Работаем без опасностей. Часть 4

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний. Опрос. Окончание.

Работаем без опасностей
Опрос. Часть 4. Окончание.

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний

1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Максим Захаренко, генеральный директор компании «Облакотека»

1. Если задача ИТ – сделать информацию доступнее и прозрачнее, то ИБ – ограничить распространение информации и сделать ее более контролируемой. Арбитром выступает бизнес. По краям спектра находятся, с одной стороны, компании, в которых превалирует ИТ с минимально необходимой ИБ, с другой стороны, ультраконсервативные компании, где ИБ определяет возможность применения тех или иных приложений или технологий. Бизнес всегда ищет баланс.Однако приоритет не всегда устанавливается объективными потребностями, очень часто главную роль играет авторитет личности или близость руководителя ИТ или ИБ к директору.

2. Нарушения ИБ чаще всего происходят не по злому умыслу, а по незнанию. Очень мало внимания уделяется «психологии безопасности», в том числе объяснению важности и необходимости соблюдения правил ИБ. Тогда соблюдение безопасности стало бы не нагрузкой, а естественным и, может, в какой-то степени «приятным» процессом.

3. Действия при ЧП на ИТ-объекте похожи на действия при пожаре. Службы ИБ должны иметь модели возможных угроз и заготовленные меры по их предотвращению, а также ликвидации последствий, проводить инструктаж и учения, чтобы каждое подразделение знало свои задачи и работало слаженно в случае кризисной ситуации. Если налажен мониторинг ИБ и о ЧП вовремя стало известно, то это уже очень хорошо. Устраняют ЧП обычно те подразделения, в чьей зоне ответственности находится пострадавший ИТ-объект. С DDoS и прочими внешними вторжениями сетевики борются самостоятельно.

4. Директору в любом случае приходится кому-то доверяться. Это либо специалист по ИБ в штате, либо поддержка системы ИБ внешними компаниями. Человека довольно сложно привлечь к ответственности, особенно если в трудовом контракте не прописаны все детали, и другого независимого взгляда, как устроена ИБ и все ли в порядке с безопасностью, в компании просто не существует. Соответственно трудно проверить эффективность и качество используемых методов обеспечения безопасности. У организации обычно работа более отлажена и стандартизирована, но и количество сотрудников, имеющих доступ к обеспечению безопасности клиента, большое. С другой стороны, тут проще разбираться в случае ЧП.

5. Сейчас самая больная тема ИБ – полная «мобилизация» сотрудников, BYOD. Контур безопасности размывается. В этом случае помогают различные контролируемые службой ИБ облачные решения. Вторая тема – «серые ИТ», когда сотрудники организации, имея выход в Интернет, самостоятельно используют какие-либо SaaS-решения и облачные хранилища без привлечения ИТ-службы своей организации. Так бизнес-данные расползаются по всему миру. Еще одна угроза конфиденциальности – социальные сети.

6. Хочется, чтобы была внесена ясность в отношении требований к небольшим компаниям и системам по обеспечению защиты персональных данных 152-ФЗ. Также необходимо избавиться от навязывания методик защиты, повысив взамен ответственность в случае инцидентов. Необходимо контролировать не процесс защиты, а его результат. Кроме этого, отсутствуют требования к облачным платформам по безопасности, что существенно замедляет использование внешних облаков для «ответственных» систем.

 Читать полную версию...