17 июля 2024
Поделиться
Управление рисками ИБ: погружение должно быть постепенным Материал подготовлен по результатам выпуска подкаста «Безопасный выход»
Управление рисками ИБ: погружение должно быть постепенным

Анастасия Харыбина (AKTIV.CONSULTING) провела очередной выпуск подкаста «Безопасный выход». «Зачем управлять рисками ИБ? Как это делать эффективно? Какие методики использовать?» — гость студии Александр Кондратенко, заместитель директора департамента информационной безопасности, руководитель управления рисков и процессов ИБ и Agile-команды Росбанка обсудил с ней эти и некоторые другие актуальные вопросы.

Анастасия Харыбина (далее Анастасия): Александр возглавляет в Росбанке Agile-команды. Верно?

Александр Кондратенко (далее Александр): Точнее, одну комплексную Agile-команду, состоящую из двух частей, возможно, единственную в России со специализацией в сфере ИБ, в такой конфигурации. Так что я очень горд званием product owner, service owner этой Agile-команды. Помимо этого, в моем ведении есть отдельное подразделение — Управление информационной безопасности, рисков развития процессов информационной безопасности.

Зачем управлять ИБ-рисками?

Анастасия: Тема нашего выпуска подкаста — это управление рисками информационной безопасности. Убеждена, пока руководители организаций и ИБ-специалисты не ответят на этот вопрос, постановкой процессов анализа рисков заниматься не стоит. Предлагаю проговорить, что такое риски информационной безопасности и каковы их границы? Определений много, и они разные. Кто-то относит к рискам ИБ киберриски, кто-то убежден, что это не так. Есть мнение, что риски ИТ втянули в свою орбиту ИБ-риски и что к ним нужно приплюсовать риски операционной надежности. Что ты включаешь в периметр рисков информационной безопасности?

Александр: Хороший вопрос. Оценка рисков — это базовый подход в менеджменте. Существует огромное количество рисков, который необходимо анализировать. Профильные руководители сталкиваются с управлением рисками информационной безопасности сразу же, как только занимают эту должность и начинают взаимодействовать со своим топ-менеджером. А с позиций рисков ИБ для организации они взаимодействуют со всем банком.

Тут все зависит от того, выделено ли управление рисками в организации в самостоятельное направление, доросла ли она до риск-ориентированного подхода, выстроила ли модель работы с учетом рисков.

Базой являются операционные риски. Это набор факторов, воздействие которых может привести к проблемам в операционной деятельности. Их можно поделить на несколько направлений, риски информационной безопасности одно из них.

Анастасия: Риски информационной безопасности — это подсегмент операционных рисков?

Александр: По большому счету, да. Есть ещё ИТ-риски, они тоже относятся к операционным. Есть еще другие риски, специфические для каждой отрасли. К примеру, в банках — это кредитные риски.

А поскольку операционные риски нужно учитывать всем, рисками ИБ необходимо управлять всем организация, бизнес-процессы которых базируются на ИТ-решениях. Исключение составляет только очень небольшое количество компаний, которые преимущественно работают без ИT-инструментов.

Не только руководители служб ИБ занимаются рисками. Обычные инженеры, к которым каждый день обращаются, к примеру, с заявками на доступ в корпоративные информационные системы, выполняют их с учетом рисков — взвешивают разные варианты наступления негативных последствий, но это не системная работа.

А когда в организации появляется потребность систематизации именно рисков информационной безопасности, тогда и возникает потребность выделить их и структурировать для того, чтобы корректно доносить до руководства организации.

Анастасия: То есть, исходя из сказанного тобой, постановка процессов мониторинга рисков ИБ, их анализа и управления ими — это инициатива CISO, Chief Information Security Officer?

Александр: Потребность в корректном и более серьезном анализе таких рисков идет именно от CISO, потому что намного проще взять базовые подходы к операционным рискам, проводить их экспертный анализ и предоставлять информацию уже в подразделение, которое ими ведает. Но иногда выгоднее для функции ИБ делать это системно и более качественно на силами CISO уровне компании.

Анастасия: А зачем подразделению ИБ управлять рисками?

Александр: Для обеспечения информационной безопасности организации, в первую очередь. А во вторую — оценка рисков ИБ помогает CISO определиться, как решать эту задачу, какие подходы, методы, решения для этого использовать, на чем фокусировать усилия команды и ресурсы.

