Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №2 (140) за 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится авторская редакция статьи.
С развитием информационных технологий растёт и проблема информационной безопасности (далее по тексту ИБ). Угроз безопасности становится особенно много в последнее время. Ещё в конце 90-х, начале 2000-х годов компьютерные вирусы и особенно хакеры казались экзотикой. Теперь же каждый слышал о хищении средств с банковских счетов, сталкивался с утратой данных из-за действия вирусов. Вывод - с появлением новой реальности - современных информационных технологий, появились и неведомые ранее угрозы. И если удобство ИКТ осознали все, то необходимость в обеспечении ИБ «доходит» до многих после первых потерь.
Простои систем из-за сбоев, ошибок в программном обеспечении и в действиях сотрудников, утечка данных, заражение компьютерными вирусами и мн. др. - всё это угрозы информационной безопасности. Каждый раз, когда вы задумываетесь о конфиденциальности данных, их целостности и доступности по первому требованию - знайте, эта классическая задача, решаемая при обеспечении информационной безопасности.
Зачем заниматься вопросами ИБ? Как минимум это требования регулирующих органов. Особенно проработана эта тема в банковской отрасли, ЦБ выпускает свои инструкции по многим аспектам ИБ, да ещё и проверяет их выполнение. Не выполняете инструкции ЦБ - штраф. Кроме этого, у международных платёжных систем (VISA, MasterCard) есть свой стандарт по ИБ - PCI DSS. Если банк хочет работать с этими системами, то вынужден соответствовать требованиям стандарта и регулярно проводить внешний аудит на соответствие. Для всех госорганов Узбекистана независимо от сферы деятельности принят отдельный документ - «Требования обеспечения информационной безопасности органов государственного и хозяйственного управления, государственной власти на местах».
Для частного бизнеса информационная безопасности в большей степени вопрос существования на рынке. Не смог сохранить данные заказчиков в тайне - потерял репутацию. Информационный сервис надолго вышел из строя - все пользователи перебежали к конкурентам.
Если не начать заниматься вопросами ИБ заранее, то проблемы не заставят себя ждать. Не раз в нашей аудиторской практике встречались случаи, когда сотрудники, не получившие должное вознаграждение за выполненные работы, удаляли базу данных, файлы. А работодателю заявляли: «базу съел вирус». Т.к. никаких особых мер ИБ на предприятии не было, то руководству приходилось принимать такие оправдания и объяснения. Ведь часто сотрудникам приходится покупать за свой счёт носители данных (флешки), обращаться к услугам мастеров, консультантов по настройке систем. В итоге - всю информацию, накопленную в ходе работы, они считают своей и уносят её при увольнении. Часто таким образом «уходит» сначала база клиентов, а потом и сами клиенты у турфирм, банков, служб такси и т.д. Вы застрахованы от таких сценариев? Как?
На конкурентном рынке (для Узбекистана это банки, такси, платежные системы, службы доставки) любой инцидент с ИБ, связанный с раскрытием данных пользователей, приведет к массовому оттоку клиентов к конкурентам. Озаботиться ИБ нужно до этого, восстановить уже утраченный авторитет вряд ли удастся.
С чего же начать? Для предприятий, у которых существуют обязательные требования регуляторов, можно начать с GAP-анализа. Для тех, кто хочет управлять ИБ с использованием анализа рисков подойдёт SWOT-анализ. (Эти методики, наверняка, уже освещались на страницах издания. Их подробное описание весьма объемно и выходит за рамки статьи). Для знакомых с системой менеджмента качества, представить проблематику ИБ будет проще, т.к. существует профильный стандарт ISO 27001, основанный на хорошо известном процессном подходе.
У крупных предприятий давно уже существует не только отдел охраны, но и отдел информационной безопасности. Но и тут не всё так просто. На рынке вакансий специалист по ИБ сейчас одна из самых востребованных специальностей. Отделы ИБ открылись во всех банках, госорганах, а где взять сразу столько специалистов? Готовых специалистов по ИБ очень мало, а с опытом работы – и того меньше. Все они, как правило, уже хорошо трудоустроены в крупных компаниях или сами работают консультантами, аудиторами. Существующая в Узбекистане система образования не может подготовить необходимое число компетентных специалистов по ИБ. Предприятиям некогда ждать, пока ВУЗы разработают программу, обучат за 4 года бакалавров, пока те наберутся опыта. Программы ВУЗов просто не успевают подстраиваться под быстро меняющиеся технологии. Блокчейн, большие данные (Big Data), интернет вещей (IoT), виртуализация, облачные вычисления - эти технологии вовсю применяется в бизнесе, но этому не учат в ВУЗах. Поэтому предприятию придется способствовать повышению компетенции имеющихся специалистов – направлять на профильные курсы, способствовать самообразованию. Вывод - растить и воспитывать специалиста по ИБ нужно самим.
Часто говорят, что затраты на ИБ это прямые убытки - от внедрения различных защитных механизмов информационные системы работают медленнее. Антивирус «тормозит» компьютеры, пароли нужно придумывать, менять, запоминать. Это все потери времени, а значит и денег. Но, делая прививку или придерживаясь здорового образа жизни, мы считаем эти мероприятия убыточными? Нет - мы инвестируем в себя.
Многие компании гордятся внедрением СМК, тем, что выпускают продукцию по ГОСТу, сертификатом «Халол». Так и с ИБ при грамотном подходе можно подать внимание к безопасности как конкурентное преимущество. Если какой-то банк заявит, что провёл аудит ИБ, инвестирует в безопасность миллионы и миллиарды, обучает своих специалистов ведь мы же будем больше доверять такому банку? Особенно по сравнению с тем, кто об этом не заявил, а потратил все деньги на наружную рекламу и розыгрыш очередного автомобиля.
В качестве резюме. Начало процесса обеспечения информационной безопасности можно в целом обозначить следующими шагами:
• Ключевой момент необходимо, чтобы высшее руководство понимало и было главным заинтересованным в обеспечении информационной безопасности.
• Определение ответственных лиц, наделение их полномочиями, выделение им отдельного бюджета, создание кадрового резерва.
• Очень эффективной мерой является проведение независимого внешнего аудита ИБ - нужно осознать масштабы проблемы, получить экспертную консультацию.
• Внедрение технических средств, разработка регламентов и инструкций, обучение/инструктаж всех сотрудников.
• Внедрение ИБ как постоянного элемента всех производственных процессов. Появился даже термин - кибергигиена. Для специалиста по ИБ важно построить отношения с рядовыми сотрудниками, чтобы они знали его в лицо и воспринимали как коллегу и помощника, а не как «большого брата», который исподтишка следит за ними и «стучит» начальству. Задача очень непростая. Как и в вопросах пожарной безопасности, в ИБ задействованы все сотрудники, правильные действия рядового пользователя могут предотвратить возникновение больших проблем.
И на всех этапа необходимо постоянное обучение и повышение квалификации. Казалось бы, стандартная схема, цикл PDCA (Plan-Do-Check-Act). Но всё это на фоне сложнейших постоянно меняющихся технологий, множества внешних (вирусы, конкуренты, проверяющие) и внутренних угроз (от протечек и кражи оборудования до элементарного отсутствия электроснабжения). Пора начинать - дорогу осилит идущий.