Как и любые правила безопасности, информационная безопасность направлена на предотвращение негативных событий, таких как утечки данных, атаки на доступность системы, вирусы-шифровальщики и другие несанкционированные вмешательства.
Диана Жукова, директор Аналитического центра УЦСБ, рассказала порталу Cyber Media о проблемах и вызовах, которые стоят перед компаниями в связи с требованиями комплаенса, какие этапы включает в себя аудит и как часто требования регуляторов расходятся с лучшими практиками в сфере обеспечения ИБ.
Cyber Media: По вашему опыту, кого организации все же боятся больше, регуляторов или киберпреступников?
Диана Жукова: Конечно же, киберпреступников. Ведь действия преступников не предсказуемы, а требования регулирующих органов доступны для всех организаций, если не говорить о специфических требованиях ограниченного доступа. Нередки случаи, когда действия киберпреступников выводят деятельность всей компании из строя на несколько дней, что оборачивается высокими денежными и репутационными потерями для бизнеса. Хотя в своей практике я встречала организации, для которых, действительно, регуляторы являются одной из угроз и мотиватором для обеспечения надлежащего уровня ИБ в компаниях.
Cyber Media: С какими интересными или показательными случаями в части оценки соответствия требованиям регулятора вы сталкивались?
Диана Жукова: Один из показательных случаев, когда заказчик из сферы агропромышленного комплекса (АПК) настолько серьезно подходил к обеспечению ИБ в компании, что добровольно решил провести оценку соответствия требованиям к третьей категории значимости объектов КИИ, хотя АПК не попадает под действие 187-ФЗ. После такого аудита команда УЦСБ разработала стратегию ИБ по достижению целевого уровня защищенности. Стратегия ИБ учитывала добровольное соответствие компании требованиям по обеспечению ИБ объектов КИИ.
Полное интервью можно прочитать по ссылке.