Rambler's Top100
Статьи
14 августа 2014

А.Прозоров: Уроки «гигиены инфобезопасности» нужны всем

Обучать ИТ-грамотности и культуре информационной безопасности в обществе необходимо всех граждан от мала до велика, уверены эксперты «ИКС».

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 11.

 

? “ИКС»: Как сформировать в корпоративной среде культуру информационной безопасности? Нужна ли государственная политика по формированию культуры информационной безопасности в обществе в целом? Если да, то какую роль в этом ключе может и должно играть государство, интернет-индустрия, общественные организации? Антон Разумов

 

Антон Разумов, руководитель группы консультантов по безопасности, Check Point Software Technologies: Разумеется, государство обязано не только регулировать эту отрасль, но и играть важную роль в формировании культуры информационной безопасности в обществе в целом. К сожалению, принимаемые законы свидетельствуют о том, что даже если в процессе их подготовки эксперты привлекались, их мнение было проигнорировано, а основное регулирование заключается не столько в обеспечении безопасности, сколько в запрете неугодных ресурсов. В частности дико смотрятся недавние требования к интернет-провайдерам блокирования некоторых страниц пользователей  социальных сетей по защищенному протоколу HTTPS (https://facebook.com/<имя>, https://twitter.com/<имя>). Этот протокол специально разрабатывался для того, чтобы было невозможно «подслушать» содержимое, в частности выделить <имя>. Аркадий Прокудин

 

Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности, АйТи: На мой взгляд, при поддержке государства мы сможем со временем вырастить поколение, которое будет иначе относиться к обработке информации как на работе, так и в повседневной жизни. Мы живем в век, когда информацию, сказанную или опубликованную где-то и когда-то, можно собирать достаточно простым способом. Сегодня вы указали свои увлечения, вчера вы при заказе указали данные вашей карточки и адрес проживания, месяц назад вы делали запрос по своим задолженностям по налогам... Если защита передачи, обработки и хранения этой информации не была организована должным образом, о вас можно составить целое досье. Андрей Прозоров

 

Андрей Прозоров, ведущий эксперт по информационной безопасности, InfoWatch: Государственная политика нужна, но насколько она будет эффективной? Тут вопрос надо решать на уровне ниже. Например, внедрять в школьную и университетскую программы уроки по «гигиене инфобезопасности», проводить соответствующие курсы на предприятиях. Но не уверен, что тут нужна единая и «утвержденная сверху» программа обучения.

Вячеслав Медведев 

Вячеслав Медведев, старший аналитик, DrWeb: В условиях, когда риск ущерба от инцидентов безопасности ниже иных рисков, связанных с ведением бизнеса, стоимость внедрения и самое главное сопровождения защитных мер превышает размер ущерба от них, репутационные риски незначимы, простейшие меры куда как выгоднее (и понятнее), чем высокотехногичные – любая деятельность со стороны государства (за исключением возможно защиты структур, находящихся под непосредственным контролем регуляторов – например критически важных объектов) будет приводить только к росту бумажного оборота – пример реализации требований о защите персональных данных очень показателен. Проблема безопасности никогда не находится в отрыве от потребностей бизнеса. Только формирование удобной и конкурентной бизнес-культуры, в которой использование мер защиты будет необходимо, может привести к росту реальной потребности в безопасности.

 

