Интервью с начальником Управления информационной безопасности Home Credit Bank Юрием Лысенко о специфике обеспечения ИБ в России Юрий Лысенко, начальник Управления информационной безопасности ОАО «Хоум Кредит Банк». 2005 - 2007 MBA - General Management, Российский Государственный Университет Управления. Диплом с отличием. 1990 - 1995 Военный институт правительственной связи. Магистр. Имеет более 20 сертификатов по ИБ. Начальник Управления информационной безопасности Home Credit Bank Юрий Лысенко рассказал журналу «Безопасность: Информационное обозрение» о специфике обеспечения ИБ в России, важности снижения влияния человеческого фактора и коммерческом назначении профессиональных конференций. - Юрий Николаевич, Банк Хоум Кредит является членом Home Credit Group, компании которой работают на финансовых рынках Центральной и Восточной Европы, а также Центральной Азии и Дальнего Востока. Осуществляет ли Ваше Управление взаимодействие со своими зарубежными коллегами, и в чем, на Ваш взгляд, специфика обеспечения ИБ на российском предприятии? - Да, мы плотно взаимодействуем с коллегами из Группы. Они делятся своими наработками, совместно проводятся работы по повышению уровня информационной безопасности и разрабатываются планы развития системы управления. Специфика российских компаний, на мой взгляд, заключается в реактивном подходе к решению задач. К сожалению, многие компании начинают использовать средства защиты только после того, как что-либо случилось. - Развитие систем безопасности бизнеса происходит поэтапно. В России эксперты говорят о существовании первого этапа, когда в 90-е годы проблемы решались бандитскими разборками; второго, – наступившего в 2000-х годах и основанного на широких связях сотрудников в высоких инстанциях; и третьего, – ведущего к решению проблем интеллектуальными методами. Можете ли Вы согласиться с данными выводами применительно к банкам, и на каком этапе развития, на Ваш взгляд, сегодня находятся системы безопасности российских финансовых учреждений? - Я могу судить о развитии систем безопасности исключительно с точки зрения защиты информации. Поэтому я не могу с этим согласиться. В 90-е годы никто не думал об информационной безопасности, точнее под этим понятием подразумевалась исключительно техническая защита, в 2000 – стали применяться первые средства защиты – антивирусы, межсетевые экраны, и т.д. Сегодня это развитие ушло далеко вперед. Ситуация с защитой информации в банках неоднородна. Крупные банки хорошо понимают необходимость вложений в информационную безопасность и выделяют на это средства, небольшие банки не могут позволить себе аналогичные затраты на ИБ. Это связано не только с дефицитом бюджета, но и с тем, что цена средств защиты практически не зависит от масштабов бизнеса. То есть стоимость обеспечения информационной безопасности мелкого регионального банка и федерального гиганта с широкой сетью офисов, может разниться лишь на 30–50%. - В отчете Лаборатории Касперского, посвященном киберитогам 2011 г. и прогнозам на 2012 г., говорится, что корпоративные пользователи, как это ни парадоксально, защищены хуже, чем персональные, и более уязвимы даже для примитивных атак. Согласны ли Вы с этим утверждением и в чем причина такого положения дел? - Один из самых важных моментов – это снижение роли человеческого фактора в информационной защищенности, который возможен при развитии корпоративной культуры в этой области. К сожалению, данный процесс идет очень медленно. Часто сотрудники не задумываются о возможных проблемах, которые могут возникнуть при невыполнении или, более того, намеренном нарушении требований безопасности. И чем больше сотрудников работает в компании, тем ниже будет защита от человеческого фактора – самого слабого звена в системе. Но мы многое делаем в этом направлении: кроме разумного ограничения доступа к сторонним ресурсам, мы стараемся гибко реагировать на потребности пользователей и разъяснять политику банка в области информационной безопасности. - Вы частый гость на конференциях и форумах, посвященных проблемам безопасности бизнеса. Насколько, по Вашему мнению, важно участие сотрудников компаний в подобных мероприятиях? - К сожалению, большинство мероприятий носит чисто коммерческое назначение, где продавцы и производители систем и средств защиты рекламируют свои продукты, зачастую даже не вникая в требования потенциальных заказчиков. Очень мало выступлений про реальные внедрения, плюсы и минусы определенных продуктов и систем. - Какие меры принимаются для предотвращения преступных действий со стороны штатных работников? - Контроль, мониторинг, профилактическая работа, разделение полномочий, повышение уровня ответственности. - Возможно ли при помощи технических решений защитить компанию от халатности, саботажа, внутренних хищений и т.д.? - Полностью – нет. К сожалению, человеческий фактор всегда остается. Но уменьшить – возможно, существенно усложнив все вышеперечисленное. - Какими критериями руководствуется Ваше Управление в выборе оборудования и кто отвечает за его закупку? - Основной критерий – это удовлетворение требований стандартов информационной безопасности. То есть не лоскутная защита, а зонтик, который бы защищал все ресурсы. Кроме того, играют роль возможность масштабирования, простота внедрения, удобство использования, совокупная стоимость и, естественно, разумная стоимость. - Какие задачи Вы поставили бы перед поставщиками оборудования? - Я думаю, что рынку не хватает зрелости и понимания заказчика. Поставщики, к сожалению, чаще навязывают собственные уже готовые продукты, не желая разрабатывать индивидуальные решения. Также хотелось бы больше прозрачности и открытости. Например, демонстрации реальных параметров нагрузки на оборудование и программное обеспечение, а не идеальные условия. - Спасибо. Подготовила Адель Соколова Раздел: информационная безопасность Дата: 11-10-2013 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|