Работаем без опасностей. Часть 4
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

  Статьи

Вектор роста  

Особенности сертификаций по этичному хакингу

В современном мире информационных технологий знания о них настолько широки и многообразны,

 Читать далее...

1001 и 1 книга  
04.12.2019г.
Просмотров: 106
Комментарии: 0
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 2612
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 2618
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 2107
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1684
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Работаем без опасностей. Часть 4

Статьи / Работаем без опасностей. Часть 4

Автор: Олег Иванов

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний. Опрос. Окончание.

Работаем без опасностей
Опрос. Часть 4. Окончание.

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний

  1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
  2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
  3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
  4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
  5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
  6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
  7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Максим Захаренко

Максим Захаренко, генеральный директор компании «Облакотека»

1. Если задача ИТ – сделать информацию доступнее и прозрачнее, то ИБ – ограничить распространение информации и сделать ее более контролируемой. Арбитром выступает бизнес. По краям спектра находятся, с одной стороны, компании, в которых превалирует ИТ с минимально необходимой ИБ, с другой стороны, ультраконсервативные компании, где ИБ определяет возможность применения тех или иных приложений или технологий. Бизнес всегда ищет баланс.Однако приоритет не всегда устанавливается объективными потребностями, очень часто главную роль играет авторитет личности или близость руководителя ИТ или ИБ к директору.

2. Нарушения ИБ чаще всего происходят не по злому умыслу, а по незнанию. Очень мало внимания уделяется «психологии безопасности», в том числе объяснению важности и необходимости соблюдения правил ИБ. Тогда соблюдение безопасности стало бы не нагрузкой, а естественным и, может, в какой-то степени «приятным» процессом.

3. Действия при ЧП на ИТ-объекте похожи на действия при пожаре. Службы ИБ должны иметь модели возможных угроз и заготовленные меры по их предотвращению, а также ликвидации последствий, проводить инструктаж и учения, чтобы каждое подразделение знало свои задачи и работало слаженно в случае кризисной ситуации. Если налажен мониторинг ИБ и о ЧП вовремя стало известно, то это уже очень хорошо. Устраняют ЧП обычно те подразделения, в чьей зоне ответственности находится пострадавший ИТ-объект. С DDoS и прочими внешними вторжениями сетевики борются самостоятельно.

4. Директору в любом случае приходится кому-то доверяться. Это либо специалист по ИБ в штате, либо поддержка системы ИБ внешними компаниями. Человека довольно сложно привлечь к ответственности, особенно если в трудовом контракте не прописаны все детали, и другого независимого взгляда, как устроена ИБ и все ли в порядке с безопасностью, в компании просто не существует. Соответственно трудно проверить эффективность и качество используемых методов обеспечения безопасности. У организации обычно работа более отлажена и стандартизирована, но и количество сотрудников, имеющих доступ к обеспечению безопасности клиента, большое. С другой стороны, тут проще разбираться в случае ЧП.

5. Сейчас самая больная тема ИБ – полная «мобилизация» сотрудников, BYOD. Контур безопасности размывается. В этом случае помогают различные контролируемые службой ИБ облачные решения. Вторая тема – «серые ИТ», когда сотрудники организации, имея выход в Интернет, самостоятельно используют какие-либо SaaS-решения и облачные хранилища без привлечения ИТ-службы своей организации. Так бизнес-данные расползаются по всему миру. Еще одна угроза конфиденциальности – социальные сети.

6. Хочется, чтобы была внесена ясность в отношении требований к небольшим компаниям и системам по обеспечению защиты персональных данных 152-ФЗ. Также необходимо избавиться от навязывания методик защиты, повысив взамен ответственность в случае инцидентов. Необходимо контролировать не процесс защиты, а его результат. Кроме этого, отсутствуют требования к облачным платформам по безопасности, что существенно замедляет использование внешних облаков для «ответственных» систем.

 

 Читать полную версию...

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru