Рубрикатор | ![]() |
![]() |
Статьи | ![]() |
ИКС № 5 2008 | ![]() |
![]() |
Галина БОЛЬШОВА  | 30 апреля 2008 |
Ликбез для CSO
Сегодня модно собирать на саммиты управляющих отделениями компаний, или так называемых директоров второго уровня. Но если для российских CIO такие собрания стали уже традиционными, то съезд CSO – директоров по информационной безопасности – в нашей стране состоялся впервые.
Russian CSO Summit I собрал около 200 участников. Среди них превалировали представители банковско-финансовой сферы, в которой, к слову, дела с информационной безопасностью (ИБ) обстоят гораздо лучше, чем на других вертикальных рынках. Телеком был представлен директорами по информационной безопасности МТТ, «ТрансТелеКома», «ВымпелКома» и нескольких более мелких провайдеров. Довольно многочисленную группу составили CSO не только крупных («Шварцкопф и Хенкель», Wrigley, «Норильский никель», РЖД), но и средних компаний.CSO предприятий из сферы SMB пришли скорее ознакомиться с задачами и проблемами. Оттого многие дискуссии, круглые столы, а порой даже доклады и презентации напоминали ликбез по ИБ: «старшие товарищи» (продвинутые CSO банков и другие авторитетные специалисты) разъясняли «новичкам», почему, что и как необходимо делать для защиты ИС помимо установки антивирусного ПО. Вместе с тем на саммите рассматривались и действительно «горячие» темы, такие как защита персональных данных, борьба с утечками, повышение уровня осведомленности сотрудников в области ИБ, безопасность мобильного офиса.
Защита персональных данных
в последнее время, пожалуй, на первом месте среди обсуждаемых проблем ИБ. Грядущие подзаконные акты, которые должны выйти из недр ФСБ, ФСТЭК и Россвязьохранкультуры (на сайте www.rsoc.ru уже после CSO Summit I появился реестр операторов персональных данных), вызывают серьезное беспокойство у ИБ-специалистов. Их волнует не только неоднозначность многих норм закона, но и отсутствие требований к лицензированию деятельности по обработке персональных данных.
Однако, по мнению О. Беззубцева («Элвис-Плюс»), уже пп. 17–18 Постановления Правительства от 17 ноября 2007 г. № 781 позволяют понять: за реализацию требований к безопасности данных в средствах защиты информации отвечают разработчики последних, а экспертную оценку пригодности таких средств (в том числе предназначенных для криптографической защиты) для обеспечения безопасности персональных данных в ИС осуществляют ФСТЭК и ФСБ России. В целом этот документ сводит защиту персональных данных к мерам по обеспечению безопасности информации и конфиденциальных сведений. А значит, есть основания полагать, что защита персональных данных будет приравнена подзаконными актами к защите конфиденциальной информации класса 1Д, в результате чего ужесточатся требования государственных органов ко многим организациям.
Борьба с утечками информации
из сети предприятия сегодня воспринимается преимущественно как борьба с инсайдерами. По мнению Д. Огородникова (NVisionGroup), наиболее распространенная причина утечек – вынос внешних носителей. Избежать его можно, лишь полностью отключив внешние порты. Однако, желая «сохранить лицо», фирмы предпочитают скрывать подобные случаи, тем более что фактический ущерб посчитать сложно, а взыскать его в России из-за несовершенства нашей законодательной базы практически невозможно. Е. Касперский («Лаборатория Касперского») уверен, что число правонарушений, связанных с утечками информации, будет стремительно расти. К этому ведет появление новых технологий и решений в Интернете (особенно связанных с электронной коммерцией), простота реализации атак (вредоносное ПО свободно и за деньги предлагается в Сети) и безнаказанность преступников. Атаки часто осуществляются через proxy-серверы, находящиеся в нескольких странах, и для задержания нарушителей требуется сотрудничество органов правопорядка этих государств. Е. Касперский предлагает создать интернет-Интерпол, который станет отслеживать и пресекать такие преступления.
Повышение уровня осведомленности персонала

Причина все та же – сложность оценки рисков. Определить суммарный ущерб от этой категории угроз практически невозможно из-за желания компаний сохранять репутацию, что обусловливает сокрытие фактов проникновения в их сети. Однако в случае привлечения сторонней фирмы для проведения аудита руководство получит официальные документы, подтверждающие «пробелы» в осведомленности сотрудников и позволяющие оценить риски.
Своим опытом поделились представители «ВымпелКома», РосЕвроБанка, банка HSBC Russia и др. Например, «ВымпелКом» стимулирует персонал к получению знаний в области ИБ, используя разнообразные поощрения, в том числе публикует сведения о передовых сотрудниках в фирменном издании. Наряду с типовыми мерами (инструктаж, разноуровневые курсы по ИБ) используются screen-savers, юмористические плакаты, флэш-анимация и пр. По словам П. Мельникова (HSBC Russia), его банк помимо «пряника» задействует и «кнут» – показательные наказания (штрафы, увольнения) и запугивание сотрудников «всевидящим оком». В результате этих мер число инцидентов и обращений в службу поддержки сократилось.
Мобильный офис
позволяет компании экономить, но в нашей стране он пока используется не очень широко. С основными рисками мобильной работы (такими, как фишинг, несанкционированный удаленный доступ к информации фирмы, проникновение вирусов через удаленный ПК или смартфон) чаще всего сталкиваются банки. Радикальные меры защиты – обеспечение работы только в доверенной среде (строгая авторизация и аутентификация на входе) и шифрование данных на удаленном ПК при его выключении.
А. Грициенко (Банк «Возрождение») считает, что основная сложность для CSO масштабной организации – предоставление единого доступа к приложениям и данным. Для этого ИС и система управления ИБ должны быть централизованными, а работать следует только в рамках терминальных сессий. Однако нужно помнить, что главные преимущества мобильного офиса – психологический комфорт и удобство работы, а потому слишком жесткий, «драконовский», контроль недопустим. Лучше всего – задействовать скрытые от пользователя механизмы защиты и проверки.
О месте CSO в бизнесе
шла речь на заключительной дискуссии, посвященной «выживанию» служб ИБ на предприятиях. П. Абрамов («Норникель») считает, что в крупной компании такая служба должна быть выделенной и подчиняться только высшему руководству, тогда как для сферы SMB более эффективна ее организация внутри ИТ-отдела.
Больной вопрос – кадры. Проблемы и в нехватке на рынке квалифицированных специалистов, и в «тощем» штатном расписании ИБ-отделов. А. Грициенко считает, что кадровую политику в области ИБ надо строить с документами в руках. Он, например, регулярно предоставляет руководству отчеты о проделанной работе и трудозатратах своих сотрудников, что позволяет при необходимости получать нужные штатные единицы. Участники дискуссии согласились с тем, что для достижения успеха CSO полезно документально подтверждать свою деятельность, но подчеркнули: основное условие – установить нормальные человеческие отношения с руководителями бизнеса и ИТ-специалистами.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!