Спецпроекты

Безопасность Госрегулирование Стратегия безопасности Техническая защита

Российские законодатели не дадут ИБ-рынку притормозить

В условиях кризиса одним из главных ИБ-вопросов становится возможность осуществить защиту данных с минимальными затратами при максимальной эффективности, причем в соответствии с быстро меняющейся нормативной базой. Вполне очевидно, что решить подобные масштабные вопросы в одиночку компаниям весьма затруднительно. О том, насколько актуальным сегодня является создание отраслевых сообществ по ИБ, о перспективах применения "Закона о персональных данных" в разных отраслях экономики, о стандартизации подходов к обеспечению ИБ шла речь в рамках круглого стола "Обеспечение информационной безопасности бизнеса и государственных структур", организованного CNews Conferences и CNews Analytics.

По мнению старшего консультанта отдела бизнес-консультирования КПМГ Владислава Павперова, стандартизация – это задача государственная, преследующая в первую очередь защиту национальных интересов. При этом основной акцент – это обеспечение конфиденциальности информации. В России разработка стандартов всегда являлась приоритетом государственных органов – ФСТЭК (Гостехкомиссия России), ФСБ, Госстандарт. Россия понемногу перенимает международные концепции и подход. Но до недавнего времени для нашей страны было не характерно публичное обсуждение стандартов и требований. Г-н Павперов также отметил, что стандарты в области ИБ затрагивают множество областей в государственном управлении, бизнесе и общественной жизни. Поэтому при их создании необходимы ориентация на передовые технологии и прогресс, привлечение профессионалов из государственного, частного и общественного секторов. Важен и учет таких факторов, как экономическая целесообразность, масштабируемость, соответствие требованиям законодательства и отраслевой специфики, а также непротиворечивость по сравнению с предыдущими стандартами.

Начальник отдела построения СУИБ группы "Астерос" Владимир Кузнецов рассказал о совершенствовании систем обеспечения информационной безопасности организаций и компаний на основе применения процессных стандартов Банка России. По его словам, результатами такого подхода должны стать повышение стабильности функционирования банка, снижение ущерба в случае инцидентов ИБ, управление рисками ИБ, оптимизация затрат на обеспечение ИБ, повышение эффективности используемых мер по обеспечению информационной безопасности банка, а также рост ответственности за обеспечение ИБ.

Инструменты ИБ: необходимые и достаточные

По мере распространения широкополосного доступа в интернет возможностей подхватить вирусы становится все больше. По мнению руководителя отдела развития компании "Доктор Веб" Валентина Федотова, интернет сегодня является основным каналом их распространения. При этом он отметил, что глобальные вирусные эпидемии не спешат кануть в лету: они возвращаются. В качестве примера он привел эпидемию Win32.HLLW.Shadow (Conficker/Downadup), в наибольшей степени поразившую Китай, Россию и Бразилию. Эта эпидемия имела драматические последствия. По словам г-на Федотова, в результате заражения системы автоматической выписки рецептов во Франции погибли два пациента. Поражение вирусом внутренних сетей ВМС Франции воспрепятствовало получению планов полетов для некоторых экипажей.

Он отметил, что сегодня мало кто сомневается в необходимости установки антивирусных решений. Но при этом люди все чаще выбирают антивирусные программы, руководствуясь маркетинговыми соображениями. Технологии, использованные в антивирусных программах, могут становиться для пользователей менее значимым аргументом, чем "маркетинговая обертка".

Говоря о тенденциях рынка ИБ, г-н Федотов также остановился на новых возможностях продукта Dr.Web Enterprise Suite, который изначально был спроектирован для работы в сетях любого масштаба. По его словам, возможность построения иерархической структуры серверов позволяет не только минимизировать трафик между подразделениями и снизить загрузку сети, но и создать различные политики защиты для различных групп пользователей. Платформо-независимая архитектура серверной части ПО Dr.Web Enterprise Suite дает возможность использовать его как на Windows, так и на UNIX-серверах, чего не позволяет делать ни одна другая аналогичная программа. Агентская часть Dr.Web Enterprise Suite может быть установлена практически на любой операционной системе.

CIO "Эспроконсалт" Валентин Попов считает обязательным применение специализированных решений для архивирования электронной почты. Он привел ряд примеров, когда в результате потери электронной переписки крупные компании в случае судебных исков не смогли предоставить доказательства своей правоты, соответственно – теряли деньги. Есть и обратные примеры, когда использование архивирования электронной почты позволило корпорациям предоставить электронную переписку суду в качестве аргумента в свою пользу и, соответственно, дало возможность выиграть судебные дела. Однако, по мнению г-на Попова, архивирование электронной почты дает компании преимущества в преодолении не только внешних, но и внутренних рисков. Так, с помощью архивирования проще вести контроль за внутренней перепиской сотрудников, легко находить того, кто допустил ошибку, а в случае необходимости можно формировать быстрые тематические выборки. Более того, г-н Попов убежден, что возможности архивирования электронной почты могут по достоинству оценить HR-менеджеры, решающие, к примеру, задачу формирования нового отдела, и на основании данных электронной почты выбирающие для этих целей сотрудников, поддерживающих дружеские отношения.

Вопрос о том, может ли быть информационная безопасность излишней, также являлся важным для участников дискуссии. Начальник отдела методологии и аудита ФК "Открытие" Михаил Левашов остановился на теме определения степени достаточности информационной безопасности в компании. Процитировав мнения различных экспертов, он сделал вывод о том, что защита информации и ИТ может считаться достаточной, если: соблюдается правовая основа - как со стороны национальных и международных регуляторов, так договорная; значения рисков ИБ находятся в допустимых пределах; неприемлемые риски непрерывно обрабатываются до того уровня, когда остаточные риски с учетом произведенных на их обработку затрат будут приняты.

Кроме того, достаточным уровень ИБ может считаться в случае, если результаты внутреннего и внешнего аудитов не содержат серьезных нарушений требований ИБ; выявленные недостатки своевременно устраняются; процессы обеспечения ИБ имеют высокий (4-5-й) уровень зрелости. По мнению г-на Левашова, защиту также можно считать достаточной, если дальнейшее увеличение расходов на нее не уменьшает величину остаточного риска вместе с указанными выше затратами.

Элеонора Ершова / CNews


Презентации участников круглого стола

Презентация Денис Легезо, CNews. Актуальное состояние рынка ИБ-систем
Презентация Александр Велигура, АНДЭК Технолоджиc. О роли отраслевых сообществ по информационной безопасности: пример кредитно-финансовой сферы
Презентация Василий Окулесский, Банк Москвы. Насколько актуально создание отраслевых сообществ по ИБ
Презентация Валентин Федотов, Dr.Web. Тенденции и новые технологии на рынке AV. ИБ для корпоративных пользователей
Презентация Владимир Кузнецов, Астерос. Совершенствование систем обеспечения информационной безопасности организаций и компаний на основе применения процессных стандартов
Презентация Валентин Попов, Эспроконсалт. Архив электронной почты
Презентация Дмитрий Костров, МТС. Безопасность новой бизнес - модели операторов мобильной связи
Презентация Андрей Грициенко, Банк «Возрождение». Практические вопросы построения системы информационной безопасности многофилиального банка
Презентация Михаил Левашов, ФК «Открытие». Определение достаточности защиты информации
Презентация Владислав Павперов, KPMG. Развитие стандартизации в области ИБ
Презентация Игорь Калганов, ФК «Открытие». Применение на практике ФЗ РФ «О персональных данных»
Презентация Скачать все презентации (архив)

Короткая ссылка