Степень влияния законов на бизнес предприятий  связи

Респондентам предлагалось оценить степень влияния закона на свой бизнес (Табл.8). Оказалось, что сегодня этот закон почти не работает(10): подавляющее большинство опрошенных (58%) определили его влияние как «несильное», а каждый четвертый (24%) заявил, что закон вообще ни на что не влияет. И лишь 18% организаций видят в этом документе серьезный фактор влияния на бизнес. Но в целом в отрасли бытует мнение, что ФЗ «О персональных данных» – беззубый норматив.

 

Табл. 8 Оценка влияния ФЗ «О персональных данных» на бизнес компании

Сильно влияет	18%
Влияет, но не сильно	58%
Вообще не влияет	24%

 

По мнению экспертов InfoWatch, подавляющее большинство опрошенных операторов реально оценивают закон. Выдвигая общие требования, этот нормативный акт не определяет, как именно операторы обязаны обеспечить конфиденциальность приватных сведений – получается, по собственному разумению. Более того, в ФЗ в явном виде не предусмотрена ответственность за утечку информации для руководства или бизнеса.

И наконец, федеральный орган, уполномоченный следить за выполнением закона (ФСТЭК России), до сих пор не выпустил стандарт безопасности для персональных данных. Поэтому неясно, какие же меры по обеспечению конфиденциальности закон и регулирующие органы считают достаточными. Отсутствует в России и правоприменительная практика в сфере борьбы с утечками. [10]

Стандарт «Базовый уровень информационной безопасности операторов связи» существует пока лишь в виде рекомендаций Международного союза электросвязи и российской Ассоциации документальной электросвязи. Следование им в каждой стране будет зависеть от требований государственного регулирования. Однако российские регуляторы, вероятно, смогут использовать эти рекомендации в качестве лицензионных условий, а некоторые операторы – в качестве условий присоединения к собственной сети связи. Более того, оператор может предоставлять телекоммуникационные услуги с уровнем безопасности, гарантируемым при выполнении «Базового уровня…», а услуги с повышенным уровнем безопасности – на возмездной основе. Другими словами, «Базовый уровень…» имеет все шансы стать драйвером развития ИБ в телекоммуникационном секторе. Это мнение разделяет и большинство респондентов исследования InfoWatch.

Интересны результаты углубленного опроса респондентов: все они слышали о «Базовом уровне…», но 30% признались, что недостаточно хорошо знакомы с его требованиями. Хотя «Базовый уровень…» уже сегодня рекомендует оповещать пострадавших об утечке информации, он все же не фокусирует внимание на внутренних угрозах ИБ. Опрашиваемым было предложено определить необходимость включения в «Базовый уровень…» требований к защите от внутренних угроз, таких, например, как утечка персональных и конфиденциальных данных (Рисунок 4.6). Разработчикам стандарта, вероятно, стоило бы выделить этот источник угроз ИБ для телекоммуникационных компаний.

 

Табл. 9 Включить ли в «Базовый уровень…» требования к защите от внутренних угроз?

Да, обязательно	18%
Скорее да	41%
Скорее нет	10%
Нет, не нужно	31%

 

Средства защиты

Наиболее популярными средствами ИБ в телекоммуникационных компаниях (Рисунок 4.7) оказались антивирусы (100%), межсетевые экраны (79%) и контроль доступа (68%).

В целом представители этого сектора используют больше различных продуктов и решений, чем российские компании из других секторов экономики. Между тем некоторые опасения вызывает малочисленность организаций, реализующих защиту от утечки данных, – всего 8%. В среднем по отраслям этот показатель равняется 10,5%.

 

Табл. 10 Используемые средства ИБ

Антивирусное ПО	100%
Межсетевые экраны	79%
Контроль доступа	68%
Антиспамовое ПО	44%
IDS/IPS	26%
VPN	17%
Защита от утечки данных	8%
Другое	16%

 

Однако, по мнению аналитиков InfoWatch, даже 8% – неплохой показатель для такой новой области, как защита от внутренних угроз ИБ. Если вспомнить, что в 15% компаний вообще не зафиксировано ни одной утечки (Рисунок 4.4), то выходит, что как минимум 7% (15 – 8) из них не допустили утечек, хотя и не использовали никаких средств защиты. Но, скорее всего, такие организации просто не могут отследить, происходят у них утечки или нет.

Что же мешает компаниям внедрять системы защиты от утечек? Из предложенного списка (Рисунок 4.8) каждый респондент мог выбрать одну позицию. Почти каждый третий (30%) главной причиной считает отсутствие стандартов. Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, но и единое видение системы внутренней безопасности. Так, многие отмечали, что до сих пор не сформирован единый подход к решению проблемы внутренней ИБ. Поэтому компаниям сложно планировать бюджет и выбирать продукты для внедрения. Отсюда еще одна проблема – бюджетные ограничения (22%). Ведь не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее выделять деньги на решение проблемы с инсайдерами.

 

Табл. 11 Препятствия на пути внедрения защиты от утечки

Бюджетные ограничения	22%
Психологические препятствия	18%
Юридические препятствия	9%
Отсутствие технологических решений	3%
Отсутствие стандартов	30%
Нехватка квалифицированного персонала	15%
Затруднюсь ответить	2%
другие	1%

 

Можно сравнить эти результаты с общеотраслевыми. Там лидируют психологические препятствия (25,4%), а отсутствие стандартов (12,2%) лишь на пятом месте. Отсюда вывод: сектор телекоммуникаций подходит к проблеме внутренней ИБ более зрело по сравнению с другими отраслями. Судя по всему, представители сектора ИТ уже преодолели психологический барьер и отчетливо понимают необходимость унификации процесса защиты от внутренних угроз.

 

Табл. 12 Наиболее эффективные пути защиты от утечки

Организационные меры	27%
Внедрение комплексных решений на основе ИТ	49%
Ограничение с внешними сетями	11%
Тренинги сотрудников	9%
Другие	3%
Никакие	1%

 

Следующий вопрос – наиболее эффективные способы защиты от утечек информации (Рисунок 4.9). Речь идет о мерах, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней ИБ, но по ряду причин не используются на практике. Безусловный лидер (49%) – комплексные информационные продукты. Эта мера доминирует уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы.

 

Табл. 13 Планы по внедрению защиты от утечек информации

Система мониторинга электронной почты	21%
Комплексная система мониторинга сетевых ресурсов	41%
Система мониторинга Интернет- трафика	20%
Система мониторинга рабочих станций	15%
Не планируем	4%

 

Базовым, по мнению экспертов InfoWatch, должно стать комплексное решение на основе ИТ, так как только с его помощью можно реализовать положения политики ИБ на рабочих местах. Вывод экспертов подтверждают планы внедрения средств защиты информации от утечек на ближайшие 2–3 года (Рисунок 4.10). Комплексные решения планирует внедрить 41% респондентов, т.е. почти на 10% больше, чем в других отраслях.

Главная озабоченность в проблеме внутренних нарушителей – отсутствие единого подхода к обеспечению внутренней безопасности. На практике это сильно затрудняет выбор конкретного решения: поставщиков много, каждый из них обладает какими-то плюсами, но, не имея четких критериев, мало в чем пересекается с конкурентами.

Итоги исследований

Исследование показало, что по сравнению с другими отраслями российские телекоммуникационные компании довольно зрело относятся к проблеме ИБ в целом и защите от внутренних угроз в частности, но и у них есть направления для совершенствования ИБ.

Во-первых, в телекоме все еще низок уровень использования эффективных средств защиты от утечек. Причем среди респондентов бытует мнение, что их компания вообще не допускает утечки, хотя никаких инструментов проверки не использует. [10]

Во-вторых, операторам следует учитывать тенденции ужесточения нормативного регулирования: рекомендации «Базового уровня…» вскоре могут стать обязательными для исполнения. Кроме того, могут появиться новые требования к безопасности приватных сведений в рамках ФЗ «О персональных данных».Но и сейчас оператор нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям, и хочет продемонстрировать взаимодействующим с ним операторам способность совместно с ними противостоять угрозам ИБ. Поэтому добровольная сертификация довольно распространена уже сегодня. [11]