BIS Journal №3(38)/2020

8 сентября, 2020

Согласно законодательству РФ…

BIS-комментарий к материалу «Выбрось это старьё!».

Существуют мировые практики по анализу рисков, которым следуют единицы компаний. С точки зрения методологии рекомендуется провести Business Impact Analysis, где оценивается влияние различных рисков на бизнес-процессы компании и на этой основе строится дальнейшая защита. В большинстве же компаний руководство оценивает риск обывательски: смотрят, как сделано у других, реализуют какую-то одну методику защиты и успокаиваются или вообще принимают вероятность риска только на основе своего жизненного опыта, а не на основе мнения профессионалов. И соответственно, подготовка к угрозам обычно отсутствует, пока эти угрозы не осуществятся: произойдёт утечка, пройдёт DDoS-атака, выйдет из строя какая-то важная бизнес-система. 

Существует такой метод реагирования, как принятие риска, что означает, что ты согласен, что риск есть, но тебе проще его проигнорировать, чем разбираться и защищаться от него. Если утечка не приносит никакого вреда самой компании, то компания её игнорирует. Но в государственных компаниях утечка может нанести существенный  вред гражданам. Поэтому надзорные органы должны вводить требования по защите,а мотивацией становятся штрафы и выговоры.

Я однажды познакомился на свадьбе с владельцем фармацевтической компании, естественно, речь пошла про безопасность. И он мне сказал, что у него в офисе за все ИТ отвечает студент. Когда у него студент становится профессионалом, то увольняется и появляется новый студент. Так вот на вопрос с утечками мне ответили, что ему ничего не жалко: список дистрибьюторов, список лекарств? Всё это доступно и так. Криптолокеры? Переустанавливает Windows и продолжает работать. И он прав в своих размышлениях – ему не приносит боли никакая атака. Он легко перезапустит бизнес, даже если все ИТ-ресурсы умрут. Про угрозы на производстве и дистанционное банковское обслуживание мы не говорили.

В итоге если безопасник рассказывает про немыслимые ранее ущербы, то он должен оценивать ущерб в первую очередь для каждого бизнес-процесса на основе параметра MTD – Maximum Tolerable Downtime. То есть время простоя бизнес-процесса, после которого процесс уже не восстановить. Сколько организация проживёт без электронной почты? Сколько бизнес проживёт без электронной системы учёта товаров? Задавая подобные вопросы руководству, понимаешь, что часть рисков можно принять, поскольку часть сервисов проще переустановить с нуля, чем ставить сложную систему защиты, которая удержит систему в стабильном состоянии.

В случае с государственными органами контроль за утечками возлагается на каждого служащего, согласно законодательству РФ. И такие формы утечек, как забытые флешки и жёсткие диски, на самом деле оговорены регулирующими органами и приводят к персональной ответственности. Такие риски нельзя "принять". Да, нерадивые сотрудники встречаются в каждой компании. Поэтому рекомендуется выполнять шифрование внешних и внутренних носителей, и это ответственность ИТ- и ИБ-службы. И если в какой-то организации найдены незашифрованные флешки и жёсткие диски, то вопросы нужно адресовать к ответственному за защиту персональных данных и руководителю организации.

Смотрите также