Анастасия: Получается, основная задача управления рисками информационной безопасности — это выполнение функций ИБ? Тут я с тобой, наверное, не соглашусь. По большому счету, риски-то оцениваются самой организации? Как-то хочется верить, что топ-менеджменту важно учитывать риски информационной безопасности, потому в деятельности организации лежат высокотехнологичные цифровые процессы, остановка которых угрожает операционной надежности.

Александр: Действительно, руководству важен результат, но главное — ему нужно принимать решения, взвешенные и оптимальные. И руководитель департамента информационной безопасности — это человек, который готовит варианты решения, с учетом рисков. При этом самому CISO анализ рисков ИБ помогает еще и выстроить продажи отдельных сервисов информационной безопасности другим подразделениям компании.

В общем, в топ-менеджмент руководитель службы ИБ обращается при необходимости обсуждать вопросы финансирования. В этом случае учет рисков необходим, также очень полезен будет ИТ-инструмент, который помогает и в приоритизации задач в сфере ИБ, и для обоснования запросов на выделение дополнительного финансирования для защиты особо высокорисковых направлений. Тогда действия CISO по оценке рисков ИБ будут максимально эффективны. А топ-менеджеры решат, как им поступить: либо принять риски и продолжить двигаться в выбранном направлении, либо, оценив их как серьезные, изменить его.

Если задача топ-менеджера — принять решение, изучив отчеты по рискам, то те, кто их готовит, должны погружаться в процесс глубже и развивать это направление. Итак, работа с рисками необходима службе внутренней информационной безопасности точно так же, как оценка ИТ-рисков необходима директору по ИТ. Это, в общем-то, очень схожая история.

Бизнес в свою очередь должен ответить на вопрос, как использовать результаты рискового анализа для реализации стратегии или для решения отдельных точечных проблем.

Как эффективно управлять ИБ-рисками?

Анастасия: Предлагаю обсудить, как выстроить процессы управления ИБ-рисками. Должны ли быть в подразделении риск-менеджмента компетенция по информационной безопасности или в службе ИБ компетенции по рискам? Как построить эффективное взаимодействие с другими подразделениями?

Александр: Я убежден, что у функции по информационной безопасности потребность в качественной оценке рисков есть. Этот процесс очень выгоден, как для нее, так и для всей компании, поэтому мы старались сформировать все эти компетенции внутри службы информационной безопасности, привнести в нее знание рисков.

А дальше развивали эти компетенции, строили их матрицу, старались заполнить в ней пробелы. Широта знаний очень важна в сфере ИТ, поэтому каждому сотруднику, который занимается риск-анализом, мы давали возможность приобрести недостающие компетенции, даже проводили отдельные внутренние тестирования. А наши ИБ-специалисты приобрели знания подходов в риск-менеджменте, в области операционных рисков и рисков ИТ.

Анастасия: А как выстроить взаимодействие с подразделениями, чьи процессы попадают в выборку оценки рисков?

Александр: Это не такая сложная задача. Как только у людей появляются знания подходов к оценке рисков, они начинают разговаривать как члены одной команды, понимать друг друга. По крайней мере у нас не было никакой сложности дальше интегрироваться с функцией управления операционными рисками и с другими подразделениями.

Есть еще одна область, которую мы рассматриваем отдельно и которую пришлось дополнительно развивать, — это компетенции бизнес-направлений, на периметре которых анализируются риски. Речь идет о рисках, возникающих в системах, автоматизирующих процессы, например, в ипотеке. Ипотечный мир специфический. Он сильно отличается от мира автокредитования. Кредитование, кредитные карты — это третий продукт, там другие подходы и другие риски. Более того, стандартные киберриски в разных продуктовых направлениях схожи по сценарию, но отличаются по способу реализации. Системы, которые используются подразделениями, и то, как их сотрудники с ними работают, тоже разные.

Руководители каждого из этих продуктовых направлений должны уметь грамотно и корректно анализировать риски. Для этого мы проводим бизнес-встречи и показываем им, на что надо обращать внимание при оценке рисков ИБ в продукте. А поскольку мы должны прекрасно знать, как работают продукты, в матрицу компетенций были добавлены знания продукта каждого бизнес-направления, обязательные для рисковиков. Как только все компетенции собираются хотя бы на верхнем уровне, проблем в коммуникациях не возникает.

Анастасия: А если на нулевой этап посмотрим, исходя из парадигмы, о которой ты говорил? Очевидно же, что сотрудники департамента ИБ не будут только свои процессы анализировать, им нужны бизнес-подразделения, их бизнес-процессы, наложенные на процессы технологические. Значит, бизнесу нужно включиться в процесс управления рисками ИБ, но у него изначально нет в этом потребности. И когда к ним обращаются из департамента ИБ с просьбой выделить ресурсы для изучения их бизнес- и технологических процессов, они отвечают: а нам ничего такого не надо. Как обосновать на этом этапе важность анализа рисков ИБ?

Александр: Ответ очень простой. Компания не статична, она развивается, и каждая ее функция тоже. Если вы начали заниматься управлением рисками ИБ «с нуля», у вас ничего еще не выстроено, но есть задача построить риск-ориентированные подходы, то сначала нужно найти способы анализа собранных рисков, понять, как доносить его результаты до руководства и так далее. Потом искать единомышленников в других поддерживающих подразделениях, думать, чем управление рисками ИБ может быть полезно другим направлениям компании. И только тогда идти к бизнесу.

Мы сами еще пять лет назад были довольно обособленными, но постепенно начали встраиваться в изменения банка, в его проектные направления. Приходили к прожект-менеджерам в организации, обсуждали стандарты, подходы к управлению проектом, сценарии, в которых необходимо анализировать риски ИБ, разбирали, где имеет смысл на них смотреть. Если результат нашего анализа понятен, то коллеги воспринимают его с радостью.

Потом приходим в подразделение, которое занимается операционными рисками. Они тоже регулярно риски анализируют и бизнес-подразделения опрашивают. И с ними можно договориться о сотрудничестве для того, чтобы реализовать потребности функции информационной безопасности.

Такие же договоренности достигаются при запуске нового продукта или модернизации старого: продуктовым подразделениям предлагается опираться в своей работе на результаты анализа разных рисков, включая риски ИБ.

С таким подходом встраиваться в работу бизнес-подразделений легко. Вопрос только в качестве такого анализа рисков и возможности функции ИБ его поддерживать. Ведь анализ деятельности всего банка с точки зрения рисков — очень объемная задача, для решения которой нужны люди и время.

Анастасия: Правильно я понимаю, что отсутствие выстроенного сверху риск-ориентированного подхода не означает, что подразделению ИБ не нужно начинать создавать систему управления рисками информационной безопасности и пытаться распространить свои компетенции в этой области на всю организацию?

Александр: Конечно. Более того, можно привнести анализ ИБ-рисков даже туда, где вообще никакие риски не учитывают. Например, прожект-менеджеры спокойно управляют проектами, не имея реестра рисков, которые в этих проектах возникают. Предложите им создать такой реестр — они с радостью согласятся. Сначала там будут только риски ИБ, но потом войдут во вкус и начнут обращать внимание на айтишные риски, на другие риски.

Важно, чтобы было понимание, зачем вам это нужно. Если оно есть, надо так выстроить систему управления рисками, чтобы за рисками что-то было: сами по себе они не нужны. Можно проанализировать риски, увидеть определенный сценарий атаки, кстати, один из миллиона возможных, погрузиться в его детали, а затем представить его руководству.

А топ-менеджмент должен принять решение, что с этим риском делать, какие инвестиции необходимы для смягчения его последствий? Причем, вариантов ответа на этот вопрос может быть несколько, в том числе и позволяющий свести затраты практически к минимуму. Можно оставить риски на среднем уровне и не вкладывать в его снижение много средств, а можно их принять и вообще не инвестировать в смягчение последствий. И когда выявление и анализ рисков ведут к решению вопроса о финансировании, получается вполне понятная конструкция.

Анастасия: По большому счету, имеет смысл этим заниматься только если функция ИБ готова выдвигать предложения? У нас, к сожалению, не все хотят брать на себя ответственность и предоставлять несколько вариантов решения проблемы. А без аналитической работы, на основе которой оформляются предложения, заниматься рисками, в том числе информационной безопасности, наверное, нет никакого смысла.

Александр: Надо понимать, что риск-анализ проводится в два этапа. По итогам первого готовится отчет для менеджмента, в котором описывается риск и предлагается несколько способов его снижения. А на втором, ты приходишь к одному прожект-менеджеру и на очень интересных моделях показываешь детально проработанный риск ИБ. Он его оценивает, делает какую-то калькуляцию, чтобы ты мог количественно оценить. Но, зачастую, после этого в ходе проекта ничего не меняется. И тут возникает вопрос: какой смысл выполнять анализ, моделировать риск, если это ни на что не влияет?

Важно, чтобы рассмотрение ваших моделей вело к изменениям в организации, в этом ценность анализа рисков. И увидев ее, в следующий раз прожект-менеджер сам придет и спросит о том, какие есть риски, чтобы при необходимости поменять дорожную карту проекта. Если риск-анализ привносит ценность для команд, для проектов и их спонсоров и, в целом, для организации, то они сами начнут его запрашивать.

Методики работы с ИБ-рисками

Анастасия: А теперь предлагаю поподробнее поговорить о методиках управления рисками. Есть разные фреймворки, международные и предложенные кредитно-финансовым организациям Банком России. Насколько они универсальны, применимы в наших условиях и кому подходят?

Александр: Вначале, когда система управления рисками только выстраивается, надо выбрать базу — какую-то методологию, предварительно опробованную. При этом допустимо «скрестить» несколько подходов, ознакомиться с разными и что-то из каждого использовать.

Эта база помогает в дискуссиях, при демонстрации рисков, чтобы ты и прожект-менеджер, которому ты какие-то ИБ-риски в проект несешь, знали одни и те же подходы и общую терминологию. Это лучше получается при использовании международных стандартных подходов. Но каждая компания и даже каждая команда внутри компании будет проводить анализ риска по-своему, так что иметь вначале общий подход хорошо, а позже этот подход всегда меняется.

Анастасия: Получается, что основной вопрос в выборе методик и в управлении рисками, в частности, информационной безопасности, — это как анализировать риск?

Александр: Не только. В стандартах есть терминология, базы с прямым описанием этапов работы с рисками, шаблоны риск-анализа. Все это можно взять и изучить. Но я не рекомендую брать какой-то стандарт целиком и полностью погружаться в его детали: риск-анализ — это большая история, и в ней закопаться очень глубоко.

Представьте себе, вы сделали глубокий анализ, построили модель, собрали инциденты и на базе них построили расчет. Из операционных рисков взяли информацию об активах и о возможных ущербах — словом, сделали классную аналитику. Но есть второй шаг: нужно показать ее топ-менеджменту, и на это у вас есть 5 минут с учетом дискуссии о деньгах, о том, как минимизировать и устранить риски. (По нашему опыту, она может занять 3-4 минуты). Получается, на само изложение результатов риск-анализа остается очень мало времени. Вот почему мы рекомендуем начинать с базовых конструкций, концепций и подходов, понятных всем стейкхолдерам риск-анализа.

Мы для себя тоже детализируем сценарии не сразу. Для принятия основных решений по финансированию или минимизации тех или иных рисков нужна одна глубина анализа этого сценария, на следующих этапах необходимо вникнуть в него поглубже, при реализации каких-то конкретных задач для внесения настроек в системы защиты нужна еще более детальная проработка. Так что риск-анализ одного и того же сценария ведется нами постоянно.

Анастасия: Анализ рисков включает в себя оценку вероятности их реализации. И одна из самых больших проблем, как говорят, заключается в необходимости накопления большого массива статистических данных. А поскольку мы, специалисты, работающие в сфере ИБ, склонны скрывать все серьезные происшествия, связанные с информационной безопасностью, таких массивов данных по различным видам инцидентов, атакам и другим событиям ИБ не так много. Получается, что организация ограничена только своим опытом и не видят опыт коллег по рынку.

Александр: Не соглашусь, хотя это действительно один из основных сдерживающих риск-анализ факторов, и, кстати, не только ИБ, это в ИТ-риск-анализе, в операционных рисках, в том числе. С одной стороны, организации не хватает собственных данных и опыта, особенно, если учесть, что события не всегда сохраняются должным образом: классифицируются, обогащаются. Бывает, что у компании вообще нет детализации собственных событий, и ей довольно сложно использовать в анализе только свою базу инцидентов.

С другой стороны, на рынке ИБ исследовательскими компаниями регулярно выпускается множество аналитических отчетов. Даже если и мы, и другие компании стараются максимально завуалировать данные об инцидентах, в профессиональном сообществе информация о них ходит. Так или иначе собрать базу внешних историй возможно. В операционных рисках это вообще очень принятая история. Единственное, что это трудозатратно, но мы у себя поставили процесс обогащения базы событий внешними инцидентами.

Раньше можно было пользоваться аналитикой по ИБ со всего мира, сейчас, это в основном отечественные отчеты. С другой стороны, в России сейчас сфере кибербезопасности очень активно развивается. К тому же, представители банковской сферы могут получать информацию и аналитику через ФинЦЕРТ. Я думаю, что со временем в России появится какое-то промышленное решение, собирающее информацию про инциденты, на западе такие аналоги есть.

Анастасия: Как сервис?

Александр: Как сервис. У нас пока каждая крупная компания пытается обогащать свои базы инцидентов самостоятельно. В большинстве случаев, когда вы анализируете сценарий, вы пытаетесь предотвратить событие кибербезопасности, которое уже случилось у других. В ваших интересах обогащать свои системы опытом коллег по рынку. У нас такая практика внедрена.

Автоматизация управления ИБ-рисками

Анастасия: Предлагаю поподробнее поговорить о таких амбициозных проектах, как разработка и внедрение системы SGRC (Security, Governance, Risk, Complience), автоматизирующей построение комплексной системы управления ИБ. Ни для кого не секрет, что Росбанк очень далеко продвинулся в разработке собственного решения этого класса. Но начать я хотела бы с определения SGRC-систем и с того, чем она отличается от систем GRC. Есть мнение, что SGRC — это GRC, дополненная функцией безопасности. Так ли это? Или GRC-система верхнеуровневая, а SGRC — это отдельные модули, частный случай.

Александр: Да, если брать терминологию, то GRC — governance, risk и compliance — три основные блока в кредитных организациях, их основные направления. При этом governance — это автоматизация различных процессов в организациях и управление этими процессами. А модули рисков и модули комплайенсов могут использоваться в комбинации.

Так что GRC — это универсальная система, применимая в информационной безопасности. Просто игроки российского рынка ИБ делали специализированную фокусную историю и добавили в название решения слово Security и, соответственно, в аббревиатуру букву S. Постепенно термин «Security governance risk compliance» был признан и принят рынком.

Хотя по мере развития такие системы, с проработанными модулями безопасности, трансформировались в IRP-системы (Incident Response Platform), предназначенные для автоматизации реагирования на киберинциденты, работы с ними, или в SOAR (Security Orchestration, Automation and Response), выполняющие функцию автоматизации координации действий нескольких специалистов по кибербезопасности.

При этом по конструкции SGRC- и GRC-системы схожи. Просто первые больше «заточены» под конкретное направление безопасности. Но при их внедрении важно использовать услуги консалтинга для ее адаптации к процессам и задачам вашей компании, а также опираться на опыт других компаний. Чем более точечно вы определите место конкретного модуля системы в корпоративной ИБ-инфраструктуре, тем более успешным будет его внедрение, поэтому сейчас на рынке SGRC-систем узко направленное позиционирование.

А систему GRC спокойно могут использовать аудиторы с функцией внутреннего контроля, которые занимаются в принципе аудитом всей организации. Там и риски необходимо анализировать, связанные с аудитом, и проводить различные контроли соблюдения требований, и все это автоматизируется с помощью GRC.

Для автоматизации управления операционными рисками ведется реестр их событий. Такая система должна отражать эти операционные риски, классифицировать их. В банковской сфере, к примеру, множество требований: как и что собирать, строить, классифицировать, отчитываться. И эти задачи де-факто тоже решает GRC-система. Иными словами, по функционалу GRC — намного шире, чем информационная безопасность.

Анастасия: Бытует такое мнение, что системы SGRC со временем вытеснят и заменят ECM и SOC. Я даже вижу ее в роли грендайзера, собравшего все лучшее из того, что есть у систем других классов. А ты что об этом думаешь?

Александр: Мне кажется, так не получится. В Росбанке GRC-система пришла на смену SGRC. Мы уже автоматизируем процессы внутреннего аудита — разработали необходимые для этого программные модули. Эта система используется теперь для нескольких заказчиков в компании. И это, помимо решения ИБ-задач. А сейчас мы изучаем возможность сделать в этой системе модули для других контрольных процессов. По сути, нам требуется набор контролей и направление инвестиционно-банковских услуг, CМIB. Такая работа тоже ведется. По большому счету мы уже переросли GRC-истории.

Анастасия: Это тот уникальный случай, который наглядно подтверждает пользу функции информационной безопасности?

Александр: Это результаты работы Agile-команды, которая изначально ориентировалась на разработку функционала для всех внутренних заказчиков. Сначала, когда мы изучали возможность создания такого всеобъемлющего инструмента, куда можно все риски занести и планировали создавать его силами нашей команды с нуля. Но при ближайшем рассмотрении выяснилось, что на это уйдет очень много ресурсов, и что взять хорошо проработанный модуль от вендора будет дешевле и проще.

Анастасия: А тогда вопрос, когда вы начинали делать свою SGRC-систему, вы не обращались к вендорским решениям?

Александр: Обращались. Попробовали очень много разных продуктов и убедились в том, что на российском рынке есть достойные решения, которые нужно адаптировать под себя.

Анастасия: И что пошло не так?

Александр: Какое-то время мы пользовались вендорским решением, а когда порог по производительности был пройден, решили дальше развивать эту систему сами. У нас, во-первых, более сложные процессы, а во-вторых, собственную разработку можно будет экстраполировать на другие подразделения. К тому же были определенные ожидания от автоматизации, в том числе и того, что она должна появиться в нескольких системах. У нас больше десятка интеграций, и внедрение обновленного решения должно было произойти по всему банку. С учетом этих требований адаптированное к нашим особенностям вендорское решение становилось очень дорогим и невыгодным. Так что мы вынуждены были использовать внутреннюю разработку.

Зрелость вопросов управления рисками ИБ

Анастасия: Ну, и предлагаю поговорить о зрелости процессов управления рисками информационной безопасности. У меня есть ощущение, что за последние несколько лет эта тема немножко пересобралась. Понятно, что крупные организации не останавливались в развитии этого направления. Но если шире посмотреть на то, что происходит на рынке и внутри самих организаций, возникает ощущение, что интерес со стороны всех компаний возобновлен. Как думаешь, почему сейчас?

Александр: Это очень просто: сами риски, в целом, выросли и стали более значимыми. Увеличилось количество инцидентов, причем в разных отраслях. Та же самая кибервойна, которая идет сейчас, этому способствует. Об инцидентах кибербезопасности мы слышим, о них пишут СМИ, и, как результат, у компаний сложилось понимание, что рисками ИБ надо заниматься.

С другой стороны, несмотря на уход западных поставщиков, на рынке сейчас огромное количество компаний-разработчиков, много специализированных технологий, которые можно задействовать для минимизации таких рисков. Решений много, они дороги, и внедрить их все в одной компании невозможно.

А с третьей стороны, риски объективно есть. Это не что-то из области фантастики, это реальность. Есть конкретные инциденты. И даже если вы на бумаге не проанализировали риски глубоко, не сделали серьезную аналитику, не использовали модели, руководство примерно поймет, о каком риске вы говорите. А если вы будете еще и те же самые термины использовать, то вы с менеджментом будете говорить на одном языке. И вы вместе сможете обсудить, какие риски анализировать, что можно сделать, а что не делать.

В общем, драйвер возобновления интереса к управлению рисками ИБ – текущая ситуация.

Анастасия: Финансовая отрасль намного оторвалась от других отраслей в вопросах управления рисками ИБ?

Александр: Изначально именно финансовая отрасль привлекала злоумышленников больше всего, которые стремились похитить деньги там, где они хранятся. Долгое время удачная кибератака на финансовую организацию позволяла заработать больше всего. Так что, в принципе, уровень рисков ИБ в этой отрасли был несоизмерим с другими.

А сейчас у атакующих появились новые сценарии. Они связаны не с хищением денег, а с реализацией других негативных событий. К примеру, можно парализовать работу сайта компании или вывести из строя те или иные ее информационные системы определенной организации и получить выплату за успешно выполненный заказ. Тут достаточно совершить какое-то одно негативное воздействие, и не нужно для этого выводить из строя всю ИТ-инфраструктуру или забирать деньги из организации. Так, можно атаковать не только банки, но и крупный ритейл, страховые компании, и получать за это средства другим способом. Когда актуализировались такие угрозы и актуальность темы управления рисками ИБ сразу выросла.

Словом, поскольку кредитно-финансовые организации всегда атаковали, уровень зрелости процессов обеспечения информационной безопасности и управления рисками ИБ в банках выше, в том числе благодаря требованиям регулятора. Кроме того, у кредитно-финансовых организаций всегда был фокус на рисках из-за кредитных рисков, без анализа которых просто невозможно выдавать финансовые продукты.

Анастасия: Есть что-то, что на твой взгляд, сейчас необходимо сделать государству или бизнесу для того, чтобы повысить скорость внедрения риск-ориентированного подхода в ИБ?

Александр: Наверное, скорость. Регулятор выпускает полезные направления в области рисков, и они поддерживаются отраслью. Вопрос в скорости, хотя мы понимаем, что это сложно ее увеличить, так как есть определенная процедура, в том числе предусматривающая сбор мнения поднадзорных организаций. Кроме этого, нужно состыковать новые законы с существующими, чтобы избежать правовых коллизий или противоречий нормативных документов. Это большая задача, учитывая количество документов. Это все удлиняет процесс принятия тех или иных регулирующих документов.

Но скорость важна. Здесь можно упомянуть мою любимую тему — SGRC. Автоматизация процессов compliance и регуляторики в этой области позволяет перейти от бумажной безопасности к полностью цифровой с множеством интересных решений. Автоматизация может повысить скорость. Это важно, потому что сценарии меняются, подходы атак тоже. Злоумышленники не связаны процессами и могут менять свои методы атаки в любой момент. Мы должны быстрее перестраиваться. Нужна автоматизация, больше технических и интеграционных решений.

Анастасия: Можешь рассказать о сервисных моделях и решениях, связанных с GRC?

Александр: Конечно, такие небольшие решения существуют и применяются. Но опять же, GRC — это инструмент.

Анастасия: Понятно, что этот не процессы.

Александр: Именно так. У вас есть процесс, и когда вы устаете от Excel, который не дает нужного результата, вы переходите на специализированный инструмент, выбираете то, что проще и удобнее для вас. Облачные решения не всегда подходят в случае, если нужны интеграции с другими системами. Для каких-то компаний они применимы, для крупных организаций, таких, как наша, это довольно сложно.

Заключение

Анастасия: Мы уже подходим к завершению нашего выпуска о управлении рисками ИБ. И я прошу тебя сделать неблагодарное дело — дать прогноз на будущее. Как, по-твоему, будет развиваться тема управления рисками ИБ в нашей стране, не только в рамках вашей организации?

Александр: Мне кажется, всё будет становиться только интереснее. Я оптимист, и действительно, все области ИБ развиваются семимильными шагами. Мы видим даже IPO компаний, которые выпускают софт для информационной безопасности.

Анастасия: И железо…

Александр: Да, железо тоже. Эта область активно входит в наш мир, набирает обороты и становится масштабнее, появляются много интересных решений. ИБ будет развиваться стремительно. Сейчас это одна из ключевых составляющих любого ИТ-решения. Иногда даже основной. Например, когда вы пользуетесь какой-то системой, вы хотите быть уверены в её конфиденциальности.

Если взять корпоративные системы, например, почту. Существование корпоративной почты обусловлено исключительно вопросами безопасности. Вы могли бы использовать личную почту, но не делаете этого, потому что не хотите, чтобы переписка была вне организации, а хотите её контролировать и обезопасить. Вся ИТ-инфраструктура создается ради безопасности.

Эту мысль можно развивать дальше. Зачем компании вкладывают столько средств в ИТ? Для того, чтобы всё было безопасно. Можно было бы получить многие вещи бесплатно, но безопасность требует инвестиций.

Анастасия: Отлично. Значит, развитие рисков ИБ не остановится, а будет продолжаться и набирать обороты, как это было в последние годы. Спасибо огромное, что нашел время, было очень интересно. Надеюсь, что нашим зрителям и слушателям тоже понравилось. Спасибо, что посмотрели. Ставьте лайки, подписывайтесь, дискутируйте с нами, пишите, на какие темы еще хотите посмотреть наши выпуски. Всем спасибо, всем пока!

Посмотреть выпуск на YouTube

Послушать выпуск на Podster

Поделиться
Читайте также
Основные моменты документа, когда начнет действовать и какие положения вызвали критику со стороны экспертного... Никита Козин
22 августа 2024 Что такое Pegasus? И почему он может заставить вас усомниться в надежности вашего мобильного...
22 августа 2024 Владислав Крылов
19 августа 2024 Проект указания ЦБ РФ о внесении изменений в Положение № 757-П Основные изменения документа, и когда они вступят в силу.
19 августа 2024 Александр Моисеев
Эксперт AKTIV.CONSULTING рассмотрел распространенные ошибки и указал, на что важно обратить... Никита Козин
12 августа 2024 Риск-ориентированный и бизнес-ориентированный подходы в ИБ Эксперт AKTIV.CONSULTING рассмотрел преимущества и недостатки каждого из подходов.
12 августа 2024 Олег Симаков
26 июля 2024 Управление рисками и непрерывностью функционирования платформы цифрового рубля Обзор нового проекта положения ЦБ РФ от эксперта AKTIV.CONSULTING
26 июля 2024
Не пропустите самые
важные
новости
и мероприятия
Если у Вас остались вопросы,
свяжитесь с нами
Заполните,
пожалуйста, форму

и мы с вами свяжемся
Отправить
Спасибо,

ваша подписка

оформлена.
Назад
Спасибо, что обратились

к нам. В ближайшее время

мы с вами свяжемся.
Назад
Спасибо за ваш интерес.

Мы будем оповещать вас

о встречах дискуссионного клуба.
Назад
Заявка
на дегустационную

консультацию
ПОЛИТИКА АО «АКТИВ-СОФТ» в отношении обработки персональных данных

1. Общие положения

Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в АО «Актив-софт» (место нахождения: 115088, г. Москва, ул. Шарикоподшипниковская, д.1, этаж 4, пом. IX, комн.11, ИНН 7729361030, ОГРН 1037700094541), далее — Оператор с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Обезличивание персональных данных — действия, в результате которых без использования дополнительной информации невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Пользователь сайта (Пользователь) — лицо, имеющее доступ к сайту, посредством сети Интернет и использующее данный сайт для своих целей.

Cookies — фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

Сайт — интернет-ресурсы АО «Актив-софт», включая (не ограничиваясь) www.rutoken.ru, www.guardant.ru, www.aktiv-company.ru, aktiv.consulting.ru.

АО «Актив-софт» обязано опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч.2 ст.18.1. ФЗ-152.

3. Принципы и условия обработки персональных данных

3.1. Принципы обработки персональных данных

Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

  • законности и справедливой основы;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех персональных данных, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
  • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
  • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
3.2. Условия обработки персональных данных

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные);
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.3. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.4. Общедоступные источники персональных данных

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.

3.5. Специальные категории персональных данных

Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

  • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; персональные данные сделаны общедоступными субъектом персональных данных;
  • обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
  • обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 ФЗ-152, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

3.6. Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме.

3.7. Поручение обработки персональных данных другому лицу

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152 и настоящей Политикой

3.8. Обработка персональных данных граждан Российской Федерации

В соответствии со статьей 2 Федерального закона от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
  • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
3.9. Трансграничная передача персональных данных

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

  • наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
  • исполнения договора, стороной которого является субъект персональных данных.

4. Права субъекта персональных данных

4.1. Согласие субъекта персональных данных на обработку его персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своих интересах.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Использование сайта означает согласие субъекта персональных данных на обработку его персональных данных в целях повышения осведомленности посетителей сайтов о продуктах и услугах, предоставления рекламной информации и оптимизации рекламы. Такое согласие вступает в силу с момента перехода субъекта персональных данных на сайт и действует в течение сроков, установленных действующим законодательством РФ.

Сайт осуществляет сбор статистики об IP-адресах пользователей. Данная информация используется с целью выявления и решения технических проблем, для контроля корректности проводимых операций. Отключение cookies может повлечь невозможность доступа к сайту.

АО «Актив-софт» принимает усилия по защите персональных данных, которые автоматически передаются в процессе посещения страниц сайта:

  • источника захода на сайт и информации поискового или рекламного запроса;
  • данных о пользовательском устройстве (среди которых ip-адрес, разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
  • пользовательских кликов, просмотров страниц, заполнения полей, показов и просмотров баннеров и видео;
  • данных, характеризующие аудиторные сегменты;
  • параметров сессии;
  • данных о времени посещения;
  • идентификаторов пользователя, хранимых в cookies;
  • иной пользовательской информации.
4.2. Права субъекта персональных данных

Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.

Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

5. Обеспечение безопасности персональных данных

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, допущенных к обработке персональных данных;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • разработка на основе модели угроз системы защиты персональных данных;
  • проверка готовности и эффективности использования средств защиты информации;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  • регистрация и учет действий пользователей информационных систем персональных данных;
  • использование антивирусных средств и средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

6. Заключительные положения

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.


Полное наименование: Акционерное общество «Актив-софт»
Сокращенное наименование: АО «Актив-софт»
Юридический адрес: 115088, г. Москва, ул. Шарикоподшипниковская, дом 1, этаж 4, пом. IX, комн. 11
Почтовый (фактический) адрес: 115088, г. Москва, Шарикоподшипниковская ул.,д.1
ИНН 7729361030
ОГРН 1037700094541
Телефон/факс: +7 (495) 925-77-90
Адрес электронной почты: info@aktiv-company.ru