Didžiausios Estijos IT ir telekomunikacijų bendrovės „Telia“ teigimu, pernai įsigaliojęs Estijos informacijos saugos standartas (E-ITS) pats savaime negarantuoja kibernetinio saugumo, o dėl didelio parengiamojo darbo sukelia prieštaringus jausmus tarp įmonių „If“. nuo 2003 Iki 2022 metų Estijoje valstybės ir savivaldybių duomenų bazių informacijos saugumui užtikrinti buvo naudojama trijų lygių informacinių sistemų saugumo etaloninė sistema (ISKE). tiek viešajame, tiek privačiame sektoriuose. Skirtingai nuo savo pirmtako, E-ITS buvo sukurta siekiant supaprastinti valdymo sistemos įgyvendinimą, suteikiant platesnę apimtį, aiškesnius reikalavimus ir geresnę tiek institucijos, tiek informacijos apsaugą. Be to, buvo manoma, kad informacijos saugumo klausimų sprendimas taps labiau prieinamas mažoms organizacijoms. „Apibendrinant galima pasakyti, kad nėra teisingo ar neteisingo standarto ar karkaso – svarbu suprasti standartą ir jį nuosekliai taikyti. Pats standartas negarantuoja kibernetinio saugumo siaurąja ar plačiąja prasme, reikalingas nuoseklumas. O nuoseklumas, kaip žinia, reikalauja laiko ir pinigų. Deja, tai dažnai yra problema“, – sakė „Telia“ kibernetinio saugumo ir naujo verslo vadovas Martinas Paasas. Jis pridūrė, kad net ir tie, kurie anksčiau naudojosi ISKE sistema, susiduria su būtinybe įvertinti ir įgyvendinti E-ITS priemones, o šio darbo apimtys yra nemažos. Didžiausia problema yra informacijos saugumo valdymo sistemos sukūrimas. Nors institucijų kibernetinio saugumo užtikrinimas iš principo atrodo paprastas tikslas, viską apsunkina tai, kad be techninių sprendimų apsaugos, taip pat reikia įdiegti saugos naujinimus, naudotojų mokymus, žurnalų įvertinimą ir analizę bei atsaką į incidentus. jokiu būdu nėra baigtinis. „Kadangi E-ITS iš esmės yra rizika pagrįstas standartas, paslaugos savininkas turi turėti galimybę įvertinti su juo susijusias rizikas. Kadangi ne visos rizikos turi vienodą tikimybę ir poveikį, jos turi būti valdomos nuolat“, – aiškino Paas. Įmonėse, kuriose yra informacijos saugos vadybininkas, E-ITS diegimas, kaip taisyklė, nesukelia rimtų problemų. Tačiau sunkumų kyla tada, kai darbas su informacijos saugumo standartu tapo IT išsilavinimo neturinčio žmogaus pareiga arba kai darbuotojas jį diegia lygiagrečiai su pagrindinėmis darbo pareigomis. „Dažniausiai problemų kyla kuriant informacijos saugumo valdymo sistemą, tokiu atveju sprendimų kopijavimas iš kitų įmonių gali neduoti laukiamo rezultato, nes dokumentas kuriamas dėl paties dokumento“, – aiškino Paas. Anot jo, IT paslaugų teikėjų dažnai kreipiamasi pagalbos, tačiau jie negali padėti, jei įmonė neturi techninių priemonių, kurių turi atitikti IT paslauga, sąrašo, o pati įmonė dažnai nežino, kaip jį parengti. Išeitis galėtų būti informacijos saugos paslaugų perdavimas iš išorės, tačiau dažniausiai įmonės bijo su tuo susijusių išlaidų. "Tačiau užkirsti kelią incidentams visada yra pigiau nei reaguoti į juos", – pažymėjo Paas. „Tikslingas priemonių įgyvendinimas sukelia išlaidų, tačiau rizika pagrįstas požiūris leidžia jas protingai valdyti. Skaitykite RusDelfi visur, kur jums patogu. Sekite mus „Facebook“, „Telegram“, „Instagram“ ir net „TikTok“.
Kibernetinio saugumo problemos: įmonės neturi pakankamai išteklių įdiegti Estijos E-ITS standartą
0 Komentarai
Seniausi