Киберпреступность называют бичом современного постиндустриального общества. Об информационной безопасности говорят на любом мероприятии, так или иначе посвященном ИТ. В рамках конференции "Информационная безопасность бизнеса и госструктур" обсуждалось, какие тренды в сфере ИБ существуют, как меняется мышление и для кого наиболее важен аспект безопасности: для частных или государственных организаций? Выводы оказались любопытными.
В качестве противодействия Николай Здобнов предложил классические меры: внедрить специализированные средства защиты от утечек, осуществить категоризацию данных в масштабе компании, провести мониторинг всех внутренних и внешних информационных потоков и сделать аудит безопасности кода бизнес-приложений. Не стоит забывать и о таких субъективных факторах, как настроение и лояльность сотрудников – за этими изменениями тоже стоит следить.
"Облачная" безопасность и ЦОДы
Ренат Юсупов, старший вице-президент компании Kraftway, снова предложил поднять тему безопасности миграции в облачную инфраструктуру. "С точки зрения приложений, сервисов, которые функционируют в ЦОДах, здесь все в порядке, можно использовать старые способы защиты. Но как только пользователь выходит за защищенный корпоративный периметр и обращается к облачными сервисами через публичную сеть Интернет, его защищённость резко падает. Это означает, что возникает угроза утечки информации у самого пользователя и появляется угроза проникновения в облачные сервисы через незащищённый клиент.
Владимир Артемьев, начальник управления защиты электронных информационных ресурсов "Банка России" тоже затронул вопросы безопасности в "облаке". В данный момент в "Банке России" тестируется облачная среда. Основные проблемы с безопасностью здесь возникли в области документации. Сейчас в банке нет положения, которое бы описывало требования к ИБ в виртуализованной среде. Разработка требований начата, но пока не окончена. Далее, в соответствии с этими требованиями будет вестись разработка соответствующих системно-технических решений по защите.
Вопросы построения защищенного ЦОД решил обсудить Константин Казаков, руководитель проекта Департамента безопасности информационных технологий Группы компаний МАСКОМ: «Основной упор мы делаем на построении защищенных решений, интегрированных в Центр Обработки Данных (ЦОД). Не стоит опасаться перехода на ЦОД, эффективность работы организации ни в коем случае не пострадает. В частности – рядовой пользователь продолжает работать в привычном для него IT пространстве, несмотря на то, что он уже фактически работает в пространстве ЦОД. При этом пользователь получает кроме основных преимуществ ЦОДа, таких как надежность и производительность систем, дополнительно более высокий уровень информационной безопасности, недостижимый при использовании локальных вычислительных систем. А экономия на безопасности – это непозволительная роскошь в наше время».
Информация как бизнес-актив
Типичная проблема, с которой на разных местах работы сталкивался Михаил Рыстенко, директор по информационным технологиям компании "Альбатрос Карго", касалась информации. Ее много, она разнородна и неструктурирована, поступает в том числе из нестандартизируемых источников – и всю эту массу нужно охранять, причем сразу же возникает вопрос: а что именно мы так тщательно охраняем? "Если подходить к этому только с точки зрения директора по ИБ или только ИТ-руководителя, то проблема не решается. Мы попытались решить эту проблему с помощью построения модели данных. Затем осуществлялась проверка их целостности. Последний шаг – построение системы представления информации".
Дмитрий Стуров, начальник управления информационной безопасности "Ренессанс Кредит", полагает, что информация настолько важна, что вообще стоит пересмотреть видение проблемы безопасности. Парадигма должна измениться от "защиты периметра" к "защите данных". При защите периметра ресурсы разделяются на внешние и внутренние, причем если внутренняя зона более-менее безопасна, внешняя остается под угрозой. Вся стратегия строится на том, что стараются не пускать данные из внешней зоны во внутреннюю. Основные недостатки такого подхода заключаются в том, что мобильный или удалённый доступ размывают периметр, нет прямой связи между данными и необходимым уровнем защиты, и невозможно защитить данные на всех периодах жизненного цикла.
Смена парадигмы не исключает наличия периметра безопасности. Фокус внимания смещается с инфраструктуры на сами данные, и уже их ценность определяет требования по защите. При этом данные защищаются во всех трех состояниях сразу, на всех этапах жизненного цикла, независимо от расположения.
С тем, что информации, как активу, приносящему прибыль, нужно уделять повышенное внимание, согласен Роман Чаплыгин, директор по информационной безопасности банка DeltaCredit. В его организации была проведена инвентаризация таких информационных активов с целью понять: с какой информацией работают сотрудники, где она находится и кто имеет к ней доступ. Результатом проекта стала группировка информации, введение классификации. Были выполнены требования стандартов, процедуры — формализованы. Как следствие, повышен уровень как информационной безопасности, так и общий уровень осведомленности компании в этой сфере, усовершенствована культура обращения и отношения к информации в целом.
Презентации участников конференции
