Распечатано с портала ЗаНоСтрой.РФ (zanostroy.ru)

/ Новости / 2024 / 10 / 01 /
Опубликовано: 01 октября 2024 в 16:49
0    715

Челябинская СРО провела для своих участников вебинар об информационной безопасности компаний строительной отрасли

В Союзе Строительных компаний Урала и Сибири (ССК УрСиб, СРО-С-030-24082009) отмечают, что тема эта очень злободневная, и касается каждой современной компании. С подробностями – наш добровольный эксперт из Челябинска.

***

Несколько дней назад ССК УрСиб провела для своих участников вебинар, посвящённый информационной безопасности компаний строительной отрасли. В самом его начале выступил оперуполномоченный по борьбе с противоправным использованием информационно-телекоммуникационным технологий Главного управления МВД России по Челябинской области майор полиции Сергей Соколов, подчеркнув актуальность темы.

По данным правоохранителя, в минувшем году мошенниками был причинён ущерб жителям Челябинской области в размере 2,823 миллиарда рублей. Согласно свежим данным, ныне преступники ежедневно (!) похищают у жителей региона 7 миллионов рублей.

Следующим выступил специалист по защите информации АО «ЭР-Телеком Холдинг» Андрей Мягков, который в самом начале своей презентации отметил, что большинство атак злоумышленников на предприятия начинается с получения различными способами персональных данных её сотрудников. Поэтому компаниям нужно обеспечить надёжную защиту персональных данных своих работников.

Однако с этим у российского бизнеса есть явные проблемы. Так, в нынешнем году только лишь в результате одного крупного инцидента в интернет утекли 500 миллионов строк с личными данными россиян. Подобные инциденты не миновали и строительные компании – например, один из крупных федеральных застройщиков допустил утечку базы данных с 20.500 строками записей, об этом стало известно в 2023 году. Основное количество записей касалось контрагентов компании, однако около 4.000 строк содержали сведения и о сотрудниках предприятия.

Эксперт подчеркнул, что ныне хакеры активно пытаются взломать IT-системы предприятий, при этом далеко не все успешные атаки сразу становятся известны общественности. Дело в том, что сейчас немало злоумышленников затаилось после проникновения в сеть компании, они ждут принятия закона об оборотных штрафах и уголовной ответственности за утечку персональных данных. В случае принятия законопроекта в адрес пострадавших предприятий ожидается всплеск шантажа с требованием об уплате повышенного выкупа.

Для строительных компаний специалист выделил три ключевых задачи, связанных с информационной безопасностью (ИБ):

1. Защитить персональные данные работников и выполнить все остальные требования законодательства в области ИБ во избежание санкций и штрафов со стороны регуляторов.

2. Чётко понимать текущее состояние системы информационной безопасности, описать угрозы и разработать план по усилению защиты с учетом имеющихся угроз.

3. Обеспечить работоспособность необходимых бизнесу цифровых инструментов (сайта, почта, видеонаблюдение, телефония, банкинг и прочее), без которых невозможна нормальная работа предприятия.

С учётом того, что большинство атак на компании проводится с использованием персональных данных (ПД) её сотрудников, эксперт особое внимание уделил именно первой задаче из списка, рассказав присутствующим о том, как выстроить работу компании в рамках Федерального закона № 152-ФЗ «О персональных данных». На этапе диагностики предприятию нужно выявить и описать процессы обработки ПД, описать угрозы, определить ответственных и разработать правила работы с персональными данными, и в результате определить требования к системе защиты информации.
Затем компания переходит к этапу реализации необходимой защиты. В рамках этого этапа нужно спроектировать систему защиты, внедрить и настроить её, после чего разработать документацию по эксплуатации созданной системы. Все перечисленные шаги можно сделать как самостоятельно (в таком случае предприятию необходимо иметь сотрудника должной квалификации), или же обратиться за комплексной услугой к специализированной компании, занимающейся информационной безопасностью.

В завершение эксперт отметил, что после создания и настройки системы информационной безопасности предприятия нужно проводить его ежегодный аудит – чтобы понимать, насколько защищена IT-инфраструктура компании и её данные. Ведь извечная борьба щита с мечом продолжается непрерывно – бизнес защищает свои вычислительные мощности и информационные массивы, а хакеры стремятся проникнуть внутрь корпоративных сетей. Поэтому нужно быть уверенным в том, что имеющаяся защита способна отразить угрозы, актуальные на сегодняшний день.


Войдите, чтобы оставить комментарий.

Удастся ли по результатам круглого стола СРО АСО ПОСО внести спасительные для КФ изменения в законодательство?
Последние комментарии