Оформите запрос на демонстрацию системы

Мы свяжемся с вами в течение одного рабочего дня, чтобы определить ваши потребности и удобный формат демонстрации системы DIRECTUM:

Заказать демонстрацию

По вопросам выбора и приобретения:
present@directum.ru
+7 (341) 272-11-00

Вверх
@DIRECTUMCompany:   Пожалуйста, подождите, загружаем данные из twitter...

Что происходит с корпоративной ИБ сегодня

Российский рынок информационной безопасности (ИБ), по оценкам аналитиков, в 2014 г. в сопоставимых ценах не изменился, в текущего году ожидается его падение. Однако это не означает снижения внимания российских корпоративных заказчиков к вопросам ИБ. Представители государственного и частного секторов в нынешних сложных экономических и политических условиях пытаются выделить наиболее актуальные ИБ-задачи, на решении которых следует сосредоточить сокращающиеся ИБ-бюджеты.

По оценкам J’son & Partners Consulting, в 2014 г. объем российского рынка средств и услуг в сфере информационной безопасности (ИБ) вырос на 13% до 51 млрд руб., в сопоставимых ценах его динамика была близка к нулю. В этом году аналитики ожидают падение российского рынка ИБ в сопоставимых ценах. Затраты на обеспечение ИБ сегодня зачастую бывают сопоставимы со стоимостью защищаемых ресурсов, а со временем, возможно, и превысят ее, ведь по мере развития инфотелекоммуникационных технологий (ИКТ) повседневная практика становится все более зависимой от них.

Корпоративная безопасность: факторы влияния

В числе наиболее важных вызовов эксперты единодушно называют мобильный пользовательский доступ к ИКТ-ресурсам, интернет вещей, большие данные, получающие все более широкое распространение облачную архитектуру ИТ и облачные сервисы общего доступа. Большую угрозу для ИБ представляет также индустриализация киберпреступности, то есть ее организация и развитие по тем же принципам, что и у легитимных отраслей экономики.

Тенденции, меняющие отрасль ИБ

Источник: Сколково, 2015

Как важный фактор воздействия на отрасль ИБ страны председатель комитета по информационной безопасности НП НСФР Андрей Курило выделил усиление напряженности во внешнеполитической сфере, наиболее явными последствиями чего, по его мнению, стали уход с российского рынка ряда иностранных вендоров и развиваемое в ответ импортозамещение.

В условиях импортозамещения направление ИБ выдвинулось для российских инвесторов и разработчиков на первый план. Так, по словам руководителя направления «Безопасные информационные технологии» в центре «Сколково» Сергея Ходакова, профильные технологии стали одними из ключевых в кластере информационных технологий этого инновационного проекта. Он сообщил о том, что за 2014 г. выручка от ИБ-проектов в «Сколково» превысила 1 млрд руб., продемонстрировав рост за год на 40%.

Отраслевые особенности ИБ сегодня

Выступившие на конференции CNews «Информационная безопасность бизнеса и госструктур: развитие в новых условиях», представители российского банковского бизнеса, одного из наиболее зрелых в области ИБ в стране, рассказали об актуальных как для своего бизнес-сегмента, так и общих для частных и государственных структур проблемах в сфере информационной безопасности. По мнению Андрея Курило, на улучшении ИБ-климата в стране ощутимо сказались (пусть и малочисленные) успешные операции МВД РФ. Эти операции выбили из рядов преступников специалистов и заставили их вместо кибервоздействия прибегать к традиционным силовым приемам, вроде взломов банкоматов, вооруженных нападений на инкассаторов и отделения банков.

Мошенничество с бумажными документами стимулирует использование в стране электронного документооборота, что в свою очередь актуализирует решение задач практического применения электронной подписи (в том числе и усиленной), включая использование сервисов ФГИС ЕСИА, а также создание единых хранилищ-депозитариев для электронных документов.

Характеризуя тенденции в изменении ландшафта ИБ-угроз и систем обеспечения ИБ (СОИБ), Андрей Курило. отметил, что наряду с такими традиционными угрозами, как DDoS-атаки, которые теперь доступны по цене даже для начинающих злоумышленников, острой проблемой стали таргетированные атаки (APT). Их подготовка сложна и дорога для злоумышленников, зато столь же сложна и дорога защита от них для атакуемых. Как правило, сегодня APT-атаки оказываются для злоумышленников успешными.

Начальник управления режима ИБ департамента защиты информации Газпромбанка Алексей Плешков отметил, что со стороны внутренних пользователей в отношении корпоративной информационной безопасности сложился ряд негативных стереотипов. ИБ считается помехой для развития бизнеса, и баланс между безопасностью и удобством при выполнении должностных обязанностей невозможен. Считается, что можно не тратиться на дорогие ИБ-технологии – все задачи можно решить организационно. Если в компании нет инцидентов, значит ИБ-служба ничего не делает. Защищаться нужно только от известных угроз, а те, на возможность которых указывает ИБ-служба, можно игнорировать.

