BIS Journal №3(38)/2020

8 сентября, 2020

Согласно законодательству РФ…

BIS-комментарий к материалу «Выбрось это старьё!».

Существуют мировые практики по анализу рисков, которым следуют единицы компаний. С точки зрения методологии рекомендуется провести Business Impact Analysis, где оценивается влияние различных рисков на бизнес-процессы компании и на этой основе строится дальнейшая защита. В большинстве же компаний руководство оценивает риск обывательски: смотрят, как сделано у других, реализуют какую-то одну методику защиты и успокаиваются или вообще принимают вероятность риска только на основе своего жизненного опыта, а не на основе мнения профессионалов. И соответственно, подготовка к угрозам обычно отсутствует, пока эти угрозы не осуществятся: произойдёт утечка, пройдёт DDoS-атака, выйдет из строя какая-то важная бизнес-система. 

Существует такой метод реагирования, как принятие риска, что означает, что ты согласен, что риск есть, но тебе проще его проигнорировать, чем разбираться и защищаться от него. Если утечка не приносит никакого вреда самой компании, то компания её игнорирует. Но в государственных компаниях утечка может нанести существенный  вред гражданам. Поэтому надзорные органы должны вводить требования по защите,а мотивацией становятся штрафы и выговоры.

Я однажды познакомился на свадьбе с владельцем фармацевтической компании, естественно, речь пошла про безопасность. И он мне сказал, что у него в офисе за все ИТ отвечает студент. Когда у него студент становится профессионалом, то увольняется и появляется новый студент. Так вот на вопрос с утечками мне ответили, что ему ничего не жалко: список дистрибьюторов, список лекарств? Всё это доступно и так. Криптолокеры? Переустанавливает Windows и продолжает работать. И он прав в своих размышлениях – ему не приносит боли никакая атака. Он легко перезапустит бизнес, даже если все ИТ-ресурсы умрут. Про угрозы на производстве и дистанционное банковское обслуживание мы не говорили.

В итоге если безопасник рассказывает про немыслимые ранее ущербы, то он должен оценивать ущерб в первую очередь для каждого бизнес-процесса на основе параметра MTD – Maximum Tolerable Downtime. То есть время простоя бизнес-процесса, после которого процесс уже не восстановить. Сколько организация проживёт без электронной почты? Сколько бизнес проживёт без электронной системы учёта товаров? Задавая подобные вопросы руководству, понимаешь, что часть рисков можно принять, поскольку часть сервисов проще переустановить с нуля, чем ставить сложную систему защиты, которая удержит систему в стабильном состоянии.

В случае с государственными органами контроль за утечками возлагается на каждого служащего, согласно законодательству РФ. И такие формы утечек, как забытые флешки и жёсткие диски, на самом деле оговорены регулирующими органами и приводят к персональной ответственности. Такие риски нельзя "принять". Да, нерадивые сотрудники встречаются в каждой компании. Поэтому рекомендуется выполнять шифрование внешних и внутренних носителей, и это ответственность ИТ- и ИБ-службы. И если в какой-то организации найдены незашифрованные флешки и жёсткие диски, то вопросы нужно адресовать к ответственному за защиту персональных данных и руководителю организации.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.11.2022
«В газовых контрактах мы уже переходим на расчёты в национальных валютах»
30.11.2022
Банк России обозначил приоритеты на ближайшие три года
30.11.2022
СБП готова прибавить оборотов в следующем году
30.11.2022
На сайте госуслуг появилась оплата через SberPay
29.11.2022
В кабмине хотят выдать российским сайтам отечественные сертификаты безопасности
29.11.2022
Рынок раскритиковал идею досудебных компенсаций жертвам утечек
29.11.2022
«Зачастую компании этим правом пренебрегают». Минцифры хочет отредактировать закон о КИИ
28.11.2022
В США запретили продажу телеком-харда из Китая
28.11.2022
Минцифры: Россия обречена на то, чтобы сделать необходимый прорыв в ИТ
28.11.2022
«… нанесёт России непоправимый вред». Майнеры недовольны новым проектом закона о майнинге

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных