Фото: Сергей Дружинин/ предоставлено InfoWatch
Наличие стандартов в области информационной безопасности позволяет разработчикам координировать свою деятельность с позицией регуляторов и придерживаться единых «правил игры», а их заказчикам дают возможность сравнивать доступные на рынке программные продукты и выбирать наиболее подходящие по нормативным требованиям. На данный момент вопросы стандартизации в сфере защиты от утечек информации имеют, пожалуй, наибольшую актуальность. На BIS Summit 2024 обсуждению этих вопросов была посвящена отдельная секция.
Закрытая секция «Стандартизация в ИБ: стандарты и концепции в области защиты информации» BIS Summit 2024 привлекла ведущих отраслевых экспертов к дискуссии о целеполагании, разработке и внедрению стандартов.
Коллегиальная природа ГОСТов
Безусловно, фундаментальную регуляторную функцию в области защиты информации выполняют государственные стандарты, которые определяют основную терминологию, нормативные показатели качества разрабатываемых ИБ-вендорами программных продуктов, необходимый уровень безопасности. По мнению экспертов, эти стандарты должны формироваться в ходе широкого публичного обсуждения, с учетом экспертизы и лучших практик ключевых разработчиков и потребителей, современных тенденций в сфере киберугроз и СЗИ. Только так можно обеспечить их актуальность в сравнительно новой, стремительно развивающейся и изменяющейся отрасли.
Александр Канатов, операционный директор компании «Стахановец» (на переднем плане)
Фото: Сергей Дружинин/ предоставлено InfoWatch
«Обязательные стандарты издавна применяются, например, в строительстве, где технологии оттачивались сотни лет, лучшие практики устоялись. ИБ – отрасль относительно свежая, она очень быстро развивается, как и угрозы, с которыми мы боремся. И если, например, инициативу по составлению основы ГОСТа отдать какой-то одной организации, есть риск, что ее экспертизы может оказаться недостаточно. Поэтому нужно больше времени уделять публичному, протоколированному обсуждению таких ГОСТов. Вендорам нужно привлечь широкую общественность, договориться с компаниями-заказчиками, которые могут дать эти лучшие практики. И, конечно, в ГОСТах должны быть учтены изменения отрасли на некоторое время вперед – ведь когда мы ограничимся какими-то правилами, то потом не сможем выйти за их пределы», – подытожил операционный директор компании «Стахановец» Александр Канатов.
Внутренняя стандартизация по ИБ: показатель зрелости или подстраховка?
Многие крупные организации и корпорации разрабатывают собственные стандарты в сфере ИБ, и делают они это по разным причинам. Этот инструмент, в частности, позволяет им приобрести дополнительное конкурентное преимущество на рынке и подтвердить надежность выпускаемых продуктов.
«Что заставляет компании проявлять инициативу в написании стандартов? По результатам нашего опроса, с точки зрения любых производителей (промышленных и бытовых товаров, ИТ) – это желание показать потребителю, что их продукция соответствует неким критериям, а другие, возможно, нет. Я видел предприятие в сфере электроэнергетики, у которого больше сорока тщательно проработанных корпоративных стандартов. Этим они демонстрируют регуляторам, заказчикам и партнерам, что реально отстроили процессы ИБ. Организации-потребители, в свою очередь, при формировании стандартов хотят быть уверенными, что на рынке у них есть возможность выбрать качественный товар – либо не такой качественный, но дешевле», – делает вывод директор экспертно-аналитического центра InfoWatch Михаил Смирнов.
Кстати, еще три года назад специалисты компании InfoWatch разработали собственный стандарт в сфере обеспечения безопасности смысловой компьютерной информации. Ознакомиться с ним можно на официальном сайте вендора.
Михаил Смирнов, директор экспертно-аналитического центра InfoWatch,
и Николай Фатеев, менеджер проектов компании «Атом Безопасность»
Фото: Сергей Дружинин/ предоставлено InfoWatch
Эксперты высказывают оптимистичное мнение о том, что стандарты начинают появляться только тогда, когда тот или иной рынок достигает определенной зрелости.
«Для меня стандарт – это индикатор зрелости рынка. В момент его становления каждый производитель поддерживает свои подходы, как это было, например, с зарядными устройствами для мобильных телефонов. Сейчас в этой сфере осталось всего три стандарта зарядок, и всё сведется к тому, что установится один, который фактически будет обеспечивать максимальное удобство пользователям. В целом стандарты – это в большей степени про удобство и интересы пользователей, нежели разработчиков и вендоров», – считает менеджер проектов компании «Атом Безопасность» Николай Фатеев.
По словам спикера, добровольные стандарты должны приниматься компаниями осознанно, с полным пониманием их ценности и принятием ответственности за их соблюдение. Если же стандарт навязан сверху, компании будут искать способы удовлетворить формальные требования, но в то же время минимизировать расходы.