Российские CIO за минимизацию рисков
Минимизация рисков становится одним из основных приоритетов для CIO по мере все большего проникновения ИТ в бизнес российских компаний. Вопросы обеспечения непрерывности и безопасности бизнеса легли в основу обсуждения на прошедшем форуме «IT-Лидер». В этом году тема форума была выбрана таким образом, что возникшая дискуссия стала логическим продолжением прошлогодней. По мнению организаторов, которыми выступили Ассоциация менеджеров России, группа компаний «РосБизнесКонсалтинг» и компания КРОК, «минимизация рисков внедренияФорум начался с пленарного заседания, на котором с докладом выступил
Первая панельная дискуссия была посвящена вопросам обеспечения гарантированной доступности критичных приложений, ее модератором был Руслан Заединов, руководитель направления центров обработки данных компании КРОК. В ходе дискуссии были рассмотрены основные пути преодоления рисков, а CIO поделились своим опытом и видением данной проблемы. Были затронуты как техническая, так и организационная стороны данного вопроса.
Не касаясь вопросов технической реализации построения ЦОД, резервирования и физической защиты данных, хотелось бы отметить важность организационных мер, о которой говорили участники. Так Руслан Русавский, начальник отдела системного программирования и администрирования
Темой второй панельной дискуссии стала информационная безопасность критичных процессов. В связи с зависимостью практически любого современного бизнеса от ИТ, перед компаниями остро встает вопрос обеспечения информационной безопасности. И в первую очередь при построении систем защиты должно обращаться внимание на актуальность и экономическую обоснованность систем защиты в каждом конкретном случае таковым был один из заглавных тезисов выступления Михаила Башлыкова, руководителя направления информационной безопасности компании КРОК. Здесь сразу встает вопрос об оценке рисков ИБ направлении, которое до сих пор практически не получило распространения в России.
Garner выделяет четыре уровня зрелости компании с точки зрения ИБ:
- Фаза 0, «охота и собирательство» (парольная защита, списки управления доступов на уровне и средствами ОС и СУБД).
- Фаза 1, «феодальная» (Антивирусы, firewalls, VPN, SSL, шифрование данных).
- Фаза 2, «возрождение» (PKI, системы управления доступом, SSO (Single
Sign-On , единая точка доступа), IDS (системы обнаружения атак), системы контентной фильтрации). - Фаза 3, «индустриальная» (DPM (системы управления правами), аудит, системы управления информационной безопасностью & global PKI, контроль целостности).
По мнению участников дискуссии, большинство отечественных компаний находятся на фазе 0 и 1, то есть на фазах «собирательства и феодализма». Тем не менее, этот факт нельзя расценивать как показатель уровня защищенности. Согласно принципу Парето, для получения 80% результатов уходит 20% всех затраченных ресурсов. Этот принцип относится и к информационной безопасности. И для большинства компаний подобный уровень развития гарантирует необходимую степень защиты.
Проблема в том, что в России оценка информационных рисков еще не получила должного распространения и велика вероятность, что для определенной компании недостаточно этих 80% уровня защиты, причем об этом не знает ни ее руководство, ни служба ИБ.
В большинстве случаев руководство компании не в курсе существующих информационных рисков, а
Решение о защите тех или иных ресурсов должен принимать, как ни парадоксально это звучит,
Также в ходе обсуждения был затронут известный вопрос о наиболее актуальных угрозах информационной безопасности. Здесь мнение всех выступающих было единогласным внутренние нарушения являются наиболее опасными для компании. Интересен тот факт, что согласно исследованию, проведенному компанией Infowatch, большинство респондентов (62%) назвали действия инсайдеров одной из самых опасных
Источник: Infowatch, 2004 г.
В то же время, как показало исследование и как отмечали участники форума, несмотря на то, что все компании знают об опасности внутренних угроз, только некоторые их них предпринимают действия для решения данной проблемы. Число компаний, внедривших современные решения по разграничению и управлению доступом, чрезвычайно мало.
Третья панельная дискуссия была посвящена технологиям, призванным обеспечить соответствие изменяющихся требований бизнеса и возможностей