|
|
Обзор подготовлен
При поддержке
CNews: Отрасль экономики, где работает ваша компания, на первый взгляд, кажется не столь зарегулированной в области ИБ, как, например, финансы или телеком. Или это обманчивое впечатление, на ваш взгляд?
Евгений Климов: Что касается информационной безопасности, то как таковых отраслевых требований со стороны отечественных и международных регуляторов не существует и вряд ли они появятся в ближайшем будущем. В области обеспечения непрерывности бизнеса стоит отметить ряд Федеральных законов РФ в области гражданской обороны и управления чрезвычайными ситуациями. Это, например, ФЗ «О гражданской обороне», «О чрезвычайном положении», «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» и т.д.
Эти законы регламентируют действия организаций в части планирования и осуществления мер по защите сотрудников при чрезвычайных ситуациях, по повышению устойчивости функционирования организаций и обеспечению жизнедеятельности сотрудников, а также обеспечения, создания, подготовки и поддержания в готовности к применению сил и средств предупреждения и ликвидации чрезвычайных ситуаций и т.д.
Так как предприятия горно-металлургической отрасли подпадают под критерии «имеющие потенциально опасные производственные объекты и эксплуатирующие их», а также «имеющие важное оборонное и экономическое значение», то выполнение требований вышеуказанных законов является для них обязательным. Отмечу, что данные законы не противоречат стандарту BS 25999-2:2007 и во многом дополняют друг друга.
В своей деятельности, выстраивая систему управления информационной безопасностью и непрерывностью бизнеса нашего холдинга, мы руководствуемся требованиями действующих Федеральных законов РФ «О персональных данных», «Об информации, информатизации и защите информации», а также рекомендациями основных международных стандартов ISO/IEC 27001:2005 и BS 25999-2:2007.
CNews: Планируется ли сертификация по каким-либо стандартам в этой области?
Евгений Климов: В сентябре 2008г. управляющая компания «Металлоинвест» успешно прошла аудит и стала первой среди горно-металлургических компаний России внедрившей и сертифицировавшей систему управления информационной безопасностью на предмет соответствия международному стандарту ISO/IEC 27001:2005. В результате мы получили не только дополнительные конкурентные преимущества на внутреннем и международном рынках, но и повысили эффективность внутренних процессов ИБ с учетом рекомендаций British Standards Institution (BSI).
В ближайшей перспективе планируется рассмотреть целесообразность сертификации системы обеспечения непрерывности производственных процессов комбинатов на предмет соответствия стандарту BS 25999-2:2007.
CNews: По вашему мнению, управление безопасностью это исключительно затратная статья?
Евгений Климов: Это спорный вопрос. С коммерческой точки зрения решения по безопасности явной прибыли не приносят. С другой стороны, результатом их функционирования является минимизация рисков, а, следовательно, снижение вероятности финансовых потерь компании, что можно рассматривать как косвенную прибыль.
На самом деле, очень многое зависит от того, на каком языке разговариваешь с бизнесом. Если при обосновании бюджета безопасности ты показываешь существующие риски, количественную и качественную оценку их стоимости для бизнеса, экономическую эффективность внедрения контрмер, то руководство компании это понимает и практически всегда поддерживает. В противном случае, управление безопасностью обречено являться исключительно затратной статьей с сомнительной пользой для бизнеса.
CNews: Какова, на ваш взгляд, сейчас роль CSO в вашей компании? Возникают ли трения со службой ИТ? Как вы их решаете?
Евгений Климов: В функции департамента безопасности УК «Металлоинвест» входит разработка стратегии и политик безопасности, внедрение и эксплуатации средств защиты, контроль соблюдения требований, проведение служебных расследований, а также координация деятельности дочерних предприятий в области экономической, информационной безопасности, а также охраны и режима.
Трений с ИТ-департаментом практически нет. В свое время совместными усилиями был разработан регламент взаимодействия в области обеспечения информационной безопасности, в рамках которого и выстраивается работа. Так, например, сотрудники ИБ-департамента в обязательном порядке участвуют в проектах ИТ-департамента с целью выработки и контроля выполнения требований безопасности на всех этапах проекта. Сотрудники из ИТ в свою очередь участвуют в проектах по информационной безопасности с целью обеспечения бесперебойности ИТ-сервисов. По такому же принципу выстраивается работа и на дочерних предприятиях.
CNews: Какие информационные угрозы вам приходится отражать сейчас? Какие тренды вы могли бы отметить в изменении их характера?
Евгений Климов: В условиях финансового кризиса особое значение приобретают системы защиты от внутренних угроз. Причем это касается не только информационной и экономической безопасности, но и режимных мероприятий по охране производственных территорий, общая площадь которых только на горно-обогатительных комбинатах составляет несколько десятков квадратных километров.
Очень большая роль отводится средствам технической безопасности – видеонаблюдению, системам контроля и управления доступом и т.д., а также эффективному взаимодействию служб информационной, экономической безопасности и режима.
Что касается информационных угроз и современных тенденций, то, на мой взгляд, текущую картину очень хорошо отражают последние исследования компаний PricewaterhouseCoopers «The Global State of information Security 2008» и Ernst&Young «Global Information Security Survey 2008».
CNews: В последнее время наблюдается всплеск интереса к проблематике защиты информации в АСУТП. На ваш взгляд, насколько это актуально для вас?
Евгений Климов: Да, действительно, такая проблема имеет место. Во многом это обусловлено высокой степенью проникновения информационных технологий в производственные процессы.
По нашему опыту проведения мероприятий по оценке и анализу рисков предприятий, в текущих реалиях сбой в работе специализированной АИС может привести к частичной или полной остановке производства.
А неправильная настройка параметров той же АИС – к возможностям хищения неучтенной в системе продукции или изготовлению продукции не соответствующей требованиям заказчиков и т.д. Это в свою очередь в явном виде отражается на прибыли и репутации предприятия. Самое интересное, что как раз в этой области финансовый ущерб легко просчитывается!
Но проблема заключается в другом. Специфика горно-металлургической отрасли такова, что АСУТП являются дополнением к конкретному производственному оборудованию, индивидуально настраиваются, а часто и дорабатываются под заказчика. Количество некоторых инсталляций даже в масштабах всего мира можно буквально пересчитать по пальцам.
В итоге, на рынке отсутствуют соответствующие решения по обеспечению информационной безопасности, а также консультанты, обладающие необходимой компетенцией. Готовить же их негде и не на чем. Привлечение неквалифицированных специалистов с большой долей вероятности приведет к вышеуказанным последствиям.
Поэтому на текущий момент все действия по защите АСУТП сводятся к максимально возможной изоляции технологических сегментов сети и жесткой регламентации деятельности обслуживающего персонала. Перспективы развития данного направления представляются крайне сомнительными.
CNews: Какие планы ставите вы перед компанией на ближайшие годы в плане развития направления информационной безопасности?
Евгений Климов: Основной нашей задачей является выстраивание единой системы управления, унификация процессов информационной безопасности и их плотная интеграция в существующую систему менеджмента качества на предприятиях.
CNews: Есть ли сложности с подбором персонала для работы в области информационной и технической безопасности?
Евгений Климов: Существуют определенные проблемы с подбором сотрудников, обладающих необходимой компетенцией в регионах. Мы стараемся их решать за счет выстраивания единой вертикально подчиненной системы управления информационной безопасностью. Кроме того, формируются центры компетенции на местах и отлаживаются максимально эффективные горизонтальных связей. Огромное внимание уделяется внедрению корпоративной системы повышения осведомленности, а также обязательному обучению сотрудников в рамках проводимых проектов.
CNews: Спасибо.