апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №7 (30) / Работаем без опасностей. Часть 2

Рубрика: Тема номера /  Аутсорсинг и безопасность

Работаем без опасностей
Опрос. Часть 2. Продолжение

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний

1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Максим Чирков, руководитель направления по развитию сервисов ЭП компании «Аладдин Р.Д.»

1. Интересы служб ИТ и ИБ заметно различаются и конфликты нередки. На характер взаимоотношений влияет организационная структура – находится ли служба ИБ в подчинении ИТ, или она выделена в самостоятельное подразделение. Один из распространенных конфликтов – нежелание служб взаимодействовать друг с другом. Для разрешения ситуации целесообразно утвердить на уровне руководителя компании регламент взаимодействия и сферы ответственности. Диалог и здоровая конкуренция между ИБ и ИТ очень важны, ведь только в этом случае возможно оперативное решение общих задач по созданию безопасных и эффективных информационных систем для бизнеса.

2. «Аладдин Р.Д.», являясь производителем средств защиты информации, регулярно предлагает рынку новые, в том числе нестандартные, решения. Несомненно, перед выпуском нового продукта или технологии они проходят «обкатку» внутри компании. Тем не менее для обеспечения ИБ своей организации мы в основном опираемся на лучшие мировые практики и проверенные решения.

3. В зависимости от характера ЧП должны привлекаться профильные департаменты, например, юридический – в случае расследования инцидентов утечек. Если же оставаться в плоскости вопросов ИТ и ИБ, то распределение ответственности при подобном сценарии находится на стыке данных служб. И это очень сложный момент. В итоге только строго регламентированная совместная работа по устранению последствий может минимизировать потери и не допустить инцидентов в будущем.

4. С одной стороны, в договоре с сопровождающей ИТ-компанией можно предусмотреть требования и «прописать» ответственность в случае нарушения политик ИБ. С другой, достаточно трудно контролировать технически внешние ИТ-службы. Если говорить об утечках, то на рынке уже существуют продукты, позволяющие в ряде сценариев безболезненно отдавать на ИТ-аутсорсинг свои информационные системы без риска потери данных, так как они находятся в зашифрованном виде, например, «КриптоБД». При этом управление доступом к данным остается в ведении внутренней службы ИБ.

7. Бытует мнение, что финансирование ИБ должно составлять порядка 10% от общих затрат на ИТ. Однако с этим сложно согласиться. В идеале это малосвязанные бюджеты, и затраты на ИБ должны быть достаточными для минимизации допустимого уровня вероятности актуальных угроз.

Вячеслав Медведев, ведущий аналитик отдела развития компании «Доктор Веб»

1. Конфликт вызван неопределенностью роли ИБ-специалистов в организации. Чем должны заниматься сисадмины, начальству, как правило, более-менее ясно, но вот отличие сисадминов от безопасников понимается не всегда. А еще чаще их роли в глазах топ-менеджеров тождественны по функциональности. Иногда встречаются ситуации, когда сисадмины и безопасники делят зоны ответственности. Скажем, вторые заведуют шлюзами компании, а первые отвечают за все остальное. Признать такую ситуацию нормальной нельзя. Ее осложняет раздражение сисадминов по поводу «руководящей роли» безопасников: «Нам тут науказывали, а как это должно работать, отвечать уже нам». Это конфликт изжить не удастся никогда: любые ограничения – это и дополнительная работа, и недовольство пользователей ограничениями, которое выплескивается на исполнителей.

На это накладывается проблема неосведомленности всех ИТ-специалистов об уровне современных угроз. По данным HP Enterprise Security, порядка 94% (почти 100%) угроз ИБ не известны компаниям. На рынке отсутствует полноценная и постоянно обновляемая аналитика – дайджест угроз. В результате и для безопасников, и для сисадминов является открытием то, что система защиты бессильна перед современными угрозами.

Как минимизировать противостояние? Только четким структурированием. В компании должны быть люди, имеющие статус директора по безопасности и директора по ИТ (что, кстати, требуется и по нормативным актам). Все требования и нормы безопасности должны разрабатываться по инициативе отдела ИБ, но при участии отдела ИТ.

3. Отдел ИБ должен обеспечить обнаружение атаки, контролируя средства, ИТ-отдел должен обеспечить устранение последствий. Совместно они должны провести расследование и анализ инцидента. ИБ вместе с ИТ необходимо выработать меры по предотвращению подобных инцидентов в будущем, ИТ должен внедрить, ИБ принять в эксплуатацию. Естественно, пригодится и обучение сотрудников. Но все это можно четко выполнить, только если заранее была выработана процедура действий на случай инцидента.

4. Во избежание разногласий все процедуры должны быть задокументированы и утверждены главами соответствующих подразделений. Задачи подразделений ИБ остаются теми же самыми, что и при собственном подразделении ИТ.

5. Вопрос должен стоять иначе: современные каналы утечек – справляются ли с ними подразделения ИБ и их конкретные специалисты? Ответ: нет, не справляются. По двум причинам. В малых компаниях нет денег на приобретение соответствующих средств, а также на содержание необходимого количества специалистов нужного уровня. Вторая причина – нет понимания, какие средства защиты нужно применять.

6. Любая нормативная документация не соответствует требованиям времени. Особенно в сфере ИТ и ИБ. Она от них отстает на время разработки этой документации.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи