Подписаться
Читать в телеграм
Интервью с Сергеем Назаркиным, руководителем отдела ИБ ОАО «МОЭК»
Дата публикации:
16.04.2013
Посетителей:
220
Просмотров:
195
Время просмотра:
2.3
Каковы особенности обеспечения информационной безопасности в отечественных компаниях по сравнению с западными? В чем заключаются основные проблемы ИБ как отрасли в России? Перспективно ли для нашего рынка получение услуг безопасности из облака? Своим экспертным мнением по этим и другим актуальным вопросам делится Сергей Назаркин, руководитель отдела ИБ Московской объединенной энергетической компании (ОАО «МОЭК»).
Директор: Очередная авария! В чем дело? Не пора ли уже уволить этого менеджера по управлению рисками?!
HR: Это невозможно.
Директор: Как невозможно?
HR: Из экономии средств мы его даже не нанимали!
Сергей, давно ли в Вашей компании существует подразделение ИБ? Какие проекты по обеспечению информационной безопасности реализуются предприятием в настоящее время/планируются в ближайшем будущем?
Подразделению ИБ в МОЭК – около 2 лет, мы сравнительно молодой отдел. Относительно проектов, которыми отдел занимается «здесь и сейчас», можно сказать, что мы находимся на одной волне с рынком: в данный момент реализуем проект по защите персональных данных, идет пилотное внедрение DLP-системы, в ближайших планах – проведение аудита информационной безопасности АСУ ТП и построение системы ее защиты.
Вы берете в расчет опыт других компаний отрасли?
Для начала нужно учесть, что в энергетическом секторе в принципе высока степень влияния государства, а затем разделить эти компании на российские и зарубежные. На западные в плане обеспечения ИБ нам сегодня нет смысла ориентироваться: все практические аспекты построения системы информационной безопасности у них опираются на теоретический базис – документацию (регламенты, приказы и т.д.), разработанную правительством.
На первый взгляд, у нас аналогичная ситуация…
Да, но принципильная разница заключается в том, что западные законотворцы понимают, что происходит в «полях» – какие бизнес-задачи нужно решать компаниям и как ИБ может этому поспособствовать. Проще говоря, они знают, о чем болит голова у рынка, поэтому разработанные стандарты коррелируют с его реалиями и могут изменяться в зависимости от них. Это достигается в том числе за счет грамотного решения кадрового вопроса. В США, например, государственные структуры растят для себя специалистов информационной безопасности – инвестируют в обучение будущих экспертов-консультантов и т.д.
В России же практические аспекты обеспечения ИБ зачастую остаются для государства за кадром – для профессиональной экспертизы не привлекаются специалисты, реально работающие на рынке. Соответственно, стандарты несут на себе, скажем так, национальный отпечаток: мы часто «режем по живому», не беря в расчет такую простую вещь, как действительность. Поэтому опыт зарубежных компаний на нашей почве неприменим.
Если говорить об отечественных предприятиях?
Здесь есть свои особенности: нам необходимо развивать практику полноценного риск-менеджмента. Его использование, в том числе, позволяет оценить экономическую целесообразность применения мер по обеспечению ИБ. И бизнесу будет понятно, для чего тратить деньги на безопасность, когда и сколько именно. В противном случае возможен такой сценарий развития событий: обеспечение ИБ в компании считают делом десятым, происходит крупный инцидент, стремясь закрыть «дыры», руководство инициирует масштабные действия – набираются люди, в сжатые сроки реализуются новомодные проекты. Переизбыток ресурсов в условиях цейтнота, скорее всего, приведет к появлению малоэффективных в реалиях именно этой конкретной компании «заплаток», а не комплексной системы информационной безопасности.
Риск-менеджер зачастую играет роль переводчика между бизнесом, мыслящим в терминах убытков и прибыли, и подразделением ИБ, ставящим во главу угла защищенность информации
Какие векторы развития отрасли ИБ Вы считаете наиболее приоритетными в настоящий момент?
В первую очередь это качественное обучение будущих специалистов и распространение практики аудитов информационной безопасности. Могу привести пример из личного опыта. Недавно мне довелось пообщаться со студентом третьего курса технического факультета не самого последнего вуза в стране – будущим защитником ИБ. Он понимает, что информационная безопасность – вещь полезная, но не имеет представления о том, что сейчас происходит в отрасли, не разбирается в юридических аспектах и т.д. Его компетенции практически равны нулю, это «болванка», на которую можно и нужно записывать знания – как практические, так и теоретические. Понятно, что подобная ситуация характерна не для всех вузов, но стоит учитывать и естественный отток специалистов в другие сферы – не все после окончания университета идут работать в подразделения ИБ. В результате встает вопрос о квалификации сотрудников ИБ-службы компании.
Какова, по Вашему мнению, ситуация с аудитами в сфере информационной безопасности?
Компании нередко воспринимают аудит исключительно как масштабные, глобальные работы, нацеленные на получение высокоуровневых показателей. Но они также позволяют выявлять и устранять незначительные недочеты – как технические, так и в документации. Российскому рынку пока не так очевидны выгоды последнего варианта.
Как вы полагаете, перспективны ли для российского рынка аутсорсинг ИБ, получение услуг безопасности из облака?
Такие варианты имеют право на существование, но все зависит от конкретной ситуации, например, от масштаба компании. Как правило, чем крупнее бизнес, тем критичнее информация, с которой он работает. Соответственно, повышаются требования к ее защите – отдать данные в облако или доверить работу с ними сторонней организации неприемлемо. С другой стороны, есть процессы, которые поддерживают бизнес, и есть те, которые его обслуживают. Первые, независимо от размера бизнеса, нужно оставлять за собой, в то время как вторые можно без какого-либо ущерба для себя получать в виде сервиса.
Спасибо за беседу!
