Поделиться
Российские законодатели не дадут ИБ-рынку притормозить
В условиях кризиса одним из главных ИБ-вопросов становится возможность осуществить защиту данных с минимальными затратами при максимальной эффективности, причем в соответствии с быстро меняющейся нормативной базой. Вполне очевидно, что решить подобные масштабные вопросы в одиночку компаниям весьма затруднительно. О том, насколько актуальным сегодня является создание отраслевых сообществ по ИБ, о перспективах применения "Закона о персональных данных" в разных отраслях экономики, о стандартизации подходов к обеспечению ИБ шла речь в рамках круглого стола "Обеспечение информационной безопасности бизнеса и государственных структур", организованного CNews Conferences и CNews Analytics.Заместитель директора департамента информационной безопасности ФК "Открытие" Игорь Калганов рассказал о том, как корпорация готовится к началу действия закона о персональных данных. По его словам, в компании сформированы специальные рабочие группы, которые занимаются предварительной оценкой требуемых объемов и бюджета работ, ведется разработка перечня и категорирование персональных данных, собираются и анализируются исходные данные. ФК "Открытие" также объявила конкурс на выполнение работ по проекту "Приведение информационных систем персональных данных в соответствие с требованиями федерального закона № 152 – фз". По словам г-на Калганова, ряд вопросов, связанных с исполнением этого закона, требует разрешения, какие-то пункты закона нуждаются в более детальной проработке (к примеру, непонятно, каким должно быть содержание "Аттестата соответствия", как выглядит декларирование соответствия и др.).
Начальник службы информационной безопасности банка "Возрождение" Андрей Грициенко посетовал, что помимо уже упомянутых сложностей с хранением персональных данных, которые вскоре коснутся финансовых структур, банки пребывают в ожидании еще одной проблемы: второй волны сокращений персонала. Г-н Грициенко убежден, что на фоне снижения дохода банков подобных сокращений избежать не удастся. В этих непростых условиях тема ИБ становится для банков вдвойне актуальной.
Он также рассказал о том, как построена работа по ИБ в банке "Возрождение". По словам г-на Грициенко, затраты банка на ИБ составляют от 3 до 8% от всех расходов на ИТ. При этом проблемами безопасности занимаются 3% сотрудников банка. Он отметил, что сегодня на рынке ИБ преобладают отдельные специализированные решения, и заказчикам достаточно сложно получить продукт, который одинаково хорошо бы работал в различных областях ИБ. Существующие же на рынке комплексные решения в основном применимы для небольших компаний. По его словам, банк "Возрождение" сегодня применяет продукты и решения ИБ-компаний, занимающих лидирующее положение в своем сегменте.
В частности, для обеспечения информационной безопасности при использовании средств электронной почты было внедрено решение InfoWatch Traffic Monitor, которое обладает защищенным хранилищем корпоративного масштаба, возможностью восстановления данных, а также возможностью настройки длительности хранения. Решение позволяет вести полный контроль за перепиской с доказательной базой для расследования инцидентов.
Для обеспечения информационной безопасности при использовании интернета внедрена преактивная система контентной фильтрации трафика Aladdin eSafe Web. Помимо защиты от вирусов, шпионских приложений и URL-фильтрации система предоставляет средства для реализации безопасных политик использования интернет-ресурсов путем "вырезания" вредоносных и подозрительных скриптов из web-страниц, web-почты, тела email; блокирования всех скриптовых вирусов и эксплойтов, а также известных и неизвестных на момент проверки HTML- и HTTP-эксплойтов. Мониторинг и управление событиями ИБ ведется с помощью решения ArcSight ESM. По словам г-на Грициенко, внедрение указанных средств оказалось полезным для систематизации и упорядочения деятельности службы ИБ банка по обеспечению информационной безопасности.
Тема соответствия требованиям закона о персональных денных становится проблемой не только для ИБ-специалистов банков, но и для их коллег из телеком-структур. Директор по проектам ДТБ КЦ МТС Дмитрий Костров отметил, что сегодня на рынке операторов все более активно проявляется новая бизнес-модель - Telco 2.0 (Mobile 2.0. Web 2.0). Она характеризуется наличием двух цепочек создания стоимости: оператор получает прибыль и от своей абонентской базы, и от провайдеров услуг. Анализ тенденций потребления показывает, что коммуникационный трафик в целом растет, но традиционный телекоммуникационный – падает. За последние пять лет доля операторов связи в коммуникационном трафике уменьшилась с 95 до 50%. Остальное время (и деньги) оттягивают на себя новые игроки и сервисы – Google, Yahoo, Skype, AOL, MSN и т.д.
Соответственно, услуги с добавленной стоимостью станут основной стратегией в рамках обеспечения устойчивого роста бизнеса для операторов и в дальнейшем. При этом ответственность за сохранность персональных данных ложится именно на операторов. Требования закона 152-ФЗ обязывают операторов при обработке персональных данных принимать необходимые организационные и технические меры, в том числе использовать шифровальные средства для защиты этих данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Бороться с ИБ-проблемами сообща
В последнее время заметно стремление отечественных игроков к консолидации в вопросах ИБ – в основном, по отраслевому признаку. Начальник отдела защиты информации Банка Москвы Василий Окулесский затронул тему создания отраслевых сообществ по ИБ. Согласно его оценке, за 4 месяца текущего года было совершено больше преступлений в области ИБ, чем в течение всего прошлого года. "Если мы не будем обмениваться мнениями о том, как мы решаем проблемы, связанные с введением закона о персональных данных, то 1 января следующего года станет для многих специалистов по ИБ черным днем", - отметил г-н Окулесский.
Основными причинами формирования отраслевых ИБ-сообществ он назвал единство задач по обеспечению ИБ в различных организациях, ограниченность ресурсов подразделений ИБ при высоком уровне сложности поставленных задач и необходимости оперативного взаимодействия при их решении. Положительными примерами действующих отраслевых сообществ по ИБ г-н Окулесский считает технический комитет по информационной безопасности АРБ, сообщество ABISS, сообщество DLP-expert, а также неформальные виртуальные сообщества по ИБ.
Г-н Велигура тоже остановился на некоторых аспектах деятельности возглавляемого им комитета по ИБ АРБ. Комитет является интерфейсом взаимодействия банков с государственными органами в вопросах обеспечения информационной безопасности. В качестве примеров он упомянул взаимодействие с регулятором по сложным проблемам, создание стандартов, обмен опытом, реагирование на инциденты. При этом г-н Велигура посетовал на ряд нерешенных вопросов, таких как несистематичность горизонтальных связей между организациями в области ИБ, недостаточная организованность в решении общих проблем. Порой обмен информацией между организациями носит случайный характер. Он считает, что необходима модель систематического взаимодействия, для начала – взаимного информирования о том, что происходит в сообществах в области ИБ. Аналогичная работа – с учетом отраслевой специфики - ведется и в госсекторе, и в телекоме, и на других вертикальных рынках. Выгоды от этого очевидны.
Стандартизация поможет
Российский бизнес в последние годы демонстрирует стремление к использованию методологии процессного управления ИБ на базе международных стандартов, в основе которых лежит риск-менеджмент. В условиях кризиса, который самым серьезным образом сказался на ИТ- и ИБ-бюджетах компаний, этот подход становится, наверное, единственной лучшей практикой, приспособленной к фактическому применению.
Поделиться
Короткая ссылка
