Спецпроекты

Безопасность Стратегия безопасности

Информационная безопасность: усиление защиты

Вопросы обеспечения информационной безопасности (ИБ) как никогда актуальны, благодаря мобилизации бизнеса и госсектора. При этом законодательные рамки не способствуют росту раскрываемости преступлений, хотя постепенно актуализируются. Текущие и грядущие проблемы, а также пути их решения обсуждались 14 ноября 2013 г. во время работы секции «Информационная безопасность: Усиление защиты» на CNews Forum 2013.

Андрей Игнатов: Регулировать надо не методы защиты, а ответственность компании перед гражданами и государством

Андрей Игнатов, руководитель направления Dell Software компании Aflex Distribution, дал свою оценку уровню информационной безопасности на предприятиях и в органах государственной власти, а также эффективности соответствующего законодательства.

CNews: Как вы оцениваете уровень информационной безопасности на ведущих предприятиях страны?

Андрей Игнатов: К сожалению, большинство российских компаний (исключая ИТ-компании и банки) не уделяет информационной безопасности достаточно внимания. Зачастую не реализованы даже простейшие настройки, определяющие сложность паролей и требующие их регулярную смену. Многие ограничиваются только установкой антивирусов.

На мой взгляд, это связано с низким уровнем персональной заинтересованности в комплексной ИТ-защите компаний. Генеральные директора плохо разбираются в проблематике ИТ-безопасности и не готовы ставить соответствующие задачи. Службы безопасности обычно сформированы из бывших сотрудников оперативных отделов спецслужб, предпочитающих классические методы работы. А сотрудники ИТ-отделов не заинтересованы выполнять дополнительные функции по защите от краж информации или контролю сотрудников: им важна только бесперебойная работа ИТ-служб.

И даже когда компания в силу своей специфики должна удовлетворять определенным стандартам безопасности (тому же PCI DSS), то нет гарантии, что программное обеспечение не поставлено «для галочки», отчеты действительно анализируются, а контроль производится.

CNews: Как вы оцениваете уровень информационной безопасности в органах государственной власти?

Андрей Игнатов: С одной стороны, госструктуры действуют в рамках большого количества инструкций и вынуждены обеспечивать хотя бы минимально необходимый уровень безопасности. С другой стороны, все мы видим, как часто на черном рынке предлагаются те или иные базы, полученные из налоговых инспекций, ГИБДД и прочих служб, которые, вроде бы, хорошо защищены. Понятно, что все эти данные были извлечены не снаружи, а изнутри.

Таким образом, наиболее важной задачей становится внутренний контроль пользователей баз данных, собираемых и обрабатываемых российскими госструктурами, и администраторов, эти системы обслуживающие.

CNews: Как вы оцениваете эффективность законодательного регулирования в области ИБ?

Андрей Игнатов: Можно ли законодательно заставить человека чистить зубы, пить только кипяченую воду и не есть немытые фрукты? Безусловно нет, то же самое будет происходить и при попытке установления требований к ИТ-безопасности предприятий. В лучшем случае компании будут устанавливать самые дешевые системы, чтобы удовлетворять минимальным требованиям закона. К повышению безопасности это не приведет.

Регулировать надо не методы защиты, а ответственность компании перед гражданами и государством при возникновении инцидентов. Если генеральный директор будет знать, что за украденные данные клиента он обязан выплатить немаленькую компенсацию, то он закупит самую лучшую систему.

Этот же закон должен распространяться и на государственные организации, только компенсации должны выплачиваться не из бюджетных денег, а из средств ответственных за безопасность руководителей.

Короткая ссылка