19.09.2001, среда

 


Мишель Мур: В России в большинстве компаний нет устоявшихся правил и процедур в области информационной безопасности

Мишель Мур

В рамках нашего обзора впервые опубликован текст исследования компании "Эрнст энд Янг" "Исследование в области информационной безопасности. Россия и СНГ. 2001", завершившегося совсем недавно - только в конце августа. Корреспондент CNews.ru встретился с ведущей данного проекта - Мишель Мур, руководителем отдела по информационным технологиям и рискам компании "Эрнст энд Янг".

Корр.: Каковы ключевые тенденции на российском рынке систем информационной безопасности вы бы выделили в первую очередь?

Мишель Мур: Защита конфиденциальной информации компаний и их клиентов еще никогда не являлась столь сложной и жизненно важной задачей. Риски и потенциальный ущерб могут являться следствием действий профессиональных хакеров или хакеров-любителей, имеющих целью получение конкретной информации или нарушение деятельности предприятия, либо действий недовольных сотрудников, направленных на кражу конфиденциальной информации. Даже пользующиеся доверием сотрудники могут случайными действиями вызвать сбои в работе систем.

Большинство компаний в России и странах СНГ, к сожалению, до сих пор не имеют четкого представления об уязвимых местах своих систем или о реальных рисках, которым они подвергаются. Многие компании используют межсетевые экраны (брандмауэры), чтобы обезопасить себя от хакеров, но лишь немногие проводят независимую экспертизу такой защиты и имеют утвержденный план действий на случай вторжения.

Корр.: Предприятия каких отраслей являются основными потребителями решений в сфере ИБ в России? Отличается ли структура сбыта решений в сфере ИБ в России, в странах Европы и США?

М.М.: Основные потребители - это страховые, инвестиционные и телекоммуникационные компании, банки, компании занимающееся электронной коммерцией, а также компании, бизнес процессы которых настолько зависят от информационных технологий, что они не могут позволить перерывов или сбоев в работе. Структура сбыта технических решений практически одинакова, основное отличие - это наличие у компаний в странах Европы и США устоявшихся правил и процедур в области информационной безопасности и организационных структур предприятия, отвечающих за эту безопасность.

Корр.: Какую долю в мировом потреблении решений по ИБ занимали ранее и занимают сегодня интернет-компании?

М.М.: Безопасность электронного бизнеса пользуется очень высоким спросом. Здесь, "Эрнст энд Янг" предлагает зарекомендовавшие себя методики оценки рисков и их анализа в информационных технологиях, услуги по организации электронного бизнеса, сертификацию кибер-процессов, проверку защищенности электронных систем. Например, наличие на web-сайте знака соответствия "Эрнст энд Янг", подтверждающего успешную сертификацию кибер-процессов, повысит степень уверенности пользователей web-сайта в его надежности, точности и защищенности операций.

Корр.: Каков на ваш взгляд уровень разработок российских компаний в сфере ИБ? В каких сегментах решения отечественных поставщиков особенно заметны?

М.М.: К сожалению, широко известно только об удачных разработках в области защиты от компьютерных вирусов. Примером могут служить программные продукты "Лаборатории Касперского". Что же касается отечественных разработок и реализации средств шифрования, то здесь их уровень оценить довольно сложно, в виду монополии ФАПСИ на сертификацию продуктов, предназначенных для работы с информацией относящейся к государственной тайне. Таким образом, любые передовые технологии, приходящие в Россию, заведомо не могут конкурировать с "сертифицированными" из-за таких ограничений. В настоящее время, нам не известно об успешном продвижении отечественных средств шифрования на внешнем рынке.

Корр.: Каким компаниям, на ваш взгляд, наиболее целесообразно поручать наладку систем информационной безопасности в крупных предприятиях: фирмам, специализирующимся на разработке решений по безопасности или компаниям системным интеграторам, которые занимаются созданием всей информационной сети?

М.М.:Поручайте профессионалам. Только спросите, как они собираются оценить то, что вам нужно. Хочется отметить, что "наладка" это ведь только надводная часть айсберга. Вначале, мы бы посоветовали оценить необходимую "архитектуру безопасности". Приведу пример некоторых компаний, для которых мы разработали такую архитектуру: Sprint, BankOne, Whirlpool, Bank of Boston, American Express. Что же она включает? По нашему мнению, архитектура безопасности должна отражать как минимум следующие компоненты: деловую стратегию компании, правила и процедуры, технологический профиль компании, оценку рисков, саму техническую архитектуру безопасности, процессы для ее управления, технические спецификации, программу для ее внедрения и, конечно же, правила мониторинга.

Корр.: Каково на ваш взгляд, соотношение рисков внутрикорпоративных и внешних угроз в вопросе информационной безопасности?

М.М.: Как показывает наша практика, 80% случаев потерь конфиденциальной информации приходиться на внутрикорпоративные угрозы и только 20% на внешние.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.

Toolbar | КПК-версия | Подписка на новости  | RSS