Rambler's Top100
Статьи ИКС № 5 2008
Галина БОЛЬШОВА  30 апреля 2008

Ликбез для CSO

Сегодня модно собирать на саммиты управляющих отделениями компаний, или так называемых директоров второго уровня. Но если для российских CIO такие собрания стали уже традиционными, то съезд CSO – директоров по информационной безопасности – в нашей стране состоялся впервые.

Russian CSO Summit I собрал около 200 участников. Среди них превалировали представители банковско-финансовой сферы, в которой, к слову, дела с информационной безопасностью (ИБ) обстоят гораздо лучше, чем на других вертикальных рынках. Телеком был представлен директорами по информационной безопасности МТТ, «ТрансТелеКома», «ВымпелКома» и нескольких более мелких провайдеров. Довольно многочисленную группу составили CSO не только крупных («Шварцкопф и Хенкель», Wrigley, «Норильский никель», РЖД), но и средних компаний.

CSO предприятий из сферы SMB пришли скорее ознакомиться с задачами и проблемами. Оттого многие дискуссии, круглые столы, а порой даже доклады и презентации напоминали ликбез по ИБ: «старшие товарищи» (продвинутые CSO банков и другие авторитетные специалисты) разъясняли «новичкам», почему, что и как необходимо делать для защиты ИС помимо установки антивирусного ПО. Вместе с тем на саммите рассматривались и действительно «горячие» темы, такие как защита персональных данных, борьба с утечками, повышение уровня осведомленности сотрудников в области ИБ, безопасность мобильного офиса.

Защита персональных данных

в последнее время, пожалуй, на первом месте среди обсуждаемых проблем ИБ. Грядущие подзаконные акты, которые должны выйти из недр ФСБ, ФСТЭК и Россвязьохранкультуры (на сайте www.rsoc.ru уже после CSO Summit I появился реестр операторов персональных данных), вызывают серьезное беспокойство у ИБ-специалистов. Их волнует не только неоднозначность многих норм закона, но и отсутствие требований к лицензированию деятельности по обработке персональных данных.

Однако, по мнению О. Беззубцева («Элвис-Плюс»), уже пп. 17–18 Постановления Правительства от 17 ноября 2007 г. № 781 позволяют понять: за реализацию требований к безопасности данных в средствах защиты информации отвечают разработчики последних, а экспертную оценку пригодности таких средств (в том числе предназначенных для криптографической защиты) для обеспечения безопасности персональных данных в ИС осуществляют ФСТЭК и ФСБ России. В целом этот документ сводит защиту персональных данных к мерам по обеспечению безопасности информации и конфиденциальных сведений. А значит, есть основания полагать, что защита персональных данных будет приравнена подзаконными актами к защите конфиденциальной информации класса 1Д, в результате чего ужесточатся требования государственных органов ко многим организациям.

Борьба с утечками информации

из сети предприятия сегодня воспринимается преимущественно как борьба с инсайдерами. По мнению Д. Огородникова (NVisionGroup), наиболее распространенная причина утечек – вынос внешних носителей. Избежать его можно, лишь полностью отключив внешние порты. Однако, желая «сохранить лицо», фирмы предпочитают скрывать подобные случаи, тем более что фактический ущерб посчитать сложно, а взыскать его в России из-за несовершенства нашей законодательной базы практически невозможно. Е. Касперский («Лаборатория Касперского») уверен, что число правонарушений, связанных с утечками информации, будет стремительно расти. К этому ведет появление новых технологий и решений в Интернете (особенно связанных с электронной коммерцией), простота реализации атак (вредоносное ПО свободно и за деньги предлагается в Сети) и безнаказанность преступников. Атаки часто осуществляются через proxy-серверы, находящиеся в нескольких странах, и для задержания нарушителей требуется сотрудничество органов правопорядка этих государств. Е. Касперский предлагает создать интернет-Интерпол, который станет отслеживать и пресекать такие преступления.

Повышение уровня осведомленности персонала

А.Сабанов, АладдинОдин из действенных способов получения секретов фирмы – использование методов «социальной инженерии», основанных на слабой осведомленности ее сотрудников о правилах обеспечения информационной безопасности. Однако на панельной дискуссии, посвященной соблюдению ИБ-правил, выяснилось, что убедить руководство в необходимости узаконить ИБ-обучение весьма непросто.

Причина все та же – сложность оценки рисков. Определить суммарный ущерб от этой категории угроз практически невозможно из-за желания компаний сохранять репутацию, что обусловливает сокрытие фактов проникновения в их сети. Однако в случае привлечения сторонней фирмы для проведения аудита руководство получит официальные документы, подтверждающие «пробелы» в осведомленности сотрудников и позволяющие оценить риски.

Своим опытом поделились представители «ВымпелКома», РосЕвроБанка, банка HSBC Russia и др. Например, «ВымпелКом» стимулирует персонал к получению знаний в области ИБ, используя разнообразные поощрения, в том числе публикует сведения о передовых сотрудниках в фирменном издании. Наряду с типовыми мерами (инструктаж, разноуровневые курсы по ИБ) используются screen-savers, юмористические плакаты, флэш-анимация и пр. По словам П. Мельникова (HSBC Russia), его банк помимо «пряника» задействует и «кнут» – показательные наказания (штрафы, увольнения) и запугивание сотрудников «всевидящим оком». В результате этих мер число инцидентов и обращений в службу поддержки сократилось.

Мобильный офис

позволяет компании экономить, но в нашей стране он пока используется не очень широко. С основными рисками мобильной работы (такими, как фишинг, несанкционированный удаленный доступ к информации фирмы, проникновение вирусов через удаленный ПК или смартфон) чаще всего сталкиваются банки. Радикальные меры защиты – обеспечение работы только в доверенной среде (строгая авторизация и аутентификация на входе) и шифрование данных на удаленном ПК при его выключении.

А. Грициенко (Банк «Возрождение») считает, что основная сложность для CSO масштабной организации – предоставление единого доступа к приложениям и данным. Для этого ИС и система управления ИБ должны быть централизованными, а работать следует только в рамках терминальных сессий. Однако нужно помнить, что главные преимущества мобильного офиса – психологический комфорт и удобство работы, а потому слишком жесткий, «драконовский», контроль недопустим. Лучше всего – задействовать скрытые от пользователя механизмы защиты и проверки.

О месте CSO в бизнесе

шла речь на заключительной дискуссии, посвященной «выживанию» служб ИБ на предприятиях. П. Абрамов («Норникель») считает, что в крупной компании такая служба должна быть выделенной и подчиняться только высшему руководству, тогда как для сферы SMB более эффективна ее организация внутри ИТ-отдела.

Больной вопрос – кадры. Проблемы и в нехватке на рынке квалифицированных специалистов, и в «тощем» штатном расписании ИБ-отделов. А. Грициенко считает, что кадровую политику в области ИБ надо строить с документами в руках. Он, например, регулярно предоставляет руководству отчеты о проделанной работе и трудозатратах своих сотрудников, что позволяет при необходимости получать нужные штатные единицы. Участники дискуссии согласились с тем, что для достижения успеха CSO полезно документально подтверждать свою деятельность, но подчеркнули: основное условие – установить нормальные человеческие отношения с руководителями бизнеса и ИТ-специалистами.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!