Спецпроекты

Безопасность Стратегия безопасности

Информационная безопасность: усиление защиты

Вопросы обеспечения информационной безопасности (ИБ) как никогда актуальны, благодаря мобилизации бизнеса и госсектора. При этом законодательные рамки не способствуют росту раскрываемости преступлений, хотя постепенно актуализируются. Текущие и грядущие проблемы, а также пути их решения обсуждались 14 ноября 2013 г. во время работы секции «Информационная безопасность: Усиление защиты» на CNews Forum 2013.

Сегодня одной из актуальнейших забот офицера службы ИБ любого предприятия является управление доступом пользователей. Сергей Ступин, менеджер по продукту компании «ТрастВерс», представил аудитории решение по управлению учетными записями и правами доступа на базе платформы КУБ, сосредоточившись на вопросе экономической выгоды от внедрения IDM-системы. «Где теряем деньги?» – задает эксперт вопрос и сам же дает на него ответ, опираясь на практический опыт компании. Во-первых, на администрировании учетных записей. Чем больше компания, тем дороже обходится штат соответствующих специалистов. Во-вторых, потенциальные затраты могут быть связаны с реализацией рисков ИБ: так или иначе IDM является мерой по защите от несанкционированного доступа к данным. Бывают ситуации, когда потери компании из-за утечки информации весьма внушительны. Наконец, без соответствующих инструментов такая обязательная по ряду причин процедура, как проведение аудита, может оказаться долгой и не всегда успешной. «Суть IDM-решения в том, что оно позволяет автоматизировать все эти процессы и дает дополнительную функцию контроля», – заключил он.

Этапы функционирования IDM-решения КУБ

Источник: «ТрастВерс», 2013

О новых акцентах в обеспечении ИБ российскими компаниями рассказал Андрей Зеренков, эксперт по информационной безопасности Symantec. Он сформулировал их следующим образом: «Антивирусной защиты объектов ИТ-инфраструктуры уже недостаточно: практика показывает, что компании не справляются с нацеленными атаками. Усредненный функционал псевдо-универсальных решений перестает удовлетворять пользователей, нужно что-то более конкретное. Наконец, уровень зрелости ряда российских компаний вырос до наивысшего (согласно COBIT). Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ – наличие документированных процессов планирования, реализации, мониторинга и совершенствования».

Требуется особое внимание

По мнению Сергея Иванов, руководителя проекта департамента безопасности информационных технологий, группа компаний «Маском», теме защиты трафика IP-источников уделяется незаслуженно мало внимания, хотя она очень актуальна. Сегодня контент генерирует достаточно много ip-источников, например, системы контроля дорожного движения, наблюдения за общественными и политически-значимыми событиями, системы электронного документооборота, регистрации параметров технологических процессов, регистрация и учет перемещения грузов, системы call-центров. Опасность заключается в том, что на определенном этапе передачи контента он может быть подменен как внешним, так и внутренним нарушителем.

Принципиальная схема системы передачи и обработки информации от IP-источника и потенциальные угрозы

Источник: «Маском», 2013

Лев Матвеев, генеральный директор Searchinform, поделился мнением относительно того, почему выпускники вузов не оправдывают ожидания работодателей: они не имеют практического опыта в сфере ИБ и опыта работы с DLP-системами. «SearchInform – единственная российская компания-разработчик системы обеспечения ИБ, которая участвует в подготовке квалифицированных молодых специалистов по информационной безопасности», – рассказал Лев Матвеев.

Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных, Роскомнадзор, рассказал об основных итогах осуществления государственного контроля (надзора) за 2012 г. и три квартала 2013 г. Среди типичных нарушений в 2013 г. в сфере обработки ПДн лидирует обработка персональных данных без согласия субъекта персональных данных либо несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона – 36% от общего числа инцидентов.

Источник: Роскомнадзор, 2013

О другой проблеме ИБ, свойственной госсектору, рассказал Владимир Поихало, начальник отдела информационной безопасности Федерального фонда обязательного медицинского страхования. Согласно № 326-ФЗ, ст. 44, ч. 6, сведения о застрахованном лице и об оказанной ему медицинской помощи относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством РФ, поэтому вопросы обеспечения ИБ и данной сфере стоят остро, а проблемы, по мнению эксперта, «общие для госструктур вообще: нет необходимого количества квалифицированных кадров по информационной безопасности, отток специалистов по ИБ в коммерческие организации с более высокими зарплатами сразу после того, как они набирают необходимую квалификацию, а также сложность выполнения лицензионных требований к квалификации специалистов по ИБ».

