© 1995-2021 Компания «Инфосистемы Джет»
Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ
Информационная безопасность

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

№9 (230) / 2012

19.09.2012

Посетителей: 56

Просмотров: 45

Время просмотра: 0.8 мин.

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

Насколько, по Вашему мнению, информационная безопасность бизнес-ориентирована в настоящий момент? Ее текущее состояние сильно отличается от того, что было 4–5 лет назад?

По большей части она ориентирована на бизнес, но в этом процессе присутствуют и узкие места. Если говорить о внедрении и эксплуатации корпоративных информационных систем, то здесь такая ориентированность ИБ налицо. Наше подразделение принимает активное участие в автоматизации бизнес-процессов в компании, будь то операционный учет или урегулирование убытков. Причем топ-менеджмент в полной мере осознает, что сервисы ИБ необходимы. 6–7 лет назад, когда практика внедрения и эксплуатации ИС в российском корпоративном секторе только развивалась и бизнес-процессы, соответственно, не были окончательно налажены, целесообразность внедрения сервисов безопасности зачастую ставилась под сомнение. Сегодня же компания такого уровня, как РОСГОССТРАХ просто не сможет нормально функционировать без реализации разграничения прав доступа, идентификации, аутентификации и т.д. Особенно это касается использования web-технологий, когда наши корпоративные системы ввиду географической распределенности компании должны быть доступны практически из любой точки России. Поэтому я считаю, что здесь мы идем в ногу с бизнесом. Вопрос «для чего нужно включать безопасников в рабочую группу по проекту?» уже не возникает.

То есть взаимопонимание с бизнесом достигнуто?

По большей части да, хотя иногда еще возникают камни преткновения. Например, в части ИТ-инфраструктуры мы с бизнесом движемся параллельными курсами. Но периодически могут возникать так называемые трудности перевода: дело в том, что мы оперируем техническими понятиями IPS, IDS, межсетевого экрана и т.д., которые далеко не всегда понятны менеджменту. Встает вопрос о возможности нахождения общих точек соприкосновения при обсуждении той или иной проблемы. Для этого мы должны говорить на языке бизнеса, а не технических средств защиты, которые планируем применять в качестве архитектурных решений. Общеизвестно, что бизнесу более понятны и близки процессы, связанные с прямым получением дохода. В случае же информационной безопасности, по моему мнению, во главе угла стоит анализ потенциальных рисков. ИБ не приносит реальной прибыли компании, но в то же время предотвращает возможный ущерб. Наша цель – не преумножать, а сохранять, и мы доносим эту мысль до топ-менеджмента.

В каких аспектах деятельности российских компаний бизнес-ориентированность информационной безопасности вызывает вопросы?

На текущий момент это всё, что связано со средствами и методами современной коммуникации: широкое применение нашими сотрудниками мобильных устройств и планшетов, использование интернет-технологий и удаленного доступа. Здесь ИБ, к сожалению, отстает в своем развитии. Безопасность традиционно ориентирована на защиту информационного периметра компании, подразумевающего наличие строго определенных границ. Сегодня же само понятие периметра становится размытым – больше не существует конкретных «линий обороны».

Как Вы сегодня решаете эту проблему?

На текущий момент нам приходится накладывать определенные ограничения на работу с корпоративной информацией вне традиционного периметра, что, конечно, не может не создавать неудобств для бизнес-пользователей. Я думаю, со временем мы придем к тому, что повседневным инструментом наших страховых агентов на местах будут лишь мобильные персональные устройства, позволяющие быстро и безопасно обмениваться информацией со стационарными офисами.

Какие особенности накладывает специфика страхового бизнеса на требования по обеспечению ИБ?

Основная ценность для страховщика – это его клиенты, а следовательно, их доверие. Поэтому на первый план выходят репутационные риски, связанные с возможными утечками конфиденциальных данных. И здесь немаловажен тот факт, что РОСГОССТРАХ работает со своими клиентами не только напрямую, но и через многочисленных партнеров – страховых брокеров. При высоком уровне обеспечения ИБ у нас реальный уровень защиты информации в этих компаниях порой остается под вопросом. Естественно, мы заключаем с ними соглашения о конфиденциальности и неразглашении персональных данных, включающие в себя требования 152-ФЗ. Но нужно понимать, что в большинстве своем это небольшие компании с соответствующими ограниченными возможностями.

 

Когда вы заключаете договор ОСАГО в салоне при покупке машины, а не в офисе компании РОСГОССТРАХ, первым ваши данные, скорее всего, получает страховой брокер. Мы же – лишь второе звено в этой цепочке. В то же время вы обязаны поставить автомобиль на учет в ГИББД, что автоматически означает занесение вашей персональной информации в базы данных госорганов. Таким образом, мы далеко не единственный потенциальный источник данных о клиентах. Это значительно осложняет расследование инцидентов утечек, а следовательно, является критичным узким местом с точки зрения угроз информационной безопасности.

 

Другие факторы, накладывающие свой отпечаток на процессы обеспечения ИБ, – это масштаб нашего бизнеса и географическая распределенность компании, о которых я говорила выше.

Лариса Владимировна, расскажите о наиболее интересных проектах Вашей компании в сфере информационной безопасности.

Самое значимое «событие ИБ» для нас за последнее время – это реализация комплексной системы защиты персональных данных. Поскольку масштаб проекта, как и нашей компании, довольно велик, мы осуществляем его в несколько этапов в соответствии с расставленными приоритетами. В данный момент мы практически завершили самую ресурсоемкую стадию – внедрение системы IBM Guardium, позволяющей контролировать действия пользователей БД. Это даст нам четкое понимание, кто обращается к базам данных, когда и какие именно действия он производит. В дальнейшем мы сможем использовать полученную информацию при расследовании инцидентов ИБ. Эти данные послужат и для их предотвращения, поскольку станут материалом для анализа уязвимостей баз данных.

