`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Юрий Гудзь

Ніколи цього не було і от знову

+55
голосов

Знову у медіа вирує інформація, що персональні дані українців продають. Гучний кіберскандал, в якому звинувачують державу, набирає обертів. У Мінінформації такі закиди спростовують, зазначаючи, що витоку із додатку «Дія» не було. Хоча справа ще розслідується, одне можна сказати напевно – проблема із захищеністю даних існує, а система захисту державних IT-систем шляхом побудови КСЗІ не є ефективною.

Українське ноу хау у вигляді КСЗІ себе не виправдовує і давно вже потребує заміни, але роки йдуть, на Prozorro регулярно проходять тендери на мільйони гривень, Комплексні Системи Захисту Інформації «будуються», але життя показує, що це не захищає дані громадян.

За прикладом ефективної побудови захисту інформації не треба далеко ходити. Ми вже маємо в країні ефективну систему управління інформаційною безпекою, яка вибудована Національним банком України. Можливо, варто взяти її за приклад і розповсюдити на всі державні й навіть приватні підприємства.

В Україні є затверджені стандарти інформаційної безпеки, розроблені за допомогою НБУ: ДСТУ ISO/ IEC 27001:2015 та ДСТУ ISO/ IEC 27002:2015. Це адаптовані європейські стандарти з інформаційної безпеки, яких зобов'язані дотримуватись українські банки задля захисту інформації.

НБУ регулярно перевіряє банки на дотримання вимог даних ДСТУ, і такий підхід демонструє свою ефективність. Тому державі варто розглянути можливість відмовитись від неефективних КСЗІ та зобов'язати державні компанії відповідати вимогам ДСТУ 27001 та 27002 і регулярно перевірятись на відповідність цим вимогам кожній компанії.

Звісно, у держави немає необхідної кількості спеціалістів відповідної кваліфікації, аби щорічно проводити аудит всіх державних підприємств. Але це й не потрібно. Є ефективна практика, коли фінансову звітність державних компаній перевіряє і підтверджує приватна компанія, яка має кваліфікованих спеціалістів. Так само варто зробити для аудиту компаній на якість побудови інформаційної безпеки і проведення тестів на стійкість до зламу.

В Україні є багато організацій, які можуть виконувати таку роботу. Почати можна з компаній критичної інфраструктури, а далі поступово розширювати кількість підприємств, які підлягають обов'язковому зовнішньому аудиту. До речі, НБУ також було б варто перекласти цю роботу на приватні компанії. Тоді ми могли б розраховувати на те, що в державних компаніях вибудовуються реальні процеси для захисту нашої інформації, а не просто будуть зберігатися стоси паперів з грифом КСЗІ.

Ще однією вдалою практикою для держави може бути використання досвіду США. Там для всіх державних компаній та об'єктів критичної інфраструктури виписані чіткі документи з описом контролів, які мають бути імплементовані в організації для захисту інформації. Україна може адаптувати стандарти NIST та зобов'язати державні компанії їх виконувати. Переконаний, що США, витрачаючи по всьому світу великі кошти на підвищення рівня кібербезпеки, зможуть допомогти у цьому процесі.

До речі, NIST Cybersecurity Framework вже перекладено українською за допомогою спільноти фахівців з кібербезпеки та компанії Cisco. Також українські фахівці та київське відділення ISACA переклали четверту версію COBIT та третє видання керівництва з проведення аудиту ІТ систем ITAF, і наразі ці документи доступні для використання всіма компаніями.

Інструменти для побудови якісного захисту наших даних є, потрібна лише мотивація державних компаній використовувати їх, створити яку може тільки сама держава. Малоймовірно, що керівники держпідприємств будуть приділяти захисту даних увагу, якщо це не буде обов'язково.

Зараз, коли навіть державні підприємства змушені були перейти у віддалений режим роботи і цифровізуватися, питання кібербезпеки ІТ-систем держави стає ще більш актуальним. Відкладати це питання далі вже нікуди. Більше того, вирішувати його потрібно не завтра, а терміново.

26 ноября — не пропустите Dell Technologies Forum EMEA!

+55
голосов

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT