Спецпроекты

На страницу обзора
Наша методика управления ИБ-рисками позволяет нам реалистично прогнозировать инвестиции
Злоумышленники все чаще проявляют активность в сфере онлайн-торговли, пытаясь собрать персональные данные пользователей. Однако вовремя заметить и даже предотвратить такие атаки помогают корпоративные методики управления рисками. Об этом в интервью CNews рассказал Константин Коротнев, менеджер по информационной безопасности «Эльдорадо». По его словам, компания всегда оценивает риски в деньгах, что позволяет реалистично прогнозировать инвестиции в информационную безопасность.

Константин Коротнев

CNews: Какова динамика расходов на информационную безопасность в вашей компании 2013–2014 годах?

Константин Коротнев: После внедрения процессного подхода к управлению ИБ, сертификации системы управления ИБ на соответствие ISO 27001:2005, создания системы защиты персональных данных в 2010–2011 годах и расширения области СУИБ в 2012 году, расходы на ИБ в 2013–2014 годах стабилизировались на определенном уровне и даже незначительно снизились. Хотя в связи с увеличением специфических рисков онлайн-торговли добавились расходы на обеспечение защиты интернет-магазина от DDoS.

CNews: Прогнозируете ли вы увеличение расходов на информационную безопасность в 2015–2016 годах? Какие факторы или проекты станут драйверами роста?

Константин Коротнев: Планирование затрат на информационную безопасность в «Эльдорадо» осуществляется на основе анализа инцидентов, установления топ-менеджментом приемлемого уровня рисков и риск-аппетита. Таким образом, увеличение или уменьшение финансирования будет завесить именно от этих факторов.

CNews: Столкнулась ли ваша компания за последнее время с ростом киберугроз? Зафиксировали ли вы увеличение комплексных кибератак?

Константин Коротнев: Вместе с увеличением оборота в онлайн-ритейле мы столкнулись с ростом рисков информационной безопасности. Соответственно, значимость ИТ-активов повысилась. Увеличилось количество атак на интернет-магазин для того, чтобы несанкционированно собирать информацию или блокировать его деятельность с помощью распределенных DDoS-атак.

CNews: Есть ли в вашей компании классификация киберугроз? В чем сложность применяемой методики при квалификации рисков?

Константин Коротнев: Для оценки мы используем разработанную нами корпоративную методику управления рисками информационной безопасности, соответствующую требованиям лучших мировых практик (СУИБ Эльдорадо сертифицирована на соответствие ISO 27001:2005). Наша компания оценивает «неприятности» в деньгах, опираясь на вероятность и прогнозирование потенциального влияния угроз непосредственно на бизнес-процессы. В дальнейшем полученная оценка используется для обоснования экономической необходимости приобретения средств информационной безопасности, инвестиций в это направление и т.д.

CNews: Планируете ли вы внедрение аналитических инструментов для оперативного выявления потенциальных инцидентов и дыр в системе безопасности?

Константин Коротнев: Как я уже говорил, в «Эльдорадо» внедрена совокупность процессов управления ИБ (СУИБ), сертифицированная на соответствие ISO 27001:2005. Процесс управления уязвимостями, в ходе которого осуществляется поиск «потенциальных инцидентов и дыр в системе безопасности», использует для этого различные механизмы и инструментальные средства анализа защищенности. Кроме этого, мы регулярно рассматриваем появляющиеся на рынке решения с целью оптимизировать и повысить эффективность управления ИБ в «Эльдорадо».

CNews: Какие новейшие инструменты вы готовы внедрить для обнаружения таких атак?

Константин Коротнев: Мы проводим регулярный анализ защищенности, эмулирующий действия различных категорий злоумышленников и атаки в отношении критичных для бизнеса ИТ-активов. Результаты исследований используются для планирования обработки рисков ИБ, превышающих приемлемый уровень. Это означает, что компания действует превентивно и прикладывает свои усилия в большей степени предотвращению атак, а не их выявлению. Для выявления атак и расследования инцидентов мы используем систему сбора и корреляции событий ИБ. Она позволяет собрать воедино информацию об инцидентах из различных источников и проанализировать их с учетом их взаимного влияния.

CNews: В большинстве российских компаний главным источником киберугроз является персонал. Это подтверждается многочисленными исследованиями консалтинговых компаний. Согласны ли вы с этим утверждением?

Константин Коротнев: Бизнес – это люди. Именно люди реализуют бизнес-процессы и зарабатывают деньги для компании. В такой крупной компании, как «Эльдорадо», человеческий фактор является очень значимым. Это и сотрудники ДИТ, отвечающие за эксплуатацию информационных систем и проектных офис, занимающейся организацией изменений; и представители бизнес-подразделений, взаимодействующие непосредственно с покупателями. Для различных категорий нами разработаны курсы, обновляемые при изменении в Политике информационной безопасности компании или в законодательстве в области защиты персональных данных. Данные курсы имеют как онлайн-форму в специализированной системе дистанционного обучения, содержащей теоритическую часть и контроль знаний, так и очную форму, когда представитель подразделения информационной безопасности выезжает в удаленное подразделение и несколько дней на месте проводит тренинги для сотрудников. Такой подход мы применяем, например, для обучения специалистов контакт-центра, когда в одном месте можно собрать большое количество работников, непосредственно взаимодействующих с покупателями и выполняющих схожие задачи.

CNews: Как вы относитесь к принципу BYOD? Как администрируется доступ к информации в BYOD? Какими инструментами защищаете информацию? Планируете ли вы использовать контейнеризацию, или шифрование полностью вас устраивает?

Константин Коротнев: BYOD является объективной реальностью нашей корпоративной информационной системы. Сотрудники используют собственные устройства для доступа к корпоративным системам и решения своих функциональных задач. Сегодня такой доступ предоставляется нескольким сотням сотрудников, подавляющее большинство из которых являются или представителями менеджмента высшего и среднего звена, имеющими доступ к критичной корпоративной информации или сотрудниками ИТ-подразделения, имеющими привилегированный доступ к критичным для бизнеса ИТ-активам. Парк устройств, с которых работники осуществляют доступ, представлен большим разнообразием платформ, что существенно затрудняет их стандартизацию. В связи с этим мы осуществляем разграничение доступа на уровне его предоставления, а не на уровне работы с устройствами сотрудников, избегая тем самым появления слухов о неправомерном доступе к личной информации на устройствах подчиненных.

CNews: Какие проекты вы планируете реализовать в ближайшие два-три года?

Константин Коротнев: В ближайшие годы мы планируем сосредоточить свои усилия на выполнении регулятивных требований по соответствию ФЗ 152 «О персональных данных», предписывающих осуществлять хранение ПДн граждан РФ на территории РФ, а также на обеспечении безопасности интернет-магазина, который в настоящее время мигрирует на новую платформу электронной коммерции.

CNews: На ваш взгляд, как изменится рынок решений для информационной безопасности в вашей сфере в ближайшие два-три года?

Константин Коротнев: На мой взгляд, основными направлениями развития рынка будут, обеспечение соответствия требованиям законодательства при защите персональных данных, в том числе обрабатываемых в облачных сервисах, сбор и корреляция событий ИБ, защита от угроз нулевого дня и таргетированных атак, объединение бизнеса и ИБ и управление рисками ИБ как подмножеством бизнес-рисков компании.

В ходе этой деятельности к управлению рисками будут больше всего привлекаться представители бизнес-подразделений. Такое вовлечение поможет риск-менеджеру оценить влияние событий на бизнес-процессы компании.

Затем, опираясь на полученные данные, будет проще выстраивать корпоративные модели и повысить зрелость процессов управления рисками. Это позволит действовать в двух направлениях: сначала собирать информацию о рисках в разрезе бизнес-процессов, описывая все типы угроз для каждого бизнес-процесса, а потом декомпозировать собранные «опасности» по типам, назначая каждый тип риска на ответственного за него риск-менеджера.

Таким образом, информационная безопасность станет неотъемлемой частью корпоративной модели управления рисками и будет решать в ней профильную задачу по приведению рисков ИБ к приемлемому уровню для бизнеса.