данных» положительно повлиял на развитие рынка ИБ и стал  одним из основных стимулов его развития. Хотя и оказался весьма затратным для компаний, поскольку им потребовалось расширять свой штат специалистами в области ИБ и ИТ, HR, юриспруденции и т.д.  

ISO 27001:2005

По итогам 2009 года отмечалось, что понимание принципов управления ИБ в целом возросло. Практически в каждом тендерном запросе на комплексное обеспечение ИБ наряду с техническими подсистемами есть требования на реализацию систем управления ИБ, в том числе, в соответствии с международным стандартом ISO 27001:2005. Данный стандарт описывает требования, необходимые для проведения сертификации систем управления информационной безопасностью.

В 2009 году была выпущена новая версия стандарта ISO / IEC 27003:2010 «Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности». Эксперты считают, что его использование в 2010 году снимает ряд вопросов по внедрению СУИБ. Также благодаря тому, что сертификат был выдан или продлен компаниям, для бизнеса которых критично наличие международного сертификата ISO 27001:2005, с рынка ушли те, для кого поддержка сертификации стал экономически невыгодной.

ЭЦП и PCI DSS

Можно ожидать, что в ближайшие годы начнется подъем в использовании ЭЦП, а также рост внедрения систем ИБ в сфере электронной коммерции. Напомним, что основным законом, регулирующим правила пользования ЭЦП в России, является № 1-ФЗ «Об электронной цифровой подписи» от 10 января 2002 г.  Игроками и экспертами рынка было высказано к нему много претензий, с точки зрения работоспособности и однозначности толкований. Поэтому много надежд возлагается на новый закон, находящийся на рассмотрение в Правительстве РФ.

На начало 2010 года эксперты не отмечали большой активности по приведению систем в соответствие с PCI DSS (стандарт безопасности данных платежных карт). Согласно статистике, в 2008 году произошло 90 подтвержденных инцидентов, в результате которых было скомпрометировано 285 миллионов записей. Из числа пострадавших 81% систем не соответствовали требованиям стандарта, 19% считали себя соответствующими или имели сертификаты.

В июле 2009 года была принята малая редакция стандарта 1.2.1, содержащая непринципиальные правки. В октябре 2010 года Совет по стандартам безопасности индустрии платежных карт опубликовал новые версии стандарта, обновленные по итогам двухлетнего цикла пересмотра. Они вступают в силу с 1 января 2011 года, однако официальный аудит можно будет проходить по предыдущей версии (1.2.1) вплоть до 31 декабря 2011 года. В этот же момент стартовал следующий, уже трехлетний цикл обновления стандартов.

По оценкам компании Leta-IT, рост спроса на PCI DSS начнется с 2011 года, после начала применения штрафных санкций. Отметим, что средняя стоимость проекта по обеспечению соответствия для крупных организаций – $100 тыс. в год, штрафные санкции составляют до $100 000 за инцидент, и от $2 до 5 за один аккаунт.

Стандарт Банка России

В 2009 году дальнейшее развитие получил отраслевой стандарт по информационной безопасности Банка России (СТО БР ИББС). По мнению экспертов LETA-IT, это связано в значительной мере с появлением требований по защите персональных данных в доработанном проекте СТО БР ИББС.

Поиск решений, обеспечивающих соответствие кредитных организаций требованиям 152-ФЗ начались весной 2009 года. В рамках нескольких рабочих групп Ассоциации Российских банков была инициирована работа по подготовке поправок в 152-ФЗ и доработке СТО БР ИББС. В результате были доработаны существующие и разработаны принципиально новые документы: «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации», «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций БС РФ», рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ. Эти документы разъясняют спорные положения федерального законодательства, постановлений правительства и требований регуляторов, а также содержат методические рекомендации по созданию адекватной СЗПДн. Методические рекомендации содержат положения, которые значительно упрощают приведение информационных систем персональных данных (ИСПДн) в соответствие требованиям регуляторов.

По факту окончания согласования начнется процедура создания саморегулируемой организации (СРО), пропуском в которую будет ввод всей системы документов СТО БР ИББС, обязательной к исполнению. Признание СТО БР ИББС обязательным к исполнению позволяет кредитной организации значительно сократить проблемы с созданием СЗПДн и одновременно запустить процесс приведения в соответствие признанному отраслевому стандарту.

Принятие новой версии СТО БР ИББС позволит увеличить число кредитных организаций, которые инициируют работы по обеспечению информационной безопасности в соответствии с данным стандартом. В результате стандарт Банка России станет де–факто обязательным и начнется его массовое внедрение, что приведет также к значительному росту консалтинговых услуг на рынке ИБ и увеличению затрат на ИБ. По оценкам, LETA-IT, с 2011 по 2013 года банки затратят более $60 млн. на внедрение требований стандарта. Также успешный старт этого стандарта усилит тенденцию разработки других отраслевых стандартов.

В отчете по рынку информационной безопасности компании LETA-IT Company, 2009 год назван годом compliance, то есть, приведения в «соответствие» информационных систем в компаниях. Он прошел, в целом достаточно успешно для отрасли. Перед ИТ были поставлены новые задачи стратегического уровня, которые заставили руководителей компаний отказаться от чисто технического взгляда на информационную безопасность, поскольку защита обрабатываемых данных стала критически важной для существования всего бизнеса.

Алексей Надеждин

Toolbar | КПК-версия | Подписка на новости  | RSS