10 мая 2019

В Ташкенте прошло очередное заседание CIOCLUB. Одной из обсуждаемых тем стала информационная безопасность. О том, какие проблемы существуют в этой сфере, и как их решить рассказал Антон Ракитский, эксперт по информационной безопасности, ООО «IT-TEAM SERVICE».

Для того, чтобы ответить на два извечных вопроса «Кто виноват?» и «Что делать?», как и в любой другой науке, нужно начать с определения что же такое информационная безопасность. Информационная безопасность – это сохранение и обеспечение конфиденциальности, целостности и доступности информации. Эти три критерия попадают под задачи, которыми занимаются специалисты. В последнее время очень популярен второй термин – кибербезопасность. Многие эксперты не могут определить, в чем различие этих определений. Кибербезопасность имеет отношение к тому, когда мы говорим об оборудовании и информационной инфраструктуре. Вся информация, которая хранится в информационных системах, относится к кибербезопасности. То есть как только информация выходит из системы (распечатали листок и положили в сейф) она попадает под информационную безопасность, выходит из поля кибербезопасности. Во многом если речь идет только об информационных системах, то эти два понятия сливаются и поэтому часто эти термины используются поочередно. 

Любому руководителю важно понимать, что как только у него появляется информационная система, от которой зависит бизнес, появляется вопрос обеспечения ИБ. К сожалению, осознание важности этого вопроса появляется только в случае простоя или сбоя системы. В небольших компаниях, как правило, есть база 1С. Зачастую так получается, что бухгалтеры, которые годами работают на одном месте, начинают воспринимать базу как свою собственность. Если приходит новый бухгалтер, то ему кроме первичных документов могут ничего не отдать. Бухгалтер, который собственноручно вводил данные, привлекал консультантов и программистов за свой счет говорит, что руководитель ничего в нее не вложил, и он эту базу не отдаст. В итоге у руководителя нет никаких инструментов. Еще один пример – когда на предприятии не выделяются деньги на обновление технической базы. Бывает так, что бухгалтер либо специально удаляет базу, либо говорит, что компьютер вышел из строя, вирус попал. Руководителю нечего делать,и он привлекает специалистов, чтобы они восстанавливали жесткий диск, который вышел из строя. Только в такие моменты до него доходит, что без базы данных невозможно работать. Другой пример: в компаниях, где весь бизнес очень сильно завязан на базе данных клиентов (турфирма). Если менеджер хороший, то он переносит свою базу в другую турфирму и прибыль предыдущей компании значительно падает. Тут возникает вопрос о том, как обеспечить сохранность базы, чтобы она не ушла к конкурентам. Руководитель столкнется с проблемой, как только ключевой сотрудник от него уйдет.

Чтобы представить глубину проблемы обеспечения информационной безопасности нужно понимать, кто нам противостоит. Классически считается, что это какие-то злоумышленники, хакеры, конкуренты, организованные преступники, правительство, террористы. Наибольшую опасность сейчас для нас представляют инсайдеры, особенно в компаниях с большим штатом. Основную опасность представляют некомпетентные сотрудники, которые могут бесплатно допустить утечку информации. 

У любого администратора есть десятки различных информационных систем, которые нужно защищать, злоумышленникам достаточно найти уязвимость в одной. К тому же администраторы, сидящие на зарплате, не очень мотивированы к обучению, в то время как любой инсайдер или злоумышленник заинтересован в самообразовании и постоянно этим занимается. 

Часто мы задаемся вопросом, почему какая-либо организация озадачивается вопросом ИБ? Выясняется, что только потому, что это требование какого-либо документа, акта или регулятора. Самый популярный ответ на вопрос «Когда у вас было создано подразделение по безопасности?» звучит так — «Когда пришли аудиторы и сказали надо». То есть для галочки и ровно в тех объемах, чтобы те нарушения, которые были отмечены при следующей проверке, не обнаружились. 

Центр технического содействия потихоньку начинает приобретать регламентирующую роль. Своя роль есть у Узинфоком, ЦОИБ. Сейчас не понятно кто за что отвечает. Говоря о нормативной базе, мы подготовили статью и постоянно актуализируем краткое описание нормативной базы по информационной безопасности в Узбекистане. Впервыепоявляются упоминания преступлений в сфере ИКТ на уровне кодекса, профильных законов, затем появляются государственные стандарты. Чем ниже уровень документа, тем он более подробен. Но и даже они зачастую не дают ответов на возникающие вопросы.

Многие ратуют за то, что скоро примут закон о защите персональных данных. Я считаю, что чем дольше не принимают закон, тем проще нам работать. Чем меньше опасных ограничивающих наши права нормативных актов принимается, тем проще. Бизнес в сфере IT у нас может развиваться ввиду нечетких нормативов. Не стоит торопиться принимать этот закон, чтобы не было несоответствий.

Существует несколько десятков стандартов в сфере обеспечения информационной безопасности, облачных данных и хранению данных. Нужно отдать должное организации Unicon за то, что они стараются их все гармонизировать и нам есть на что опираться. 

 

продолжение следует

 

Последние Мероприятия

Все Мероприятия

Партнер заседания CIO CLUB Uzbekistan: Диалог B2G