Диана Жукова, УЦСБ: Каждая компания вправе защищать свои критичные активы так, как считает целесообразным

Диана Жукова, директор Аналитического центра УЦСБ, рассказала порталу Cyber Media о проблемах и вызовах, которые стоят перед компаниями в связи с требованиями комплаенса, какие этапы включает в себя аудит и как часто требования регуляторов расходятся с лучшими практиками в сфере обеспечения ИБ.

Cyber Media: По вашему опыту, кого организации все же боятся больше, регуляторов или киберпреступников?

Диана Жукова: Конечно же, киберпреступников. Ведь действия преступников не предсказуемы, а требования регулирующих органов доступны для всех организаций, если не говорить о специфических требованиях ограниченного доступа. Нередки случаи, когда действия киберпреступников выводят деятельность всей компании из строя на несколько дней, что оборачивается высокими денежными и репутационными потерями для бизнеса. Хотя в своей практике я встречала организации, для которых, действительно, регуляторы являются одной из угроз и мотиватором для обеспечения надлежащего уровня ИБ в компаниях.

Cyber Media: Из каких этапов состоит аудит в контексте комплаенса, что он собой представляет?

Диана Жукова: Можно выделить следующие этапы аудита:

1. Определение применимых требований ИБ;
2. Определение области аудита;
3. Сбор данных и технические проверки для выяснения, насколько выполняются применимые требования. Сюда входит как изучение организационно-распорядительных документов в области ИБ, так и проверка настроек технических средств защиты, проверка фактической реализации процессов ИБ, сканирование на наличие уязвимостей и иные проверки;
4. Оформление отчетных документов по результатам такого аудита;
5. Формирование и реализация плана для устранения несоответствий.

Cyber Media: С какими типовыми трудностями сталкиваются компании, которые обращаются за помощью в части соответствия требованиям регуляторов?

Диана Жукова: Сразу выделить типовые трудности сложно. Я бы отметила одну важную особенность ИБ в целом — ИБ должна обеспечивать защищенность обрабатываемой информации от реализации потенциальных угроз. Как и любые правила безопасности, информационная безопасность занимается предотвращением возникновения негативных событий: утечек данных, атак на доступность системы, вирусов-шифровальщиков и иных несанкционированных вмешательств. По сути, результат, который приносит ИБ, не ощутим и не осязаем. Компанию не взламывают, потому что безопасность в надлежащем состоянии или потому что у злоумышленника не хватило мотивации на это?

Cyber Media: Насколько часто требования регуляторов расходятся с лучшими практиками в сфере обеспечения информационной безопасности?

Диана Жукова: Это мой любимый вопрос, который я задаю на собеседовании кандидатам. В моем восприятии, требования комплаенса ИБ напрямую коррелируют с лучшими практиками. Более того, я вижу нормативные требования как результат риск-ориентированного подхода, который провел регулирующий орган, выделив критичные для общественности категории данных и систем, которые нужно защищать:

• Гостайна — критичный актив для государства, требования к защите которого чрезвычайно высокие и даже не опубликованы в общем доступе;
• Объекты критической информационной инфраструктуры (КИИ) — важные системы, которые обеспечивают деятельность в ключевых секторах экономики страны. Корректное функционирование таких критичных объектов существенно для общества и государства, где последствия от киберинцидентов крайне негативны для многих групп населения и страны в целом;
• Персональные данные — данные физических лиц, обеспечивать сохранность которых принуждает государство, защищая законные интересы своих граждан в цифровом пространстве;
• Иные отраслевые требования, которые определяют федеральные органы исполнительной власти для критичных активов.

Все остальные сферы — слабо урегулированы законодательными требованиями ИБ. Каждая компания вправе защищать свои критичные активы так, как считает целесообразным. В идеале, компании должны применять риск-ориентированный подход при определении мер защиты информации, которые целесообразно реализовать в организации.

Cyber Media: Насколько часто возникают ситуации, когда компания готова принять риски, связанные с регуляторной нагрузкой?

Диана Жукова: Такое встречается, но редко. Большинство компаний определяет риск получения предписаний и, тем более штрафов от регулирующих органов, как недопустимый риск.

Cyber Media: С какими интересными или показательными случаями в части оценки соответствия требованиям регулятора вы сталкивались?

Диана Жукова: Один из показательных случаев, когда заказчик из сферы агропромышленного комплекса (АПК) настолько серьезно подходил к обеспечению ИБ в компании, что добровольно решил провести оценку соответствия требованиям к третьей категории значимости объектов КИИ, хотя АПК не попадает под действие 187-ФЗ. После такого аудита команда УЦСБ разработала стратегию ИБ по достижению целевого уровня защищенности. Стратегия ИБ учитывала добровольное соответствие компании требованиям по обеспечению ИБ объектов КИИ.

Cyber Media: Какие основные трудности возникают у компаний при внедрении новых регуляторных требований?

Диана Жукова: Если говорить о вновь принятых требованиях законодательства, то типовая сложность — это формирование правоприменительной практики. Ведь нормативные правовые акты всегда носят общий характер, и корректное их «приземление» в организации может быть проблематичным. В таких случаях обычно регулирующие органы открыты к диалогу — поясняют смысл требований и как их можно реализовать. Так происходило с КИИ и с обновленными банковскими требованиями.

Cyber Media: Какие существуют эффективные стратегии для минимизации рисков несоответствия регуляторным требованиям?

Диана Жукова: Я бы рекомендовала сначала оценить, какие требования законодательства в области ИБ применимы к деятельности организации. Затем предварительно оценить, насколько компания им соответствует, а где есть «пробелы». После чего оценить шаги по приведению в соответствие этим требованиям, выполнить их и регулярно отслеживать изменения в законодательстве, чтобы поддерживать соответствие.

Некоторые компании после ИБ-комплаенса обращаются к нам за услугой по предоставлению ежеквартальных персонифицированных «сводок» по законодательству ИБ, где они получают рекомендации, что именно их компании нужно сделать для поддержания соответствия.

Cyber Media: На ваш взгляд, стоит ли в ближайшее время ожидать ужесточения требований ИБ со стороны государства? Если да, то в каких сферах?

Диана Жукова: С учетом принятого курса на импортозамещение, думаю, что требования ИБ в части перехода на отечественные решения будут ужесточаться. Сейчас это требования только для значимых объектов КИИ и для госорганов. Я предполагаю, что в перспективе они будут расширены на большее количество систем.

Также с учетом новой национальной программы «Экономика данных», ожидаю, что будут усиливаться требования ИБ в отношении разработки сервисов с использованием таких новых технологий, как искусственный интеллект, квантовые вычисления. Кроме того, все большее число людей будет иметь дело с цифровым пространством, а это значит, что должны быть усилены требования по защите персональных данных в киберпространстве.