Russian CSO Summit: угроз информационной безопасности не становится меньше

Делегаты Russian CSO Summit II согласились с тем, что в настоящее время проблема защиты от внутренних ИТ-угроз по-прежнему беспокоит большинство российских компаний. Аналитический центр компании Primetrix в своем исследовании «Инсайдерские угрозы 2009» констатирует, что наибольшие опасения вызывают угрозы утечки информации (73%), а также халатность служащих (70%). При этом криптографические системы используют 41% компаний, а системы защиты от утечек всего 29%. Спрос на системы внутренней безопасности достаточно высок, однако он сдерживается рядом объективных факторов, главный из которых - ограничение бюджета на ИБ (46%), которое усилилось во время финансового кризиса. 

Генеральный директор Центра стандартизации, проектирования и разработки информационно-коммуникационных технологий и систем Андрей Костогрызов рассказал, что оперативно вычислять вероятности успеха, риски и связанные с этим прибыль и потери можно, применяя одну из 100 универсальных математических моделей, созданных в НИИПМС, АНО «Инфостандарт». Эти модели методологически поддерживают положения современных стандартов в области системной инженерии (ISO/IEC 15288, ISO 9001 и др.). Они прошли широкую апробацию в различных странах мира и, по словам г-на Костогрызова, подтвердили свою эффективность при проведении экспертизы систем и выполнения НИОКР по заказам Минэкономразвития РФ, Счетной палаты РФ, Российской академии наук, оборонных ведомств, промышленных и банковских структур. Универсальность обусловлена ориентацией на системные стандарты и базируется на анализе случайных процессов, физически свойственных различным системам независимо от их функционального приложения. Однако любая из этих моделей, если её возьмут за основу построения систем оценки рисков ИБ, потребует адаптации под конкретный бизнес предприятия. При этом Андрей Костогрызов отметил, что если на предприятии создана собственная модель оценки рисков информационной безопасности, то этой модели и нужно следовать. 

Делегаты съезда отметили, что особенно в условиях сокращения ИТ-бюджетов, важно по возможности, адекватно  просчитывать траты на информационную безопасность. Опыт показывает, что до последнего времени нередки случаи, когда вложенные в обеспечение ИБ деньги не оправдывают цель - риски не уменьшаются. Ведущий специалист Института проблем информатики РАН Владимир Попов посоветовал сначала четко представить модели угроз ИБ, затем приступать к построению модели защиты от этих угроз. Он констатировал, что сегодня на рынке не хватает аналитиков, знающих, какую информацию подавать на вход систем безопасности, без чего результат работы такой системы может оказаться неверным. 

По-прежнему остался актуальным совет - директорам по ИТ-безопасности стараться разговаривать с бизнесом на языке бизнеса. По-другому доказать, что выделять средства на защиту информации необходимо, не получится, особенно во времена, когда каждый руководитель предприятия озабочен проблемой оптимизации затрат. Доказать необходимость мер по обеспечению информационной безопасности можно различными путями. Так, бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий рассказал, что в банках, например, можно руководству предложить изменить структуру продаж - расширить или внедрить услугу Интернет-банкинга, что в обязательном порядке требует принятия определенных мер по ИТ-безопасности. Для руководителей компаний директор по ИБ может, в частности, предложить оптимизировать затраты за счет организации удаленной работы сотрудников. Это позволит экономить на арендной плате, повысить производительность сотрудников, избавив их от необходимости тратить время в автомобильных пробках, добираясь в офис. Всё это возможно организовать опять-таки при участии специалистов по ИБ. Не следует забывать, что очень хороший мотив для руководителя - репутация фирмы, этим не следует пренебрегать при обосновании бюджета на организации информационной безопасности. 

Как и на прошлом, на втором съезде директоров по ИБ представители российских и западных компаний рассказывали делегатам о своих решениях для обеспечения информационной безопасности. В частности, это компании SecurIT, «Арбайт», Cisco, Oracle, Digital Security и другие. 

20.03.2009 IBS DataFort и «М.Видео»: поддержка растет вместе с бизнесом  

20.03.2009 Leta спешит защитить данные  

19.03.2009 SecuTrans: безопасность на транспорте в деталях