Программа соответствия — это не то же самое, что программа информационной безопасности.
Информационная безопасность — сложная область. Существует не только постоянный поток эксплойтов, от которых необходимо защищаться, но даже такие базовые понятия, как безопасность и то, как ее можно реализовать, размыты в умах многих людей. Я часто задавался вопросом о месте программы соответствия в более широкой сфере, которую мы называем информационной безопасностью.
Многие крупные организации должны соответствовать различным требованиям, касающимся людей, процессов, инфраструктуры и технологий, для работы в целевом секторе промышленности. В самом простом смысле соответствие — это ряд флажков, которые предприятие или организация должны установить по закону или в соответствии с отраслевой сертификацией. Но, как известно каждому ИТ-специалисту, ИТ-безопасность — это гораздо больше, чем установление флажков. Таким образом, несмотря на то, что соответствие и безопасность связаны, между ними явно есть некоторая разница. Чтобы помочь мне лучше понять это, я недавно разговаривал с кем-то, кто хорошо разбирается в этой области. Эндрю С. Бейкер — президент и основатель компании BrainWave Consulting, которая предоставляет консультационные услуги в области кибербезопасности и технологий для малого и среднего бизнеса. Ниже приводится то, что я узнал от Эндрю о перекрывающихся ролях программы информационной безопасности и программы соответствия требованиям в ИТ-операциях.
МИТЧ: Эндрю, я слышал, что вы сказали, что программа соответствия — это не то же самое, что программа информационной безопасности, хотя многие люди считают эти термины синонимами. Однако обе эти программы играют важную роль в успехе организации. Расскажите нам сначала о некоторых проблемах соответствия, с которыми ИТ-отделу приходится иметь дело в наши дни.
ЭНДРЮ: За последнее десятилетие мы стали свидетелями постоянного потока нарушений безопасности в больших и малых организациях, и каждый год масштабы и частота этих нарушений увеличиваются. Из-за этой растущей проблемы различные правительства и отрасли установили и продвигают стандарты безопасности данных и соблюдения конфиденциальности данных, чтобы гарантировать своим гражданам, клиентам и предприятиям, что их данные могут храниться в тайне и управляться безопасно.
Существуют всевозможные стандарты соответствия, касающиеся всевозможных организаций, отраслей и регионов мира. В Соединенных Штатах многие люди будут знакомы со следующим:
- SSAE18 Системный и организационный контроль (SOC) (ранее SSAE16)
- Стандарт безопасности данных индустрии платежных карт (PCI DSS)
- Закон о переносимости и подотчетности медицинского страхования (HIPAA)
- Стандарты на основе NIST, такие как FISMA, Risk Management Framework (RMF) и FedRAMP, которые будут знакомы тем, кто работает с правительством США.
На международном уровне существует постоянно популярное семейство средств управления информационной безопасностью ISO 2700x.
Тем не менее, стандарт соответствия, который в настоящее время доминирует в новостях бизнеса и технологий, — это Общий регламент ЕС по защите данных (GDPR), который должен вступить в силу 25 мая. Поскольку он затрагивает каждый бизнес, который управляет любыми данными граждан ЕС, и поскольку в нем предусмотрены огромные штрафы и санкции, связанные с несоблюдением требований, он привлек большое внимание и тревогу.
МИТЧ: Итак, если я вас правильно понял, вы говорите, что соответствие не равно безопасности, но что оба необходимы, насколько это касается ИТ.
ЭНДРЮ: Хотя программы соответствия определенно связаны с программами информационной безопасности, это не одно и то же. Многих это может удивить, но я постараюсь выделить различия ниже. Для целей этой статьи мы будем использовать термин «информационная безопасность» как общий термин для физической безопасности, защиты данных и конфиденциальности данных.
Цель программы информационной безопасности — предоставить основу для реализации и мониторинга всех элементов безопасности данных в организации или среде, включая политики, процедуры, технические средства контроля и общее управление.
Цель программы соответствия — обеспечить согласованную основу для оценки соблюдения организацией стандарта информационной безопасности аккредитованным сторонним оценщиком или аудитором.
Опять же, программы соответствия не совсем синонимичны программам информационной безопасности, и строгое соблюдение стандарта соответствия не приведет к автоматическому повышению безопасности организации. Также справедливо отметить, что из того, что ваша организация поддерживает высокий уровень безопасности, автоматически не следует, что ваша организация будет проходить аудит каждой случайной программы соответствия. Согласование соответствия требованиям и безопасности требует планирования.
Если бы мы обсуждали образование, мы могли бы думать о программе информационной безопасности как об отличной учебной программе для какого-то набора предметов, скажем, физики, тогда как программа соответствия больше похожа на национальное стандартизированное тестирование. Я думаю, что большинство людей согласятся с тем, что способность набирать высокие баллы по стандартным тестам не обязательно свидетельствует о наличии тщательного, всестороннего образования.
МИТЧ: Если соответствие так важно для предприятий и организаций, почему его достижение не является исчерпывающим ответом?
ЭНДРЮ: Вот некоторые характеристики программ соответствия, которые делают их неполными, когда речь идет об отличном состоянии безопасности:
- Они происходят на периодической основе.
- Часто они представляют собой грандиозные упражнения по выборочной проверке.
- Они часто проходят годами между ревизиями и обновлениями.
Аудиты соответствия, скорее всего, будут проводиться ежегодно, а некоторые из более зрелых программ требуют дополнительных проверок ежеквартально или раз в полгода. Учитывая, насколько трудоемкими могут быть проверки соответствия, неудивительно, что аудиторы и жертвы проверок не стремятся проводить их чаще.
Когда аудиты соответствия проводятся, они часто выполняются с использованием подмножества выборочных данных и часто сосредоточены на определенном моменте времени. Если организации повезет, то подмножество систем, выбранных для проверки, может быть самым лучшим, с лучшей документацией, и это приведет к хорошей оценке, но не обязательно к точной картине всего состояния безопасности организации.
Наконец, требуется время, чтобы стандарты были обновлены для устранения угроз и рисков, с которыми организации сталкиваются каждый день. Стандарты соответствия могут проходить между крупными обновлениями от трех до пяти лет, и довольно часто они проходят более двух лет между даже относительно небольшими обновлениями. Это неудивительно, так как довольно сложно оценить постоянно движущуюся цель, а соответствие в первую очередь касается способности последовательно оценивать соответствие определенному стандарту.
Программа соответствия должна быть надстройкой программы информационной безопасности, но в реальной жизни это обычно не так. Во многих случаях соответствие становится просто контрольным списком, на который организация обращает внимание с наименьшими возможными усилиями и вниманием.
С другой стороны, злоумышленники, пытающиеся проникнуть в вашу сеть, не стесняются участвовать в более частых атаках. Они считают, что «ежечасно» и «ежедневно» больше подходят для их целей, чем «ежемесячно», «ежеквартально» или «ежегодно».
Плохие парни не проверяют вашу среду выборочно — они ищут самое слабое звено. И когда они найдут его, они будут стремиться использовать его с максимальной выгодой для себя.
МИТЧ: Как вы получаете лучшее из обоих миров: безопасность и соответствие требованиям?
ЭНДРЮ: Хорошая программа информационной безопасности разрабатывается с учетом следующих целей:
- Должны быть адаптированы к рискам, с которыми сталкивается ваша организация.
- Должен приносить реальную, ощутимую пользу организации.
- Должен быть измеримым и проверяемым.
- Сосредоточьтесь на людях, процессах и инструментах.
- Хорошо интегрирован с бизнес-процессами и действиями.
Поскольку со многими стандартами соответствия связаны штрафы и другие санкции, организации более склонны внедрять их, чем просто внедрять надежную программу информационной безопасности или конфиденциальности.
Лучше разработать всеобъемлющую программу информационной безопасности, разумно согласованную с соответствующими стандартами соответствия, которым подчиняется ваша организация, чем сосредоточить все свое внимание на том, чтобы едва выполнить соответствие.
Продолжая мою образовательную аналогию, надежное, всестороннее образование имеет для вас гораздо большую ценность в долгосрочной перспективе, чем простая способность пройти избранное стандартизированное тестирование.
Организации, которые сосредоточены на внедрении и поддержании надежной программы информационной безопасности, чтобы быть хорошими распорядителями данных, которыми они обладают (будь то для клиентов, деловых партнеров или своих собственных сотрудников), смогут лучше снизить новые риски кибербезопасности и адаптироваться к новые стандарты соответствия. В долгосрочной перспективе они будут тратить меньше денег на свою программу информационной безопасности, чем те организации, которые просто гонятся за соответствием требованиям.
МИТЧ: Спасибо, это очень помогает. Что еще вы хотели бы добавить?
ЭНДРЮ: Хорошая программа информационной безопасности значительно снизит риски, с которыми сталкивается ваша организация при управлении корпоративными данными, данными клиентов и партнеров. Хорошая программа соответствия, с другой стороны, даст заинтересованным третьим сторонам (сотрудникам, клиентам, партнерам, отраслевым регулирующим органам, государственным регулирующим органам) некоторую уверенность в том, что у вас есть хорошая программа информационной безопасности. Другими словами:
Хорошая безопасность + хорошее соответствие = лучшие возможности для бизнеса
Стоит выполнять их оба, если вы делаете их с умом. Это означает, что вам необходимо:
- Поймите свой бизнес и его риски.
- Оцените лучшие практики, которые имеют смысл для вашей организации.
- Ознакомьтесь со стандартами соответствия, соблюдение которых является обязательным или просто ценным.
- Адаптируйте свою программу информационной безопасности для максимально эффективного решения вышеуказанных проблем.
- Регулярно (постоянно) проводите переоценку и корректируйте по мере необходимости.
- Держитесь подальше от нового, чтобы срезать углы или недооценивать риски.
Например, можно хорошо учиться в школе, если уделять больше внимания учебе, а не сдаче тестов. Точно так же можно преуспеть в информационной безопасности и снижении рисков, если уделять больше внимания наличию надежной программы информационной безопасности, а не простому выполнению требований.
Делать это правильно всегда стоит меньше, чем делать это неправильно, в долгосрочной перспективе. Помните, нарушения будут становиться все более масштабными и дорогостоящими.