 

Также в рамках проекта по ЗПД мы рассматриваем возможность реализации защиты информации, находящейся вне баз данных. Например, у нас существует система отчетов, которые формируются на основе данных из БД. И в тот самый момент, когда сотрудник получает необходимый ему отчет, этот документ покидает область, подконтрольную механизмам, обеспечивающим безопасность ИС. В то же время файл может содержать консолидированную финансовую информацию, являющуюся коммерческой тайной. Понятно, что это тонкое место, а мы не хотим проверять на практике пословицу «где тонко, там и рвется». Здесь встает вопрос внедрения DLP-системы, осуществляющей контроль и предотвращение возможных утечек. Кроме того, мы планируем реализацию консолидированного хранилища отчетности и механизмов обеспечения в нем защищенного хранения данных. В результате при получении отчета сотрудник сможет сохранить его только в определенное файловое хранилище и никуда больше. Все действия пользователя, совершаемые с этим документом – изменения, удаления и т.д., – будут протоколироваться.

Насколько сильно влияют требования регуляторов на выбор реализуемых проектов?

Тот факт, что в настоящий момент мы реализуем масштабный проект именно по защите персональных данных, напрямую доказывает их влияние. Требования регулирующих органов являются сильным драйвером. Но, кроме стимула для развития ИБ-составляющей нашей компании, они создали и определенные проблемы, связанные, прежде всего, с необходимостью защиты каналов связи и шифрования передаваемых по ним данных. Как мне кажется, вероятность подключения к нашей корпоративной сети передачи данных извне для установления факта, что некто Иванов Иван Иванович застраховал у нас «Мерседес», крайне мала, если не стремится к нулю.

Возможен ли аутсорсинг систем информационной безопасности? Какие риски Вы видите здесь как потенциальный заказчик?

 Возможно всё, другой вопрос – целесообразно ли это. Я не сталкивалась с тем, чтобы топ-менеджмент российских компаний с удовольствием отдавал критичные для бизнеса системы «на сторону». Скорее, это была осознанная необходимость, результат анализа аргументов «за» и «против». В случае аутсорсинга ИБ как комплексной услуги таких «против» может быть несколько. Во-первых, встает вопрос доверия, причем даже не к компании-аутсорсеру, а к конкретным людям, которые будут непосредственно работать с критичной корпоративной информацией и отвечать за безопасность твоей компании. Другой фактор – это трудности, связанные с привлечением аутсорсера к ответственности при возникновении инцидента ИБ. Доказать, что утечка произошла именно на его «территории», может быть довольно проблематично. При этом вы несете затраты на аутсорсинг, вполне сопоставимые с содержанием собственной ИБ-службы.

Иначе говоря, эта модель обеспечения ИБ на сегодня Вам не подходит?

Бизнес предпочитает только те варианты, которые дают оптимальный эффект быстрее и на более выгодных условиях. Поэтому на данном этапе аутсорсинг систем ИБ как комплексная услуга нами не рассматривается. Мне кажется, интерес к нему со стороны компаний Enterprise-сектора может возрасти при должной проработке юридических механизмов привлечения подрядчика к ответственности. Более того, сами аутсорсеры могут выступить инициаторами этого процесса и предложить нам регулярно контролировать их деятельность не на бумаге, а в «боевых» условиях. Тогда аутсорсинг из состояния «где-то там» перейдет во вполне конкретное «здесь», соответственно, возрастет прозрачность предоставления услуги.

А если говорить об аутсорсинге отдельных систем обеспечения информационной безопасности?

Здесь складывается несколько иная ситуация. В компании есть свое подразделение ИБ, которое полностью несет ответственность перед бизнесом за уровень безопасности. В то же время оно может привлекать аутсорсеров на отдельные участки, например, для осуществления мониторинга событий ИБ (Security Operations Center). В результате более широкие компетенции и опыт партнера способствуют снижению потенциальных рисков безопасности. Это особо актуально для крупных компаний, поскольку охватить весь фронт работ собственными силами можно далеко не всегда.

Спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

В главной роли – DLP

Почему работа с DLP-системой напоминает просмотр сериала «Санта-Барбара», повлиял ли экономический кризис на типы и ...

5.0 - стоила ли игра свеч?

Мир не стоит на месте, и нам хочется продолжать соответствовать запросам клиентов и очевидным требованиям рынка

Как построить эффективное решение с IBM System Power

Виртуализация как концепция консолидации для отдельно взятых продуктов и элементов ИТ-инфраструктуры известна достаточно давно, еще со времен систем IBM S/360, и охватывает разные уровни – от платформ (включая микропроцессоры) до ПО и реализуется различными способами: программными, аппаратными и программно-аппаратными

DLP-аутсорсинг. Вопросы эффективности

На определенном этапе своего развития любая компания приходит к мысли о защите конфиденциальной информации.

Практические способы противодействия внутренним угрозам в банковском секторе

С самого момента зарождения решений для защиты от утечек данных (DLP) развитие рыночных требований к продукту пошло у нас и на Западе в двух разных направлениях

DLP как сервис - маленькие радости реализации

Тематика контроля утечек конфиденциальной информации является одной из самых популярных в сфере ИБ

«Облачные» решения как способ предоставления вычислительных ресурсов

В последние годы в сфере информационных технологий появилось и бурно развивается направление, получившее название «Cloud Computing» («облачные» вычисления).

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня