Календарь мероприятий
ноябрь 2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | |
показать все
Новости партнеров
Наталья Воеводина заняла пост генерального директора проекта «Кибериспытание»
Читать далее
Российский ИИ научили проводить KYC по одной фотографии
Читать далее
Ankey ASAP: киберзащита стала сильнее
Читать далее
69% россиян готовы отказаться от услуг компании, допустившей утечку персональных данных
Читать далее
Гендиректор РДТЕХ вошла в состав Правления АПКИТ и возглавила Совет по интеграции
Читать далее
показать все
Статьи
Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»
Читать далее
Технологический ИИ-арсенал
Читать далее
Чем страшен ИИ, и с чем его едят
Читать далее
Готов ли рынок АСУ ТП к переменам?
Читать далее
Отрыв длиной в год. Российские ИИ-решения незначительно уступают иностранным аналогам
Читать далее
Взгляд в перспективу: что будет двигать отрасль информационной безопасности
Читать далее
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
показать все
|
Работаем без опасностей. Часть 3
Главная /
Архив номеров / 2013 / Выпуск №7 (30) / Работаем без опасностей. Часть 3
Рубрика:
Тема номера /
Аутсорсинг и безопасность
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Работаем без опасностей Опрос. Часть 3. Продолжение
На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний
- Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
- Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
- Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
- Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
- Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
- Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
- Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?
Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch
1. Конфликты случаются. В основном это происходит из-за того, что должностные обязанности и ответственность лиц и подразделений прописаны неконкретно и неполно, или из-за того, что один из руководителей отдела хочет расширить/сузить свои полномочия. Обычно такие конфликты разрешаются с помощью третьей стороны. В любом случае достигнутые договоренности обязательно следует фиксировать на бумаге.
2. Стандартных мер очень много, специалистам имеет смысл ориентироваться на комплексные «лучшие практики» и требования, например, ISO 27002, COBIT5 for Information security и руководящие документы ФСТЭК России. Повышение осведомленности пользователей, контроль портов ввода-вывода, регулярное обновление ПО, использование DLP-систем – такие меры являются очень важными, но про них часто забывают. Хорошей профилактикой является обязательное (а лучше автоматическое) проставление грифов (категории конфиденциальности) в колонтитулах или «водяных знаках» документов. Обычно это дисциплинирует пользователей при дальнейшей работе с этими документами.
3. Последствия таких инцидентов необходимо устранять силами группы реагирования, роли в которой должны быть четко определены заранее. В нее могут входить различные специалисты в зависимости от характеристик проблемы.
4. В таком случае следует с особой тщательностью прописать NDA (соглашение о неразглашении) и SLA (соглашение об уровне предоставления услуг). В SLA следует четко указать роли и задачи, а также требования и процедуры по безопасности. Часто на аутсорсинг отдают настройку и поддержку базовых мер защиты, техническую поддержку и обслуживание оборудования, резервное копирование и восстановление, обновление программного обеспечения, а также внешнее тестирование на проникновение.
5. В связи с развитием ИТ и их интеграцией в современное общество возникает все больше возможных каналов утечки: мобильные устройства, включая BYOD; облачные хранилища информации; передача информации по «некорпоративным» каналам связи; передача информации в социальных сетях и при использовании сервисов мгновенных сообщений. У специалистов по ИБ есть необходимые технологии и инструменты контроля этих каналов: системы DLP, MDM, Endpoint Security.
6. На мой взгляд, следует привести терминологическую базу к единому виду, ослабить требования регуляторов (ФСТЭК России, ФСБ России, РКН, ЦБ РФ и других), ужесточить наказание (увеличить штрафы за несоответствие требованиям и утечки информации, увеличить сроки за уголовные преступления в сфере компьютерных преступлений).
7. Можно привести немало примеров, когда те или иные траты могут быть как в ИТ, так и в ИБ-бюджете. Обычно бюджет ИТ значительно превышает бюджет ИБ. И, судя по современным тенденциям (увеличение ИТ-бюджетов, передача части функций от ИБ к ИТ и др.), этот разрыв будет только увеличиваться.
Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies
2. На мой взгляд, очень важен принцип «безопасность как бизнес-процесс». Мы в Check Point называем это трехмерной безопасностью (3D Security). Лишь сочетание технологии, политики и осведомленности сотрудников компании повышает уровень ИБ и снижает риски.
4. С точки зрения экономики да и качества обеспечения безопасности стоит больше доверять профессионалам сторонней компании, специализирующейся именно на подобных решениях, чем собственным сотрудникам. В частности, во всем мире используются такие сервисы, как Check Point ThreatCloud Managed Security Service, Check Point Incident Response Service.
В России же аутсорсинг безопасности пока не слишком развит. Впрочем, в последние годы популярными стали контракты крупных компаний с фирмами, занимающимися ИБ в части анализа безопасности, тестов на проникновение, консалтинга. Операционную деятельность ведут собственные сотрудники, но большая часть аналитической работы возлагается на нанятых специалистов.
5. Новые каналы утечек – это мобильные устройства сотрудников, которые сегодня являются предметом постоянного беспокойства ИТ и ИБ-отделов. По данным проведенного Check Point исследования «Влияние мобильных устройств на безопасность информации» (The Impact of Mobile Devices on Information Security), в большинстве компаний (79%) в мире в 2012 году происходили утечки информации через мобильные устройства, повлекшие за собой значительные убытки. Каждая шестая компания потеряла от «мобильных утечек» более $0,5 млн, а в 42% организаций ущерб от утечки мобильных данных превысил $100 000.
С точки зрения бизнеса подход BYOD позволяет экономить существенные суммы. Для эффективного, удобного и безопасного применения концепции BYOD нужно стремиться искать компромисс.
Я вижу этот компромисс как выделение корпоративных данных на мобильном устройстве в специальный защищенный контейнер – отдельное приложение – изолированную виртуальную среду внутри устройства. В этом приложении уже должны быть своя почта, календарь и контакты, именно те, которые пользователь применяет для бизнеса. А уже стандартные сервисы человек может использовать для личных нужд.
Кирилл Керценбаум, руководитель группы предпродажного сопровождения «Лаборатории Касперского»
1. Основная задача и функция ИT – автоматизация/компьютеризация производства и/или бизнес-процессов, в том числе ускорение и упрощение многих процедур и процессов в организации. В свою очередь, подразделение ИБ почти всегда является тормозом и автоматизации, и компьютеризации. Это происходит потому, что задача отдела ИБ – чтобы работа по внедрению передовых ИТ в компании не привела бы к полному краху бизнеса. Но во-первых, такой конфликт интересов ни в коем случае нельзя искоренять, так как только «в споре рождается истина». Во-вторых, бизнес должен четко формулировать задачи перед ИT и ИБ-службами и принимать в расчет аргументы обеих сторон. И, в-третьих, нужен «баланс риска и возможностей». А как раз правильное его определение должно получаться в результате данного «конфликта».
2. Лучше всего помогает соблюдение основных правил и подходов к построению комплексной системы ИБ бизнеса. Она должна быть многоуровневой. Состоять не только из средств защиты, но и содержать набор норм и правил, политик безопасности, обязательных для исполнения всеми без исключения, в том числе ИT и ИБ-службами. Быть максимально автоматизированной и по возможности не допускать вмешательства в свою работу даже авторизованного персонала. Обладать как реактивными, так и проактивными элементами. Быть максимально интегрированной и по возможности позволять обмен информацией между различными подсистемами. Быть аудируемой и сообщать максимальное количество подробностей о своей работе в специализированные хранилища информации. Быть гибкой и постоянно учитывать все изменения в ИT-инфраструктуре компании, бизнес-процессах.
3. Всеми сообща. Согласованные и поддерживаемые руководством компании действия и нормы работы с инцидентами ИБ могут позволить в случае ЧП если не решить проблему полностью, то хотя бы максимально снизить последствия.
4. Не во всех случаях аутсорсинг ИT подразумевает и аутсорсинг ИБ, даже если эти функции в компании не разведены между собой. И связано это с тем, что аутсорсинг сам по себе вступает в конфликт с основными функциями ИБ. Именно поэтому он и не получил сильного распространения, а точнее, трансформировался в другие формы.
5. Верхнеуровневая классификация каналов утечек не изменилась, все они происходят в результате внешних и внутренних угроз. Если говорить о первых, то здесь нужна прежде всего многоуровневая защита. И лучше всего помогает наведение порядка в хранении документов. В зависимости от того, насколько данные ценны, выстраивается соответствующее поле защиты. Все определяется тем, от кого защищаются и сколько на эту защиту готовы потратить. Важно грамотное конфигурирование корпоративной сети, ее сегментирование, настройка выхода наружу. А с точки зрения технических средств защиты – это шифрование, это антивирус, и хорошо, если есть продукты DLP, которые способны сканировать почтовые, веб-протоколы, файловые данные.
Если говорить о внутренних утечках, то от безалаберного инсайдера защищает подавляющее большинство существующих DLP-решений. Если говорить о попытках злонамеренных атак, то можно базовыми средствами увеличить для инсайдера цену атаки.
6. В России, например, инсайдерство в сфере передачи данных пока, к сожалению, никак не квалифицируется. Основная роль государства в этой сфере – обязывать компании, которые не уделяют должное внимание защите данных различного характера, использовать определенные средства защиты. А также наказывать как организации, так и частных лиц за неправомерный доступ или распространение конфиденциальной информации.
Владимир Андриенков, исполнительный директор компании «Трафика»
1. В нормальной фирме все сотрудники должны быть заинтересованы в стабильной работе средств ИБ. Если такой конфликт есть и он не связан с личной неприязнью, то нужно посадить за один стол обе службы и провести разъяснительную работу.
2. Главный вопрос здесь – разъяснить сотрудникам, что именно является конфиденциальной информацией, и оформить эти вещи документально.
4. Точно так же, как если бы ИТ-служба была в штате. Никакой разницы не вижу.
6. В России нет адекватной нормативно-правовой базы. В развитых странах законы устроены таким образом, что государство обеспечивает конфиденциальность, например, персональных данных. В частности, таким образом работает законодательство в Германии. Если человеку звонит какая-то фирма на телефон или присылает что-то на электронную почту, то немецкий гражданин моментально жалуется в «компетентные органы», которые очень быстро и жестко разбираются с «нарушителями спокойствия», вплоть до закрытия компаний.
В России таких законов нет или они не работают. Закон о защите персональных данных всего лишь заставляет компании подписывать бумажки о возможности обработки этих самых данных. Ярким свидетельством того, как не работает законодательство, являются частые звонки и СМС на телефоны граждан РФ с предложением услуг, которые эти люди не заказывали (предложения кредитов, страхования, такси и так далее), и спам в Интернете.
7. Это зависит от размера самой компании и критичности потери тех или иных данных. Чем критичнее стоимость потери данных, тем больше компания должна расходовать средств на ИБ. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|