Журнал "Information Security/ Информационная безопасность" #4, 2019

Сегодня группа компаний внедряет стратегию разви- тия до 2020 года, главными приоритетами которой являются выпуск широкого ассортимента конкуренто- способной на мировом рынке продукции, повыше- ние уровня эффективности производственных процес- сов, построение эффектив- ной структуры менеджмента и создание комфортных условий труда для всех сотрудников предприятия. – Еще одними актуаль- ными рисками остаются атаки на АСУ ТП. Какие угрозы несут в себе наи- большую опасность? – Спектр угроз для техноло- гического сегмента в целом ана- логичен тому, что актуально для корпоративных сетей. Напри- мер, канатная дорога на Воробь- евых горах в Москве останови- лась из-за вируса-шифроваль- щика, с чем сталкивались два года назад МВД, "Роснефть" и другие организации в корпо- ративном сегменте. Одним из немногих нюансов является то, что в технологическом сегменте чаще всего нет конфиденци- альной информации. В практи- ческом плане это означает, что средства класса DLP в АСУ ТП, скорее всего, не актуальны. Есть вещи, связанные не с ландшафтом угроз, а с осо- бенностями самого защищае- мого объекта. Так, при выборе средств для реализации меха- низмов защиты надо учитывать их минимальное влияние на технологические процессы. Если средства защиты их пре- рвут, то, в отличие от бизнес- процессов, это может привести не только к простою, но и к порче оборудования, и даже техногенной катастрофе. – Как 187-ФЗ "О без- опасности критической информационной инфра- структуры Российской Федерации" повлиял на работу "Концерна "Калаш- ников"? – Как и многие компании из списка отраслей, отнесенных к субъектам КИИ, мы проводим категорирование своих объектов критической информационной инфраструктуры. Промежуточ- ные результаты показали, что в целом уже используемых и внедряемых механизмов защиты достаточно. Поэтому мы не ждем значимых измене- ний. Сам процесс категориро- вания позволяет формализовать многие важные моменты, такие как ответственность за безопас- ность ОКИИ, вовлечь многие подразделения, повысить значи- мость той работы, которую мы ведем. Уже это большой плюс. – На ваш взгляд, норма- тивные акты по КИИ содержат исчерпываю- щий список мер для пол- ной гарантии безопасно- сти объектов? – Любая нормативная база нуждается в апробировании. Сейчас и мы, и другие субъ- екты КИИ в основном занима- емся категорированием. Мало кто продвинулся дальше. Поэтому точки для улучшения, по крайней мере, этого этапа стали понятны, и кое-что даже уже успели внести в новые версии документов. Это каса- ется сроков категорирования и т.п. Для того чтобы понять, что улучшить в списке мер, недо- статочно его просто прочесть, его надо попробовать приме- нить. Причем многими органи- зациями, обменяться мнениями и только потом браться за улуч- шения. Документы разрабаты- вались профессионалами, их качество очень хорошее, и толь- ко практика использования даст адекватную картину. – Что вы предложили бы доработать в нормативном регулировании? – На мой взгляд, не хватает оценки репутационных рисков, сейчас их просто не рассматри- вают. При том, что потеря репу- тации вполне может стать при- чиной, например, срыва подпи- сания международных догово- ров (показатель значимости 7) или падения прибыльности ком- паний как с государственным участием (показатель значимо- сти 8), так и коммерческих, что может привести к сокращению отчислений в бюджет (показа- тель значимости 9). – С какими основными проблемами вы столкну- лись в процессе катего- рирования? – Долго обсуждали, делать самостоятельно или привлечь консультанта. На мой взгляд, помощь компаний, уже несколь- ко раз отработавших в других субъектах, оказалась для нас очень полезной для прохожде- ния категорирования сравни- тельно гладко и быстро. – Какой подход вы использовали при состав- лении перечня объектов КИИ, подлежащих катего- рированию? – Мы шли от процессов, это помогло сразу откинуть те ИТ- системы, которые не являются ОКИИ, а их у нас довольно много. Такой подход сократил и затраченные ресурсы, в том числе временные. – Каким образом вы пла- нируете обеспечивать непрерывное взаимодей- ствие с ГосСОПКА? – Мы напрямую взаимодей- ствуем с ГосСОПКА, недавно подписав с ними соответствую- щий регламент. Сама идея национального центра, консолидирующего дан- ные по компьютерным инциден- там и информирующего о них все присоединившееся кибер- комьюнити, очень хороша. Только начав информацион- ный обмен, мы уже получили важные сведения о существо- вавших у нас проблемах (сейчас они уже решены). Причем чем больше будет участников, тем более качественную информа- цию мы сможем получать. В тече- ние пары лет следует ждать эффекта снежного кома за счет массового присоединения к Гос- СОПКА других организаций. – Многие компании жалуются на нехватку ква- лифицированных кадров в области ИБ. Столкнулись ли вы с этой проблемой? Как вы ее решаете? – У концерна сравнительно небольшой штат дирекции кибербезопасности. Работа строится командная, задачи интересные – это очень важно для молодых ребят. Многое зависит и от HR-функции, у нас это очень мощное и профес- сиональное подразделение. С учетом того, что практиче- ски во всех городах нашего присутствия концерн – один из самых желаемых работодате- лей, мы не столь остро ощуща- ем эту проблему, характерную для рынка труда в области кибербезопасности. l Спасибо за беседу! • 11 ПЕРСОНЫ www.itsec.ru В плане повышения осведомленности сотрудников в части ИБ мы похожи на многие ритейл-компании – придерживаемся идеологии omni-channel. Только наш товар – информация, которую мы доставляем до сотрудников концерна по множеству каналов. Те компании, которые не цифровизируются, – разорятся, так как они проиграют рынок. Те компании, которые цифровизируются… получат "цифровую торпеду"… и тоже разорятся. (Евгений Касперский) Ваше мнение и вопросы присылайте по адресу is@groteck.ru