11 Ноября 2005 14:11 11 Ноя 2005 14:11 |

Поделиться

Российские CIO за минимизацию рисков

Форум начался с пленарного заседания, на котором с докладом выступил д-р Александр Петерс, главный аналитик, руководитель CIO Group (Dr Alexander Peters, CIO Group Principal Analyst) международной исследовательской компании Forrester Research. В своем выступлении д-р Александр Петерс поделился с участниками мировым опытом применения концепции непрерывности бизнеса, ее экономических и технологических аспектов, а также рассказал о тех выводах, которые сделало мировое ИТ-сообщество из уроков 11-го сентября и урагана «Катрина».

Первая панельная дискуссия была посвящена вопросам обеспечения гарантированной доступности критичных приложений, ее модератором был Руслан Заединов, руководитель направления центров обработки данных компании КРОК. В ходе дискуссии были рассмотрены основные пути преодоления рисков, а CIO поделились своим опытом и видением данной проблемы. Были затронуты как техническая, так и организационная стороны данного вопроса.

Не касаясь вопросов технической реализации построения ЦОД, резервирования и физической защиты данных, хотелось бы отметить важность организационных мер, о которой говорили участники. Так Руслан Русавский, начальник отдела системного программирования и администрирования МДМ-Банка, поделился своим опытом в области обеспечения гарантированной доступности критичных приложений: «Построить инфраструктуру, соответствующую запросам бизнеса по доступности приложений, еще недостаточно для того, чтобы обеспечить непрерывность бизнеса. Важно, чтобы сотрудники банка четко представляли последовательность своих действий в случае возникновения критических ситуаций. Поэтому в МДМ-Банке существует утвержденный топ-менеджерами план регулярных тренировок как для ИТ-специалистов, так и для руководителей бизнес-подразделений».

Темой второй панельной дискуссии стала информационная безопасность критичных процессов. В связи с зависимостью практически любого современного бизнеса от ИТ, перед компаниями остро встает вопрос обеспечения информационной безопасности. И в первую очередь при построении систем защиты должно обращаться внимание на актуальность и экономическую обоснованность систем защиты в каждом конкретном случае — таковым был один из заглавных тезисов выступления Михаила Башлыкова, руководителя направления информационной безопасности компании КРОК. Здесь сразу встает вопрос об оценке рисков ИБ — направлении, которое до сих пор практически не получило распространения в России.

Garner выделяет четыре уровня зрелости компании с точки зрения ИБ:

• Фаза 0, «охота и собирательство» (парольная защита, списки управления доступов на уровне и средствами ОС и СУБД).
• Фаза 1, «феодальная» (Антивирусы, firewalls, VPN, SSL, шифрование данных).
• Фаза 2, «возрождение» (PKI, системы управления доступом, SSO (Single Sign-On, единая точка доступа), IDS (системы обнаружения атак), системы контентной фильтрации).
• Фаза 3, «индустриальная» (DPM (системы управления правами), аудит, системы управления информационной безопасностью & global PKI, контроль целостности).

По мнению участников дискуссии, большинство отечественных компаний находятся на фазе 0 и 1, то есть на фазах «собирательства и феодализма». Тем не менее, этот факт нельзя расценивать как показатель уровня защищенности. Согласно принципу Парето, для получения 80% результатов уходит 20% всех затраченных ресурсов. Этот принцип относится и к информационной безопасности. И для большинства компаний подобный уровень развития гарантирует необходимую степень защиты.

Проблема в том, что в России оценка информационных рисков еще не получила должного распространения и велика вероятность, что для определенной компании недостаточно этих 80% уровня защиты, причем об этом не знает ни ее руководство, ни служба ИБ.

Как ИИ помог «Авито» стать крупнейшим и безопасным классифайдом в мире

искусственный интеллект

В большинстве случаев руководство компании не в курсе существующих информационных рисков, а ИТ-службы и службы ИБ, в свою очередь, не знают стоимость защищаемой информации, что не позволяет правильно расставлять акценты при построении систем защиты. В любом случае, компания несет материальные потери — либо по причине необоснованных трат на ИБ при попытке организовать 100%-ную защиту, либо в результате недостаточных инвестиций, приводящих к утечке информации.

Решение о защите тех или иных ресурсов должен принимать, как ни парадоксально это звучит, топ-менеджмент компании, а не служба ИБ или ИТ, отметил Михаил Емельянников, начальник отдела департамента безопасности ОАО «Связьинвест». Именно топ-менеджмент имеет достоверную информацию о ценности информации в компании, и именно они должны инициировать ее защиту, реализация которой уже в свою очередь ложится на плечи службы ИБ. Поэтому очень важен диалог между службой ИБ и высшим менеджментом, в результате которого обе стороны будут в нужной мере информированы о проблеме и путях ее решения.

Также в ходе обсуждения был затронут известный вопрос о наиболее актуальных угрозах информационной безопасности. Здесь мнение всех выступающих было единогласным — внутренние нарушения являются наиболее опасными для компании. Интересен тот факт, что согласно исследованию, проведенному компанией Infowatch, большинство респондентов (62%) назвали действия инсайдеров одной из самых опасных ИТ-угроз. Еще 44% указали, в числе прочих, халатность сотрудников. Все эти угрозы относятся к внутренним нарушениям.

Не просто техподдержка: как вендор ВКС развивает сервис

Телеком

В то же время, как показало исследование и как отмечали участники форума, несмотря на то, что все компании знают об опасности внутренних угроз, только некоторые их них предпринимают действия для решения данной проблемы. Число компаний, внедривших современные решения по разграничению и управлению доступом, чрезвычайно мало.

Третья панельная дискуссия была посвящена технологиям, призванным обеспечить соответствие изменяющихся требований бизнеса и возможностей ИТ-решений. Модератор дискуссии — Александр Буйдов, директор по информационным технологиям компании КРОК, рассказал о существующих решениях этой задачи как с точки зрения обеспечения гибкости ИТ-инфраструктуры, так и бизнес-приложений. Особое внимание было уделено использованию виртуальных машин, позволяющих при определенных условиях не только значительно ускорить работу приложений, но и сделать их значительно более гибкими. Также обсуждалось использование терминальных технологий, которые сейчас набирают популярность при построении корпоративных информационных систем. Однако Сергей Кирюшин, заместитель генерального директора по информационным технологиям ОАО «Аэрофлот — Российские авиалинии», в своем выступлении отметил, что «терминальные технологии не являются решением всех проблем, особенно при обеспечении доступа к уже существующим системам — это просто решение локальных задач. Другое дело, когда терминальные системы используются для оснащения новых рабочих мест — в этом случае это экономически выгодное решение».

Поделиться

Подписаться на новости Короткая ссылка