Информационная безопасность ИТ-проектов
Анохина
руководитель проектов по информационной безопасности компании BPS
Основное влияние на рынок безопасности ИТ-проектов в текущем году произвела пандемия. В связи с увеличением числа компаний, которые перевели часть своих сотрудников на удаленную работу, нагрузка на ИТ-службы и ответственных за информационную безопасность (ИБ) сотрудников сильно выросла. Сейчас все больше организаций понимают важность защиты информации и создают соответствующие подразделения по информационной безопасности.
За последнее время появились новые вызовы для специалистов по ИБ. Один из таковых – импортозамещение, в пример можно привести и интернет вещей, обязательную миграцию данных на российские сервера, внедрение искусственного интеллекта в производстве и так далее.
Если сместить внимание в сторону ИТ-проектов, то основными угрозами здесь являются взлом ИТ-систем и несоблюдение требований законодательства (это в случае отсутствия сопровождения по ИБ).
Взлом ИТ-систем может привести к различным последствиям: краже конфиденциальных данных (к примеру, клиентской базы), остановка работы бизнес-процессов, а также вывод финансовых средств на подставные счета. Все эти инциденты могут негативно повлиять на репутацию компании и привести к значительным финансовым потерям.
Несоблюдение требований законодательства в части обеспечения безопасности ИТ-систем и обрабатываемых им данных может привести к штрафам, приостановке деятельности или отстранению от должности ключевых лиц компании, без которых нормальное ее функционирование крайне затруднительно.
Для предотвращения подобных угроз мы рекомендуем внедрять систему контроля безопасности проектов на всех этапах, начиная с формирования бизнес-требований, заканчивая завершением. Роль специалистов по безопасности на разных этапах проекта может различаться:
а) На этапе инициализации это минимизация обрабатываемых данных, исключающая необходимость соблюдения требований частных законов.
б) На этапе планирования это классификация ИТ-систем (если планируется внедрение) и формирование требований к защите.
в) На этапе реализации – контроль соблюдения требований, уточнение вариантов исполнения требований.
г) На этапе подготовки документации – контроль корректности функционирования средств защиты, минимизация конфиденциальной информации (КИ) или ее исключение из документов, подготовка необходимой документации по безопасности.
д) На этапе контроля – мониторинг безопасности ИТ-проекта, периодическое проведение аудитов.
Специалисты, обеспечивающие безопасность ИТ-проектов, сталкиваются со препятствиями. Это наличие небезопасных сервисов, доступных из сети интернет, выявление случаев некорректных настроек сети и оборудования.
Также существуют сложности в соблюдении требований законодательства. Не все они заданы четко и понятно. А кроме того, существуют законы и подзаконные акты для частных случаев, которые редко встречаются на практике.
Непросто обеспечивать безопасность ИТ-проектов с использованием новых технологий, так как векторы атаки на них и уязвимости отличаются от уже известных.
Для учета всех требований необходим штат специалистов в различных областях. Создание такого штата не всегда представляется возможным несмотря на то, что в период активной проектной деятельности специалистов может не хватать и анализ безопасности может задерживать реализацию важных инициатив. Дело в том, что это требует больших затрат.
Как бы там ни было, предотвратить угрозу всегда выгоднее, чем ее устранить. И на это есть рад причин. Занимаясь вопросами ИБ на регулярной основе, организация обеспечивает безопасность всей ИТ-инфраструктуры. При грамотном подходе высвобождаются ресурсы, занятые неиспользуемыми системами и сервисами. Внедряются системы безопасного обмена данными, удаленного доступа, контроля настроек сетевого оборудования.
Для обеспечения должного уровня защиты ИТ-проектов необходимо внедрять ИБ-решения в бизнес-процессы реализуемых проектов, обучать сотрудников основам информационной безопасности и привлекать подрядчиков в случае необходимости.