Сергей Голяк:

Затраты на ИБ сравнимы со страховкой от возможных потерь ресурсов компании

Своим мнением c CNews Analytics поделился начальник отдела информационной безопасности службы безопасности ММК Сергей Голяк.

CNews: На ваш взгляд, что сейчас в вашей компании попадает под нормы регуляторов в области ИБ? Насколько жестки эти нормы?

Сергей Голяк: Да, в настоящее время под госрегулирование попадает, в основном, работа с персональными данными и информацией ограниченного распространения. Также, существует тенденция к усилению регулирования в области защиты АСУ ТП, управляющих опасными производствами.

CNews: Сказывается ли на работе служб ИБ международная деятельность ММК?

Сергей Голяк: В настоящее время, международная деятельность ММК, которая повлияла на ИБ - это листинг акций комбината на Лондонской бирже, переход на МСФО и привлечение внешнего аудитора из пула ведущих мировых аудиторских компаний.

В процессе внешнего аудита осуществляется обязательная оценка состояния информационной безопасности предприятия, итоги которой доводятся до руководства компании. Соответственно, это оказывает большое влияние на деятельность служб ИБ комбината.

CNews: Планируется ли сертификация по каким - либо стандартам в этой области?

Сергей Голяк: В планах ММК есть сертификация по стандарту ISO 27001:2005. Мы уже много лет придерживаемся требований данного стандарта и его предшественника (ISO 17799).

CNews: По вашему мнению, управление безопасностью это исключительно затратная статья?

Сергей Голяк: Я считаю, что да, если не ставить целью оказание услуг в области ИБ другим организациям. Мне близок подход, сравнивающий затраты на ИБ со страховкой от возможных потерь ресурсов компании. К основным результатам от вложений в ИБ я отношу: снижение рисков, возможность проведения расследований инцидентов ИБ, повышение дисциплины персонала, удовлетворение требованиям регуляторов и повышение привлекательности компании в глазах инвесторов и партнеров.

CNews: Какова, на ваш взгляд, сейчас роль CSO в вашей компании? Возникают ли трения с службой ИТ? Как вы их решаете?

Сергей Голяк: В ММК отдел информационной безопасности входит в состав службы безопасности, которая, в свою очередь, находится в дирекции по контролю. Этим, во многом, определяется роль CSO в нашей компании. Мы занимаемся вопросами ИБ, в том числе, в привязке к вопросам контроля и экономической безопасности. Это помогает нам лучше ориентироваться в потребностях бизнеса.

Что касается взаимодействия со службой ИТ, у нас есть взаимопонимание с директором по ИТ, а также с ключевыми руководителями ИТ-подразделений. Директором по информационным технологиям регулярно проводятся совещания по ИБ, мы, со своей стороны, участвуем во всех ключевых ИТ-проектах. Трения между службами ИБ и ИТ иногда возникают, т.к. присутствует объективный конфликт интересов. Но у нас накоплен большой опыт конструктивного преодоления разногласий не в ущерб ключевым требованиям информационной безопасности.

CNews: Какие информационные угрозы вам приходится отражать сейчас? Какие тренды вы могли бы отметить в изменении их характера?

Сергей Голяк: В последние годы продолжали совершенствоваться методы реализации традиционных угроз ИБ, таких как: вирусные атаки, DoS атаки, зачастую перераставшие в DDoS атаки, а также спам и шпионские программы.

Из трендов изменения характера информационных угроз могу выделить усиление угроз со стороны собственного же персонала. Эта проблема отягощается развитием технологий хранения и передачи информации (флэш и другие карты памяти, оптические диски, мобильные телефоны, миниатюрные переносные жесткие диски и пр.).

Также не уменьшаются, а в какой-то части даже увеличиваются информационные угрозы, связанные с обработкой бумажных документов. Кроме того, хочу отметить повышение рисков, связанных с возможными финансово-правовыми последствиями утечки конфиденциальной информации третьих лиц.

CNews: В последнее время наблюдается всплеск интереса к проблематике защиты информации в АСУ ТП. На ваш взгляд, насколько это актуально для вас?

Сергей Голяк: Часть производственных процессов в металлургии относится к опасным. Это - коксохимическое производство, части доменного, конверторного производств. Аварии на таких агрегатах могут повлечь большое количество жертв, а также привести к остановке всего производства комбината. Поэтому в ММК, после анализа соответствующих рисков, был дан старт программе повышения защищенности АСУ ТП, управляющих опасными и экономически значимыми производствами.

CNews: Какая роль в вашей компании отводится иным средства технической безопасности - видеонаблюдению, системам контроля и управления доступом и т.д.?

Сергей Голяк: ММК занимает большую территорию, а также имеет много офисных зданий за пределами промплощадки. Без использования средств технической безопасности было бы невозможно установить полноценный пропускной режим, а также наладить соответствующие контроли. Поэтому на комбинате активно применяются все перечисленные в вопросе системы, а также системы сигнализации, распознавания номеров автотранспортных средств и вагонов, контроля за использованием большегрузного автотранспорта.

CNews: Ваша компания является территориально распределенной. Как в этой связи осуществляется управление всеми этими ИТ и ИБ системами?

Сергей Голяк: Управление распределенными ИТ и ИБ системами действительно на определенном этапе развития стало проблемой для комбината. Для ее решения активно применяются средства централизованного диагностирования и управления политиками, конфигурациями, рабочими станциями, сервисами. Унификация и централизация позволили снять остроту проблемы и оптимизировать использование персонала ИТ и ИБ служб.

CNews: Каков ваш подход к защите информации от потери вследствие возможных катастроф?

Сергей Голяк: В ММК внедрена комплексная система управления рисками. В рамках данной системы оценены и риски непрерывности бизнеса, в т.ч. потери информации вследствие возможных катастроф, а также разработаны и внедрены мероприятия по снижению данных угроз.

Примерами подобных мероприятий являются: страхование рисков потери информации и ИТ-оборудования, создание резервного центра обработки данных (ЦОД) включая комплекс мероприятий по повышению защищенности основного и резервного ЦОД, а также цеховых серверных. Дополнительно разработаны и исполнены регламенты резервного копирования и планы аварийного восстановления для всех критичных информационных систем комбината.

CNews: Относятся ли к вашей компетенции вопросы обеспечения непрерывности бизнеса?

Сергей Голяк: Обеспечение непрерывности бизнеса - комплексное понятие. В данном процессе задействованы многие службы ММК. В той части, которая относится к ИБ, это является компетенцией отдела информационной безопасности. Часть вопросов, в решении которых мы участвуем, я привел, отвечая на предыдущий вопрос.

CNews: Оценивается ли в вашей компании возврат инвестиций от вложений в безопасность - ROSI?

Сергей Голяк: Данная методика показалась нам интересной. Мы реализовали пилотный проект по созданию системы управления информационным риском на основе ROSI. Планируем дальнейшее развитие данной системы.

CNews: Какие планы ставите вы перед компанией на ближайшие годы в плане развития ИТ и ИБ систем?

Сергей Голяк: Этот вопрос, в силу своей комплексности, может стать предметом отдельного интервью. Сейчас же могу сказать, что в ММК существует "Концепция развития ИТ". Что касается развития ИБ-систем, самой важной и, наверное, сложной задачей на ближайшие годы я бы назвал полное выполнение требований госрегуляторов в части технической защиты конфиденциальной информации.

CNews: Есть ли сложности с подбором персонала для работы в области информационной и технической безопасности?

Сергей Голяк: Да, специалистов с профильным образованием на рынке труда нашего региона пока немного. Плюс к этому работа в области информационной безопасности требует высокой практической квалификации персонала, в том числе в прикладных областях ИТ.

CNews: Спасибо.