Тематический бюллетень
| Вид материала | Бюллетень |
- Тематический бюллетень, 1078.94kb.
- Тематический бюллетень, 1186.6kb.
- Тематический бюллетень, 656.11kb.
- Тематический бюллетень, 870.43kb.
- Тематический бюллетень, 1019.68kb.
- Тематический бюллетень, 853.6kb.
- Тематический бюллетень, 876.73kb.
- Тематический бюллетень, 897.18kb.
- Бюллетень новых поступлений 2007 год, 816.76kb.
- Бюллетень новых поступлений 2007 год, 897.56kb.
04.07.08 13:14
Эффективность ИБ: смогут ли бизнес и власть договориться?
Одновременно с ростом рынка информационной безопасности увеличиваются затраты компаний на ИБ. В этой связи обозначилась тенденция соединения усилий государства и бизнеса в вопросе эффективного и экономичного управления ИБ. Именно в этом эксперты видят резервы успешного противостояния киберкриминалу, особенно тогда, когда ИБ встроена в систему комплексной безопасности инфраструктурных отраслей экономики. Данная проблема обсуждалась на круглом столе "ИБ на страже бизнеса и госструктур", организованном CNews Analytics и CNews Conferences.
Информация стала товаром на рынке. Мало того, во многих отраслях экономики и государственного управления развернулась конкурентная борьба за владение ею. В этой связи во всем мире обеспечение информационной безопасности перестало быть уделом, например, только бизнеса или только государства. Все чаще и чаще в этом контексте между словами "бизнес" и "государство" ставится полноценное "И", а не запятая.
Как могут взаимодействовать бизнес и государство в вопросах ИБ? Именно на этом тезисе акцентировал внимание Виктор Минин, советник председателя Ассоциации защиты информации (АЗИ). По его словам, "только при развитии контактов между коммерческими компаниями с одной стороны, и всеми ветвями государственной власти с другой стороны, возможно полноценное противостояние уже давно организованной киберпреступности". Как свежий пример успеха такого взаимодействия можно назвать принятие ФЗ РФ "О транспортной безопасности".
Также идет активное обсуждение вопросов, связанных со служебной тайной.
"О взаимосвязи бизнеса и государства можно судить также и по косвенным данным исследований движущих сил рынка ИБ", говорит Статьев Вячеслав, директор по технологиям и решениям компании РНТ. Достаточно посмотреть на два главных драйвера информационной безопасности.
Видно, что наибольшее беспокойство у респондентов вызывают проблемы соответствия нормативным актам и обеспечения защиты приватной информации. А, как известно, это как раз те сферы, где между компаниями и регулирующими органами должно быть налажено самое тесное взаимодействие.
Как управлять безопасностью в процессе укрупнения?
Современный этап развития российского бизнеса характеризуется укрупнением предприятий. Кроме того, постоянно изменяется количество и качество информационных каналов взаимодействия как между бизнес–участниками, так и с контролирующими, регулирующими, фискальными и другими органами.
"В этих условиях структуризация процессов и упорядочение того, что уже существует для управления процессом обеспечения информационной безопасности в больших компаниях, выходит на первый план", говорит Евгений Дружинин, ведущий системный инженер компании "Крок".
Практический опыт этого крупнейшего отечественного интегратора говорит о том, что сейчас наиболее распространены два сценария развития событий – эволюционное развитие ИБ (в случае органического роста бизнеса) и интеграция компаний с разным уровнем зрелости в плане обеспечения ИБ (в случае строительства холдингов и сделок по слиянию-поглощению).
Первый вариант отличается необходимостью формализации и улучшения процессов обеспечения и управления ИБ. Во втором случае стоят другие задачи – формирование единого управляющего каркаса (поскольку в каждой компании могут существовать свои собственные схемы управления и несения ответственности за ИБ), а также упорядочение и выравнивание нормативно-технической документации в этой области.
Но общим для обоих вариантов, по мнению экспертов "Крок", является то, что необходима структуризация процессов ИБ. Что это дает? Во-первых, устраняются противоречия в управленческих и организационных составляющих процессов обеспечения ИБ. Во-вторых, достигается полнота в нормативно-методических документах (НМД). В-третьих, улучшаются механизмы обеспечения ИБ в свете постоянного появления новых угроз. И, наконец, создаются все условия для достижения главной цели – создания и совершенствования единой системы управления информационной безопасностью (СУИБ).
Решая данные вопросы и достигая поставленные цели, важно сразу понять, какие задачи будут стоять, чтобы структурно подойти к построению СУИБ. Можно выделить три основные такие задачи: что взять в качестве основных ориентиров, как правильно выбрать метод эффективного достижения поставленных ориентиров и нужен ли выход на сертификацию/пересертификацию на соответствие стандартам ИБ.
Основной ориентир, рекомендуемый компанией "Крок", - это требования законодательства, отраслевые нормативные акты и общие стандарты, например, ISO 27001. Он представляет собой каркас требований к СУИБ. В качестве конкретных методик для реализации положений ISO 27001 могут быть использованы иные стандарты ISO, NIST, BSI и т.д., которые привносят в практику компаний элементы риск-менеджмента, оценки эффективности, а также непрерывности бизнеса.
После того, как выбор сделан и понятно к чему стремиться, важно понять, каким образом эти цели можно эффективно достичь. Встает и вопрос: где черпать информацию и к кому обратиться за помощью и консультациями.
Можно ориентироваться на те рекомендации, которые выдаются сертифицирующими организациями и разработчиками стандартов. Хотя эти документы отличаются своей академичностью и теоретическим характером, тем не менее, они могут пригодиться и помочь в понимании того, что стоит за тем или иным положением стандарта.
Второй ориентир – лучшие мировые практики, носителями которых могут быть, например, системные интеграторы и консалтинговые компании. Но надо помнить, что они не смогут помочь, если на предприятии существуют внутренние специфические проблемы, о которых больше всего известно только сотрудникам компании.
Кульминационной точкой задачи структуризации ИБ является сертификация или пересертификация. Бизнес в данном случае сам может определять: надо это ему или нет. Однако опыт показывает, что выгоды от этого этапа налицо.
Противостояние между функциональностью и безопасностью нарастает
Статьев Вячеслав в своем докладе обобщил опыт работы своей компании на российском рынке ИБ и, в частности, остановился на проблеме противостояния между функциональностью и безопасностью информационных систем. В этой ситуации специалисты РНТ, впрочем, как и большинство ИБ-шников, часто оказываются между "молотом и наковальней".
Если вернуться к терминологической базе, то под словом "система" изначально понимается суперпозиция "субоптимальности" (когда нельзя оптимизировать отдельные элементы системы, не ухудшая при этом характеристики системы в целом) и безопасности. Исходя из теории, можно достичь полной безопасности только при условии неработоспособности решения в целом, и наоборот. В реальности существует некий компромисс, найти который с каждым годом становится все труднее, так как ИТ-системы усложняются, а требования по безопасности никто снижать не собирается.
И это не теоретические изыскания, а реалии сегодняшнего дня, когда обеспечение ИБ становится все большим тормозом при внедрении новых информационных систем, что подтверждается выводами исследования, приведенными ниже.
Причины неосуществления инвестиций в новые технологии
| № | Причины | Актуальность |
| 1 | Потеря существенной бизнес-информации и вынужденные простои в результате сбоя систем | 90% компаний считают эти риски главными исключительно при планировании, в то время как 60% считают эту проблему главной в целом. |
| 2 | Незаконное использование конфиденциальной информации | 88% компаний рассматривают этот риск при планировании, а 58% респондентов подчеркивают, что это является их главной проблемой в целом. |
| 3 | Задачи соответствия нормативным стандартам и законодательным нормам; необходимость отслеживания этого соответствия | Более 80% предприятий обеспокоены этим при планировании. От решения данных задач зависит также эффективное хранение и восстановление данных. 45% компаний считают, что могут столкнуться с проблемами, размещая информацию на временное хранение, в то время как 40% признают, что имеют неполные записи и контрольные журналы, которые могут привести к нарушению нормативных требований. |
| 4 | Распространение данных по различным удаленным подразделениям создает большие проблемы в управлении резервным копированием и/или управлением данных. | 60% опрошенных считают, что это создает большие проблемы в управлении резервным копированием и/или управлением данных. Средний показатель уверенности в безопасности критически важной информации, распространяемой таким способом, составляет менее 70%, в каждом третьем случае хранения информации в удаленном офисе или у мобильного сотрудника эта информация подвергается данной угрозе. |
| 5 | Безопасность при использовании портативных устройств для хранения информации | 68% предприятий видят в этом серьезную проблему. |
Источники: CA, Freeform Dynamics, 2008
Вывод, который можно сделать на основе всего этого, - это необходимость использование риск-менеджмента для оценки эффективности внедрения той или иной информационной системы в целом и подсистемы ее безопасности в частности. Вячеслав Статьев подчеркивает, именно подсистемы управления рисками, а не некоего "ИБ-патча" к ИТ-решениям. Эксперт при этом апеллирует к исследованиям известнейших агентств.
Степень интеграции функций ИБ и управления рисками
Источник: Ernst&Young, 2007
В дальнейшем, при обсуждении вопроса риск-менеджмента, эту тему достаточно детально осветили Борис Скородумов, исполнительный директор ИБД АРБ и Михаил Левашов, начальник отдела ИБ КБ "Союзный".
Квинтэссенцией их докладов было то, что уже наступили те времена, когда риски, в частности операционные, стало необходимо не градуировать по принципу "малый – средний – большой", а вводить в практику их количественную оценку. Для чего? Для обоснования эффективности инвестиций в ИБ, которые стали в последнее время не просто заметными, а запредельными для ИТ-бюджетов, в частности, в банковском и телекоммуникационных секторах России.
Кроме того, прозвучало предложение в дальнейшем обсудить такую новую проблему, как "риски процесса информатизации". Как выразился Михаил Левашов, "Мы хотим управлять ИТ, но не знаем, чем управляем…".
Итог дискуссии подвел Велигура Александр, председатель комитета по информационной безопасности Ассоциации российских банков. По его словам, "использование количественного подхода при оценке рисков уже ни у кого не вызывает отторжения. Но здесь вопрос не в том, что мы ленимся или мы не компетентны, а в том, что те модели, которые сейчас есть, не всегда п рименимы.
Проблема в том, чтобы добыть статистические данные, нужен некий период стабильности. Есть и вторая компонента – ущерб, который мы получаем. Очень часто он не оценивается количественно, что сводит на нет достижения статистиков.
И вот здесь надо понимать, зачем мы все это считаем? А для того, что бы на основе этих выводов можно было бы принимать управленческие решения. Иногда менеджерам нужна полная информация, а иногда достаточно некоего компромисса между количественными и качественными данными. Из этого и надо исходить сегодня при разработке политик ИБ и способов обеспечения соответствия нормативным актам, как со стороны государства, так и со стороны бизнеса".
Михаил Башлыков: Зарекомендовавшей себя практики в области защиты ПД пока не существует
На вопросы CNews ответил Михаил Башлыков, руководитель направления информационной безопасности компании "Крок".
CNews: Что вы понимаете под термином "информационная безопасность?"
Михаил Башлыков: Информационная безопасность – это, в первую очередь, обеспечение в компании организационными мерами и техническими механизмами такого режима использования информации, при котором cохраняется ее конфиденциальность, целостность и доступность, а применяемые меры защиты адекватны существующим рискам. Под адекватностью необходимо понимать оптимальное соответствие между возможными потерями (финансовыми, репутационными и др.) от потенциальных угроз и уровнем финансовых вложений в комплексную систему обеспечения информационной безопасности.
CNews: Как в современных условиях обеспечить защиту персональных данных?
Михаил Башлыков: Персональные данные – это одна из категорий конфиденциальной информации. Пристальное внимание в нашей стране к этому вопросу возникло на фоне появления федерального закона "О персональных данных" и нормативных документов ФСТЭК, конкретизирующих требования по их защите.
www.cnews.ru
Применение радиомодемов "Интеграл 400"
в мониторинге объектов ЖКХ
П Р Е Д Л А Г А Е Т
Для промышленных предприятий и ЖКХ компания НИРИТ (г. Москва) предлагает законченные решения для реализации систем диспетчерского контроля и управления территориально-распределенными сетями объектов жилищно-коммунального хозяйства. Мониторинг объектов ЖКХ обеспечивается в радиосетях передачи данных (радиотелеметрии) на радиомодемах "Интеграл 400" (Integral 400"), разработки ЗАО "НИРИТ" и производства ООО "НПФ "СИГМА-ИС".
Использование оборудования беспроводной телеметрии и управления (SCADA) с радиомодемами в качестве транспортной среды позволяет создать интегрированную диспетчерскую систему, обеспечивающую диспетчеру непрерывный доступ к информации о состоянии обслуживаемых объектов, а также возможность дистанционного управления объектами коммунального хозяйства города: датчики охранно-пожарной сигнализации чердачных, подвальных и служебных помещений; объектов инфраструктуры (либо резервирование существующих проводных линий к ответственным объектам); датчики температуры воды, воздуха, тепла; датчики давления воды, газа; датчики тока, напряжения в электросетях; датчики расхода воды, газа, тепла; показания электронных счетчиков расхода воды, газа, электрической и тепловой энергии; данные малых метеостанций и других устройств экологического мониторинга.
Контакты:
ЗАО "НИРИТ"
105082, г.Москва, ул. Бакунинская, д.74-76.
Телефон/Факс: +7 (495) 105-10-60
http: www.nirit.org info@nirit.org
 | МОСКОВСКИЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ СВЯЗИ И ИНФОРМАТИКИ Лицензия Серия А № 166659 Регистрационный № 7542 от 5 сентября 2006 г. Государственная аккредитация Серия АА № 000259 Регистрационный № 0253 от 27 июля 2006 г. |
БИЗНЕС-ОБРАЗОВАНИЕ
ДЛЯ РУКОВОДИТЕЛЕЙ И СПЕЦИАЛИСТОВ ОТРАСЛИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СВЯЗИ
Факультет повышения квалификации и переподготовки (ФПКП) МТУСИ реализует образовательные программы:
МВА-ИНФОКОМ - эксклюзивная программа профессиональной переподготовки менеджеров высшей квалификации «Мастер делового администрирования/ Master of Business Administration (MBA): Управление компаниями в инфокоммуникациях».
Специализации:
- Стратегический менеджмент в инфокоммуникациях
- Стратегический маркетинг в инфокоммуникациях
- Корпоративное управление финансами в инфокоммуникациях
- Управление человеческими ресурсами в инфокоммуникациях
- Управление организациями почтовой связи
- Информационная безопасность в инфокоммуникациях
- Управление инновациями
Срок обучения – 2 года. Выдается Государственный диплом МВА с присвоением дополнительной квалификации «Мастер делового администрирования».
Второе высшее образование в сокращенные сроки по специальностям:
080502 – Экономика и управление на предприятии (связь)
080109 – Бухгалтерский учет, анализ и аудит
Специализация специальности 080502 - Электронный бизнес
Срок обучения - 3 года (по субботам). Выдается Государственный диплом с присвоением квалификации специалиста: «экономист-менеджер», «экономист» соответственно.
ЗАРУБЕЖНЫЕ ОБРАЗОВАТЕЛЬНЫЕ ПРОГРАММЫ - различные виды стажировок в крупнейших концернах и компаниях мира (DeutsheTelekom, Siemens-Nokia, Alcatel-Lucent, Ericsson, Italtel, Huawei и др.).
Высокое качество обучения на ФПКП обеспечивается актуальностью образовательных программ, использованием современных технологий, профессионализмом профессорско-преподавательского состава МТУСИ, привлечением к процессу обучения отраслевых специалистов-практиков и преподавателей ведущих ВУЗов Москвы.
Обучение платное. Возможно размещение в гостинице ИПК МТУСИ.
Прием документов и собеседование по адресу: 123995, Москва, МТУСИ, ул. Народного Ополчения, 32, ауд. 209, ФПКП
Прием заявок на обучение и дополнительная информация по телефонам:
(499) 192-84-50, (499) 192-84-94, http: ipk.mtuci2.ru, e-mail: fpk@mtuci2.ru