Результаты опроса: Какой информацией на мобильном устройстве вы дорожите больше всего?

Источник: Eset, 2015

Чтобы преодолеть эти стереотипы, Алексей Плешков рекомендует ИБ-специалистам постоянно общаться с пользователями на понятном им языке, оперируя примерами из повседневной жизни (в том числе, вне корпоративной – к таким примерам пользователи более чувствительны), искать союзников для ИБ-проектов, постоянно демонстрировать результаты своей работы, действовать на опережение, а не только реагировать на случившиеся инциденты, несмотря на сопротивление со стороны бизнеса. Начальник управления по обеспечению информационной безопасности банка «Санкт-Петербург» Анатолий Скородумов, оппонируя коллеге, напомнил о том, что направление ИБ в большой степени является ведомым, следующим за бизнесом и за ИТ, и поэтому исходить в своей деятельности ИБ-службе, в первую очередь, следует из требований бизнеса и особенностей состояния ИТ.

Инженер информационной безопасности клиники «Медицина» Сергей Смолин остановился на все еще острой для российской медицины (и не только) проблеме обеспечения информационной безопасности персональных данных (ПДн). Он отметил, что среди операторов ПДн по-прежнему в ходу упование на то, что проверки Роскомнадзора их минуют, а если нет, то с проверяющими можно будет договориться, ну а на худой конец выплатить штрафы, что все равно дешевле внедрения системы защиты ПДн.

Клиника «Медицина» (первой в стране среди медицинских учреждений) сертифицировала свою систему управления ИБ на соответствие международному стандарту ISO27001:2013, и тем не менее в своей практике по-прежнему сталкивается со сложностями защиты ПДн в соответствии с регуляторными требованиями. Среди них Сергей Смолин отметил неоднозначность трактовок и несогласованность между собою действующих законов и норм и «внезапность» их изменений, сложность определения на практике категорий субъектов ПДн и выполнения технически и организационно некоторых регулятивных требований, противоречия между производственными задачами клиники и требуемым законом обеспечением безопасности ПДн.

Решению ряда коллизий с законами, по словам Сергея Смолина, помогает подписываемое с пациентами соглашение на обработку их ПДн, текст которого в клинике пересматривается ежегодно. Важными для результативной безопасности ПДн он считает аттестацию и сертификацию информационных систем, регулярные независимые аудиты, техническую и юридическую поддержки.

Как повысить безопасность

Прежде чем браться за повышение уровня корпоративной ИБ, по мнению Андрея Курило, нужно наладить регулярный контроль и анализ состояния достигнутого уровня, а также планирование и реализацию мер его восстановления. Допустимый период для выработки и реализации таких мер, по его оценкам, не должен превышать 1–1,5 лет.

В условиях быстрого усложнения инфраструктуры платежей и способов их инициации, появления новых предназначенных для этого решений, глава департамента управления рисками платежной системы Visa в России Олег Скородумов указывает на возможность снижать требования к защите от ИБ-угроз за счет реорганизации бизнес-логики, например обезличивания данных, где это возможно, перестройки бизнес-процессов таким образом, чтобы в приложения передавалась исключительно та часть данных, которая ими обрабатывается, и не более. В платежных системах такой подход нашел воплощение в токенизации платежных карт, когда их реальные номера хранятся только в надежно защищенных хранилищах, а операции в системе производятся над токенами-суррогатами, уникальными для разных участников системы.

Есть и другие аспекты обеспечения информационной безопасности в индустрии платежей. По мнению Андрея Курило, положительно сказывается на ИБ онлайновых банковских операций разработанная для платежной системы Visa технология 3-D Secure, в которой используется двухфакторная аутентификация пользователей через передаваемые по SMS разовые пароли. В то же время крайне желательна корректировка закона «О персональных данных» в целях легализации обмена данными о так называемых «дропперах» (преступниках, которые занимаются обналичиванием украденных с банковских счетов денежных средств) между банками, силовиками и другими структурами, заинтересованными в противодействии мошенничеству в банковской сфере.

Требования к ИБ в «Мире IoS»

О грядущих стратегических изменениях в корпоративной ИБ рассказал Александр Герасимов. По его мнению, в условиях активного использования киберпреступниками облачных технологий для реализации сервисной модели предоставления средств для проведения кибератак важно иметь ввиду, что эффективно бороться с такими атаками можно, только используя аналогичные подходы, то есть строить защиту через облачные ИБ-сервисы. Каким бы настороженным к ним ни было отношение сегодня, оно неизбежно сменится активным использованием сервисов в ближайшем будущем.


Источник: Валерий Никонов, safe.cnews.ru

Кнопка
связи