Статья Юрия малинина

Расширенный поиск

О компании
История, структура, партнеры, лицензии, координаты, English summary.

Виды деятельности
Перечень предоставляемых услуг.

Развитие бизнеса
Система качества, патентная и инновационная деятельность.

Инфоцентр
Новости компании, обзоры прессы, технические и аналитические статьи, вакансии.

Продукты и производители
Каталог продуктов, предлагаемых компанией, производители.

Решения
Проекты, решения, примеры реализованных проектов.

Сотрудничество
Партнеры в регионах, условия и программы сотрудничества, информация для дилеров.
Где купить диплом в вашем городе советы и рекомендации покупателям

ИНФОЦЕНТР

К темам

Юрий Малинин,

проректор Академии информационных систем по направлению «Информационная безопасность», группа компаний «Стинс Коман»

1. В последние годы внимание специалистов в вопросах обеспечения информационной безопасности все больше смещается от внешних к внутренним угрозам. Эта тенденция закономерна и обусловлена необходимостью комплексного подхода к решению вопросов информационной безопасности в компаниях, учитывающего не только современные технические решения, но и эффективное использование организационно-правовых мер, в том числе по отношению к сотрудникам.
Для полного понимания и выявления наиболее актуальных и значимых угроз внутренней информационной безопасности необходима их классификация. Например, классификация по видам угроз, по величине возможного ущерба, по вероятности и причинам возникновения, по характеру воздействия и т. д. Каждая компания индивидуальна, и степень значимости или ранжирование внутренних угроз для одной компании неприменимы для другой. Но в то же время практика показывает, что из всех существующих внутренних угроз информационной безопасности есть наиболее часто встречающиеся и значимые для большинства компаний, в том числе и для российских. Это доказывают и результаты аналитических исследований, основанные на опросах и статистических данных. Согласно данным проведенных в 2003—2005 гг. аналитических исследований (Ernst & Young, InfoWatch, CSI, CA, Websense и т. д.), наиболее значимы внутренние угрозы, связанные с неправомерными действиями сотрудников компании, которые приводят к нарушению конфиденциальности информации, ее утечке (краже), искажению и потере.
Сложно определить стоимость информации, но для некоторых компаний потеря информации может стать критичной по отношению к бизнесу. Вспомните нашумевшие истории, связанные с утечкой персональных данных клиентов некоторых российских компаний. К значимым внутренним угрозам также можно отнести нецелевое использование сотрудниками ресурсов информационной системы компании, например, загрузку и использование ПО (в том числе скрытого вредоносного), медиафайлов и других данных, не имеющих отношения к работе. В итоге это может привести к нарушению работоспособности информационной системы компании.

2. В настоящее время в России многие компании ориентируются на существующую практику применения международных стандартов информационной безопасности. Следует отметить широкое применение в России международных стандартов BS 7799, ISO/IEC 17799. Напомним, что с 15 октября 2005 г. введен в действие новый британский и международный стандарт BS ISO/IEC 27001:2005 (BS 7799-2:2005), чему была посвящена международная конференция BS 7799 Goes Global в декабре 2005 г. в Лондоне. По опыту формирования российской делегации и организации «Русского дня в BSI» в рамках этой конференции могу отметить практический интерес крупнейших российских компаний (среди которых «Северсталь-групп», ГМК «Норильский никель», «Связьинвест», Газпромбанк, «Уралсвязьинформ») к опыту внедрения международных стандартов управления информационной безопасностью.
Кроме названных стандартов, существуют и другие, призванные помочь в формировании политики внутренней информационной безопасности компании. При этом каждый стандарт имеет свои достоинства, присущие только ему.
Как пример можно привести немецкий стандарт BSI/IT Baseline Protection Manual («Руководство по обеспечению безопасности ИТ»), отличающийся «немецкой практичностью». Также следует обратить внимание на стандарты CobiT (Control Objectives for Information and related Technology), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) и CRAMM (UK Government's Risk Analysis and Management Method). Нельзя не упомянуть стандарт ISO 15408 Common Criteria for Information Technology Security Evaluation, принятый в России как ГОСТ-Р 15408/«Общие критерии оценки безопасности информационных технологий».
Полезны, а в некоторых случаях и необходимы для российских компаний при формировании политики внутренней информационной безопасности РД Гостехкомиссии России (ФСТЭК) и СТР-К («Специальные требования и рекомендации по защите конфиденциальной информации»). СТР-К может использоваться и при проведении аудита безопасности автоматизированной системы для оценки полноты и правильности реализации организационных мер защиты информации в ней.

3. На сегодняшний день не существует единого отраслевого стандарта внутренней информационной безопасности.
В принципе его не может быть по определению, если мы говорим именно о едином стандарте внутренней информационной безопасности для разных отраслей. Каждая отрасль имеет свои особенности, возможности и ограничения. В каждой отрасли могут быть разные требования к обеспечению внутренней информационной безопасности. Возьмем, например, отраслевой стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», принятый распоряжением ЦБР от 26.01.2006 № Р-27, в котором учтен опыт международных стандартов, в том числе ISO/IEC IS 17799-2005 и ISO/IEC IS 27001-2005. Политика информационной безопасности организаций банковской системы РФ, отраженная в этом стандарте, может отличаться от политики для организаций другой отрасли, например, для транспортной, хотя принципы формирования политики могут быть идентичными.

4. На мой взгляд, количество предложений на рынке услуг аутсорсинга внутренней информационной безопасности будет увеличиваться. Что касается качества — рынок сам определит качественных поставщиков данных услуг. Важно другое — вопрос доверия. Руководитель любой компании прекрасно осознает, что снижение риска нарушения внутренней информационной безопасности компании за счет передачи ее на полный аутсорсинг специализирующейся в этой области компании, в свою очередь, увеличивает риски, связанные с утечкой конфиденциальной информации, несмотря на соглашения о конфиденциальности и другие правовые документы. В части оказания определенного набора услуг, например, консультационных, в разрешении проблем внутренней информационной безопасности — нет сомнений, рынок будет развиваться. На российском рынке присутствуют компании, которые специализируются на решении таких задач. Но при этом, кроме организационно-правовых методов и способов решения проблемы внутренней информационной безопасности, они предлагают также современные технические решения, т. е. решают вышеназванные задачи комплексно.

5. Можно считать, что российские компании «первой сотни» прошли первую волну в решении вопросов информационной безопасности, которая в большей степени была связана с техническими решениями. В настоящее время для многих приоритетными становятся вопросы управления информационной безопасностью в компании, построения эффективной системы менеджмента. Думаю, для тех, кто сейчас движется в этом направлении, есть хорошие перспективы — это относится в первую очередь к игрокам рынка информационной безопасности, системным интеграторам, разработчикам средств управления информационной безопасностью, так как именно эта потребность у заказчиков в ближайшем будущем будет приоритетной. Это также подтверждается увеличением запросов и количества проводимых работ по подготовке к сертификационному аудиту по требованиям международного стандарта BS ISO/IEC 27001:2005 (BS 7799-2:2005) «Информационные технологии. Система управления информационной безопасностью. Требования».