Работаем без опасностей. Часть 3::БИТ 07.2013
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
ноябрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

показать все 

Новости партнеров

31.10.2024

Наталья Воеводина заняла пост генерального директора проекта «Кибериспытание»

Читать далее 

31.10.2024

Российский ИИ научили проводить KYC по одной фотографии

Читать далее 

31.10.2024

Ankey ASAP: киберзащита стала сильнее

Читать далее 

30.10.2024

69% россиян готовы отказаться от услуг компании, допустившей утечку персональных данных

Читать далее 

28.10.2024

Гендиректор РДТЕХ вошла в состав Правления АПКИТ и возглавила Совет по интеграции

Читать далее 

показать все 

Статьи

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

28.09.2024

Чем страшен ИИ, и с чем его едят

Читать далее 

18.09.2024

Готов ли рынок АСУ ТП к переменам?

Читать далее 

12.09.2024

Отрыв длиной в год. Российские ИИ-решения незначительно уступают иностранным аналогам

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Работаем без опасностей. Часть 3

Главная / Архив номеров / 2013 / Выпуск №7 (30) / Работаем без опасностей. Часть 3

Рубрика: Тема номера /  Аутсорсинг и безопасность


Работаем без опасностей
Опрос. Часть 3. Продолжение

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний

  1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
  2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
  3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
  4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
  5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
  6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
  7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Андрей Прозоров

Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch

1. Конфликты случаются. В основном это происходит из-за того, что должностные обязанности и ответственность лиц и подразделений прописаны неконкретно и неполно, или из-за того, что один из руководителей отдела хочет расширить/сузить свои полномочия. Обычно такие конфликты разрешаются с помощью третьей стороны. В любом случае достигнутые договоренности обязательно следует фиксировать на бумаге.

2. Стандартных мер очень много, специалистам имеет смысл ориентироваться на комплексные «лучшие практики» и требования, например, ISO 27002, COBIT5 for Information security и руководящие документы ФСТЭК России. Повышение осведомленности пользователей, контроль портов ввода-вывода, регулярное обновление ПО, использование DLP-систем – такие меры являются очень важными, но про них часто забывают. Хорошей профилактикой является обязательное (а лучше автоматическое) проставление грифов (категории конфиденциальности) в колонтитулах или «водяных знаках» документов. Обычно это дисциплинирует пользователей при дальнейшей работе с этими документами.

3. Последствия таких инцидентов необходимо устранять силами группы реагирования, роли в которой должны быть четко определены заранее. В нее могут входить различные специалисты в зависимости от характеристик проблемы.

4. В таком случае следует с особой тщательностью прописать NDA (соглашение о неразглашении) и SLA (соглашение об уровне предоставления услуг). В SLA следует четко указать роли и задачи, а также требования и процедуры по безопасности. Часто на аутсорсинг отдают настройку и поддержку базовых мер защиты, техническую поддержку и обслуживание оборудования, резервное копирование и восстановление, обновление программного обеспечения, а также внешнее тестирование на проникновение.

5. В связи с развитием ИТ и их интеграцией в современное общество возникает все больше возможных каналов утечки: мобильные устройства, включая BYOD; облачные хранилища информации; передача информации по «некорпоративным» каналам связи; передача информации в социальных сетях и при использовании сервисов мгновенных сообщений. У специалистов по ИБ есть необходимые технологии и инструменты контроля этих каналов: системы DLP, MDM, Endpoint Security.

6. На мой взгляд, следует привести терминологическую базу к единому виду, ослабить требования регуляторов (ФСТЭК России, ФСБ России, РКН, ЦБ РФ и других), ужесточить наказание (увеличить штрафы за несоответствие требованиям и утечки информации, увеличить сроки за уголовные преступления в сфере компьютерных преступлений).

7. Можно привести немало примеров, когда те или иные траты могут быть как в ИТ, так и в ИБ-бюджете. Обычно бюджет ИТ значительно превышает бюджет ИБ. И, судя по современным тенденциям (увеличение ИТ-бюджетов, передача части функций от ИБ к ИТ и др.), этот разрыв будет только увеличиваться.


Антон Разумов

Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies

2. На мой взгляд, очень важен принцип «безопасность как бизнес-процесс». Мы в Check Point называем это трехмерной безопасностью (3D Security). Лишь сочетание технологии, политики и осведомленности сотрудников компании повышает уровень ИБ и снижает риски.

4. С точки зрения экономики да и качества обеспечения безопасности стоит больше доверять профессионалам сторонней компании, специализирующейся именно на подобных решениях, чем собственным сотрудникам. В частности, во всем мире используются такие сервисы, как Check Point ThreatCloud Managed Security Service, Check Point Incident Response Service.

В России же аутсорсинг безопасности пока не слишком развит. Впрочем, в последние годы популярными стали контракты крупных компаний с фирмами, занимающимися ИБ в части анализа безопасности, тестов на проникновение, консалтинга. Операционную деятельность ведут собственные сотрудники, но большая часть аналитической работы возлагается на нанятых специалистов.

5. Новые каналы утечек – это мобильные устройства сотрудников, которые сегодня являются предметом постоянного беспокойства ИТ и ИБ-отделов. По данным проведенного Check Point исследования «Влияние мобильных устройств на безопасность информации» (The Impact of Mobile Devices on Information Security), в большинстве компаний (79%) в мире в 2012 году происходили утечки информации через мобильные устройства, повлекшие за собой значительные убытки. Каждая шестая компания потеряла от «мобильных утечек» более $0,5 млн, а в 42% организаций ущерб от утечки мобильных данных превысил $100 000.

С точки зрения бизнеса подход BYOD позволяет экономить существенные суммы. Для эффективного, удобного и безопасного применения концепции BYOD нужно стремиться искать компромисс.

Я вижу этот компромисс как выделение корпоративных данных на мобильном устройстве в специальный защищенный контейнер – отдельное приложение – изолированную виртуальную среду внутри устройства. В этом приложении уже должны быть своя почта, календарь и контакты, именно те, которые пользователь применяет для бизнеса. А уже стандартные сервисы человек может использовать для личных нужд.


Кирилл Керценбаум

Кирилл Керценбаум, руководитель группы предпродажного сопровождения «Лаборатории Касперского»

1. Основная задача и функция ИT – автоматизация/компьютеризация производства и/или бизнес-процессов, в том числе ускорение и упрощение многих процедур и процессов в организации. В свою очередь, подразделение ИБ почти всегда является тормозом и автоматизации, и компьютеризации. Это происходит потому, что задача отдела ИБ – чтобы работа по внедрению передовых ИТ в компании не привела бы к полному краху бизнеса. Но во-первых, такой конфликт интересов ни в коем случае нельзя искоренять, так как только «в споре рождается истина». Во-вторых, бизнес должен четко формулировать задачи перед ИT и ИБ-службами и принимать в расчет аргументы обеих сторон. И, в-третьих, нужен «баланс риска и возможностей». А как раз правильное его определение должно получаться в результате данного «конфликта».

2. Лучше всего помогает соблюдение основных правил и подходов к построению комплексной системы ИБ бизнеса. Она должна быть многоуровневой. Состоять не только из средств защиты, но и содержать набор норм и правил, политик безопасности, обязательных для исполнения всеми без исключения, в том числе ИT и ИБ-службами. Быть максимально автоматизированной и по возможности не допускать вмешательства в свою работу даже авторизованного персонала. Обладать как реактивными, так и проактивными элементами. Быть максимально интегрированной и по возможности позволять обмен информацией между различными подсистемами. Быть аудируемой и сообщать максимальное количество подробностей о своей работе в специализированные хранилища информации. Быть гибкой и постоянно учитывать все изменения в ИT-инфраструктуре компании, бизнес-процессах.

3. Всеми сообща. Согласованные и поддерживаемые руководством компании действия и нормы работы с инцидентами ИБ могут позволить в случае ЧП если не решить проблему полностью, то хотя бы максимально снизить последствия.

4. Не во всех случаях аутсорсинг ИT подразумевает и аутсорсинг ИБ, даже если эти функции в компании не разведены между собой. И связано это с тем, что аутсорсинг сам по себе вступает в конфликт с основными функциями ИБ. Именно поэтому он и не получил сильного распространения, а точнее, трансформировался в другие формы.

5. Верхнеуровневая классификация каналов утечек не изменилась, все они происходят в результате внешних и внутренних угроз. Если говорить о первых, то здесь нужна прежде всего многоуровневая защита. И лучше всего помогает наведение порядка в хранении документов. В зависимости от того, насколько данные ценны, выстраивается соответствующее поле защиты. Все определяется тем, от кого защищаются и сколько на эту защиту готовы потратить. Важно грамотное конфигурирование корпоративной сети, ее сегментирование, настройка выхода наружу. А с точки зрения технических средств защиты – это шифрование, это антивирус, и хорошо, если есть продукты DLP, которые способны сканировать почтовые, веб-протоколы, файловые данные.

Если говорить о внутренних утечках, то от безалаберного инсайдера защищает подавляющее большинство существующих DLP-решений. Если говорить о попытках злонамеренных атак, то можно базовыми средствами увеличить для инсайдера цену атаки.

6. В России, например, инсайдерство в сфере передачи данных пока, к сожалению, никак не квалифицируется. Основная роль государства в этой сфере – обязывать компании, которые не уделяют должное внимание защите данных различного характера, использовать определенные средства защиты. А также наказывать как организации, так и частных лиц за неправомерный доступ или распространение конфиденциальной информации.


Владимир Андриенков

Владимир Андриенков, исполнительный директор компании «Трафика»

1. В нормальной фирме все сотрудники должны быть заинтересованы в стабильной работе средств ИБ. Если такой конфликт есть и он не связан с личной неприязнью, то нужно посадить за один стол обе службы и провести разъяснительную работу.

2. Главный вопрос здесь – разъяснить сотрудникам, что именно является конфиденциальной информацией, и оформить эти вещи документально.

4. Точно так же, как если бы ИТ-служба была в штате. Никакой разницы не вижу.

6. В России нет адекватной нормативно-правовой базы. В развитых странах законы устроены таким образом, что государство обеспечивает конфиденциальность, например, персональных данных. В частности, таким образом работает законодательство в Германии. Если человеку звонит какая-то фирма на телефон или присылает что-то на электронную почту, то немецкий гражданин моментально жалуется в «компетентные органы», которые очень быстро и жестко разбираются с «нарушителями спокойствия», вплоть до закрытия компаний.

В России таких законов нет или они не работают. Закон о защите персональных данных всего лишь заставляет компании подписывать бумажки о возможности обработки этих самых данных. Ярким свидетельством того, как не работает законодательство, являются частые звонки и СМС на телефоны граждан РФ с предложением услуг, которые эти люди не заказывали (предложения кредитов, страхования, такси и так далее), и спам в Интернете.

7. Это зависит от размера самой компании и критичности потери тех или иных данных. Чем критичнее стоимость потери данных, тем больше компания должна расходовать средств на ИБ.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №06 (139) 2024г.
Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика