Поделиться
Эффективность ИБ: смогут ли бизнес и власть договориться?
Одновременно с ростом рынка информационной безопасности увеличиваются затраты компаний на ИБ. В этой связи обозначилась тенденция соединения усилий государства и бизнеса в вопросе эффективного и экономичного управления ИБ. Именно в этом эксперты видят резервы успешного противостояния киберкриминалу, особенно тогда, когда ИБ встроена в систему комплексной безопасности инфраструктурных отраслей экономики. Данная проблема обсуждалась на круглом столе "ИБ на страже бизнеса и госструктур", организованном CNews Analytics и CNews Conferences.Михаил Башлыков: Зарекомендовавшей себя практики в области защиты ПД пока не существует
На вопросы CNews ответил Михаил Башлыков, руководитель направления информационной безопасности компании "Крок".
CNews: Что вы понимаете под термином "информационная безопасность?"
Михаил Башлыков: Информационная безопасность – это, в первую очередь, обеспечение в компании организационными мерами и техническими механизмами такого режима использования информации, при котором cохраняется ее конфиденциальность, целостность и доступность, а применяемые меры защиты адекватны существующим рискам. Под адекватностью необходимо понимать оптимальное соответствие между возможными потерями (финансовыми, репутационными и др.) от потенциальных угроз и уровнем финансовых вложений в комплексную систему обеспечения информационной безопасности.
CNews: Как в современных условиях обеспечить защиту персональных данных?
Михаил Башлыков: Персональные данные – это одна из категорий конфиденциальной информации. Пристальное внимание в нашей стране к этому вопросу возникло на фоне появления федерального закона "О персональных данных" и нормативных документов ФСТЭК, конкретизирующих требования по их защите.
Думаю, что выбор организационных мер и технических средств защиты оператором персональных данных должен быть основан на требованиях российских нормативно-правовых документов. Но в настоящий момент пока не существует зарекомендовавшей себя практики в области защиты персональных данных в силу свежести нормативной документации, однако работы в этом направлении активно ведутся. И полагаю, что в ближайшее время стоит ожидать улучшений в данной области. С большой вероятностью в качестве основы при обеспечении персональных данных будут браться стандартные принципы, применяемые при обеспечении информационной безопасности конфиденциальной информации.
CNews: Насколько важно обеспечение служебной тайны, какие сложности есть в этом направлении?
Михаил Башлыков: Служебная тайна – это важнейшая категория конфиденциальной информации для большинства организаций, поскольку качество обеспечения ее защиты может напрямую влиять на успешность и устойчивость бизнеса в целом.
Типичные проблемы, возникающие в этой области, как правило, связаны с несколькими моментами. Это отсутствие в компании перечня сведений конфиденциального характера, классификатора конфиденциальной информации по различным категориям, нормативной документации, описывающей требования, регламенты и инструкции при работе с данными, отнесенными к конкретной категории конфиденциальной информации. Помимо этого, проблемы могут быть связаны с нарушениями при исполнении представленных в нормативной документации принципов защиты конфиденциальной информации.
Таким образом, в основе обеспечения служебной тайны должно находиться неукоснительное исполнение представленных в нормативной документации принципов защиты конфиденциальной информации, утвержденных руководством и соответствующих требованиям законодательства.
CNews: В каких областях, на ваш взгляд, возможна количественная оценка ИБ?
Михаил Башлыков: Думаю, что количественно можно оценивать следующие характеристики: риски информационной безопасности в отношении информационных активов, ценность которых может быть оценена количественно, затраты на работы, связанные с проектированием, поставкой, наладкой и поддержкой систем обеспечения ИБ и затраты на обеспечение и поддержание организационных процессов обеспечения ИБ.
CNews: Готовы ли современные СЭД к обеспечению защиты персональных данных? К комплексной ИБ-защите?
Михаил Башлыков: СЭД, в которых уже существуют механизмы обеспечения защиты конфиденциальной информации, – готовы, хотя, возможно, им потребуется доработки в соответствии с нормативно-правовыми документами. В любом случае, степень готовности конкретной СЭД должна определяться на основе категории обрабатываемых в ней персональных данных.
Короткая ссылка
