На вопросы «DLP-Эксперт» отвечает Тарас Пономарев, исполнительный директор ЗАО «Практика Безопасности»

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(0)
()
Опубликовано в:

Какие вопросы в области защиты информации, на Ваш взгляд, сегодня являются наиболее критичными для российских компаний?

ponomarev-sequrity-practice

Наша практика показывает, что на повестке дня российских организаций самыми актуальными вопросами остаются защита персональных данных и защита от инсайдеров. И это вполне логично и ожидаемо, поскольку такие традиционные угрозы как вредоносные программы, спам и хакерские атаки уже нашли более-менее действующее противоядие. Чего, к сожалению, нельзя сказать об угрозах внутренних.

Немудрено, что именно это направление более всего востребовано в спектре наших услуг. Следуя требованиям рынка, мы предлагаем специализированные продукты в этой области. И они значительно опережают по популярности другие направления – планирование и внедрение решений Identity Management, аудит на соответствие стандарту PCI DSS, подготовка к внедрению стандартов ISO 27001:2005 и СТО БР ИББС. Например, недавно список наших заказчиков пополнило Минздравсоцразвития, по заказу которого «Практика Безопасности» разработала методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Несмотря на мощный информационный фон, который сопровождает ЗоПД и многочисленные инициативы специалистов проблема не собирается расставаться со статусом наиболее острой. Более того, обилие экспертных мнений и их концептуальный разброс «плюс-минус полушарие» играют против решения проблемы. По нашим наблюдениям, это дезориентирует организации и не даёт сделать правильный выбор. Подчас заказчики становятся жертвами непрофессиональных команд, которые на гребне интереса к проблематике защиты персональных данных предлагают некачественные услуги, имеющие посредственное отношение к реальности.

Схожая ситуация наблюдается и в области защиты от инсайдеров. Сколько копий было сломано в поисках лучшей практики решения проблемы, но воз и ныне там. По данным Ponemon Institute, внутренние угрозы до сих пор отличаются исключительным показателем латентности: почти 2/3 организаций предпочитают умалчивать об обнаруженных нарушениях или вовсе закрывать глаза на проблему. Отсутствие новостей об утечках в российских компаниях не есть следствие отсутствия самих утечек, а доказательство их неподконтрольности. Увы, и тут можно констатировать, что рынок всё ещё ищет выход. И выход состоит в том, что не существует стандартного решения против инсайдеров. Это процесс, а не состояние. Это решение, а не продукт. Здесь специфичность полностью превалирует над универсальностью.

Какой этап внедрения систем защиты от утечек, по Вашему мнению, является наиболее трудоемким и чему в этом вопросе стоит уделить повышенное внимание?

Внедрение специфично для каждой организации. Наш опыт свидетельствует, что этот процесс сильно зависит от принятых стандартов в организации, наработанных практик, сложившихся отношений и ИБ-инфраструктуры.

И вместе с тем могу сказать, что ключевым моментом, определяющим успешность внедрения, вне зависимости от индустриальной специфики и зрелости организации является разработка и документирование внутренних процедур по информационной безопасности.

На этом этапе закладываются основы функционирования системы защиты против инсайдеров. Его можно сравнить с проектированием автомобиля: одна-единственная ошибка здесь может обернуться многомиллионными потерями, когда модель выйдет с конвейера. В нашем случае на кону гораздо более важная ставка, которая может обернуться банкротством компании, как, например, случилось с процветающей компанией CardSystems Solutions в 2005 г.

В нашей работе мы стараемся максимально скрупулёзно учитывать все тонкости будущей системы, вовлекаем в процесс разработки широкий спектр руководителей, учитываем бизнес-специфику и особенности ИТ-инфраструктуры организации. Впрочем, один абзац не вместит в себя весь спектр вопросов, которые требуют тщательного рассмотрения.

Аудит на соответствие требованиям российских стандартов: вкратце, что он из себя представляет, к каким сложностям компаниям надо быть готовыми?

Ситуацию с российскими стандартами в области ИБ можно описать как «пойди туда, не знаю куда». Пространность формулировок, противоречивые трактовки и разъяснения откровенно запутывают как субъектов этих нормативных актов, так и специалистов. Масла в огонь подливает закрытость регуляторов для обсуждения требований существующих и готовящихся документов.

Казалось бы, на рынке есть готовая экспертиза, знания и опыт, которые можно применить для создания действительно востребованного, прозрачного и адекватного стандарта (например, в области защиты персональных данных). Но, увы, рынок продолжает с удивлением и, не скрою, порой нервным смехом, встречать новые толкования, регулятивные акты и стандарты.

Нам очень не хватает двусторонних коммуникаций. Мы практики и готовы поделиться бесценным опытом, ведь, в конечном счёте, от этого выиграют все. Организации получат руководство к действию, регулятор – работающий стандарт, а мы, специалисты, – чёткий направляющий документ. Это, кстати, мгновенно снимет и проблему горе-экспертов, продающих кипы бесполезных бумаг, вместо обоснованного и эффективного решения проблемы.

Вместе с тем хочу отметить, что не всё так мрачно в области стандартизации в ИБ. Есть примеры зрелых отраслевых стандартов вроде Стандарта Банка России СТО БР ИББС. Мы считаем, что они представляют собой наглядный практический пример реализации понятной и действенной стандартизации. Пример, который имеет шанс быть распространённым в других областях ИБ.

Оцените материал:
Total votes: 267
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.