Подпишитесь на нашу ежедневную рассылку с новыми материалами

В Беларуси


Николай Щетько, /

Дмитрий Никипелов (ЗАО "НПП Белсофт") – один из опытнейших экспертов в сфере информационной безопасности (ИБ) у нас в стране, с более чем 15-летним стажем только по этому направлению. С ним мы обсудили важные вопросы организации защиты информации на предприятиях Беларуси.

Как рассказал специалист, в Беларуси уже сформировался рынок ИБ-услуг, однако квалифицированных специалистов по комплексной инфобезопасности отчаянно не хватает. Да и предприятий, где процессы защиты информации налажены, немного: это банки, компании топливно-энергетического комплекса,  представительства зарубежных корпораций и некоторые частные фирмы, в том числе – ИТ-компании. 

По оценкам Дмитрия Никипелова, в Беларуси ежедневно происходит не менее одного "инцидента" в области безопасности информации. Далеко не всегда это что-то совсем серьезное (остановка процессингового центра, кража или утечка данных, и т.п.), но тем не менее.

Эксперт оценивает основные проблемные моменты в сфере организации инфобезопасности на предприятии и даёт советы как для специалистов в ИБ-сфере по совершенствованию знаний и навыков, так и для предприятий, планирующих внедрять системы защиты информации, для частных пользователей. 




Внимание! У вас отключен JavaScript, ваш браузер не поддерживает HTML5, или установлена старая версия проигрывателя Adobe Flash Player.

Скачать аудио (18,12 МБ)

Внимание! У вас отключен JavaScript, ваш браузер не поддерживает HTML5, или установлена старая версия проигрывателя Adobe Flash Player.

Скачать видео


Сегодня мы говорим про информационную безопасность во всех её проявлениях. И первый наш гость – Дмитрий Никипелов – руководитель направления информационной безопасности ЗАО НПП Белсофт.

Понятие информационной безопасности – это нечто совершенно всеобъемлющее. Может быть, у Вас есть какое-то короткое определение его? И можете ли рассказать какими именно направлениям или течениями в инфобезопасности занимается Ваша компания?

Существует два понятия информационной безопасности, т.е. есть понятие "информационная безопасность" (далее - ИБ) и "безопасность информации" (далее – БИ). Это не одно и то же. ИБ – это то, чем сейчас занимаемся мы с вами. Т.е. мы предоставляем широкому кругу ту информацию, которым он должен владеть для решения каких-то вопросов. Примером правильно построенных вопросов ИБ – это освещение событий вокруг Японии и японской трагедии. Японцы четко, в реальном времени передают всю информацию о случившемся. Тем самым они не вызывают панику в мире и доводят до широкой общественности всю информацию. Это относится к средствам массовой информации. Понятие "безопасность информации" - это область, которой занимаюсь я и отчасти моя компания. Хотя компания Белсофт – это системный интегратор, который занимается ещё и другими вопросами. БИ включает в себя, как минимум, три составляющие: техническая составляющая – это программное обеспечение, аппаратное обеспечение, административная, или человеческий фактор и организационная составляющая, о которой забывают – это нормативно-распределительная база – документы. Это три кита, которые позволяют строить систему.

А можно ли сказать, что в Беларуси сформировался рынок услуг информационной безопасности? Т.е. достаточное количество компаний, которые предлагают услуги в этом направлении и компании, которые генерируют спрос на них.

Этот рынок не может быть публичным, потому в Беларуси и в других странах данный вид деятельности является лицензируемым. Государство защищает таким способом попадание случайных компаний на этот рынок, тем самым, исключая спекуляции и недоброкачественные подходы к данному рынку. В РБ на сегодняшний день есть несколько компаний, которые борются за право присутствовать в том или ином сегменте. Это специализированные компании, которые занимаются спецтехникой по обеспечению БИ. Это компании – системные интеграторы, которые охватывают практически весь спектр ИТ-услуг и знают как подойти к этому системно. И это поставщики программного и аппаратного обеспечения, которые занимаются тем, что продвигают на рынки собственного вендора. Да, наверное, рынок ИБ в Беларуси можно считать конкурентным и актуальным, сформированным.

Если говорить о клиентах – многие ли компании заказывают основные услуги. Я так понимаю, это аудит в области ИБ, верное построение инфраструктуры с учетом всех требований. И это чаще государственные или частные компании? И какие сегменты рынка? Интуиция подсказывает, что это банки, но кто кроме них?

Банки – естественно. Я сразу скажу, что у нас рынок ИБ – это достаточно дорогостоящий сегмент рынка ИТ-услуг, потому что он специализированный и требует весьма высокой квалификации и достаточно дорогих программно-технических средств. Его позволить себе может далеко не каждая компания. В нашей стране это считается скорее роскошью, чем необходимостью. И маленькая компания себе физически не может позволить построение структуры ИБ. Для крупной компании есть несколько подходов – либо набрать собственный штат специалистов их подготовить и строить систему, либо заказать построение готовой системы у компании – системного интегратора. Для банков обеспечение ИБ – это обязательная процедура. Она является необходимостью в виду того, что существуют требования регуляторов – Национального банка, платежной системы VISA. Те банки, которые выпускают пластиковые карточки, обязаны выполнять требования стандарта VISA. Стандарт весьма жесткий и целиком и полностью направлен на обеспечение безопасности.

