«В соответствии с применяемыми сегодня стандартами ИБ - как западными, например, ISO 17799 и 27001, так и российскими, скажем, СТО БР ИББС 1.0-2006 - СУИБ строится на основе управления рисками. Но, не имея представления о ценности данных, которые могут быть утрачены, информационными рисками управлять невозможно. Однако иногда даже ключевые пользователи информационной системы затрудняются с оценкой ее значимости для компании.
Зачастую отчет, раскрывающий текущее состояние информационной системы и отражающий риски, которым она подвержена, может состоять из нескольких десятков или даже сотен страниц. При этом количество идентифицированных информационных рисков на крупном предприятии достигает иногда нескольких тысяч».
«Оценку IT-безопасности необходимо делать, обладая полным представлением обо всех аспектах функционирования информационных систем предприятия. А это означает, что начинать надо с IT-аудита, то есть сбора и структуризации информации обо всех имеющихся компьютерных ресурсах, используемом программном обеспечении и его конфигурации. Также необходимо классифицировать сведения по степени важности (или по стоимости потери/ разглашения), определить системы и узлы, задействованные в создании, хранении и модификации информации, а также соответствующие документопотоки.
Информационная безопасность, пожалуй, одна из наиболее стандартизуемых сфер как с управленческой, так и с технологической точек зрения. Причем в последнее время наблюдается тенденция к унификации стандартов на международном уровне.
«Из российских нормативно-правовых документов по ИБ я бы обратил внимание на Федеральные законы «Об информации, информационных технологиях и о защите информации», «О персональных данных», «О коммерческой тайне». Также существуют государственные и отраслевые стандарты (например, стандарт Банка России СТО БР ИББС 1.0) и другие специализированные документы, такие как требования ФСБ РФ и ФСТЭК (Федеральной службы по техническому и экспортному контролю)».
«Существует большое количество современных стандартов в области ИБ, разработанных международными организациями, - институтами, форумами и ассоциациями. Практически по каждому стандарту имеется богатый опыт применения, опробованные на практике руководства и методологии внедрения, а также интернет-ресурсы. Можно даже сказать, что стандартизация в данной области развивается быстрее, чем где бы то ни было. Постепенно современные стандарты будут адаптированы и для России. Определенное движение в этом направлении есть не только со стороны Банка России, но также со стороны ФСТЭК, ФАТРМ и других ведомств. Одной из приоритетных является задача скорейшей адаптации международных стандартов для русскоязычного сообщества».Где утечка?
Информационная безопасность: дань моде или жизненная необходимость
КАКОЙ УЩЕРБ БУДЕТ НАНЕСЕН ВАШЕМУ БИЗНЕСУ В СЛУЧАЕ УТЕЧКИ ИНФОРМАЦИИ? МОГУТ ЛИ МОШЕННИКИ ПОЛУЧИТЬ ДОСТУП К ВАШИМ СЧЕТАМ? СКОЛЬКО КЛИЕНТОВ ВЫ ПОТЕРЯЕТЕ, ЕСЛИ СПАМ И ВИРУСЫ ВЫВЕДУТ ИЗ СТРОЯ ИНФОРМАЦИОННУЮ СИСТЕМУ? НА ЭТИ И ДРУГИЕ ВОПРОСЫ ПОПЫТАЛИСЬ ОТВЕТИТЬ ЭКСПЕРТЫ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, СОБРАВШИЕСЯ ЗА КРУГЛЫМ СТОЛОМ В РЕДАКЦИИ ЖУРНАЛА RM.
Приходится признать: несмотря на компьютеризацию практически всех бизнес-процессов на предприятии, не многие владельцы и топ-менеджеры уделяют должное внимание вопросу обеспечения информационной безопасности (ИБ). Интеллектуальная собственность, коммерческие и промышленные секреты, персональные данные клиентов – все это регулярно становится объектом хакерских атак. Нельзя исключать и риски возникновения программных сбоев, недостаточную квалификацию пользователей программного обеспечения, злой умысел сотрудников компании и т.д. Минимизировать последствия подобных событий призвана система управления информационной безопасностью (СУИБ).
Как вы относитесь к тому, чтобы риск-менеджмент внедрялся в частном секторе под давлением или c помощью государства?
Как налогоплательщик, я, разумеется, против того, чтобы за государственный счет спасали моих конкурентов, которые не занимаются управлением рисками. Пусть выживает сильнейший. Но для стабилизации экономики Казахстана необходимо, чтобы компании уделяли внимание управлению рисками. Наши предприниматели увлекаются отдельными направлениями бизнеса без учета рыночной ситуации: то дружно открывали аптеки, теперь массово строят цементные заводы. Через некоторое время большая часть этих предприятий прогорает. А ведь организовывались они с привлечением заемных средств…
Страховая компания «Евразия» предлагает клиентам услуги по управлению рисками?
Да, но пока зарабатываем мы все же на том, что продаем страховые полисы. Около 60–70% объема наших доходов приносит перестрахование компаний из более 45 стран, в том числе из России, Украины, Польши и Южной Кореи, остальные 30–40% доходов – страхование. И не больше 1% – риск-менеджмент. Мы стараемся популяризировать передовую практику управления рисками в Казахстане. Для этого проводим ежегодную конференцию по риск-менеджменту, куда приглашаем специалистов из России, Европы. Консультируем казахские компании по управлению рисками. Не скрою, что это часть стратегии продвижения компании: клиенты, которые бесплатно получают консультации по управлению рисками, покупают у нас полисы по имуществу, ответственности работодателя.