"Блоги "ДП". Как Госдума предлагает защитить информационную безопасность

 

Автор — глава "Фаст Лейн" в России
Сейчас Госдума рассматривает законопроекты, направленные на защиту критических информационных структур государственных и частных компаний.
На практике это означает, что будет определен некий список компаний в трех весовых категориях, которые должны обеспечивать защиту своих данных. Понятно, что за свой счет.
У меня двоякое отношение к этому законопроекту. С одной стороны, разумеется, я хочу, чтобы мои (и не только мои) данные, попавшие в те или иные организации, оставались защищенными. Никто не хочет, чтобы хакеры получили доступ к их банковским договорам, налоговым декларациям и т.д. Но, с другой стороны, могут ли инструменты закона обеспечить ту гибкость, которая объективно нужна?
Хочется привести вот какое сравнение. Все понимают, как важно, чтобы граждане страны были здоровы. Представьте, что издали закон, который обязывает руководителей определенных предприятий обеспечить нулевой уровень больничных дней в компании. Странный закон, не так ли? Ведь руководители не всесильны: если с профилактикой простуды среди сотрудников еще можно справиться, то с травмами и системными заболеваниями руководитель ничего не может поделать. Поэтому пока концепция законопроекта о защите информационных структур мне напоминает подход "нужен такой закон, чтобы все были здоровы и не болели".
При этом стоит помнить, что инструментов информационной безопасности очень много. Если закон будет ограничивать перечень инструментов — это пойдет только на вред реальной защите данных. Как аспирин помогает не от всех болезней, так и антивирус не является панацей. Защита современных информационных систем — это очень сложный процесс, многоплановый. Его не описать в рамках закона.
Даже если закон не будет ограничивать варианты инструментов защиты и определять список производителей этой защиты, то все равно он сведется к тому, что руководитель организации будет обязан обеспечить защиту должного уровня. Но объективной оценки уровня защиты не существует. Как понять — сделал руководитель все возможное или нет? Информационные технологии устроены так, что сложнейшую систему может неожиданно взломать школьник. Тому есть множество примеров.
Давайте подумаем, какими методами можно оценить уровень защиты до момента взлома и насколько они смогут отразить реальную ситуацию.
Заставить компанию ставить файрволлы, анализаторы трафика и антивирусы определенных марок и типов. Но (в зависимости от конкретной информационной системы) этих действий может быть недостаточно. Кроме того, как я уже говорил, нельзя ограничивать марки и типы решений защиты, так как их функционал меняется очень быстро, а применимость определяется конкретной ситуацией. Например, базы сигнатур атак могут обновляться несколько раз в день, полностью меняя в течение дня уровни защиты тех или иных систем от конкретных атак.
Заставить проводить пентесты (этичный хакинг), то есть тестирование на проникновение в систему при помощи хакерских методов. Это хороший метод тестирования, позволяющий открыть много потенциальных уязвимостей, но не дающий 100% гарантии. Он позволяет только снизить риски. Да и квалификация тех, кто проводит пентест, является определяющей. Достаточно обратиться за информацией к методичке месячной давности — и ценность теста падает в разы.
Наказывать руководителя по факту взлома информационной системы. А как быть с тем, что до сих пор в более 50% случаев взломов виноваты сотрудники организаций, а не технические средства защиты? Можно ли обвинять руководителя в недобросовестности одного из сотен его подчиненных?
Было бы здорово, чтобы нормы обеспечения безопасности данных были бы введены для ряда организаций на законодательном уровне. Но создать такой закон, чтобы он реально функционировал — это сложная задача.
Больше мнений и историй от экспертов и предпринимателей — в "Блогах "ДП"