апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

09.04.2024

OS Day 2024: «Архитектурные аспекты безопасности операционных систем»

Читать далее 

показать все 

11.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

22.09.2023

Проще, чем кажется. Эталонная модель документооборота или краткое руководство по цифровой трансформации

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №7 (30) / Работаем без опасностей. Часть 1

Рубрика: Тема номера /  Аутсорсинг и безопасность

Работаем без опасностей
Опрос. Часть 1. Начало

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний

1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Андрей Степаненко, эксперт компании «Код Безопасности»

1. Да, конфликт есть практически во всех компаниях. Выходов из ситуации много, каждый из вариантов имеет свои плюсы и минусы. По моему мнению, самый действенный – назначение общего куратора для ИТ и ИБ от руководства компании, который будет обладать достаточными полномочиями и следить за соблюдением баланса интересов.

2. Наша самая дорогая информация относится к ноу-хау в разработках. В этой области самым эффективным вариантом защиты является соблюдение баланса между доступными и скрытыми знаниями, когда кража исходных кодов не может привести к простому копированию наших технологий.

3. Все зависит от типа ЧП, но в реагировании и устранении последствий могут принимать участие почти все подразделения компании, не только ИБ и ИТ, но и юристы, службы безопасности и другие. Если система реагирования на инциденты спроектирована грамотно, то такие цепочки прописываются еще на этапе ее проектирования для всех возможных типов инцидентов, а затем отрабатываются на тестовых примерах.

6. Нынешнее регулирование мало соотносится с бизнес-потребностями. В результате – массовое внедрение «бумажной» безопасности, как это сейчас происходит, например, с защитой ПДн. В этом смысле показательна американская практика, где разработка отраслевых рекомендаций, максимально адаптированных к специфике деятельности, поставлена на поток.

7. Затраты на ИБ очень сильно зависят от конкретных условий и целей.

Сергей Яремчук, специалист по ИБ, член Экспертного совета журнала «Системный администратор»

1. Любая защитная мера – это всегда компромисс между удобством работы пользователя и снижением рисков для бизнеса, приходится искать золотую середину. Но ИБ в большинстве своем имеет непосредственное отношение и к ИТ (и даже совмещают должности), а поэтому говорить о конфликте интересов не приходится, они решают одну задачу и должны постоянно взаимодействовать.

2. Используются, в общем, стандартные методы. Обычно большая проблема убедить сотрудников, что нужно делать именно так, чтобы минимизировать риски. Пользователю нет никакого дела до рисков, переучиваться он тоже не хочет, а нередко даже саботирует указания. Вот здесь и приходится искать методы, чтобы сотрудник сам захотел работать по-новому. 

3. Вопрос неоднозначный, но на каждый случай должен быть четкий план действий. Если DDоS-атака, то для отражения достаточно взаимодействия ИТ и провайдера. Чтобы разобраться с последствиями, может потребоваться согласие руководства на дополнительное финансирование. С утечкой придется разбираться большему числу сотрудников.

4. Иногда в таком случае они даже упрощаются. Переходу на аутсорсинг обычно предшествует аудит, по результатам которого разрабатываются новые политики безопасности, а все основные моменты отражаются в договоре. С учетом дефицита кадров сейчас не считается чем-то страшным передача на аутсорсинг и ИБ. Специалисты могут лучше оценить ситуацию и внести коррективы, а, следовательно, уменьшаются риски.

5. Все новые каналы – это почти забытые старые. Разнообразие систем ИБ позволяет перекрыть практически все возможные каналы, но наибольший эффект при меньших вложениях и усилиях дает обучение сотрудников.

7. ИБ финансируется хорошо в случае обнаружения инцидентов, в остальное время приходится доказывать целесообразность действий. Современные средства ИБ позволяют достичь высокого уровня безопасности, но и затраты будут немалыми. В зависимости от размера организации и рода деятельности (а значит, и рисков) цифра может быть в пределах 15-30%

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи