Журнал "Information Security/ Информационная безопасность" #3, 2021

Руководство аэропортов может научить нас взаимодей- ствию с участниками цепочки поставок и сторонними органи- зациями. Они сотрудничают с авиакомпаниями, ритейлерами и государственными ведомства- ми. А угрозы, с которыми они сталкиваются, могут иметь ката- строфические последствия. Специалисты аэропорта также решают такие рутинные задачи, как быстрое перемещение боль- шого количества людей, опре- деление судьбы забытого бага- жа, поиск баланса между сни- жением возможных рисков и комфортом для путешествен- ников. Многое необходимо учесть и подготовить план дей- ствий, который нужно незамед- лительно осуществить при выявлении угрозы. И все это без учета проблем, связанных с состоянием ИТ-инфраструк- туры, кражами в розничных магазинах, оценкой работы, обучением сотрудников, без- опасностью зданий, отслежи- ванием перемещений людей и т.д. Список практически бес- конечный. Потребности в информацион- ной безопасности вашего биз- неса могут казаться не настоль- ко обширными. Однако у каж- дого предприятия есть свои внешние и внутренние факторы риска, такие как: l хакеры; l программы-вымогатели; l DDoS-атаки, направленные на выведение из строя ваших систем; l мошенничество недобросо- вестных сотрудников; 46 • УПРАВЛЕНИЕ Чему могут научить системы безопасности аэропорта лужба безопасности аэропорта может стать примером того, как следует продумывать, проектировать и реализовывать систему ИТ-безопасности в своей организации. Ведь аэропортам необходимо проявлять бдительность в отношении множества угроз, исходящих от террористов, преступников, недобросовестных сотрудников и т.д. Их системы безопасности противостоят как масштабным атакам, так и отдельным угрозам, например препятствуют проникновению на борт безбилетных пассажиров и провозу контрабанды, параллельно заботясь о безопасности людей. При этом меры безопасности не должны мешать пассажиропотоку, потому что любая задержка запускает цепную реакцию последствий для бизнеса. И это только начало! С Сергей Меньшаков, инженер-пресейл направления McAfee Виктор Вячеславов, технический директор группы компаний Innostage На настоящий момент в информационной безопасности есть два понятных и работающих подхода. Первый подход – регуляторный, его еще называют "формальная безопасность". В этом подходе основным источником тре- бований к работе ИБ-систем являются регуляторы: они регламентируют, что и как следует делать, предъявляют требования к организационным процессам, устанавливают критерии контроля. В итоге мы получаем комплексную, эшелонированную, а местами даже избыточную систему защиты информации. Второй подход, практическая безопасность, заключается в формулировании недопустимых событий информационной без- опасности на понятном бизнесу языке, и ответе с их помощью на вопросы "Насколько мы защищены?", "Сколько стоит защита?", "Почему это важно?". Второй подход не подменяет и не отменяет первый. Формальную безопасность надо рассматривать как набор базовых мер, которые обязательно должны быть реализованы в информационной системе. А практическая безопасность закрывает лакуны, которые не затрагиваются требованиями регу- ляторов. Формальная безопасность априори несколько отстает по времени от практической в силу изменчивости реального мира. Но синергия двух подходов позволит любому CISO, руководствующемуся ими, построить эффективную комплексную систему защиты. Комментарий эксперта