ГлобалТраст выступил информационным партнером Второго съезда директоров по ИБ (Russian CSO Sammit II), организованного агентством "Форт-Росс". Генеральный директор ГлобалТраст Александр Астахов выступил на этом съезде с докладом о преимуществах риск-ориентированного подхода к управлению информационной безопасностью.
Как и первый съезд, прошедший ровно год назад, этот форум ставил своей целью познакомить делегатов с разработками в сфере защиты информации. Однако делать вид, что в экономике ничего не происходит, было бы нелепо, поэтому вопрос, как должна функционировать служба информационной безопасности в условиях кризиса, стал главным на Russian CSO Sammit II.
А что же все-таки происходит? В стане ИТ-директоров наблюдается растерянность и напряженность: руководители предприятий и компаний более всего озабочены тем, чтобы их бизнес выжил в нынешние лихие времена. Все меры, которые в связи с этим предпринимаются, называют общим словом – оптимизация. Стараются экономить на всём: прекращают только что начатые проекты, увольняют персонал. Службы ИТ-безопасности здесь не исключение: финансирование сокращается, сотрудники либо частично уволены, либо ожидают увольнения со дня на день. На запросы директоров по ИБ чаще всего отвечают: зачем тратить деньги на починку того, что не сломалось?
Между тем, количество угроз безопасности информации в кризис не уменьшилось. Более того, внутренние угрозы стали "почти осязаемыми": инсайдером сейчас может стать любой, над кем нависла угроза увольнения. Аналитический центр компании Primetrix в своем исследовании "Инсайдерские угрозы 2009" констатирует, что 73% опасений сегодня вызывают именно угрозы утечки информации. Однако при этом всего 29% компаний применяют у себя системы защиты от утечек. А кризис способствует тому, что спрос на данные системы сдерживается из-за ограничения бюджетов на информационную безопасность, что подтвердили 46% респондентов. Тем не менее, спрос существует, потому что кризис породил проблему защиты бизнеса от разворовывания – действий тех же инсайдеров.
При этом делегаты съезда согласились с тем, что нередки случаи, когда вложенные в обеспечение ИБ деньги не оправдывают цель – риски не уменьшаются. Одна из причин – нехватка на предприятиях специалистов, умеющих правильно эксплуатировать системы безопасности, а если на вход системы подается неверная информация, то и на выходе получается совсем не то, что нужно. Ведущий специалист Института проблем информатики РАН Владимир Попов посоветовал сначала четко представить модели угроз ИБ, затем приступать к построению модели защиты от этих угроз.
По-прежнему актуален совет: директорам по ИТ-безопасности стараться разговаривать с бизнесом на языке бизнеса. По-другому доказать, что выделять средства на защиту информации необходимо, не получится, особенно во времена экономической нестабильности. Убедить руководителя предприятия о необходимости (и пользе!) мер по обеспечению информационной безопасности можно различными путями. Так, бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий рассказал, что в банках, например, можно руководству предложить изменить структуру продаж – расширить или внедрить услугу интернет-банкинга, что в обязательном порядке требует проведения вполне очевидных мероприятий по ИТ-безопасности. Также уместно, если директор по ИБ предложит топ-менеджменту предприятия оптимизировать затраты за счет организации удаленной работы сотрудников. Это позволит экономить на арендной плате, повысить производительность сотрудников, избавив их от необходимости тратить время в автомобильных пробках, добираясь в офис. Всё это возможно организовать опять-таки при непосредственном участии специалистов по ИБ. "Не следует забывать, что очень хороший мотив для руководителя – репутация фирмы, этим не следует пренебрегать при обосновании бюджета на организацию информационной безопасности", − подчеркнул г-н Лукацкий.
Конечно, можно целостность информации сохранить путем перевода ее хранилища в офисы, расположенные в оффшорных зонах. Дело в том, что Федеральный закон 152 действует лишь в России, а за ее пределами проверки с изъятием документов, жестких дисков компьютеров и т.д. уже производить, по крайне мере в обозримое время, никто не будет.
Еще один из моментов, прозвучавших на съезде: проблема с законодательством. Сложность в том, что ФСТЭК и юристы по-разному трактуют существующие законы. Поэтому для того, чтобы модель информационной безопасности не противоречила законам, лучше обращаться за помощью к лицензиату, который все вопросы с законодательством урегулирует и возьмет клиента как бы под "свой зонтик". Не исключена здесь и услуга аутсорсинга.
Генеральный директор GlobalTrust Solutions Александр Астахов отметил, что при создании системы управления информационными рисками важен системный подход. То есть, должны наличествовать три составляющие: формализованное взаимодействие процессов, стандартизованная технология и соответствующие организационные меры. Основным рабочим документом такой системы должен быть Реестр информационных рисков. А при выборе системы, по мнению Александра Астахова, важно посчитать возможность максимального возврата инвестиций. Вряд ли с этим кто-нибудь будет спорить.
Одиозным было признано выступление на съезде ИТ-директора ООО "Уран Медиа Групп" Александра Нуруллова, который заявил, что считает правильным, когда на должность ИТ-директора назначается бывший хакер – он сам тому пример. "Сложность программного обеспечения быстро возрастает, поэтому ИТ-директор должен не бумажками заниматься, а в любой момент быть способным предложить элегантное и эффективное решение возникшей проблемы по нарушению безопасности информации", − подчеркнул Александр Нуруллов.
Сложным, для восприятия, оказался доклад генерального директора Центра стандартизации, проектирования и разработки информационно-коммуникационных технологий и систем Андрея Костогрызова. Он, в частности, рассказал, что оперативно вычислять вероятности успеха, риски и связанные с этим прибыль и потери можно, применяя одну из 100 универсальных математических моделей, созданных в НИИПМС, АНО "Инфостандарт". Эти модели методологически поддерживают положения современных стандартов в области системной инженерии (ISO/IEC 15288, ISO 9001 и др.). Они прошли широкую апробацию в различных странах мира и, по словам г-на Костогрызова, подтвердили свою эффективность при проведении экспертизы систем и выполнения НИОКР по заказам Минэкономразвития РФ, Счетной палаты РФ, Российской академии наук, оборонных ведомств, промышленных и банковских структур. Универсальность обусловлена ориентацией на системные стандарты и базируется на анализе случайных процессов, физически свойственных различным системам независимо от их функционального приложения. Однако любая из этих моделей, если её возьмут за основу построения систем оценки рисков ИБ, потребует адаптации под конкретный бизнес предприятия. При этом Андрей Костогрызов отметил, что если на предприятии создана собственная модель оценки рисков информационной безопасности, то этой модели и нужно следовать.
Делегаты, прослушав этот доклад, высказались таким образом, что теория их мало интересует, гораздо важнее конкретные продукты, практические советы и рекомендации. Как раз предложений различных средств по обеспечению информационной безопасности на съезде было достаточно. Свои решения представляли, в частности, компании SecurIT, "Арбайт", Cisco, Oracle, Digital Security и другие.
Автор: Елена Шашенкова
Опубликовано 25 марта 2009 года
Источник: cio-world.ru
14-15 июня состоится мастер-класс «Внедрение и сертификация СУИБ в соответствии с требованиями международного стандарта ISO 27001»
