Проблемы с кибербезопасностью: у предприятий недостаточно ресурсов для внедрения эстонского стандарта E-ITS
По утверждению крупнейшей в Эстонии ИТ- и телекоммуникационной компании Telia, вступивший в силу в прошлом году Эстонский стандарт информационной безопасности (E-ITS) сам по себе не гарантирует кибербезопасности, а из-за масштабной подготовительной работы вызывает у предприятий смешанные чувства.
Если с 2003 по 2022 годы для обеспечения информационной безопасности государственных и муниципальных баз данных в Эстонии использовалась трехуровневая эталонная система безопасности информационных систем (ISKE), то в прошлом году для повышения уровня информационной безопасности как в государственном, так и в частном секторах был введен новый стандарт E-ITS. В отличие от своего предшественника, E-ITS был призван упростить внедрение системы управления, обеспечив более широкую сферу применения, более четкие требования и лучшую защиту как учреждения, так и информации. Кроме того, предполагалось, что решение вопросов информационной безопасности станет более доступным и для небольших организаций.
„Обобщая, можно сказать, что не существует правильных или неправильных стандартов и рамок – важно понимать стандарт и последовательно его применять. Сам по себе стандарт не гарантирует кибербезопасность в узком или широком смысле, тут необходима последовательность. А последовательность, как известно, требует времени и денег. К сожалению, именно это часто и становится проблемой“, - сказал руководитель по кибербезопасности и новому бизнесу Telia Мартин Паас. Он добавил, что даже те, кто ранее использовал систему ISKE, сталкиваются с необходимостью оценки и внедрения мер E-ITS, а объем этой работы значителен.
Наибольшая проблема – создание системы управления информационной безопасностью.
Хотя в принципе обеспечение кибербезопасности учреждения как цель кажется простой, все усложняет тот факт, что, помимо защиты технических решений, необходимо также устанавливать обновления безопасности, обучать пользователей, оценивать и анализировать логи, реагировать на инциденты – причем, этот список далеко не исчерпывающий. „Поскольку E-ITS по своей сути является основанным на рисках стандартом, владелец услуги должен уметь оценивать связанные с ней риски. Поскольку не все риски имеют одинаковую вероятность и воздействие, управление ими должно быть непрерывным“, - пояснил Паас.
На предприятиях, где есть руководитель по информационной безопасности, внедрение E-ITS серьезных проблем, как правило, не вызывает. Однако сложности возникают там, где работа со стандартом информационной безопасности стала обязанностью человека без IT-образования или где сотрудник занимается его внедрением параллельно со своими основными рабочими обязанностями. „В большинстве случаев проблемы возникают с созданием системы управления информационной безопасностью, и в этом случае копирование решений других компаний может не дать ожидаемого результата, поскольку документ создается ради самого документа“, - пояснил Паас. По его словам, часто обращаются за помощью к поставщикам IT-услуг, но они не могут помочь, если у предприятия нет списка технических мер, которым должна соответствовать IT-услуга, а сама фирма зачастую не знает, как его подготовить.
Решением могла бы быть передача услуг по обеспечению информационной безопасности на аутсорсинг, но чаще всего предприятия опасаются связанных с этим расходов. „Однако, предотвращение инцидентов всегда дешевле, чем реагирование на них, – отметил Паас. – Целенаправленное внедрение мер приводит к затратам, но основанный на рисках подход, позволяет разумно управлять ими“.