Спецпроекты

Безопасность Стратегия безопасности

Что происходит с корпоративной ИБ сегодня

Российский рынок информационной безопасности (ИБ), по оценкам аналитиков, в 2014 г. в сопоставимых ценах не изменился, в текущего году ожидается его падение. Однако это не означает снижения внимания российских корпоративных заказчиков к вопросам ИБ. Как показала конференция «Информационная безопасность бизнеса и госструктур: развитие в новых условиях», которую 2 декабря 2015 г. провели в Москве CNews Conferences и CNews Analytics, представители государственного и частного секторов в нынешних сложных экономических и политических условиях пытаются выделить наиболее актуальные ИБ-задачи, на решении которых следует сосредоточить сокращающиеся ИБ-бюджеты.

Начальник управления режима ИБ департамента защиты информации Газпромбанка Алексей Плешков отметил, что со стороны внутренних пользователей в отношении корпоративной информационной безопасности сложился ряд негативных стереотипов. ИБ считается помехой для развития бизнеса, и баланс между безопасностью и удобством при выполнении должностных обязанностей невозможен. Считается, что можно не тратиться на дорогие ИБ-технологии – все задачи можно решить организационно. Если в компании нет инцидентов, значит ИБ-служба ничего не делает. Защищаться нужно только от известных угроз, а те, на возможность которых указывает ИБ-служба, можно игнорировать.

Результаты опроса: Какой информацией на мобильном устройстве вы дорожите больше всего?

Источник: Eset, 2015

Чтобы преодолеть эти стереотипы, Алексей Плешков рекомендует ИБ-специалистам постоянно общаться с пользователями на понятном им языке, оперируя примерами из повседневной жизни (в том числе, вне корпоративной – к таким примерам пользователи более чувствительны), искать союзников для ИБ-проектов, постоянно демонстрировать результаты своей работы, действовать на опережение, а не только реагировать на случившиеся инциденты, несмотря на сопротивление со стороны бизнеса. Начальник управления по обеспечению информационной безопасности банка «Санкт-Петербург» Анатолий Скородумов, оппонируя коллеге, напомнил о том, что направление ИБ в большой степени является ведомым, следующим за бизнесом и за ИТ, и поэтому исходить в своей деятельности ИБ-службе, в первую очередь, следует из требований бизнеса и особенностей состояния ИТ.

Инженер информационной безопасности клиники «Медицина» Сергей Смолин остановился на все еще острой для российской медицины (и не только) проблеме обеспечения информационной безопасности персональных данных (ПДн). Он отметил, что среди операторов ПДн по-прежнему в ходу упование на то, что проверки Роскомнадзора их минуют, а если нет, то с проверяющими можно будет договориться, ну а на худой конец выплатить штрафы, что все равно дешевле внедрения системы защиты ПДн.

Клиника «Медицина» (первой в стране среди медицинских учреждений) сертифицировала свою систему управления ИБ на соответствие международному стандарту ISO27001:2013, и тем не менее в своей практике по-прежнему сталкивается со сложностями защиты ПДн в соответствии с регуляторными требованиями. Среди них Сергей Смолин отметил неоднозначность трактовок и несогласованность между собою действующих законов и норм и «внезапность» их изменений, сложность определения на практике категорий субъектов ПДн и выполнения технически и организационно некоторых регулятивных требований, противоречия между производственными задачами клиники и требуемым законом обеспечением безопасности ПДн.

Решению ряда коллизий с законами, по словам Сергея Смолина, помогает подписываемое с пациентами соглашение на обработку их ПДн, текст которого в клинике пересматривается ежегодно. Важными для результативной безопасности ПДн он считает аттестацию и сертификацию информационных систем, регулярные независимые аудиты, техническую и юридическую поддержки.

Как повысить безопасность

Прежде чем браться за повышение уровня корпоративной ИБ, по мнению Андрея Курило, нужно наладить регулярный контроль и анализ состояния достигнутого уровня, а также планирование и реализацию мер его восстановления. Допустимый период для выработки и реализации таких мер, по его оценкам, не должен превышать 1–1,5 лет.

В условиях быстрого усложнения инфраструктуры платежей и способов их инициации, появления новых предназначенных для этого решений, глава департамента управления рисками платежной системы Visa в России Олег Скородумов указывает на возможность снижать требования к защите от ИБ-угроз за счет реорганизации бизнес-логики, например обезличивания данных, где это возможно, перестройки бизнес-процессов таким образом, чтобы в приложения передавалась исключительно та часть данных, которая ими обрабатывается, и не более. В платежных системах такой подход нашел воплощение в токенизации платежных карт, когда их реальные номера хранятся только в надежно защищенных хранилищах, а операции в системе производятся над токенами-суррогатами, уникальными для разных участников системы.

Есть и другие аспекты обеспечения информационной безопасности в индустрии платежей. По мнению Андрея Курило, положительно сказывается на ИБ онлайновых банковских операций разработанная для платежной системы Visa технология 3-D Secure, в которой используется двухфакторная аутентификация пользователей через передаваемые по SMS разовые пароли. В то же время крайне желательна корректировка закона «О персональных данных» в целях легализации обмена данными о так называемых «дропперах» (преступниках, которые занимаются обналичиванием украденных с банковских счетов денежных средств) между банками, силовиками и другими структурами, заинтересованными в противодействии мошенничеству в банковской сфере.

Требования к ИБ в «Мире IoS»

О грядущих стратегических изменениях в корпоративной ИБ рассказал Александр Герасимов. По его мнению, в условиях активного использования киберпреступниками облачных технологий для реализации сервисной модели предоставления средств для проведения кибератак важно иметь ввиду, что эффективно бороться с такими атаками можно, только используя аналогичные подходы, то есть строить защиту через облачные ИБ-сервисы. Каким бы настороженным к ним ни было отношение сегодня, оно неизбежно сменится активным использованием сервисов в ближайшем будущем.

Валерий Никонов


Презентации участников форума

Презентация Ходаков Сергей, Руководитель направления Безопасные информационные технологии, Сколково
Вызовы обеспечения безопасности –  опыт поддержки создания российских технологий безопасности в Сколково
Презентация Курило Андрей, Председатель Комитета по информационной безопасности НСФР
Некоторые тенденции в изменении ландшафта угроз информационной безопасности и рынка безопасности
Презентация Плешков Алексей, Начальник Управления режима информационной безопасности Департамента защиты информации, Газпромбанк
Информационная безопасность с точки зрения пользователя
Презентация Скородумов Анатолий, Начальник отдела информационной безопасности, Банк Санкт-Петербург
Каковы основные угрозы ИБ для организаций коммерческого сектора
Презентация Смолин Сергей, Инженер информационной безопасности, Медицина
Можно ли быть уверенным в безопасности ПД?
Презентация Скородумов Олег, Глава департамента управления рисками Visa в России
Инновационные решения для обеспечения безопасности электронных платежей
Презентация Герасимов Александр, независимый эксперт
Информационная безопасность как облачный сервис
Презентация Скачать архив целиком

Короткая ссылка