Поделиться
Российский рынок ИБ жаждет внимания государства
Рынок информационной безопасности в России продолжает бурный рост. Все новые компании включаются в борьбу за клиента в сегменте ИБ. Круглый стол, проведенный CNews Analytics и CNews Conferences, показал, что наибольшее внимание экспертов привлекают вопросы стандартизации и участия государства в дальнейшем развитии отрасли.Однако существует и масса проблем. Это сложности с терминологией, как переводной, так и отечественной. Участники круглого стола также сошлись во мнении, что ощущается недостаток государственного внимания к вопросу – отсутствие или упущения в некоторых стандартах и законах, недостаточная пропаганда и методическая поддержка ряда из них, например, стандарта Банка России по ИТ–безопасности (СТО БР ИББС-1.0-2006). Ощущается и нехватка качественных и полнофункциональных продуктов – как программных, так и аппаратных. Ну а самый больной вопрос – кадры.
Какой быть системе управления безопасностью?
По мнению Андрея Рогожина, руководителя по развитию направления ИБ "АМТ-Груп", любая современная система должна строиться на базе соответствующих стандартов. Понимание аудиторией их целей – ключ к эффективному использованию на практике. Стандартизация – это младшая сестра глобализации. Поэтому для успешного международного сотрудничества России необходима гармонизация стандартов – приведение их в соответствие с другими стандартами и нормативными документами. Кроме того, обязательна адаптация требований к различным секторам экономики. Так, например, для финансового сектора хорошо локализованы уже упоминавшийся стандарт СТО БР ИББС-1.0-2006, а также PCI DSS. Для телекоммуникаций разрабатываются eTOM и концепция ИБ ССОП ВСС.
Борис Скородумов (Институт банковского дела АРБ) отметил, что для банков очень важны системы управления ИБ, способные адекватно
реагировать на действия инсайдеров
Количество атак на компании продолжает расти. Растет вместе с ними и их качество. Киберкриминал консолидируется и оттачивает мастерство. Как же построить систему и противостоять утечкам? Андрей Степаненко, директор по маркетингу компании "Информзащита", подчеркнул, что организации, внедряющие процессы предотвращения нападений как извне, так и изнутри компании, снижают в среднем количество успешных атак на 80%.
При этом необходимо обратить особое внимание на то, что не следует ограничиваться сканированием только сетевой инфраструктуры – серверов и рабочих станций – фокус атак сместился на приложения и базы данных. А при появлении критических уязвимостей нужно защищать инфраструктуру, а не ждать выпуска патча производителем. При этом во главу угла необходимо поставить требования политики безопасности компании. По наблюдениям "Информзащиты", только за счет использования 20% необходимых организационных мероприятий можно получить до 80% положительных результатов в обеспечении ИБ как в коммерческой компании, так и в государственной организации.
Борис Скородумов, исполнительный директор института банковского дела АРБ, отметил, что "в Европе давно перешли от качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ". При этом, по крайне мере для финансовых организаций, главной угрозой информационной безопасности стал человеческий фактор. Поэтому для банков очень важны системы управления ИБ, способные адекватно реагировать на действия инсайдеров. На это направлены и соглашение Basel II, и отечественный стандарт Банка России по ИТ–безопасности.
Что касается новых типов угроз для кредитно-финансовых организаций, то ими стали фишинг (вид онлайнового мошенничества, направленный на получение идентификационных данных пользователя), spyware (хищение данных о пользователях при помощи шпионского ПО) и фарминг (автоматическое перенаправление на фальшивые сайты).
Господин Скородумов обратил внимание коллег на умалчивание российскими банками всей серьезности этой проблемы. Так, по его данным, только за неделю с 11-го по 19-ое июня 2007 года появилось около 114 тыс новых фишинговых сайтов.
Не менее остра проблема защиты государственных организаций. Так, например, в результате кибератаки на Пентагон 20 июня 2007 года около 1500 компьютеров были отключены от сети. Примечательны атаки на эстонские правительственные сайты в этом году. Участники дискуссии признали, что отсутствие в России полноценных киберучений, наподобие прошлогодней акции Cyber Storm, является признаком отставания от мировых трендов.
Напомним, что Департамент внутренней безопасности США в 2006 году провел в интернете крупнейшие виртуальные учения под названием Cyber Storm. Специалистам ИБ пришлось отражать смоделированные сетевые атаки на стратегические объекты США со стороны хакеров всего мира. В киберучениях принимали участие 115 правительственных агентств, компаний и организаций, в том числе Совет по национальной безопасности, Департамент юстиции, Пентагон, Госдепартамент, Агентство национальной безопасности, ЦРУ и американский Красный Крест.
Поделиться
Короткая ссылка
