BIS Journal №3(38)/2020

8 сентября, 2020

Согласно законодательству РФ…

BIS-комментарий к материалу «Выбрось это старьё!».

Существуют мировые практики по анализу рисков, которым следуют единицы компаний. С точки зрения методологии рекомендуется провести Business Impact Analysis, где оценивается влияние различных рисков на бизнес-процессы компании и на этой основе строится дальнейшая защита. В большинстве же компаний руководство оценивает риск обывательски: смотрят, как сделано у других, реализуют какую-то одну методику защиты и успокаиваются или вообще принимают вероятность риска только на основе своего жизненного опыта, а не на основе мнения профессионалов. И соответственно, подготовка к угрозам обычно отсутствует, пока эти угрозы не осуществятся: произойдёт утечка, пройдёт DDoS-атака, выйдет из строя какая-то важная бизнес-система. 

Существует такой метод реагирования, как принятие риска, что означает, что ты согласен, что риск есть, но тебе проще его проигнорировать, чем разбираться и защищаться от него. Если утечка не приносит никакого вреда самой компании, то компания её игнорирует. Но в государственных компаниях утечка может нанести существенный  вред гражданам. Поэтому надзорные органы должны вводить требования по защите,а мотивацией становятся штрафы и выговоры.

Я однажды познакомился на свадьбе с владельцем фармацевтической компании, естественно, речь пошла про безопасность. И он мне сказал, что у него в офисе за все ИТ отвечает студент. Когда у него студент становится профессионалом, то увольняется и появляется новый студент. Так вот на вопрос с утечками мне ответили, что ему ничего не жалко: список дистрибьюторов, список лекарств? Всё это доступно и так. Криптолокеры? Переустанавливает Windows и продолжает работать. И он прав в своих размышлениях – ему не приносит боли никакая атака. Он легко перезапустит бизнес, даже если все ИТ-ресурсы умрут. Про угрозы на производстве и дистанционное банковское обслуживание мы не говорили.

В итоге если безопасник рассказывает про немыслимые ранее ущербы, то он должен оценивать ущерб в первую очередь для каждого бизнес-процесса на основе параметра MTD – Maximum Tolerable Downtime. То есть время простоя бизнес-процесса, после которого процесс уже не восстановить. Сколько организация проживёт без электронной почты? Сколько бизнес проживёт без электронной системы учёта товаров? Задавая подобные вопросы руководству, понимаешь, что часть рисков можно принять, поскольку часть сервисов проще переустановить с нуля, чем ставить сложную систему защиты, которая удержит систему в стабильном состоянии.

В случае с государственными органами контроль за утечками возлагается на каждого служащего, согласно законодательству РФ. И такие формы утечек, как забытые флешки и жёсткие диски, на самом деле оговорены регулирующими органами и приводят к персональной ответственности. Такие риски нельзя "принять". Да, нерадивые сотрудники встречаются в каждой компании. Поэтому рекомендуется выполнять шифрование внешних и внутренних носителей, и это ответственность ИТ- и ИБ-службы. И если в какой-то организации найдены незашифрованные флешки и жёсткие диски, то вопросы нужно адресовать к ответственному за защиту персональных данных и руководителю организации.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных