ноябрь    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

показать все 

14.11.2024

Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость

Читать далее 

14.11.2024

RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза

Читать далее 

14.11.2024

Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium

Читать далее 

14.11.2024

ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве

Читать далее 

08.11.2024

Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов

Читать далее 

показать все 

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №7 (30) / Работаем без опасностей. Часть 4

Рубрика: Тема номера /  Аутсорсинг и безопасность

Работаем без опасностей
Опрос. Часть 4. Окончание.

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний

1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Максим Захаренко, генеральный директор компании «Облакотека»

1. Если задача ИТ – сделать информацию доступнее и прозрачнее, то ИБ – ограничить распространение информации и сделать ее более контролируемой. Арбитром выступает бизнес. По краям спектра находятся, с одной стороны, компании, в которых превалирует ИТ с минимально необходимой ИБ, с другой стороны, ультраконсервативные компании, где ИБ определяет возможность применения тех или иных приложений или технологий. Бизнес всегда ищет баланс.Однако приоритет не всегда устанавливается объективными потребностями, очень часто главную роль играет авторитет личности или близость руководителя ИТ или ИБ к директору.

2. Нарушения ИБ чаще всего происходят не по злому умыслу, а по незнанию. Очень мало внимания уделяется «психологии безопасности», в том числе объяснению важности и необходимости соблюдения правил ИБ. Тогда соблюдение безопасности стало бы не нагрузкой, а естественным и, может, в какой-то степени «приятным» процессом.

3. Действия при ЧП на ИТ-объекте похожи на действия при пожаре. Службы ИБ должны иметь модели возможных угроз и заготовленные меры по их предотвращению, а также ликвидации последствий, проводить инструктаж и учения, чтобы каждое подразделение знало свои задачи и работало слаженно в случае кризисной ситуации. Если налажен мониторинг ИБ и о ЧП вовремя стало известно, то это уже очень хорошо. Устраняют ЧП обычно те подразделения, в чьей зоне ответственности находится пострадавший ИТ-объект. С DDoS и прочими внешними вторжениями сетевики борются самостоятельно.

4. Директору в любом случае приходится кому-то доверяться. Это либо специалист по ИБ в штате, либо поддержка системы ИБ внешними компаниями. Человека довольно сложно привлечь к ответственности, особенно если в трудовом контракте не прописаны все детали, и другого независимого взгляда, как устроена ИБ и все ли в порядке с безопасностью, в компании просто не существует. Соответственно трудно проверить эффективность и качество используемых методов обеспечения безопасности. У организации обычно работа более отлажена и стандартизирована, но и количество сотрудников, имеющих доступ к обеспечению безопасности клиента, большое. С другой стороны, тут проще разбираться в случае ЧП.

5. Сейчас самая больная тема ИБ – полная «мобилизация» сотрудников, BYOD. Контур безопасности размывается. В этом случае помогают различные контролируемые службой ИБ облачные решения. Вторая тема – «серые ИТ», когда сотрудники организации, имея выход в Интернет, самостоятельно используют какие-либо SaaS-решения и облачные хранилища без привлечения ИТ-службы своей организации. Так бизнес-данные расползаются по всему миру. Еще одна угроза конфиденциальности – социальные сети.

6. Хочется, чтобы была внесена ясность в отношении требований к небольшим компаниям и системам по обеспечению защиты персональных данных 152-ФЗ. Также необходимо избавиться от навязывания методик защиты, повысив взамен ответственность в случае инцидентов. Необходимо контролировать не процесс защиты, а его результат. Кроме этого, отсутствуют требования к облачным платформам по безопасности, что существенно замедляет использование внешних облаков для «ответственных» систем.

Михаил Сазонов, руководитель сервисного отдела Delta Electronics в России

1. В большинстве случаев бизнес не внедряет новое ИТ-решение, если оно является небезопасным. Несмотря на то что службы ИТ и ИБ должны работать в одной связке, конфликты между этими службами есть, в основном связанные с вопросами подчинения, согласования бюджетов и приоритетности подразделения и независимого контроля. Для решения подобного рода проблем в первую очередь необходимо разработать и утвердить руководством компании специальную политику ИБ и ИТ, разграничивающую функционал и ответственность подразделений, системы управления, оценить всевозможные риски и разработать политику управления рисками, а также своевременно проводить аудит систем управления ИТ и ИБ.

4. Прежде чем отдать обслуживание ИТ на аутсорсинг, необходимо описать все ИТ-процессы компании и проранжировать их по степени критичности для бизнеса – процессы, связанные с информацией, содержащей коммерческую тайну или предназначенной только для внутреннего использования, не рекомендуется передавать в ведение внешним компаниям. Затем необходимо определиться с моделью ИТ-аутсорсинга и выбором процессов, надлежащих передаче. Определившись с поставщиком ИТ-услуг, необходимо строго регламентировать основные вопросы ИБ в двухсторонних соглашениях. Заключительный этап в реализации ИБ – управление рисками в процессе аутсорсинга ИT-процессов компании, предполагающий сбор и идентификацию ИТ-рисков, их оценку, планирование мер по исключению или минимизации ущерба и дальнейшую реализацию и оценку эффективности произведенных мероприятий.

5. Актуальными каналами утечки данных являются мобильные устройства и skype. Хотя концепция BYOD имеет немало преимуществ для бизнеса, у нее есть большой недостаток – подверженность вредоносным программам, которые могут заразить через устройство пользователя всю сеть компании.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи