Бюджет развития - на защиту персональных данных

ОАО "ММК" в разы повышает эффективность уже внедренных решений за счет внутренних резервов

Сергей Сергеевич Голяк,
начальник отдела информационной безопасности ОАО "Магнитогорский металлургический комбинат", рассказал редакции об успехах и достижениях предприятия в 2008 г., о задачах на следующий год, а также о планируемом перераспределении бюджета на информационную безопасность в 2009 г.

- Сергей Сергеевич, не  могли  бы   Вы  рассказать о ваших успехах   и  достижениях в 2008 г.?

- В 2008 г. мы серьезно продвинулись и в организационных, и в технических аспектах обеспечения информационной безопасности ОАО "ММК".

Был  завершен  проект     по внедрению системы    защиты внутренних информационных потоков, которая обеспечивает  защиту определенных каналов передачи информации электронная почта,   Интернет,   съемные и внешние носители      информации) от возможной утечки   конфиденциальной    информации.   При этом   хочу подчеркнуть,   что очень большое внимание с самого начала проекта было уделено законности принятых мер. Выполнение требований действующего законодательства наложило большой отпечаток на весь проект: начиная от выбора продуктов, на которых он реализован, и заканчивая архитектурой внедренного решения. С помощью системы защиты внутренних информационных потоков уже удалось пресечь ряд попыток передачи информации, составляющей коммерческую тайну ОАО "ММК", сторонним адресатам. Были выявлены попытки как несанкционированной передачи данных, так и с санкции соответствующего руководителя, но ненадлежащим образом -без соблюдения требований внутренних нормативных документов, регламентирующих способы передачи конфиденциальной информации.

Таким образом, в 2008 г. был сделан важный шаг в деле укрепления режима коммерческой тайны ОАО "ММК" - мы обновили внутренние нормативные документы, устанавливающие данный режим в соответствии с частью четвертой Гражданского кодекса РФ, вступившего в силу в уходящем году.

Кроме технических решений, направленных на повышение защиты от утечек конфиденциальной информации, совместно с подразделениями, подчиненными директору по ИТ, нам удалось многое сделать по следующим направлениям, а именно:

• проведена модернизация систем электропитания и климат-контроля для обеспечения бесперебойной работы оборудования в серверных помещениях, сетевых узлах и узлах связи;
• введена в действие еще одна сеть хранения данных, что позволяет продолжить развитие системы резервного копирования и восстановления данных критичных серверов;
• проведена модернизация и развитие систем защиты информации и систем межсетевого экранирования;
• получила развитие система централизованного управления обновлениями для операционных систем, прикладного и системного программного обеспечения, что крайне необходимо для поддержания заданного уровня безопасности в условиях территориальной распределенности пользователей по предприятию;
• заканчивается реализация проекта по созданию в управлении кадров ОАО "ММК" защищенной аттестованной системы по работе с персональными данными, необходимой в соответствии с требованиями действующего законодательства РФ, в том числе для получения ОАО "ММК" лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации;
• начаты работы по повышению защищенности критичных автоматизированных систем управления техническими процессами (АСУ ТП) комбината, при этом активно расширялось использование данных АСУ ТП для формирования контрольных отчетов системы внутреннего контроля ОАО "ММК";
• подошел к финальному этапу проект по внедрению системы централизованного управления доступом  пользователей информационных ресурсов ОАО "ММК", что позволит привести систему управления доступом комбината в соответствие с международным стандартом в области информационной безопасности (ISO 27001) и требованиями аудиторов, а также выполнить ряд других требований информационной безопасности;
• продолжилось развитие системы управления информационными рисками предприятия, позволяющей получать целостную оценку достигнутого уровня информационной безопасности и планировать дальнейшие мероприятия по его повышению с учетом приоритетности решения тех или иных задач;
• заканчивается внедрение на комбинате понятия "подразделение-владелец информационного ресурса ОАО "ММК", которое нам необходимо в связи с большим масштабом предприятия и которое позволит упорядочить работу с информационными ресурсами на протяжении всего их жизненного цикла, а также повысить эффективность их использования;
• в решающую фазу вступил проект по созданию системы управления рабочими местами пользователей, в рамках которого созданы и согласованы профили всех основных рабочих мест пользователей ОАО "ММК";
• проводилось обучение групп ответственных за информационную безопасность по программе повышения квалификации "Информационная безопасность" в АНО "Корпоративный центр подготовки кадров "Персонал" (80 часов) с итоговой аттестацией работниками отдела информационной безопасности. Данное мероприятие проводится уже не первый год.

Все вышеперечисленные работы, а также те, которые были выполнены в предыдущие годы, позволят нам обеспечить заданный уровень информационной безопасности на таком крупном предприятии, как "Магнитогорский металлургический комбинат".

-   Каковы ваши задачи на следующий год?

-   Основными задачами в области информационной безопасности на следующий год мы считаем сохранение и развитие в условиях кризиса уже созданных заделов с минимальными затратами материальных ресурсов, в том числе:

• завершение ряда уже почти законченных проектов (остались в основном организационные мероприятия и настройки, которые мы можем выполнить самостоятельно);
• развитие завершенных проектов - использование внутренних резервов: по опыту, проведение ряда организационно-технических мероприятий, не требующих денежных затрат, в разы повышает эффективность уже внедренных решений (например, применение корпоративной системы построения отчетов Business Objects для анализа системных журналов);
• продолжение работы по приведению системы защиты персональных данных ОАО "ММК" в соответствие с требованиями законодательства РФ и регуляторов.

-   Согласно исследованию Ernst&Young, большинство компаний в условиях кризиса не планирует сокращать бюджеты на   информационную   безопасность (многие планируют их даже увеличить). Не могли бы Вы поделиться своими соображениями на этот счет? Как вы перераспределите бюджет на И Б в следующем году?

- В связи с финансово-экономическим кризисом, который сильно ударил и по предприятиям черной металлургии, в ОАО "ММК" введен режим жесточайшей экономии всех ресурсов. Поэтому бюджет на информационную безопасность также, к сожалению, сократился. Основной акцент при распределении средств мы делаем на техническую поддержку и продление лицензий на уже внедренные решения, поддержание которых критично для обеспечения основных функций информационной безопасности и снижения информационных рисков. Из бюджета развития определенный объем средств выделен на продолжение работ по приведению системы защиты персональных данных ОАО "ММК" в соответствие с требованиями законодательства РФ и регуляторов. Развитие остальных направлений, как я уже говорил, мы планируем в 2009 г. осуществлять за счет внутренних резервов.