Существуют ли в Беларуси предприятия, которые соответствуют жестким международным стандартам в этой области? И какие это стандарты?

У нас ещё с советских времен существовали свои собственные стандарты, которые до сих пор не меняются. Они актуальны по сути своей. Тут можно выделить предприятия военной промышленности. Они, пользуясь теми старыми стандартами, сумели сохранить на высоком уровне вопросы обеспечения БИ. У них это требования государства. В негосударственной сфере достаточно высоко поставлены вопросы БИ у предприятий, для которых важно сохранение коммерческой тайны. Это нефтяные компании, предприятия концерна Белтрансгаз и Белнефтехим. Для них выполнение контрактных обязательств является требованием партнеров. И защищать эту информацию просто необходимо.

А за международными стандартами в этой сфере мы гонимся или нет? Или нет необходимости?

На сегодняшний день международные стандарты не являются обязательными, носят рекомендательный характер. Но в ближайшее время выйдет стандарт РБ – СТБ, который является, полностью совместимым с международным стандартом и который будет определять критерии и требования к системе информационной безопасности.

С какими из тех трех направлений, которые мы ранее обсудили, возникают чаще всего проблемы в Беларуси?

Самая большая проблема, с моей точки зрения, это понимание руководства. Это не относится ни к одному из трех китов, но на сегодняшний день самое важное – это вопрос принятия решения. Для принятия решения о том, чтобы быть системе или не быть необходимо понимание руководства: для чего это нужно, сколько это стоит и кто это будет делать. Если такое понимание есть, то все основные вопросы сразу становятся на свои места.

Но в Беларуси есть проблема в том, что нет качественно подготовленных молодых специалистов. Это связано с тем, что специальность БИ достаточно узкая и узковостребованная. Выпускать много специалистов наши ВУЗы не могут, не хотят. Модно стало готовить ИТ-специалистов и называть эту специальность ИБ, но данная категория молодых специалистов не владеет вопросами общесистемного построения. Они знают только узкие вопросы организации отдельных моментов программных, аппаратных.

И нигде в ВУЗах, по сути, таких программ нет? Я знаю, что в БГУ на факультете информатики и радиоэлектроники есть отдельная специальность?

Я знаю, что БГУ готовит специалистов-сетевиков и Университет Информатики и Радиоэлетроники тоже. Но они готовят технических специалистов. А общие вопросы БИ – это и психологический фактор, и умение работать с документацией. Это квалификация скорее технического писателя, чем системного администратора.

Существует ли необходимость в том, что один специалист по БИ был и специалистом по сетям и техническим писателем и т.д.?

При организации проекта по БИ должен быть координатор проекта, который должен владеть всей системой. Он может не знать конкретных настроек и конфигураций, не знать особенностей конкретного программного обеспечения, но он должен четко представлять, что нужно получить на выходе. И его задача – грамотно поставить задачу узким специалистам.

За мою практику работы было замечено, что технари категорически не приемлют взаимодействия со специалистами по физической безопасности – Служба охраны и т.д. ИБ – это вопрос комплексный. Глупо считать, что грамотно поставленный пароль спасет от кражи компьютера.

В любом случае, должен быть координатор. И да, действительно, это специалисты штучные, потому, возможно, наши ВУЗы и не хотят их готовить – сложно, дорого, и рынок достаточно быстро будет насыщен и специальность окажется невостребованной. Что-то подобное было с юристами, которых стали готовить многие ВУЗы.

А насколько сильно озадачиваются вопросами БИ частные ИТ-компании, провайдеры, хостинг-компании?

Недавно этот вопрос был определен регуляторами в этой области деятельности. Это касается предоставлением хостинга либо предоставление интернет-услуг государственным организациям. Был Указ Президента и соответствующий приказ Оперативно-аналитического центра, который является органом лицензирования. Все, кто изъявил желание стать поставщиками услуг для государственных организаций, должны были выполнить определенные требования. На сегодняшний день в это список вошло 13 организаций. Большая часть из них – государственные. Среди коммерческих, можно выделить наш телеком – мобильные операторы, хостинг-компании.

У ИТ-компаний, которые занимаются разработками, как-то этот вопрос ставится?

Если ИТ-компания является представительством либо дочерней компанией какой-то западной, то будет присутствовать корпоративная политика безопасности, которая будет определена головной компанией. И выполнять её придется. Те, кто пытается выйти на некий уровень, зародившись здесь, в Беларуси – сталкиваются с рядом достаточно серьёзных проблем. Самая главная из которых – финансирование. Потому что обеспечение безопасности – это серьёзное вложение. Поэтому, в небольших компаниях организацией процесса занимается один человек, который является изначально администратором технических сетей и который проходит переквалификацию. Это не очень хорошо, потому что в компании появляется один человек, от которого зависит всё.

И как эта проблема решается?

Это решается либо policy, либо применением специализированного программного обеспечения DLP – программа предотвращения утечки данных.

Насколько для нашей страны проблема утечки данных актуальна?

До последнего времени считалось, что это есть везде, но не у нас. После того, как было судебное разбирательство на предмет хакерской деятельности у нас, на территории РБ, оказалось, что у нас это тоже есть. Официальной статистки по инцидентами ИБ не ведется. Но, из моей практики, минимум, один раз в день происходит что-то, что можно отнести к инцидентам. И, самое страшное, что может случится – остановка бизнеса.

Да, например, когда в процессинговых центрах совсем недавно несколько часов по всей Беларуси не могли воспользоваться пластиковыми карточками…

Сложно посчитать прямой и косвенный ущерб, который бал нанесен бизнесу. Не говоря уже о репутационном. Он тоже стоит немалых денег. На мой взгляд, это серьезнее и страшнее, чем хищение средств с какой-то одной карты или одной организации.

А каков уровень подготовки специалистов по БИ на предприятиях и каких знаний им не хватает?

Уровень подготовки невысок. В области БИ ограничивается знанием средств безопасности ПО. Системного подхода нет. Даже нет ответа на вопросы: почему пароль должен быть не менее 6 символов, почему сервер не может стоять в коридоре или у кого-то под столом?

Или почему туда не может заходить уборщица?

Синдром уборщицы – это страшная вещь. Когда техническому персоналу доступно всё, что доступно директору. Это забытые документы на столе. Либо черновики контрактов выбрасывают в мусорную корзину. Это всё связано с низким уровнем грамотности рядовых сотрудников в вопросах сохранения коммерческой тайны.

У нас не очень хорошо всё в этой области, а что бы Вы порекомендовали специалистам, которые занимаются БИ у себя на предприятиях? Может быть, есть книги, которые Вы рекомендовали бы им почитать? Или есть какие-то хорошие курсы?

Я бы настоятельно рекомендовал бы учиться самим и на курсах. Повышать уровень собственной грамотности. БИ – это не только компьютерная и сетевая безопасность. Нужно понимать, как нужно работать с персоналом, как нужно взаимодействовать с регуляторами в данной области. Нужно владеть вопросами, как работать с физической безопасностью.

А какие-то "библии" на эту тему написаны?

В интернете есть международный Консорциум специалистов по ИБ. У него есть российское подразделение, которое признано международным. Оно проводит сертификацию специалистов, которая признаётся во всём мире.

Второе, это Британский институт стандартизации, который является родоначальником стандартов ISO. Они сетифицируют общесистемных аудиторов ИБ. У них на сайте есть все необходимые материалы для изучения.

Специалистам из банковской сферы рекомендовал бы читать (не разобрала -33м55с) стандарты и приложения. Существуют и на русском языке. Либо стандарт банка России – весьма серьёзные и грамотные.

Кроме того есть 2 стандарта, с помощью которых можно заниматься серьёзной подготовкой и строить систему. Это ISO (не разобрала 34м20с) 27001 – общесистемный стандарт, который говорит о том, как нужно организовывать построение системы управления ИБ, а ISO … 17799 – это стандарт, который описывает перечень лучших практик в индустрии.

Что бы Вы порекомендовали обычным пользователям для защиты своих личных данных?

Ни в коем случае не поддаваться ни на какие провокации из Интернет. Выглядят они вроде того, что Вы выиграли в лотерею, пришлите свой пароль. Внимательно читать странички в Интернет. Особенное если это касается ввода каких-то персональных данных.

Касаемо хранения важных данных – периодически делать резервные копии, которые позволили бы восстановить данные.

Хотелось бы услышать Ваш совет для организаций, которые пытаются наладить у себя ИБ, установить систему защиты от утечек. Как организовывать её внутри у себя, если компания понимает, что денег у неё на сторонних специалистов не будет? Как правильно выбирать подрядчика для организации услуг по ИБ?

Изначально нужно выбрать организацию-консалтера. Прежде чем бросаться покупать, нужно получить грамотную консультацию для подготовки функциональных требований будущей системы. А для выбора подрядчика нужен тендер, и следующие требования: лицензия, опыт работы и примеры реализованных проектов.

Спасибо огромное! Наша беседа была не только интересной, но и полезной для многих наших слушателей и читателей.


Ещё по теме:

>> Управление "К": В интернете ничего бесследно не исчезает (видео)
>> "Вирусблокада": антивирус распознавать всё не может (видео)

Нужные услуги в нужный момент