С чего начинается безопасность?

Летом 2009 г. компания Digital Security запустила новый web-портал PCIDSS.RU, предназначенный для обмена опытом в области PCI Compliance Management. По словам Сергея Шустикова, руководителя направления менеджмента информационной безопасности компании Digital Security, широкий опыт работы компании в области оказания консалтинговых услуг по стандарту PCI DSS показывает, что даже у самых опытных специалистов в области безопасности платежных карт возникает множество вопросов, связанных с PCI Compliance. Лучший способ получить ответы на все вопросы – обсудить их со специалистами и коллегами. Со своей стороны, журнал «ПЛАС», выступая партнером данного перспективного проекта, открывает данным материалом новый цикл публикаций, посвященных практическим аспектам внедрения системы менеджмента информационной безопасности на пути к PCI Compliance.

Межсетевой экран или надежный сейф? Управление доступом или антивирусная защита? Что из этого реально способно обеспечить безопасность данных о держателях карт, и способно ли в принципе? В этой статье речь пойдет о том, с каких именно конкретных шагов следует начинать работу по обеспечению информационной безопасности.

Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре безопасных информационных технологий Санкт-Петербургского государственного университета информационных технологий механики и оптики.

Однажды моему другу – специалисту по защите информации – на глаза попалась вакансия, опубликованная весьма крупным российским банком, которая гласила: «Требуется начальник управления информационной безопасности. Обязанности: настройка межсетевых экранов, установка антивирусного программного обеспечения на серверы и рабочие станции… опыт работы на аналогичной позиции от 5 лет». Автор этой вакансии, сам того не осознавая, поднял одну из самых сложных проблем, имеющих место в отрасли обеспечения информационной безопасности.

Давайте рассмотрим, что содержится в строках этого объявления. Содержится в них весьма распространенное заблуждение, что обеспечение безопасности заключается в установке и настройке специализированных технических решений – межсетевых экранов, антивирусов, систем обнаружения вторжений и прочих, безусловно, необходимых средств. При этом организация хочет нанять для этой работы опытного CISO (Chief Information Security Officer)!

«Конечно же, их ошибка очевидна!» – скажете вы. Такие меры обеспечения безопасности, как установка межсетевых экранов и антивирусов, равно как и управление доступом, инцидентами, непрерывностью, соответствием, – не более чем детали, из которых строится большая социотехническая система под названием «информационная безопасность», вверяемая в руки CISO, чтобы ею эффективно управлять.

Однако, как известно, чтобы управлять чем-либо, нужно для начала получить доступ к «органам управления». Этого можно добиться путем внедрения в компании системы менеджмента информационной безопасности (СМИБ), которая предлагает рассматривать вопросы защиты информации с позиций системного подхода. При этом необходимо объединение в согласованную структуру всех механизмов обеспечения безопасности, подчас имеющих принципиально разную природу.

Полный текст статьи читайте в журнале "ПЛАС"10 (150) ’2009 сс. 27 - 30