В 2005 году Академия АйТи впервые предложила обучение по программе CSO. Взгляд из 2020.

В 2005 году Академия АйТи впервые предложила обучение по программе CSO. Взгляд из 2020.


21 Мая 2020 года

В 2005 году Академия АйТи впервые предложила обучение по программе CSO. Взгляд из 2020.


926_oooo.plus.png

Игорь Морозов к.э.н.
ректор Академии АйТи  

   
Осенью 2005 г. Академия АйТи предложила новый продукт — курс обучения по программе CSO, рассчитанный на шесть месяцев и включающий как теоретические дисциплины в области экономики, финансов, маркетинга и менеджмента, так и специализированные дисциплины, посвященные информационной безопасности автоматизированных и телекоммуникационных систем. Программа соответствовала требованиям Министерства образования РФ, государственных образовательных стандартов и соответствующего законодательства, и предусматривала выдачу диплома государственного образца.

banner-retro-25-7.jpg

Комментарий из 2020 г.

В 2005 г. бизнес-сообществу было мало что известно о компьютерной безопасности. Имеющиеся знания были основаны в основном на полузабытом кино «Военные игры», более новых фильмах «Хакеры», «Сеть» и «Пароль «Рыба-меч», да легендах о Кевине Митнике, который якобы украл столько информации, что его не просто посадили в тюрьму, но еще и отлучили от компьютера и телефона. Нарицательного бренда «русские хакеры» тогда еще не было.
  
За последующие 15 лет — и уж конечно после громких атак «нулевого дня» 2017 г., таких как эпидемия WannaCry, от которой пострадали известные компании и даже государственные организации — важность обеспечения кибербезопасности настолько выросла, что теперь и государственные организации, и бизнес относятся к нему, как одной из основных своих потребностей. Правда, часто они понимают информационную безопасность по-разному. Зрелым компаниям из частного сегмента важно заниматься в первую очередь реальной безопасностью, а организациям из госсектора в силу постоянно меняющихся требований законодательства приходится работать в первую очередь над комплаенсом.

Разумеется, нет организаций, которые занимались бы только комплаенсом в чистом виде и не обращали внимания на реальную безопасность, так же, как нет и компаний, которых комплаенс совсем не волнует. Но если деятельность организации зависит в первую очередь от соответствия требованиям того или иного регулятора — таким, как федеральные законы, требования ФСБ и ФСТЭК (Федеральной службы по техническому и экспортному контролю), нормативные акты Центробанка — то в первую очередь такая организация будет работать над комплаенсом, в то время как компания, которой был нанесен ущерб из-за нарушения информационной безопасности, будет заниматься защитой своей корпоративной ИТ-инфраструктуры с полным осознанием ее значения для бизнеса.
  
При этом организации, не соответствующие требованиям регуляторов, таких как Роскомнадзор, ФСТЭК, Центробанк, прокуратура, и не выполняющие требования таких нормативных актов, как 152-ФЗ, 149-ФЗ, приказ ФСТЭК 17-П, постановления Центробанка 555-П и 382-П, могут получить вполне реальные проблемы — от предписания об устранении несоответствий в 1–6-месячный срок до штрафных санкций, конфискации несертифицированных средств и даже уголовной ответственности руководителей. И, между прочим, требования комплаенса касаются и частных компаний — например, в отношении соблюдения требований к хранению персональных данных 152-ФЗ, к которым особенно чувствительны иностранные компании, работающих в России. Самый резонансный случай 2017 г. — блокировка LinkedIn. А за нарушения федерального закона РФ 187-ФЗ о безопасности критических информационных инфраструктур (КИИ) предусмотрена уголовная ответственность… Позиция Директора по информационной безопасности (Chief Security Officer) становится не просто важной, а жизненно необходимой для современного бизнеса!

Информация к размышлению

Будем смотреть правде в глаза — большая часть кибернетических атак и мошенничества по-прежнему остается незамеченной. Число утечек информации продолжает расти, причем большая часть утечек относится к персональным данным, попавшим в руки злоумышленников, которые охотятся, как правило, за реквизитами платежных карт, которые являются весьма ликвидным товаром на теневом рынке. Причиной успеха краж данных чаще всего становится использование приложений или устройств (сетевого оборудования, принтеров, многофункциональных устройств, средств видеонаблюдения) с незакрытыми уязвимостями или с неизмененными заводскими паролями.
  
В середине 2010-х гг. аналитики забили тревогу: «Российская картина утечек стремительно приближается к американской... ...мошенничество с чужими персональными данными в исполнении сотрудников банков, страховых компаний, салонов сотовой связи происходит чуть ли не ежедневно».

Упомянутый WannaCry вызвал три года назад большую головную боль у тех, на кого он напал, и большую панику у тех, кто осознал себя незащищенными. Помнится, корпорация Microsoft, когда она после атаки WannaCry анонсировала новые патчи для уже не поддерживавшейся на тот момент системы Windows XP, огребла (простите) от общественного мнения по полной — а ведь компания всего лишь навсего хотела защитить организации, которые несмотря ни на что продолжали использовать полюбившуюся им операционку. Эксперты писали в своих блогах: «Microsoft давно прекратить выпуск патчей к Windows XP и Windows 2003, потому что тем самым они сами мешают избавиться от устаревших программных систем в корпорациях»; «О нет. Прекратите поддержку Windows XP. Если она не может умереть с честью, просто дайте ей загнуться...» и т. п... Одно могу сказать — компаниям, которые в 2017 г. все еще работали на устаревшем программам обеспечении, явно не помешал бы Chief Security Officer).

Оригинал новости в 2005 году >>