Риски глазами бизнеса

Дмитрий Устюжанин, руководитель департамента информационной безопасности «ВымпелКома», предложил свой взгляд на концепцию развития культуры ИБ. Суть ее в том, что, когда компания достигает глобального уровня развития, угрозы ее безопасности также становятся глобальными – и тогда пора делать новый шаг. По сообщению спикера, в 2012 г. киберугроза объявлена риском № 1 для международных компаний, это единая причина причинения ущерба в терминах «кража», «потеря репутации» и «системный сбой и «простой». «Сегодня мы должны попытаться понять потенциальный ущерб и посмотреть, можем ли мы что-либо сделать для снижения риска», – заключил эксперт.

Дмитрий Стуров, начальник управления информационной безопасности КБ «Ренессанс Капитал» представил методику эффективности системы управления ИБ, разработанную и принятую в компании. «Использование метрик, их регулярная оценка и сопоставление с целевыми значениями (KPI) позволяет количественно и качественно оценить ожидаемые результаты от внедрения тех или иных мер по защите информации, в том числе с точки зрения повышения уровня защищенности и расходования средств», – поделился опытом эксперт. Кроме этого, метрики дают возможность оценить степень соответствия внедряемых или уже внедренных средств ожиданиям компании, контролировать текущее состояние ИБ, его изменение за определенный период, и формировать отчеты для руководства, а также определить проблемные места в функционировании средств защиты, выявить причины и выбрать способы их устранения.

Роман Чаплыгин, руководитель отдела информационной безопасности банка DeltaCredit, выдвинул тезис, что обеспечение информационной безопасности в тесной взаимосвязи с бизнес-стратегией повышает эффективность защиты информации. Спикер проиллюстрировал его примерами неэффективной стратегии и тех последствий для бизнеса, к которым привело следование неверно выбранному пути. Интерес аудитории вызвало подробное изложение теории создания «правильной» стратегии ИБ – от построения ее основы до возможных моделей, которая принята в банке.

О проблеме реальной защиты активов и соблюдения требований регуляторов предложил порассуждать Евгений Гусенков, начальник управления информационной безопасности КБ «Восточный». Он рассказал о своем опыте создания соответствующей ИБ-системы: «Отраслевая модель угроз, созданная ЦБ, послужила прекрасным справочником для создания перечня актуальных угроз и модели нарушителя, который, в свою очередь, дал возможность классифицировать требуемый уровень защищенности систем обработки ПДн». Однако, несмотря на успешный опыт функционирования системы, есть справедливые опасения, что она окажется не соответствующей требованиям законодательства. Пока, с сожалением заключает эксперт, ряд нормативных требований является тем препятствием, которые специалисты ИБ еще не научились преодолевать.

Мария Чимиричкина

Презентация Легезо Денис, редактор информационной службы CNews/ CNews Analytics
Новости рынка ИБ
Презентация Игнатов Андрей, руководитель направления Dell Software, Aflex Distribution
Контроль изменений в IT-инфраструктуре и централизованное управление логами
Презентация Хлапов Денис, консультант отдела консалтинга, Информзащита
Электронные гос. услуги, взгляд злоумышленника
Презентация Ступин Сергей, менеджер по продукту, ТрастВерс
Управление доступом на базе платформы КУБ
Презентация Зеренков Андрей, эксперт по информационной безопасности, Symantec
Новые акценты в обеспечении ИБ российскими компаниями
Презентация Иванов Сергей, руководитель проекта департамента безопасности информационных технологий, группа компаний МАСКОМ
Защита траффика ip-источников. Проблемы и решения
Презентация Матвеев Лев, генеральный директор, SearchInform
Практические аспекты реализации системы информационной безопасности в российских компаниях. Из опыта работы SearchInform
Презентация Контемиров Юрий, начальник Управления по защите прав субъектов персональных данных, Роскомнадзор
Текущая ситуация с применением закона о персданных. Проверки и готовность операторов
Презентация Курило Андрей, заместитель директора Департамента регулирования расчётов, Банк России
Совершенствование нормативного регулирования вопросов обеспечения безопасности услуг, предоставляемых с использованием электронных средств платежа
Презентация Поихало Владимир, начальник отдела информационной безопасности, Федеральный фонд обязательного медицинского страхования
Обеспечение информационной безопасности в сфере обязательного медицинского страхования
Презентация Стуров Дмитрий, начальник управления информационной безопасности КБ "Ренессанс Капитал"
Оценка эффективности системы управления ИБ. Метрики информационной безопасности
Презентация Чаплыгин Роман, руководитель отдела информационной безопасности, банк DeltaCredit
Стратегия информационной безопасности: ориентация на бизнес
Презентация Гусенков Евгений, начальник управления информационной безопасности, КБ «Восточный»
Реальная защита информационных активов и соблюдение требований регуляторов
Презентация Скачать архив целиком

Короткая ссылка