Александр ТрошинАлександр Трошин, технический директор, «Манго Телеком»: Интернет-индустрия – не более чем среда. Конечно же, на глобальный Интернет российское законодательство повлиять не может. И если даже его ужесточат, никто не мешает мошенникам регистрировать сайты с потенциальным инструментарием для мошенничества в других странах, где законодательство более лояльно, чем у нас. Основной вопрос в том, насколько государство сможет регулировать культуру ИБ в обществе в рамках глобальной сети, даже если вообще сможет? А вот вести работу в плане выработки и донесения до населения страны политики и пропаганды ИБ государство, конечно, может и должно. Это нужно делать, но только путем повышения общей технологической грамотности населения и информирования о потенциальных способах мошенничества. И тут государство должно быть проактивным – государственные специалисты по ИБ должны самостоятельно моделировать способы обхода систем и, соответственно, знакомить население с тем, как не попасть в такую ситуацию, а попав, – как правильно себя вести. Нужно добиться того, чтобы у людей заработал мозг. Результаты могут быть разными – у кого-то мозг заработает быстро, у кого-то, возможно, никогда, но обучать ИТ-грамотности и культуре ИБ в обществе нужно всех, с первого класса школы. В том числе, в рамках такого обучения нужно приучать людей к экстремальным ситуациям и выработке правильных решений в  ситуациях, связанных с их информационной безопасностью. Что касается детей, возраст начала работы с разными девайсами постоянно снижается, тут обучать ИТ-культуре, – в том числе, и самым простым правилам ИБ – должны именно взрослые. А вообще, и работа со взрослыми, и обучение детей основам ИБ  – часть одной проблемы, которая настоятельно требует решения. И государство действительно могло бы помочь решить эту проблему как никто другой.

Александр Хрусталев 

Александр Хрусталев, директор департамента информационной безопасности, МГТС:  В последнее время возрастает внимание государства к информационным технологиям и особенно к информационной безопасности. Информационная безопасность – это состояние защищённости интересов личности, общества, государства в информационной сфере. И как следствие важным становится проблема защиты ценной информации. Однако не всегда еще приходит четкое понимание того, что информационная безопасность – это комплексная проблема и подходить к ней необходимо с нескольких сторон и рассматривать в разных аспектах. Многие до сих пор считают, что достаточно построить только мощную программную или техническую защиту ценной коммерческой информации. Однако это не так. Необходимо прививать первые основы информационной безопасности на уроках информатики в школе и на внутрикорпоративных курсах обучения.  Необходимо повышать квалификацию пользователей и обслуживающего персонала по использованию информационных технологий, создание правил использования информационно-коммуникационных технологий и интернета. Сергей Иванов

 

Сергей Иванов, руководитель офиса технологии защиты информации, Первый БИТ: Только осознание личной ответственности каждым участником процесса обработки конфиденциальной информации является надежным средством обеспечения безопасности. Сформировать это осознание поможет выработка прозрачного механизма доказательств вины и адекватной системы наказаний.

Александр Бодрик 

Александр Бодрик, ведущий консультант Центра информационной безопасности, R-Style: Для эффективного формирования культуры безопасности в корпорации нужно интегрировать вопросы информационной безопасности в другие бизнес-процессы, например, обязательства по соблюдению требований ИБ в должностных инструкциях, контрольные процедуры ИБ в регламентах ИТ и бизнеса, проверки ИБ внутренним аудитом, учет опросов ИБ при развитии инфраструктуры и приложений ИТ. Политика по формированию культуры информационной безопасности в обществе нужна безусловно, но при этом необходимо понимать цели внедрения культуры ИБ в столь широком плане. Если мы говорим о снижении уязвимости граждан перед угрозами мошенничества, то главенствующую роль должно играть МВД, создавая и распространяя брошюры с последними угрозами и методами противодействия, а так же проводя оперативные мероприятия по фактам правонарушений. Если речь идет о защите информационного суверенитета России, то такого рода работа уже ведется, и примером можно считать наличие в капитале национального поисковика «Яндекс» т.н. «золотой» акции государства. Рустэм Хайретдинов

 

Рустэм Хайретдинов, исполнительный директор, Appercut Security: Нужна планомерная работа по формированию правил пользования информационными ресурсами, начиная со школы и продолжающаяся всю человеческую жизнь. Словом, так, как это делается с пропагандой гигиены заболеваний: мой руки перед едой, чихай в платок, в эпидемию носи маску, заболел – сходи к врачу и т.д. Правила поведения в корпоративной системе и домашней сети должны внедряться постоянно, примеры нанесенного вреда ввиду собственной глупости (попил из лужи – заболел холерой) должны быть не только в специализированных, но и в обычных СМИ.

 Алексей Лукацкий

Алексей Лукацкий, эксперт по информационной безопасности, Cisco: Это очень непростой процесс, который занимает несколько лет и включает в себя множество различных направлений – повышение осведомленности, тренинги, специальные программы стимулирования, незапланированные аудиты и тесты на проникновение, проверяющие способность сотрудников действовать в нештатных ситуациях и т.п. В прошлом году мне довелось поучаствовать в рабочей группе при Совете Безопасности в части выработки основ государственной политики в области формирования культуры ИБ в России. В этом году, если все сложится удачно, этот документ будет принят и наше государство сможет начать процесс взращивания культуры в масштабах всей страны. В этой стратегии прописано участие и государства, и общественных организаций, и вузов, и школ и даже детсадов с собесами, т.к. пожилые люди и дети дошкольного возраста тоже имеют доступ к компьютерам и тоже должны обладать навыками ИБ. Алексей Раевский

 

Алексей Раевский, генеральный директор, Zecurion: Я считаю, что на законодательном уровне необходимо прописать, что информационная безопасность компаний, любых, не только работающих с гостайной и обеспечивающих функционирование критической инфраструктуры, – это важный фактор обеспечения национальной безопасности. Дело в том, что любые утечки связаны с финансовым ущербом для компаний, а ущерб компаний ухудшает экономическую ситуацию и уменьшает налоговые поступления. Если говорить об утечках какой-либо технологической информации, разработок, ноу-хау и т.д. – это может приводить к ухудшению конкурентоспособности российских компаний на международных рынках. Поэтому, само собой, нужна государственная политика и нужны соответствующие организации, которые будут проводить ее в жизнь.

 

? «ИКС»: Идеальный сотрудник предприятия с точки зрения ИБ –  это… (просьба продолжить фразу) 

*… сознательный сотрудник, осведомленный о возможных последствиях для компании в случае несоблюдения им установленных правил информационной безопасности. Это работник, обученный основам информационной безопасности и мотивированый к более сознательному соблюдению простых требований. Знание основных направлений ИБ позволит сотрудникам компании грамотно и безопасно работать в информационной среде (Катажина Хоффманн-Селицка, менеджер по продажам, HID Global в Восточной Европе);

*...сотрудник, понимающий, что от его действий зависит будущее не только компании, в которой он сегодня работает, но и его собственная информационная защищенность (А. Прокудин);

*… ответственный, внимательный и квалифицированный пользователь, которому не чужды интересы компании (Владимир Воротников, руководитель отдела перспективных исследований и проектов, «С-Терра СиЭсПи»);

*... информационно-грамотный, думающий, лояльный и преданный компании специалист (А. Трошин);

*… ответственный сотрудник (А. Хрусталев);

*… сотрудник, который осознает важность соблюдения сформированной системы взглядов руководства и службы ИБ на обеспечение информационной безопасности на предприятии, готов следовать положениям политики ИБ предприятия, а также участвовать в её развитии с учетом бизнес-процессов предприятия, в которых он задействован (Игорь Корчагин, руководитель группы обеспечения безопасности информации, ИВК);

*…ответственный человек, соблюдающий регламенты по информационной безопасности, в полной мере осознающий важность их выполнения (С. Иванов);

*… робот, четко соблюдающий заложенные инструкции и не требующий обслуживания. Если серьезно, при правильном подходе идеальный сотрудник – это фактически член команды безопасников, понимающий что и зачем он делает и прилагающий усилия для создания обратной связи в целях совершенствования системы безопасности (В. Медведев);

*… мотивированный, в том числе в материальном плане, лояльный, высокообразованный и профессиональный человек (Михаил Башлыков, руководитель направления информационной безопасности, КРОК);

*… хорошо мотивированный молодой карьерист (А. Бодрик);

*… робот или интерактивный программный скрипт, который делает только то, что должен, и не делает ничего из того, что не входит в его обязанности (Р. Хайретдинов);

* … неизвестный науке индивид (А. Лукацкий)

*… мертвый сотрудник (А. Раевский)

Подготовила Лилия Павлова

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!