апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №7 (30) / Работаем без опасностей. Часть 3

Рубрика: Тема номера /  Аутсорсинг и безопасность

Работаем без опасностей
Опрос. Часть 3. Продолжение

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний

1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch

1. Конфликты случаются. В основном это происходит из-за того, что должностные обязанности и ответственность лиц и подразделений прописаны неконкретно и неполно, или из-за того, что один из руководителей отдела хочет расширить/сузить свои полномочия. Обычно такие конфликты разрешаются с помощью третьей стороны. В любом случае достигнутые договоренности обязательно следует фиксировать на бумаге.

2. Стандартных мер очень много, специалистам имеет смысл ориентироваться на комплексные «лучшие практики» и требования, например, ISO 27002, COBIT5 for Information security и руководящие документы ФСТЭК России. Повышение осведомленности пользователей, контроль портов ввода-вывода, регулярное обновление ПО, использование DLP-систем – такие меры являются очень важными, но про них часто забывают. Хорошей профилактикой является обязательное (а лучше автоматическое) проставление грифов (категории конфиденциальности) в колонтитулах или «водяных знаках» документов. Обычно это дисциплинирует пользователей при дальнейшей работе с этими документами.

3. Последствия таких инцидентов необходимо устранять силами группы реагирования, роли в которой должны быть четко определены заранее. В нее могут входить различные специалисты в зависимости от характеристик проблемы.

4. В таком случае следует с особой тщательностью прописать NDA (соглашение о неразглашении) и SLA (соглашение об уровне предоставления услуг). В SLA следует четко указать роли и задачи, а также требования и процедуры по безопасности. Часто на аутсорсинг отдают настройку и поддержку базовых мер защиты, техническую поддержку и обслуживание оборудования, резервное копирование и восстановление, обновление программного обеспечения, а также внешнее тестирование на проникновение.

5. В связи с развитием ИТ и их интеграцией в современное общество возникает все больше возможных каналов утечки: мобильные устройства, включая BYOD; облачные хранилища информации; передача информации по «некорпоративным» каналам связи; передача информации в социальных сетях и при использовании сервисов мгновенных сообщений. У специалистов по ИБ есть необходимые технологии и инструменты контроля этих каналов: системы DLP, MDM, Endpoint Security.

6. На мой взгляд, следует привести терминологическую базу к единому виду, ослабить требования регуляторов (ФСТЭК России, ФСБ России, РКН, ЦБ РФ и других), ужесточить наказание (увеличить штрафы за несоответствие требованиям и утечки информации, увеличить сроки за уголовные преступления в сфере компьютерных преступлений).

7. Можно привести немало примеров, когда те или иные траты могут быть как в ИТ, так и в ИБ-бюджете. Обычно бюджет ИТ значительно превышает бюджет ИБ. И, судя по современным тенденциям (увеличение ИТ-бюджетов, передача части функций от ИБ к ИТ и др.), этот разрыв будет только увеличиваться.

Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies

2. На мой взгляд, очень важен принцип «безопасность как бизнес-процесс». Мы в Check Point называем это трехмерной безопасностью (3D Security). Лишь сочетание технологии, политики и осведомленности сотрудников компании повышает уровень ИБ и снижает риски.

4. С точки зрения экономики да и качества обеспечения безопасности стоит больше доверять профессионалам сторонней компании, специализирующейся именно на подобных решениях, чем собственным сотрудникам. В частности, во всем мире используются такие сервисы, как Check Point ThreatCloud Managed Security Service, Check Point Incident Response Service.

В России же аутсорсинг безопасности пока не слишком развит. Впрочем, в последние годы популярными стали контракты крупных компаний с фирмами, занимающимися ИБ в части анализа безопасности, тестов на проникновение, консалтинга. Операционную деятельность ведут собственные сотрудники, но большая часть аналитической работы возлагается на нанятых специалистов.

5. Новые каналы утечек – это мобильные устройства сотрудников, которые сегодня являются предметом постоянного беспокойства ИТ и ИБ-отделов. По данным проведенного Check Point исследования «Влияние мобильных устройств на безопасность информации» (The Impact of Mobile Devices on Information Security), в большинстве компаний (79%) в мире в 2012 году происходили утечки информации через мобильные устройства, повлекшие за собой значительные убытки. Каждая шестая компания потеряла от «мобильных утечек» более $0,5 млн, а в 42% организаций ущерб от утечки мобильных данных превысил $100 000.

С точки зрения бизнеса подход BYOD позволяет экономить существенные суммы. Для эффективного, удобного и безопасного применения концепции BYOD нужно стремиться искать компромисс.

Я вижу этот компромисс как выделение корпоративных данных на мобильном устройстве в специальный защищенный контейнер – отдельное приложение – изолированную виртуальную среду внутри устройства. В этом приложении уже должны быть своя почта, календарь и контакты, именно те, которые пользователь применяет для бизнеса. А уже стандартные сервисы человек может использовать для личных нужд.

Кирилл Керценбаум, руководитель группы предпродажного сопровождения «Лаборатории Касперского»

1. Основная задача и функция ИT – автоматизация/компьютеризация производства и/или бизнес-процессов, в том числе ускорение и упрощение многих процедур и процессов в организации. В свою очередь, подразделение ИБ почти всегда является тормозом и автоматизации, и компьютеризации. Это происходит потому, что задача отдела ИБ – чтобы работа по внедрению передовых ИТ в компании не привела бы к полному краху бизнеса. Но во-первых, такой конфликт интересов ни в коем случае нельзя искоренять, так как только «в споре рождается истина». Во-вторых, бизнес должен четко формулировать задачи перед ИT и ИБ-службами и принимать в расчет аргументы обеих сторон. И, в-третьих, нужен «баланс риска и возможностей». А как раз правильное его определение должно получаться в результате данного «конфликта».

2. Лучше всего помогает соблюдение основных правил и подходов к построению комплексной системы ИБ бизнеса. Она должна быть многоуровневой. Состоять не только из средств защиты, но и содержать набор норм и правил, политик безопасности, обязательных для исполнения всеми без исключения, в том числе ИT и ИБ-службами. Быть максимально автоматизированной и по возможности не допускать вмешательства в свою работу даже авторизованного персонала. Обладать как реактивными, так и проактивными элементами. Быть максимально интегрированной и по возможности позволять обмен информацией между различными подсистемами. Быть аудируемой и сообщать максимальное количество подробностей о своей работе в специализированные хранилища информации. Быть гибкой и постоянно учитывать все изменения в ИT-инфраструктуре компании, бизнес-процессах.

3. Всеми сообща. Согласованные и поддерживаемые руководством компании действия и нормы работы с инцидентами ИБ могут позволить в случае ЧП если не решить проблему полностью, то хотя бы максимально снизить последствия.

4. Не во всех случаях аутсорсинг ИT подразумевает и аутсорсинг ИБ, даже если эти функции в компании не разведены между собой. И связано это с тем, что аутсорсинг сам по себе вступает в конфликт с основными функциями ИБ. Именно поэтому он и не получил сильного распространения, а точнее, трансформировался в другие формы.

5. Верхнеуровневая классификация каналов утечек не изменилась, все они происходят в результате внешних и внутренних угроз. Если говорить о первых, то здесь нужна прежде всего многоуровневая защита. И лучше всего помогает наведение порядка в хранении документов. В зависимости от того, насколько данные ценны, выстраивается соответствующее поле защиты. Все определяется тем, от кого защищаются и сколько на эту защиту готовы потратить. Важно грамотное конфигурирование корпоративной сети, ее сегментирование, настройка выхода наружу. А с точки зрения технических средств защиты – это шифрование, это антивирус, и хорошо, если есть продукты DLP, которые способны сканировать почтовые, веб-протоколы, файловые данные.

Если говорить о внутренних утечках, то от безалаберного инсайдера защищает подавляющее большинство существующих DLP-решений. Если говорить о попытках злонамеренных атак, то можно базовыми средствами увеличить для инсайдера цену атаки.

6. В России, например, инсайдерство в сфере передачи данных пока, к сожалению, никак не квалифицируется. Основная роль государства в этой сфере – обязывать компании, которые не уделяют должное внимание защите данных различного характера, использовать определенные средства защиты. А также наказывать как организации, так и частных лиц за неправомерный доступ или распространение конфиденциальной информации.

Владимир Андриенков, исполнительный директор компании «Трафика»

1. В нормальной фирме все сотрудники должны быть заинтересованы в стабильной работе средств ИБ. Если такой конфликт есть и он не связан с личной неприязнью, то нужно посадить за один стол обе службы и провести разъяснительную работу.

2. Главный вопрос здесь – разъяснить сотрудникам, что именно является конфиденциальной информацией, и оформить эти вещи документально.

4. Точно так же, как если бы ИТ-служба была в штате. Никакой разницы не вижу.

6. В России нет адекватной нормативно-правовой базы. В развитых странах законы устроены таким образом, что государство обеспечивает конфиденциальность, например, персональных данных. В частности, таким образом работает законодательство в Германии. Если человеку звонит какая-то фирма на телефон или присылает что-то на электронную почту, то немецкий гражданин моментально жалуется в «компетентные органы», которые очень быстро и жестко разбираются с «нарушителями спокойствия», вплоть до закрытия компаний.

В России таких законов нет или они не работают. Закон о защите персональных данных всего лишь заставляет компании подписывать бумажки о возможности обработки этих самых данных. Ярким свидетельством того, как не работает законодательство, являются частые звонки и СМС на телефоны граждан РФ с предложением услуг, которые эти люди не заказывали (предложения кредитов, страхования, такси и так далее), и спам в Интернете.

7. Это зависит от размера самой компании и критичности потери тех или иных данных. Чем критичнее стоимость потери данных, тем больше компания должна расходовать средств на ИБ.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи