Совместный проект
Информационная безопасность
Обеспечение информационной безопасности – подход «АйТеко»

Обсуждаем актуальные вопросы обеспечения информационной безопасности с начальником отдела консалтинга департамента информационной безопасности компании «АйТеко» Игорем Железняком, экспертом с 16-летним опытом работы в сфере ИБ.

Репутационные и финансовые потери российских компаний от киберпреступлений и целевых атак, которые становятся все более изощренными, составляют миллиарды рублей в год и ведут к критическим последствиям от инцидентов ИБ. Организации различных индустрий, бизнесов и масштабов приходят к пониманию, что ИТ-инфраструктура нуждается в квалифицированной защите от угроз, и увеличивают бюджеты на информацию безопасность.

Цель команды профессионалов ДИБ «АйТеко», в активе которой более 150 проектов за десятилетие работы на российском рынке ИБ, – обеспечить как соответствие законодательным требованиям регуляторов, так и надежную интегрированную экосистему, подстраиваясь под ландшафт сложных угроз и соединяя технологии ИТ-инфраструктуры заказчика с лучшими решениями в области информационной безопасности.

Обладая развитой экспертизой, профильными компетенциями и значительным опытом в части приведения заказчиков в соответствие требованиям российского законодательства в сфере ИБ, специалисты ДИБ предлагают заказчикам комплексный многоуровневый подход к обеспечению информационной безопасности, включая вопросы внедрения мер защиты, способы выявления уязвимостей и моделирования рисков.

Комплаенс и «реальная» безопасность – в чем разница?

К основным драйверам рынка ИБ можно отнести инциденты, которые побуждают компании заниматься «реальной» безопасностью, и требования законодательства в области ИБ, вынуждающие организации прибегать к комплаенсу (от англ. compliance – согласие, действие в соответствии с запросом или указанием). Разница между этими двумя подходами принципиальна.

Основная цель комплаенса – минимизировать риски, связанные с проверками регуляторов. Сегодня подавляющее большинство российских компаний в курсе 152-ФЗ, многие наверняка слышали о резонансной блокировке LinkedIn. Все знают, что регуляторы осуществляют проверки выполнения требований законодательства, штрафуют, выносят предписания об устранении нарушений в ограниченные сроки, могут передать информацию о проверках в СМИ.

При этом и детали организации таких проверок, и границы полномочий регуляторов (что они на самом деле могут проверять, а что нет) чаще всего остаются «за кадром». Скажем, большинство компаний частного сектора считает, что ФСТЭК (Федеральная служба по техническому и экспортному контролю) и Роскомнадзор проверяют меры по защите персональных данных, обрабатываемых в информационных системах. В действительности это не совсем так.

Компания, которой был нанесен ущерб из-за инцидента, связанного с ИБ, или которая стала свидетелем подобного кейса, задумается о защите собственных активов и, вероятнее всего, возьмет за основу требования международного стандарта ISO/IEC 27001, который и поныне остается азбукой бизнес-ориентированного управления информационной безопасностью.

Корректно внедренные механизмы стандарта позволяют получить ответы на ключевые вопросы: какова реальная бизнес-цель ИБ компании; какие меры действительно нужны для её достижения; как оценить их результативность. В последнее время нередки случаи, когда компании – благодаря квалификации руководителей ИТ- и ИБ-подразделений или топ-менеджеров – не ждут инцидентов, а превентивно задумываются об управлении информационной безопасностью.

Что грядущий «нулевой день» нам готовит?

В лексикон специалистов по ИБ прочно вошло понятие «нулевого дня» (англ. 0day, zero day), обозначающее не устраненные уязвимости и вредоносные программы, против которых пока не выработаны защитные механизмы.

Суть получившего широкое распространение термина состоит в том, что у разработчиков оказывается 0 дней (то есть нисколько!) на исправление уязвимости: атака получает публичную известность еще до момента выпуска производителем программного обеспечения исправлений ошибки.

Самыми громкими атаками «нулевого дня» в 2017 году стали эпидемии печально известных вирусов-шифровальщиков WannaCry и Petya, от которых пострадали многие не только коммерческие, но и государственные организации, после чего на рынке резко вырос интерес к средствам защиты информации.

Таким, например, как «песочница» (sandbox) – информационная система, которая выявляет неизвестные подозрительные аномалии в элементах ИТ-инфраструктуры (в почте, web-трафике, на хостах пользователей), размещает их в изолированной защищенной среде и эмитирует работу корпоративных сервисов, чтобы на основе анализа ответной реакции понять – зловред-вымогатель перед вами или нет. Некоторые заказчики теперь приобретают не только традиционные антивирус и межсетевой экран, но и «песочницу».

Ряд клиентов осознанно внедряет системы предотвращения и защиты от утечек конфиденциальной информации (Data Leak Prevention, DLP). Сложность внедрения этих технологий напрямую зависит от того, какие категории информации в организации относят к конфиденциальным данным: очевидно, что реализовать DLP в отношении 10 категорий информации значительно проще, чем, скажем, для 50.

Растет интерес и к тестам на проникновение. Такие испытания стали обычным элементом жизненного цикла безопасности и вошли в перечень услуг консалтинговых и ИТ-компаний, включая «АйТеко».

Безопасность КИИ – о чем это?

С 1 января 2018 года вступил в силу закон 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

Это второй случай в российской истории государственного регулирования ИБ, когда обязательные требования по обеспечению безопасности информационных систем затрагивают не только госсектор, но и промышленные холдинги, и коммерческие компании различных отраслей, и даже индивидуальных предпринимателей.

Законопроект определяет требования к категорированию значимых объектов критической информационной инфраструктуры (КИИ), порядок госконтроля в области обеспечения их безопасности на различных этапах жизненного цикла и состав организационно-технических мер защиты.

Организации, подключаемые к ГосСОПКА – государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (внедрение которой призвано отсечь до 90% атак), – будут обязаны сообщать уполномоченным органам обо всех инцидентах в сфере ИБ и помогать им в расследовании.

Эксперты «АйТеко» считают, что как новый мощный драйвер, федеральный закон о безопасности КИИ даст еще больший толчок росту и развитию рынка ИБ России, чем в свое время 152-ФЗ о персональных данных.

И уже готовы давать разъяснения, что потребуется от попадающих под госрегулирование владельцев информационных систем, чтобы не «наступить на грабли» новых требований, а в идеале – внести вклад в укрепление государственной системы противодействия компьютерным атакам.

Поделитесь:

Еще про Информационную безопасность

3
Защищенные сети «ФосАгро»

За десять лет работы на российском рынке информационной безопасности департамент ИБ компании «АйТеко» реализовал около 150 проектов, часть которых становится настоящими историями успеха. Яркий пример – без малого пятилетнее успешное сотрудничество команды системного интегратора с химическим холдингом «ФосАгро».

Читать
7
Главные темы и спортсмены #ОИ2018 в русскоязычных соцмедиа

За время XXIII Олимпийских игр в Корее в русскоязычных соцмедиа в феврале 2018-го было опубликовано более 3 млн постов и комментариев об Олимпиаде. Главными темами стали успехи российских фигуристок, возродившаяся «красная машина», воля к победе участников лыжных гонок, дружеская поддержка друг друга спортсменами разных стран, курьезы и неожиданности соревнований. После предшествующих играм полыхающих допинговых скандалов инфополе самой Олимпиады сложилось на редкость позитивным, доказывая, что спорт – это по-прежнему мир.

Читать
Фокус
следующего месяца
Блокчейн
Эксперт темы
Вячеслав Гариев
Генеральный директор Инновационного центра "АйТеко"