|
|
Обзор подготовлен
При поддержке
CNews: Насколько, на ваш взгляд, сильно регулирование в сфере информационной безопасности в металлургической отрасли? Отличается ли от телекома или финансов?
Алексей Кашолкин: В своей деятельности мы, также как и они, руководствуемся требованиями международных, российских и собственных, корпоративных, документов. Вместе с тем, компании финансовой сферы и телекома, чтобы не лишиться лицензии, обязаны выполнять еще и требования отраслевых регуляторов, таких как Банк России, Россвязьнадзор и др. Так что нам в какой-то степени повезло - наша деятельность менее зарегулирована.
CNews: Сказывается ли на работе служб ИБ ваша международная деятельность?
Алексей Кашолкин: Конечно, сказывается! Так как нам приходится учитывать особенности местного законодательства, а также специфику организации работы ИТ-подразделений в различных странах, где "Северсталь" ведет деятельность.
CNews: Планируется ли сертификация по каким-либо стандартам в области ИБ?
Алексей Кашолкин: Получение того или иного сертификата не является для нас самоцелью, сертификация, по нашему мнению, нужна только как инструмент решения бизнес-задач. Для нас, безусловно, важно чтобы компания соответствовала требованиям стандартов, однако совсем не обязательно иметь сертификат. Соответствие можно подтвердить другими способами, например, результатами регулярно проводимых внутренних и внешних аудитов.
CNews: По вашему мнению, управление безопасностью это исключительно затратная статья?
Алексей Кашолкин: Безопасность, безусловно, статья затратная, как и любая форма страхования рисков. Вместе с тем, наличие в компании системы управления информационной безопасностью обеспечивает надежность бизнеса, существенно улучшает качество активов и структурирует их. Тем самым частично компенсируются вложенные в безопасность средства.
CNews: Какова, на ваш взгляд, сейчас роль CSO в вашей компании? Возникают ли трения со службой ИТ? Как вы их решаете?
Алексей Кашолкин: Сейчас, как, впрочем, и раньше, основная роль CSO в компании - это отслеживание перспективных тенденций в области безопасности, а также оценка степени их влияния на бизнес компании.
CSO увязывает воедино задачи бизнеса и требования безопасности с учетом влияния различных внешних и внутренних факторов. Это и изменяющиеся требования законодательства, и развитие информационных технологий и т.д. В нашем случае трений со службой ИТ практически нет, так как все основные вопросы развития как ИТ, так и ИБ рассматриваются совместно.
CNews: Какие информационные угрозы вам приходится отражать сейчас? Какие тренды вы могли бы отметить в изменении их характера?
Алексей Кашолкин: Главные проблемы сегодня связаны с внутренними угрозами, а именно с утечкой конфиденциальной информации за пределы компании. Можно предположить, что в условиях мирового финансового кризиса, скорее всего, случаев утечки приватных данных станет больше. Поэтому, именно на минимизации рисков связанных с внутренними угрозами сейчас сосредоточены основные наши усилия.
CNews: В последнее время наблюдается всплеск интереса к проблематике защиты информации в АСУ ТП. На ваш взгляд, насколько это актуально для вас?
Алексей Кашолкин: В случае если обеспечено физическое разделение сетей АСУ ТП от прочих информационных сетей, то проблема защиты информации в этих системах управления, на мой взгляд, стоит не столь остро. Совсем другое дело, если такого разделения нет.
Во многих зарубежных предприятиях дело обстоит именно так. Более того, на некоторых из них возможен удаленных доступ в сети АСУ ТП с использованием интернет. Приобретая зарубежные активы, мы сталкиваемся с новыми рисками. И в том случае, если мы не готовы принять эти риски, приходится искать пути их снижения. Это обстоятельство является одной из причин повышения интереса к проблематике защиты информации в АСУ ТП.
CNews: Какая роль в вашей компании отводится иным средства технической безопасности - видеонаблюдению, системам контроля и управления доступом и т.д.?
Алексей Кашолкин: Предотвращение случаев несанкционированного физического доступа на территорию компании, к ее информации, а также пресечение нанесения ущерба и вмешательства в работу невозможно без использования средств технической безопасности. Здесь важно, чтобы степень защиты была соизмерена с выявленным риском. В зависимости от величины этого риска и принимается решение: какие именно средства технической безопасности, и в каком объеме следует использовать на данном конкретном объекте.
CNews: Ваша компания является территориально распределенной. Как в этой связи осуществляется управление всеми этими ИТ и ИБ системами?
Алексей Кашолкин: Компания хоть и является территориально распределенной, но функционально службы ИТ и ИБ централизованы, поэтому серьезных проблем с управлением у нас нет.
CNews: Каков ваш подход к защите информации от потери вследствие возможных катастроф?
Алексей Кашолкин: Наш подход, я думаю, ничем не отличается от общепринятого и закрепленного в стандартах. Для защиты информации необходимо создать комплексную систему обеспечения непрерывности бизнеса. По-крупному процесс ее создания состоит из трех этапов. Во-первых, выявление и анализ вероятности наступления событий, которые могут вызвать крупный отказ информационных систем. Во-вторых, разработка сценариев действий в случае наступления таких событий. И, наконец, разработка плана мероприятий по обеспечению непрерывности бизнеса.
CNews: Относится ли к вашей компетенции вопросы обеспечения непрерывности бизнеса?
Алексей Кашолкин: Да, в части касающейся обеспечения непрерывности ИТ-поддержки бизнеса.
CNews: Оценивается ли в вашей компании возврат инвестиций от вложений в безопасность - ROSI?
Алексей Кашолкин: Однозначно ответить на этот вопрос нельзя, на одних предприятиях такая работа ведется, на других пока нет.
CNews: Какие планы ставите вы перед компанией на ближайшие годы в плане развития ИТ и ИБ систем?
Алексей Кашолкин: Основные работы будут вестись на следующих направлениях: корректировка корпоративной ИТ-стратегии, защита конфиденциальной информации, а также обеспечение непрерывности ИТ-поддержки бизнеса.
CNews: Есть ли сложности с подбором персонала для работы в области информационной и технической безопасности?
Алексей Кашолкин: Конечно, есть! Они связаны, главным образом, с недостатком на рынке высококвалифицированных специалистов, имеющих практический опыт работы. А, как следствие, такие специалисты очень дорого стоят.
CNews: Спасибо.