© 1995-2021 Компания «Инфосистемы Джет»
Интервью с Сергеем Назаркиным, руководителем отдела ИБ ОАО «МОЭК»
Информационная безопасность

Директор: Очередная авария! В чем дело?

Интервью с Сергеем Назаркиным, руководителем отдела ИБ ОАО «МОЭК»

№3 (236) / 2013

16.04.2013

Посетителей: 40

Просмотров: 33

Время просмотра: 2.3 мин.

Каковы особенности обеспечения информационной безопасности в отечественных компаниях по сравнению с западными? В чем заключаются основные проблемы ИБ как отрасли в России? Перспективно ли для нашего рынка получение услуг безопасности из облака? Своим экспертным мнением по этим и другим актуальным вопросам делится Сергей Назаркин, руководитель отдела ИБ Московской объединенной энергетической компании (ОАО «МОЭК»).

 

 

Директор: Очередная авария! В чем дело? Не пора ли уже уволить этого менеджера по управлению рисками?!
HR: Это невозможно. 
Директор: Как невозможно?
HR: Из экономии средств мы его даже не нанимали!

Сергей, давно ли в Вашей компании существует подразделение ИБ? Какие проекты по обеспечению информационной безопасности реализуются предприятием в настоящее время/планируются в ближайшем будущем?

Подразделению ИБ в МОЭК – около 2 лет, мы сравнительно молодой отдел. Относительно проектов, которыми отдел занимается «здесь и сейчас», можно сказать, что мы находимся на одной волне с рынком: в данный момент реализуем проект по защите персональных данных, идет пилотное внедрение DLP-системы, в ближайших планах – проведение аудита информационной безопасности АСУ ТП и построение системы ее защиты.

Вы берете в расчет опыт других компаний отрасли?

Для начала нужно учесть, что в энергетическом секторе в принципе высока степень влияния государства, а затем разделить эти компании на российские и зарубежные. На западные в плане обеспечения ИБ нам сегодня нет смысла ориентироваться: все практические аспекты построения системы информационной безопасности у них опираются на теоретический базис – документацию (регламенты, приказы и т.д.), разработанную правительством.

На первый взгляд, у нас аналогичная ситуация…

Да, но принципильная разница заключается в том, что западные законотворцы понимают, что происходит в «полях» – какие бизнес-задачи нужно решать компаниям и как ИБ может этому поспособствовать. Проще говоря, они знают, о чем болит голова у рынка, поэтому разработанные стандарты коррелируют с его реалиями и могут изменяться в зависимости от них. Это достигается в том числе за счет грамотного решения кадрового вопроса. В США, например, государственные структуры растят для себя специалистов информационной безопасности – инвестируют в обучение будущих экспертов-консультантов и т.д.

 

В России же практические аспекты обеспечения ИБ зачастую остаются для государства за кадром – для профессиональной экспертизы не привлекаются специалисты, реально работающие на рынке. Соответственно, стандарты несут на себе, скажем так, национальный отпечаток: мы часто «режем по живому», не беря в расчет такую простую вещь, как действительность. Поэтому опыт зарубежных компаний на нашей почве неприменим.

Если говорить об отечественных предприятиях?

Здесь есть свои особенности: нам необходимо развивать практику полноценного риск-менеджмента. Его использование, в том числе, позволяет оценить экономическую целесообразность применения мер по обеспечению ИБ. И бизнесу будет понятно, для чего тратить деньги на безопасность, когда и сколько именно. В противном случае возможен такой сценарий развития событий: обеспечение ИБ в компании считают делом десятым, происходит крупный инцидент, стремясь закрыть «дыры», руководство инициирует масштабные действия – набираются люди, в сжатые сроки реализуются новомодные проекты. Переизбыток ресурсов в условиях цейтнота, скорее всего, приведет к появлению малоэффективных в реалиях именно этой конкретной компании «заплаток», а не комплексной системы информационной безопасности.

Риск-менеджер зачастую играет роль переводчика между бизнесом, мыслящим в терминах убытков и прибыли, и подразделением ИБ, ставящим во главу угла защищенность информации

Какие векторы развития отрасли ИБ Вы считаете наиболее приоритетными в настоящий момент?

В первую очередь это качественное обучение будущих специалистов и распространение практики аудитов информационной безопасности. Могу привести пример из личного опыта. Недавно мне довелось пообщаться со студентом третьего курса технического факультета не самого последнего вуза в стране – будущим защитником ИБ. Он понимает, что информационная безопасность – вещь полезная, но не имеет представления о том, что сейчас происходит в отрасли, не разбирается в юридических аспектах и т.д. Его компетенции практически равны нулю, это «болванка», на которую можно и нужно записывать знания – как практические, так и теоретические. Понятно, что подобная ситуация характерна не для всех вузов, но стоит учитывать и естественный отток специалистов в другие сферы – не все после окончания университета идут работать в подразделения ИБ. В результате встает вопрос о квалификации сотрудников ИБ-службы компании.

Какова, по Вашему мнению, ситуация с аудитами в сфере информационной безопасности?

Компании нередко воспринимают аудит исключительно как масштабные, глобальные работы, нацеленные на получение высокоуровневых показателей. Но они также позволяют выявлять и устранять незначительные недочеты – как технические, так и в документации. Российскому рынку пока не так очевидны выгоды последнего варианта.

Как вы полагаете, перспективны ли для российского рынка аутсорсинг ИБ, получение услуг безопасности из облака?

Такие варианты имеют право на существование, но все зависит от конкретной ситуации, например, от масштаба компании. Как правило, чем крупнее бизнес, тем критичнее информация, с которой он работает. Соответственно, повышаются требования к ее защите – отдать данные в облако или доверить работу с ними сторонней организации неприемлемо. С другой стороны, есть процессы, которые поддерживают бизнес, и есть те, которые его обслуживают. Первые, независимо от размера бизнеса, нужно оставлять за собой, в то время как вторые можно без какого-либо ущерба для себя получать в виде сервиса.

Спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Инструментальный анализ уязвимости бизнес-процессов

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

База знаний предприятия на основе систем управления контентом

Самой большой ценностью любой компании является прежде всего ее «интеллект» – практические знания и опыт всех сотрудников, полученные в процессе выполнения различного рода задач.

Нюансы внедрения DLP: наш опыт

Для начала нужно определиться с основными предпосылками появления DLP-системы в компании. Внедрение DLP-решения, как правило, - реакция на конкретный инцидент утечки конфиденциальной/критичной информации, который выявил уязвимость в существующей системе информационной безопасности.

5.0 - стоила ли игра свеч?

Мир не стоит на месте, и нам хочется продолжать соответствовать запросам клиентов и очевидным требованиям рынка

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

Аутсорсинг ИБ - естественна ли потребность?

Тема аутсорсинга ИБ в последнее время активно набирает популярность в профессиональном сообществе специалистов по защите информации, а также становится все более заметной на рынке в целом

Простая методика принятия решения по инцидентам, выявленным DLP

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня