Проблема обеспечения безопасности продолжает оставаться актуальной. Современный мир диктует иные условия и предоставляет новые возможности для киберзлоумышленников. О том, как противостоять им, насколько реально сейчас создать действительно эффективную защиту и что умеют современные решения, говорили участники конференции "Безопасность бизнеса. Технологии 2012", организованной РБК.
Эффективное средство защиты здесь только одно – создавать оболочку безопасности BIOS и строить доверенную систему загрузки, которая интегрирует в себе разные средства безопасности.
При этом Ренат Юсупов не имел в виду далекое будущее. Уже сейчас Kraftway в партнерстве с ведущими отечественными ИБ-вендорами перешел от слов к делу. Одно из внешних его проявлений – альянс с Fujitsu и начало производства в России на базе платформ Fujitsu решений, защищенных в соответствии с нормативной базой РФ по информационной безопасности.
Банки не верят теоретическим расчетам
"Как бы кропотливо и тщательно вы ни готовили выборку, вам всегда могут сказать, что она неправильна и неприменима к данной проблеме", - такой эпиграф к своему докладу выбрал Павел Головлев. Будучи начальником управления безопасности Информационных технологий "СМП Банка", он перенес дискуссию в практическую плоскость. А именно – каков должен быть оптимальный бюджет на ИБ в отечественных банках.
Если взять на вооружение выкладки ИБ-теоретиков и перемножить с помощью нехитрой формулы элементы рисков, а потом получившуюся цифру принести руководству банка, то гарантированно можно услышать фразу "Не верю!" Все дело в сложности ИТ-инфраструктуры банка, динамике изменений ее самой и спектра окружающих ее угроз. А еще - в требованиях нормативных актов.
С фактами и цифрами на руках г-н Головлев попытался доказать альтернативную методологию расчета ИБ-бюджетов. Опирался при этом он на "Инструкцию Банка России №110-И", п.4.1 и 4.2 положения Банка России от 31 мая 2012г. №380-П "О порядке осуществления наблюдения в национальной платежной системе".
Используя цифры от ведущих аналитических агентств и требования нормативных актов, он вывел, что сумма в 10% от уровня покрытия операционного риска оптимальна и с точки зрения безопасников, и с точки зрения экономистов банка, оптимизирующих величины резервы банков.
Экономически выгодно опережать преступников
Артему Павлову, руководителю агентства экономической и кадровой безопасности D.I., нашлось, что ответить г-ну Головлеву. Действительно, будучи людьми технического склада, представители служб безопасности иногда упускают из виду малозатратные, но не менее эффективные средства.
Все дело в том, что ИБ – это лишь часть общего контура персональной, экономической и государственной безопасности. Она - их подсистема, причем самая дорогостоящая, часто на первый взгляд – затратная. В погоней за ней компании позабыли о людях и современных методах работы с ними.
Г-н Павлов призвал присутствующих не вязнуть в ортодоксальности, а также не забывать о разумном комбинировании всех методов защиты. Задача – опережать преступников, а для этого необходимо систематическое обобщение опыта работы профессионалов, формирование воедино лучших практик в отраслевые стандарты.
Кто сможет разграничить права регуляторов?
Последующие выступления Владимира Щербины, директора научно-исследовательского центра ВАНКБ, и Михаила Дубинина, президента Ассоциации "Национальный союз организаций в области обеспечения пожарной безопасности", стали поводом для диспута.
Владимир Щербина начал оптимистично. Он сообщил, что в Германии начата работа с привлечением Германской комиссии электротехники, электроники и информационных технологий (DKE) Германского института по стандартизации (DIN) и VDI по подготовке национальных немецких стандартов и проектов европейских стандартов CENELEC на основе положений серии российских стандартов серии ГОСТ Р 53195.
Тем не менее, по словам Дубинина, на фоне плачевной статистики, касающейся профилактики и борьбы с пожарами, два профильных надзорных органа долгие годы не могут решить дилемму двойного регулирования в области обеспечения пожарной безопасности. А это в свою очередь тянет целых шлейф проблем в смежных секторах.
Мелочей в работе служб безопасности не может быть
В финальной части форума Константин Сергеев, руководитель исполнительного комитета Союза руководителей служб безопасности Урала, остановился на новых трендах в подходах к безопасности компании. а примере провокации сотрудника охраны в одном из гипермаркетов Екатеринбурга г-н Сергеев наглядно показал, что повышение требований к профессиональной подготовке специалистов по безопасности становится сейчас архиважной задачей.
В их арсенале должны появиться инструменты раннего выявления информационных угроз для репутации компании и нивелирования их негативного воздействия. И только тесная интеграция всех контуров безопасности бизнеса может дать реальный результат.
Презентации участников конференции