Заволжский моторный завод расположен в городе Заволжье Нижегородской области. С 2001 года ОАО "ЗМЗ" входит в число предприятий "Северсталь-групп", а с 2002 года - в холдинг ОАО "Северсталь-авто", автомобильный актив группы. ОАО "ЗМЗ" представляет собой предприятие по производству двигателей. В него входит шесть дочерних обществ. Общая численность работающих составляет 16 тысяч человек. О том, как обеспечена информационная безопасность ОАО "ЗМЗ", мы беседуем с начальником управления безопасности ОАО "ЗМЗ" Владимиром Ефимовичем Таевым.

Intelligent Enterprise: С чего начиналось построение системы информационной безопасности на заводе?

Владимир Таев: В нашей локальной сети более 4 тысяч рабочих станций. У завода есть своя интеллектуальная собственность, то есть разработки дизельных двигателей по госконтракту, коммерческая тайна - информация о контрактах, ценообразовании. Есть военный заказ, а значит, и сведения, являющиеся государственной тайной. Все это мы должны защищать.
В 2001 году, когда завод вошел в холдинг "Северсталь-групп", на предприятии в области безопасности было много недостатков, процветали злоупотребления, воровство. И хотя существовало подразделение безопасности, оно фактически занималось лишь охраной завода.

Нам пришлось заново создавать структуру безопасности: было организовано соответствующее управление, которое отвечало за экономическую безопасность, охрану завода, защиту жизни и здоровья сотрудников, а также информационную безопасность.
На ключевые позиции в это управление мы подбирали людей, имеющих серьезный опыт.

Информационная безопасность - сфера, находящаяся на стыке ИТ и проблем общей безопасности. Найти человека, который был бы одинаково высококвалифицированным экспертом и в той, и в другой области, очень сложно. Такие люди - штучный товар, они "на дороге не валяются", к тому же достаточно дорого стоят. Не каждому предприятию по силам содержать специалиста такой квалификации, да и не во всех регионах его можно найти. Так, в Заволжье, городе с небольшим населением, их просто нет, нам пришлось искать такого профессионала в ближайшем к нам крупном промышленном центре - Нижнем Новгороде.

На должность начальника отдела ИБ мы пригласили человека из региональной информационно-аналитической службы налоговой полиции. Будучи сам сильным программистом, он при этом является хорошим организатором и знаком со всеми аспектами управления информационной безопасностью.

Как вы разрабатывали концепцию информационной безопасности завода, чем пользовались при этом - международными стандартами, собственным опытом?

Фактически мы пользовались всеми доступными опытом и информацией. Кроме того, опыт создания таких концепций имелся и у меня, и у руководителя направления информационной безопасности. Была информация о компаниях, которые занимаются этими проблемами и могли стать нашими партнерами в создании системы информационной безопасности предприятия.

Начали мы с того, что провели аудит информационной системы, работавшей на заводе. Для этого была приглашена компания - внешний аудитор. Ее специалисты в течение семи месяцев изучали нашу сеть и в результате представили подробную аналитическую записку объемом три тома. Главный вывод оказался неутешительным: вероятность несанкционированного доступа в нашу систему оказалась равной 85%, а извне, через Интернет, - 25%. Аудиторы дали заключение, что возможный экономический ущерб в такой ситуации может достигнуть порядка миллиона долларов. Всем, в том числе и руководству предприятия, стало ясно, что вопросами информационной безопасности нужно заниматься не откладывая, и "вплотную".

Исходя из полученных аналитических результатов этой проверки, мы вместе с аудиторами разработали концепцию построения системы защиты информационных ресурсов. Насколько успешной оказалась наша концепция, говорят факты и цифры. В 2004 году мы провели повторный аудит. Оказалось, что теперь вероятность несанкционированного доступа равна 10-15%, через Интернет - 3-5%. Это серьезные положительные результаты.

Как отдел информационной безопасности взаимодействует с отделом ИТ?

В нашем управлении ИТ работает около 200 человек. Многие из этих сотрудников имеют возможности самого широкого доступа к базам данных и информационной системе в целом. Именно поэтому обеспечивает информационную безопасность отдельное подразделение. Мы отслеживаем все трафики в информационной системе, противодействуем несанкционированному доступу в информационную систему. У нас есть программное обеспечение собственной разработки, позволяющее отслеживать изменения конфигурации рабочих станций, то есть подключения внешних устройств, изменений в установленных конфигурациях подключения мониторов, принтеров. При этом хотел бы подчеркнуть, что наша работа вовсе не ограничивается обеспечением компьютерной безопасности, информация ведь может передаваться и в устной форме, и на бумажных носителях.

Действительно ли главную угрозу для информационной безопасности представляют собственные сотрудники? Как вы боретесь с влиянием "человеческого фактора"?

Я убежден, что человеческий фактор играет огромную роль в обеспечении информационной безопасности - до 90%. И хотя мы живем в XXI веке, когда техника так бурно развивается, человеческий фактор в области безопасности по-прежнему важнее всего. Поэтому так важна доскональная проверка будущего сотрудника перед приемом на работу. Но бороться за информационную безопасность надо не только запретительными и карательными методами. Достойная оплата труда и социальные гарантии повышают лояльность персонала и желание добросовестно трудиться.

Сейчас у нас построена достаточно солидная система информационной безопасности, с большим ресурсным запасом, по нашим расчетам - на ближайшую пятилетку. Но так было не всегда. До ее внедрения были примеры злоупотреблений со стороны собственного персонала. Находились люди, которые взламывали информационную систему, в том числе даже систему начисления заработной платы. Один такой внутренний хакер, например, с каждого счета, где происходило начисление зарплаты работника, переводил на свой по 10 рублей. Если учесть, сколько работников на нашем предприятии, то суммы получались весьма серьезные. Но этого злоумышленника мы смогли вычислить чисто техническими средствами и привлечь к уголовной ответственности.

Разумеется, мы сталкивались и с такими менее значительными злоупотреблениями, как использование рабочего доступа в Интернет в личных целях.

Какие проблемы сейчас стоят перед отделом информационной безопасности? Какие у вас появляются новые задачи?

Сейчас идет процесс централизации и стандартизации. Вырабатываются и общие в рамках "Северсталь-групп" стандарты по информационной безопасности, основанные на международных, в частности на ISO 17799. Меняется сама система нашей работы. Так, если раньше каждое предприятие группы имело свой выход в Интернет, то теперь он будет централизованным, и обеспечивать его будет служба информационной безопасности всей группы. То есть базовые вопросы, такие как работа с Интернетом, электронной почтой, будут решаться совместно. Следовательно, задач, требующих решения на местах, уже станет меньше. Это несколько облегчит наши нагрузки и повысит оперативность.

Как осуществляется бюджетирование и финансирование мероприятий в области информационной безопасности?

У нас существует система инвестиционных проектов. На предприятии работает инвестиционная комиссия. Если мы обнаруживаем проблему в области информационной безопасности и понимаем, как ее можно решить технически, организационно и финансово, то выносим соответствующую заявку на финансирование в комиссию. Если комиссия с нами соглашается, то мы получаем указание разработать инвестиционный проект - это уже более подробная и детальная разработка заявки. После этого инвестиционная комиссия и совет директоров завода принимает решение о выделении средств. Именно таким образом мы приобрели все программные продукты и технику, необходимую для решения вопросов информационной безопасности.