© 1995-2022 Компания «Инфосистемы Джет»
Интервью с Сергеем Назаркиным, руководителем отдела ИБ ОАО «МОЭК»
Информационная безопасность

Директор: Очередная авария! В чем дело?

Главная>Информационная безопасность>Интервью с Сергеем Назаркиным, руководителем отдела ИБ ОАО «МОЭК»

Интервью с Сергеем Назаркиным, руководителем отдела ИБ ОАО «МОЭК»

№3 (236) / 2013

16.04.2013

Посетителей: 88

Просмотров: 69

Время просмотра: 1.8 мин.

Каковы особенности обеспечения информационной безопасности в отечественных компаниях по сравнению с западными? В чем заключаются основные проблемы ИБ как отрасли в России? Перспективно ли для нашего рынка получение услуг безопасности из облака? Своим экспертным мнением по этим и другим актуальным вопросам делится Сергей Назаркин, руководитель отдела ИБ Московской объединенной энергетической компании (ОАО «МОЭК»).

 

 

Директор: Очередная авария! В чем дело? Не пора ли уже уволить этого менеджера по управлению рисками?!
HR: Это невозможно. 
Директор: Как невозможно?
HR: Из экономии средств мы его даже не нанимали!

Сергей, давно ли в Вашей компании существует подразделение ИБ? Какие проекты по обеспечению информационной безопасности реализуются предприятием в настоящее время/планируются в ближайшем будущем?

Подразделению ИБ в МОЭК – около 2 лет, мы сравнительно молодой отдел. Относительно проектов, которыми отдел занимается «здесь и сейчас», можно сказать, что мы находимся на одной волне с рынком: в данный момент реализуем проект по защите персональных данных, идет пилотное внедрение DLP-системы, в ближайших планах – проведение аудита информационной безопасности АСУ ТП и построение системы ее защиты.

Вы берете в расчет опыт других компаний отрасли?

Для начала нужно учесть, что в энергетическом секторе в принципе высока степень влияния государства, а затем разделить эти компании на российские и зарубежные. На западные в плане обеспечения ИБ нам сегодня нет смысла ориентироваться: все практические аспекты построения системы информационной безопасности у них опираются на теоретический базис – документацию (регламенты, приказы и т.д.), разработанную правительством.

На первый взгляд, у нас аналогичная ситуация…

Да, но принципильная разница заключается в том, что западные законотворцы понимают, что происходит в «полях» – какие бизнес-задачи нужно решать компаниям и как ИБ может этому поспособствовать. Проще говоря, они знают, о чем болит голова у рынка, поэтому разработанные стандарты коррелируют с его реалиями и могут изменяться в зависимости от них. Это достигается в том числе за счет грамотного решения кадрового вопроса. В США, например, государственные структуры растят для себя специалистов информационной безопасности – инвестируют в обучение будущих экспертов-консультантов и т.д.

 

В России же практические аспекты обеспечения ИБ зачастую остаются для государства за кадром – для профессиональной экспертизы не привлекаются специалисты, реально работающие на рынке. Соответственно, стандарты несут на себе, скажем так, национальный отпечаток: мы часто «режем по живому», не беря в расчет такую простую вещь, как действительность. Поэтому опыт зарубежных компаний на нашей почве неприменим.

Если говорить об отечественных предприятиях?

Здесь есть свои особенности: нам необходимо развивать практику полноценного риск-менеджмента. Его использование, в том числе, позволяет оценить экономическую целесообразность применения мер по обеспечению ИБ. И бизнесу будет понятно, для чего тратить деньги на безопасность, когда и сколько именно. В противном случае возможен такой сценарий развития событий: обеспечение ИБ в компании считают делом десятым, происходит крупный инцидент, стремясь закрыть «дыры», руководство инициирует масштабные действия – набираются люди, в сжатые сроки реализуются новомодные проекты. Переизбыток ресурсов в условиях цейтнота, скорее всего, приведет к появлению малоэффективных в реалиях именно этой конкретной компании «заплаток», а не комплексной системы информационной безопасности.

Риск-менеджер зачастую играет роль переводчика между бизнесом, мыслящим в терминах убытков и прибыли, и подразделением ИБ, ставящим во главу угла защищенность информации

Какие векторы развития отрасли ИБ Вы считаете наиболее приоритетными в настоящий момент?

В первую очередь это качественное обучение будущих специалистов и распространение практики аудитов информационной безопасности. Могу привести пример из личного опыта. Недавно мне довелось пообщаться со студентом третьего курса технического факультета не самого последнего вуза в стране – будущим защитником ИБ. Он понимает, что информационная безопасность – вещь полезная, но не имеет представления о том, что сейчас происходит в отрасли, не разбирается в юридических аспектах и т.д. Его компетенции практически равны нулю, это «болванка», на которую можно и нужно записывать знания – как практические, так и теоретические. Понятно, что подобная ситуация характерна не для всех вузов, но стоит учитывать и естественный отток специалистов в другие сферы – не все после окончания университета идут работать в подразделения ИБ. В результате встает вопрос о квалификации сотрудников ИБ-службы компании.

Какова, по Вашему мнению, ситуация с аудитами в сфере информационной безопасности?

Компании нередко воспринимают аудит исключительно как масштабные, глобальные работы, нацеленные на получение высокоуровневых показателей. Но они также позволяют выявлять и устранять незначительные недочеты – как технические, так и в документации. Российскому рынку пока не так очевидны выгоды последнего варианта.

Как вы полагаете, перспективны ли для российского рынка аутсорсинг ИБ, получение услуг безопасности из облака?

Такие варианты имеют право на существование, но все зависит от конкретной ситуации, например, от масштаба компании. Как правило, чем крупнее бизнес, тем критичнее информация, с которой он работает. Соответственно, повышаются требования к ее защите – отдать данные в облако или доверить работу с ними сторонней организации неприемлемо. С другой стороны, есть процессы, которые поддерживают бизнес, и есть те, которые его обслуживают. Первые, независимо от размера бизнеса, нужно оставлять за собой, в то время как вторые можно без какого-либо ущерба для себя получать в виде сервиса.

Спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

Mobile DLP - уже реальность

Концепция BYOD (Bring Your Own Device) становится все более модной в корпоративной среде

DLP: синергия техники и психологии

Для банка DLP – одна из трех-четырех систем, иметь которую необходимо

DLP 2.0. Комплексная защита активов

Системы DLP (Data Leak Prevention) на протяжении многих лет являются лидирующим классом продуктов по защите от утечек конфиденциальных данных в России.

Заглянуть в цифровую черную дыру

При упоминании Big Data у окружающих появляется мысль о том, что речь идет о передовых технологиях, о новых невероятных возможностях для хранения, обработки и анализа данных, но так ли это на самом деле

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

Эксплуатация защищенных информационных систем

Многолетняя история компании «Инфосистемы Джет» как системного интегратора и интегратора в области безопасности не просто отражает ситуацию на российском рынке, но, как показывает анализ продаж ИТ-продуктов и услуг, позволяет прогнозировать ...

Практические способы противодействия внутренним угрозам в банковском секторе

С самого момента зарождения решений для защиты от утечек данных (DLP) развитие рыночных требований к продукту пошло у нас и на Западе в двух разных направлениях

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня