|
|
Обзор
ИТ в ритейле 2011Обзор подготовлен
Перенос сроков приведения информационных систем в соответствие с требованиями федерального закона 152 ФЗ "О персональных данных" позволил многим ритейлерам почувствовать себя в относительной безопасности. В большинстве своем они заняли выжидательную позицию. Исключение составляют лишь крупные сетевые и западные компании, которые всерьез занялись и этим вопросом, и информационной безопасностью в целом.
Утверждение, что "снаряд в одну воронку дважды не падает", в сфере информационной безопасности меняет свой смысл ровно на противоположный. Однажды найдя лазейку, хакер вновь и вновь будет приходить и брать то, что считает нужным.
Если говорить о розничной торговле, то, в отличие от жулика на городском рынке, у злоумышленника в электронной информационной системе крупного торгового предприятия выбор, чем поживиться, гораздо шире. И частенько сами товары или даже выручка продавца для него менее интересны, чем персональные данные покупателей или реквизиты их пластиковых карт. Таким образом, торговые компании и банки превращаются в невольного поставщика информации для дальнейших криминальных действий.
Затем все тайное становится явным. Гнев жертв мошенников, благодаря действиям спецслужб, находящим источник утечки приватных данных, обрушивается на головы менеджеров и акционеров торговых сетей. К чему это может привести? На Западе – к компенсациям и потере репутации, возможно, к закрытию бизнеса. В России же…
Возвращаясь к "воронке и снаряду", отметим, что эта проблема довольно давно известна, и в практической плоскости законодательно (или рекомендательно) определен процессный (т.е. непрерывный) подход к обеспечению требуемого уровня ИБ. Именно на этом основано действие ФЗ 152 ("О персональных данных"), ISO 27001, PCI DSS и т.д. Причем экономически целесообразно гармонизировать ИТ-инфраструктуру торгового предприятия под соответствие сразу нескольким нормативным актам, и не только из области ИБ.
В этой статье при упоминании состояния дел в России уже пришлось ставить многоточие. Касаясь темы соответствия ФЗ 152, похоже, придется поступить аналогично. Нет ответственности – нет и мер по должному наведению порядка…
Алгоритм классификации ИСПДн согласно ФЗ 152
Источник: IT-world, 2009
Алексей Шевченко, руководитель отдела поддержки крупных корпоративных проектов компании Eset, отмечает: "Перенос сроков приведения информационных систем персональных данных в соответствие с требованиями федерального закона 152 ФЗ "О персональных данных" позволил многим операторам почувствовать себя в относительной безопасности. Однако подобная позиция ошибочна, особенно для интернет-магазинов, которыми пользуется огромное количество потребителей, оставляя свои персональные данные во время регистрации и заказа товара на домашний адрес.
Недовольные покупатели своими частными жалобами легко могут привлечь внимание такой службы, как Роскомнадзор, и если операторы персональных данных не успели привести свои информационные системы в соответствие с требованиями закона, то причины и оправдания выслушивать уже никто не будет. Те розничные сети, которые понимают данную сложившуюся ситуацию, на сегодняшний день уже внесли в свои статьи расходов затраты на приобретение решений для защиты информационной безопасности и привлечение квалифицированных специалистов в этой области. Стоит также отметить, что в последние месяцы число запросов от компаний-ритейлеров на предоставление сертифицированных антивирусных решений заметно увеличились".
Максим Эмм, директор департамента аудита компании "Информзащита", придерживается аналогичного мнения в вопросе степени влияния этого нормативного акта на операторов розничной торговли. Он считает, что закон "повлиял не очень сильно, фактов применения санкций, штрафов к интернет-магазинам, да и всему ритейлу в целом пока нет, поэтому больших затрат на обеспечение соответствия ФЗ 152 у ритейла еще не было. Да, были единичные проекты, но если смотреть в целом по рынку, то ФЗ 152 не являлся основным драйвером ИБ для ритейла в 2010г.".
Однако считать, что менеджмент крупного торгового бизнеса просто игнорирует этот закон, оснований тоже нет. Можно утверждать, что он, скорее, занял выжидательную позицию. Некоторую активность проявляют лишь представители больших сетевых и западных компаний.
Так Олег Слепов, руководитель направления защиты персональных данных компании "Инфосистемы Джет", полагает, что "152 ФЗ в корне изменил отношение операторов розничной торговли к вопросам обеспечения ИБ. Во-первых, они глубже задумались над вопросами обеспечения информационной безопасности в целом. Во-вторых, пришло осознание, что в ИБ нужно вкладывать средства. До этого бюджеты ИБ этого отраслевого сектора в основном составляли закупки антивирусного ПО и других базовых средств обеспечения безопасности. И, в-третьих, сейчас уже можно констатировать готовность ритейлеров увеличить затраты на ИБ, если речь идет о крупных компаниях".
Евгений Рудацкий, руководитель направления PCI DSS компании "Инфосистемы Джет", в целом высказывает аналогичную позицию, но уже по ситуации в вопросе соответствия международному стандарту платежных систем PCI DSS в России. По его мнению, на сегодняшний день крупные компании операторов розничной торговли в нашей стране только начали задумываться о соответствии PCI DSS, и это обусловлено несколькими факторами. Во-первых, объем платежей по карточкам еще не столь велик, хотя с каждым днем он набирает обороты. Во-вторых, тенденции банковской отрасли и платежных организаций, в которых уровень обеспечения безопасности выше, еще не до конца отразились на ритейле, и бюджеты на ИБ здесь пока гораздо более скромные.
"Ситуация в вопросах compliance PCI DSS в России и мировом масштабе в ритейле различается и кардинально, - продолжает Максим Эмм. - Примерно в таких же пропорциях, что и объем рынка ритейла в западных странах и у нас – т.е. на порядки".
В связи с такой разницей в масштабах бизнеса (за исключением Х5 Retail Group) иностранные игроки имеют возможность вкладывать в технологии намного более значимые средства и пользоваться преимуществами инноваций в большем, чем российские игроки, объеме. Но и обеспечивать соответствие PCI DSS им существенно сложнее – в том числе и из-за масштаба уже существующих ИС, созданных в то время, когда еще PCI DSS не был для них обязательным.
По мнению г-на Эмма, в целом, больше 60% крупных (т.е. больше 6 млн транзакций в год) ритейловых организаций в мире уже достигли соответствия. На российском же рынке пока таких прецедентов нет, как и практически нет крупных (по классификации платежных систем) ритейлеров. Существующих, по его словам, можно пересчитать по пальцам рук.
В контексте обсуждения набора преимуществ западных ритейлеров в вопросах соответствия нормативным актам возникает аналогичный вопрос к западным ИБ-компаниям. В этой связи оказалось показательным мнение Алексея Шевченко из Eset: "Зарубежные антивирусные разработчики на российском рынке имеют скорее недостатки, чем преимущества. Основной причиной их непопулярности в нашей стране является отсутствие у этих компаний лицензии ФСТЭК".
Согласно 152 ФЗ, все организации, обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. И, что очень важно, использовать средства информационной безопасности, которые прошли сертификацию ФСТЭК, в том числе, средства антивирусной защиты. В случае нарушения закона деятельность организаций может быть приостановлена.
Подводя итоги, хотелось бы остановиться на мнении Александра Ковалева, директора по маркетингу компании Securit. Он подчеркивает, что в случае с PCI DSS все тянут до последнего, поэтому ситуация в России хуже, чем на Западе. "В целом такое затягивание, сопровождающееся отговорками, "вроде бы нужно, да вроде бы жалко" расходов, свойственно для 152 ФЗ "О персональных данных" и Стандарту Банка России. Хотя с применением последнего дела как раз обстоят довольно неплохо", - уверен он.
Вадим Ференец
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP