апрель    2026

Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

показать все 

07.04.2026

«Газинформсервис» представит ИБ-решения на выставке GITEX Africa 2026 в Королевстве Марокко

Читать далее 

01.04.2026

Группа «Борлас» вошла в топ-10 крупнейших интеграторов и поставщиков услуг поддержки решений 1С по версии TAdviser

Читать далее 

30.03.2026

Менее 10% компаний в РФ фиксируют экономический эффект от внедрения ИИ

Читать далее 

30.03.2026

Эксперт Т1: „Внедрять ИИ-агентов надо уже сегодня, даже если эффект пока небольшой

Читать далее 

25.03.2026

Компания РДТЕХ сообщила о назначении Глеба Желтова заместителем генерального директора компании

Читать далее 

показать все 

23.03.2026

Эволюция бизнес-процессов от ИИ-инструментов к мультиагентным командам

Читать далее 

23.03.2026

Время внедрения: ИИ в вашем бизнесе – эксперимент или реальная прибыль?

Читать далее 

18.03.2026

Ах, если бы сбылась моя мечта!

Читать далее 

06.03.2026

Как компьютеры понимают текст?

Читать далее 

06.03.2026

Как компьютеры понимают текст?

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №7 (30) / Работаем без опасностей. Часть 3

Рубрика: Тема номера /  Аутсорсинг и безопасность

Работаем без опасностей
Опрос. Часть 3. Продолжение

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний

1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch

1. Конфликты случаются. В основном это происходит из-за того, что должностные обязанности и ответственность лиц и подразделений прописаны неконкретно и неполно, или из-за того, что один из руководителей отдела хочет расширить/сузить свои полномочия. Обычно такие конфликты разрешаются с помощью третьей стороны. В любом случае достигнутые договоренности обязательно следует фиксировать на бумаге.

2. Стандартных мер очень много, специалистам имеет смысл ориентироваться на комплексные «лучшие практики» и требования, например, ISO 27002, COBIT5 for Information security и руководящие документы ФСТЭК России. Повышение осведомленности пользователей, контроль портов ввода-вывода, регулярное обновление ПО, использование DLP-систем – такие меры являются очень важными, но про них часто забывают. Хорошей профилактикой является обязательное (а лучше автоматическое) проставление грифов (категории конфиденциальности) в колонтитулах или «водяных знаках» документов. Обычно это дисциплинирует пользователей при дальнейшей работе с этими документами.

3. Последствия таких инцидентов необходимо устранять силами группы реагирования, роли в которой должны быть четко определены заранее. В нее могут входить различные специалисты в зависимости от характеристик проблемы.

4. В таком случае следует с особой тщательностью прописать NDA (соглашение о неразглашении) и SLA (соглашение об уровне предоставления услуг). В SLA следует четко указать роли и задачи, а также требования и процедуры по безопасности. Часто на аутсорсинг отдают настройку и поддержку базовых мер защиты, техническую поддержку и обслуживание оборудования, резервное копирование и восстановление, обновление программного обеспечения, а также внешнее тестирование на проникновение.

5. В связи с развитием ИТ и их интеграцией в современное общество возникает все больше возможных каналов утечки: мобильные устройства, включая BYOD; облачные хранилища информации; передача информации по «некорпоративным» каналам связи; передача информации в социальных сетях и при использовании сервисов мгновенных сообщений. У специалистов по ИБ есть необходимые технологии и инструменты контроля этих каналов: системы DLP, MDM, Endpoint Security.

6. На мой взгляд, следует привести терминологическую базу к единому виду, ослабить требования регуляторов (ФСТЭК России, ФСБ России, РКН, ЦБ РФ и других), ужесточить наказание (увеличить штрафы за несоответствие требованиям и утечки информации, увеличить сроки за уголовные преступления в сфере компьютерных преступлений).

7. Можно привести немало примеров, когда те или иные траты могут быть как в ИТ, так и в ИБ-бюджете. Обычно бюджет ИТ значительно превышает бюджет ИБ. И, судя по современным тенденциям (увеличение ИТ-бюджетов, передача части функций от ИБ к ИТ и др.), этот разрыв будет только увеличиваться.

Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies

2. На мой взгляд, очень важен принцип «безопасность как бизнес-процесс». Мы в Check Point называем это трехмерной безопасностью (3D Security). Лишь сочетание технологии, политики и осведомленности сотрудников компании повышает уровень ИБ и снижает риски.

4. С точки зрения экономики да и качества обеспечения безопасности стоит больше доверять профессионалам сторонней компании, специализирующейся именно на подобных решениях, чем собственным сотрудникам. В частности, во всем мире используются такие сервисы, как Check Point ThreatCloud Managed Security Service, Check Point Incident Response Service.

В России же аутсорсинг безопасности пока не слишком развит. Впрочем, в последние годы популярными стали контракты крупных компаний с фирмами, занимающимися ИБ в части анализа безопасности, тестов на проникновение, консалтинга. Операционную деятельность ведут собственные сотрудники, но большая часть аналитической работы возлагается на нанятых специалистов.

5. Новые каналы утечек – это мобильные устройства сотрудников, которые сегодня являются предметом постоянного беспокойства ИТ и ИБ-отделов. По данным проведенного Check Point исследования «Влияние мобильных устройств на безопасность информации» (The Impact of Mobile Devices on Information Security), в большинстве компаний (79%) в мире в 2012 году происходили утечки информации через мобильные устройства, повлекшие за собой значительные убытки. Каждая шестая компания потеряла от «мобильных утечек» более $0,5 млн, а в 42% организаций ущерб от утечки мобильных данных превысил $100 000.

С точки зрения бизнеса подход BYOD позволяет экономить существенные суммы. Для эффективного, удобного и безопасного применения концепции BYOD нужно стремиться искать компромисс.

Я вижу этот компромисс как выделение корпоративных данных на мобильном устройстве в специальный защищенный контейнер – отдельное приложение – изолированную виртуальную среду внутри устройства. В этом приложении уже должны быть своя почта, календарь и контакты, именно те, которые пользователь применяет для бизнеса. А уже стандартные сервисы человек может использовать для личных нужд.

Кирилл Керценбаум, руководитель группы предпродажного сопровождения «Лаборатории Касперского»

1. Основная задача и функция ИT – автоматизация/компьютеризация производства и/или бизнес-процессов, в том числе ускорение и упрощение многих процедур и процессов в организации. В свою очередь, подразделение ИБ почти всегда является тормозом и автоматизации, и компьютеризации. Это происходит потому, что задача отдела ИБ – чтобы работа по внедрению передовых ИТ в компании не привела бы к полному краху бизнеса. Но во-первых, такой конфликт интересов ни в коем случае нельзя искоренять, так как только «в споре рождается истина». Во-вторых, бизнес должен четко формулировать задачи перед ИT и ИБ-службами и принимать в расчет аргументы обеих сторон. И, в-третьих, нужен «баланс риска и возможностей». А как раз правильное его определение должно получаться в результате данного «конфликта».

2. Лучше всего помогает соблюдение основных правил и подходов к построению комплексной системы ИБ бизнеса. Она должна быть многоуровневой. Состоять не только из средств защиты, но и содержать набор норм и правил, политик безопасности, обязательных для исполнения всеми без исключения, в том числе ИT и ИБ-службами. Быть максимально автоматизированной и по возможности не допускать вмешательства в свою работу даже авторизованного персонала. Обладать как реактивными, так и проактивными элементами. Быть максимально интегрированной и по возможности позволять обмен информацией между различными подсистемами. Быть аудируемой и сообщать максимальное количество подробностей о своей работе в специализированные хранилища информации. Быть гибкой и постоянно учитывать все изменения в ИT-инфраструктуре компании, бизнес-процессах.

3. Всеми сообща. Согласованные и поддерживаемые руководством компании действия и нормы работы с инцидентами ИБ могут позволить в случае ЧП если не решить проблему полностью, то хотя бы максимально снизить последствия.

4. Не во всех случаях аутсорсинг ИT подразумевает и аутсорсинг ИБ, даже если эти функции в компании не разведены между собой. И связано это с тем, что аутсорсинг сам по себе вступает в конфликт с основными функциями ИБ. Именно поэтому он и не получил сильного распространения, а точнее, трансформировался в другие формы.

5. Верхнеуровневая классификация каналов утечек не изменилась, все они происходят в результате внешних и внутренних угроз. Если говорить о первых, то здесь нужна прежде всего многоуровневая защита. И лучше всего помогает наведение порядка в хранении документов. В зависимости от того, насколько данные ценны, выстраивается соответствующее поле защиты. Все определяется тем, от кого защищаются и сколько на эту защиту готовы потратить. Важно грамотное конфигурирование корпоративной сети, ее сегментирование, настройка выхода наружу. А с точки зрения технических средств защиты – это шифрование, это антивирус, и хорошо, если есть продукты DLP, которые способны сканировать почтовые, веб-протоколы, файловые данные.

Если говорить о внутренних утечках, то от безалаберного инсайдера защищает подавляющее большинство существующих DLP-решений. Если говорить о попытках злонамеренных атак, то можно базовыми средствами увеличить для инсайдера цену атаки.

6. В России, например, инсайдерство в сфере передачи данных пока, к сожалению, никак не квалифицируется. Основная роль государства в этой сфере – обязывать компании, которые не уделяют должное внимание защите данных различного характера, использовать определенные средства защиты. А также наказывать как организации, так и частных лиц за неправомерный доступ или распространение конфиденциальной информации.

Владимир Андриенков, исполнительный директор компании «Трафика»

1. В нормальной фирме все сотрудники должны быть заинтересованы в стабильной работе средств ИБ. Если такой конфликт есть и он не связан с личной неприязнью, то нужно посадить за один стол обе службы и провести разъяснительную работу.

2. Главный вопрос здесь – разъяснить сотрудникам, что именно является конфиденциальной информацией, и оформить эти вещи документально.

4. Точно так же, как если бы ИТ-служба была в штате. Никакой разницы не вижу.

6. В России нет адекватной нормативно-правовой базы. В развитых странах законы устроены таким образом, что государство обеспечивает конфиденциальность, например, персональных данных. В частности, таким образом работает законодательство в Германии. Если человеку звонит какая-то фирма на телефон или присылает что-то на электронную почту, то немецкий гражданин моментально жалуется в «компетентные органы», которые очень быстро и жестко разбираются с «нарушителями спокойствия», вплоть до закрытия компаний.

В России таких законов нет или они не работают. Закон о защите персональных данных всего лишь заставляет компании подписывать бумажки о возможности обработки этих самых данных. Ярким свидетельством того, как не работает законодательство, являются частые звонки и СМС на телефоны граждан РФ с предложением услуг, которые эти люди не заказывали (предложения кредитов, страхования, такси и так далее), и спам в Интернете.

7. Это зависит от размера самой компании и критичности потери тех или иных данных. Чем критичнее стоимость потери данных, тем больше компания должна расходовать средств на ИБ.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи