 |
|
|
|
Работаем без опасностей. Часть 3
На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний. Опрос. Продолжение. Работаем без опасностей На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний
Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch 1. Конфликты случаются. В основном это происходит из-за того, что должностные обязанности и ответственность лиц и подразделений прописаны неконкретно и неполно, или из-за того, что один из руководителей отдела хочет расширить/сузить свои полномочия. Обычно такие конфликты разрешаются с помощью третьей стороны. В любом случае достигнутые договоренности обязательно следует фиксировать на бумаге. 2. Стандартных мер очень много, специалистам имеет смысл ориентироваться на комплексные «лучшие практики» и требования, например, ISO 27002, COBIT5 for Information security и руководящие документы ФСТЭК России. Повышение осведомленности пользователей, контроль портов ввода-вывода, регулярное обновление ПО, использование DLP-систем – такие меры являются очень важными, но про них часто забывают. Хорошей профилактикой является обязательное (а лучше автоматическое) проставление грифов (категории конфиденциальности) в колонтитулах или «водяных знаках» документов. Обычно это дисциплинирует пользователей при дальнейшей работе с этими документами. 3. Последствия таких инцидентов необходимо устранять силами группы реагирования, роли в которой должны быть четко определены заранее. В нее могут входить различные специалисты в зависимости от характеристик проблемы. 4. В таком случае следует с особой тщательностью прописать NDA (соглашение о неразглашении) и SLA (соглашение об уровне предоставления услуг). В SLA следует четко указать роли и задачи, а также требования и процедуры по безопасности. Часто на аутсорсинг отдают настройку и поддержку базовых мер защиты, техническую поддержку и обслуживание оборудования, резервное копирование и восстановление, обновление программного обеспечения, а также внешнее тестирование на проникновение. 5. В связи с развитием ИТ и их интеграцией в современное общество возникает все больше возможных каналов утечки: мобильные устройства, включая BYOD; облачные хранилища информации; передача информации по «некорпоративным» каналам связи; передача информации в социальных сетях и при использовании сервисов мгновенных сообщений. У специалистов по ИБ есть необходимые технологии и инструменты контроля этих каналов: системы DLP, MDM, Endpoint Security. 6. На мой взгляд, следует привести терминологическую базу к единому виду, ослабить требования регуляторов (ФСТЭК России, ФСБ России, РКН, ЦБ РФ и других), ужесточить наказание (увеличить штрафы за несоответствие требованиям и утечки информации, увеличить сроки за уголовные преступления в сфере компьютерных преступлений). 7. Можно привести немало примеров, когда те или иные траты могут быть как в ИТ, так и в ИБ-бюджете. Обычно бюджет ИТ значительно превышает бюджет ИБ. И, судя по современным тенденциям (увеличение ИТ-бюджетов, передача части функций от ИБ к ИТ и др.), этот разрыв будет только увеличиваться.
|
Комментарии отсутствуют
|
