Информационная безопасность – важнейшая часть корпоративной стратегии

– Создание и внедрение глобальной системы обеспечения ИБ является для компании Huawei одной из ключевых составляющих корпоративной стратегии. Какие задачи в данной области являются сейчас для вас ключевыми?
– Действительно, информационная безопасность является важнейшей частью корпоративной стратегии Huawei, мы называем ее частью ДНК компании. Мы создали и реализовали уникальную комплексную систему кибербезопасности, используя системный подход, ведь прочность цепи определяется самым слабым ее звеном. Система имеет общую часть для всех стран, где присутствует Huawei, и локальную, учитывающую специфику каждой страны. Система имеет девять направлений:

1. Соответствие законодательству и регулированию. Процесс включает постоянный мониторинг требований законодательства и регуляторов, а также сертификацию наших продуктов.

2. Безопасность разработки продуктов. Уже на этапе концепта любой продукт наделяется свойствами безопасности, которые уточняются на этапе разработки и испытывают двойную внутреннюю проверку (независимую от процесса разработки) их реализации перед выпуском на рынок.

3. Тестирование. Включает в себя два типа внутренних тестов (по модели "черного" и "белого" ящика), в ряде случаев – независимые тесты внешних лабораторий (в том числе в России из системы сертификации ФСТЭК) и наших заказчиков. Тестированию подвергаются как компоненты, созданные Huawei, так и компоненты третьих сторон.

4. Безопасность профессиональных сервисов. Объединяет комплекс организационных процедур и технических мер при работе наших специалистов на площадке заказчика – при внедрении решений или при гарантийном и постгарантийном обслуживании. Базируется на стандарте ISO 27000.

5. Информирование об угрозах. В случае обнаружения уязвимостей наших продуктов (в том числе из-за появления новых угроз и механизмов атак) Huawei информирует своих клиентов о них и путях их устранения. В случае обнаружения клиентами уязвимостей предпринимаются срочные действия по их устранению.

6. Безопасность поставок. Цель: быть уверенным, что продукты не были модифицированы, пройдя цепочку поставок до клиента. Сертифицирована по стандарту ISO 28000.

7. Безопасность закупок. Hua-wei – единственная глобальная компания, заключившая со всеми своими поставщиками соглашение о безопасности, накладывающее на них соответствующие обязательства. Также Huawei осуществляет входной контроль безопасности материалов и компонентов, поступающих от поставщиков.

8. Отслеживаемость – возможность установить, на каком этапе, кем и где было произведено изменение. Позволяет быстро установить источник проблемы и устранить его. Реализуется путем учета всех операций внутри Huawei и ее партнерами.

9. Управление персоналом. Включает обучение и тестирование персонала, повышение осведомленности через новостные рассылки и case study. Также работает система мотивации.

– Можете ли вы охарактеризовать своих клиентов: каковы их нужды, требования?
– Huawei имеет три направления бизнеса и три типа клиентов: операторы связи, бизнес-организации и потребители – люди, как мы с вами. Конечно, у них различные технические требования к безопасности продуктов, разные регуляторные механизмы. Но их объединяет одно: они хотят быть уверены, что применяя продукты на лезвии технического прогресса, они не столкнутся с изъянами безопасности. И здесь решения Huawei – разумный выбор.

– Вы стали генеральным спонсором выставки Info-Security Russia'2015. Какова основная концепция вашего участия?
– Huawei принимает участие в ключевых мероприятиях в сфере информационной безопасности по всему миру. Россия – не исключение, уже несколько лет мы ведем диалог по самым острым вопросам в сфере ИБ. В этом году мы решили расширить свое участие в подобных обсуждениях и начать сотрудничество с Info-Security Russia, став генеральным спонсором мероприятия. В частности, наша компания планирует принять активное участие в деловой программе конференции и поделиться своим подходом к разработке и использованию безопасных продуктов. Так, специалисты Huawei планируют выступить в рамках сессий "Доверие к гипервизорам" и "Виртуализированные продукты и решения по безопасности".

– Почему вы выбрали именно InfoSecurity Rus-sia'2015?
– Выставка и конференция InfoSecurity Russia – одно из ключевых событий в сфере информационной безопасности в России. В предыдущие годы наша компания оценивала возможности и преимущества участия в InfoSecurity Russia и в этом году решила стать генеральным спонсором. l