Работаем без опасностей. Часть 4
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Архив номеров
Контакты
   

  Опросы
  Статьи

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

Принципы проектирования  

Dependency Inversion Principle. Принцип инверсии зависимостей в разработке

Мы подошли к последнему принципу проектирования приложений из серии SOLID – Dependency

 Читать далее...

Рынок труда  

Вакансия: Администратор 1С

Администратор 1С – это специалист, который необходим любой организации, где установлены программы

 Читать далее...

Книжная полка  

Книги для профессионалов, студентов и пользователей

Книги издательства «БХВ» вышли книги для тех, кто хочет овладеть самыми востребованными

 Читать далее...

Принципы проектирования  

Interface Segregation Principle. Принцип разделения интерфейсов в проектировании приложений

Эта статья из серии «SOLID» посвящена четвертому принципу проектирования приложений – Interface

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 10307
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 8496
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 8597
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5479
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6158
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

Друзья сайта  

 Работаем без опасностей. Часть 4

Статьи / Работаем без опасностей. Часть 4

Автор: Олег Иванов

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний. Опрос. Окончание.

Работаем без опасностей
Опрос. Часть 4. Окончание.

На вопросы «БИТа» отвечают эксперты ведущих ИТ-компаний

  1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
  2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
  3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
  4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
  5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
  6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
  7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Максим Захаренко

Максим Захаренко, генеральный директор компании «Облакотека»

1. Если задача ИТ – сделать информацию доступнее и прозрачнее, то ИБ – ограничить распространение информации и сделать ее более контролируемой. Арбитром выступает бизнес. По краям спектра находятся, с одной стороны, компании, в которых превалирует ИТ с минимально необходимой ИБ, с другой стороны, ультраконсервативные компании, где ИБ определяет возможность применения тех или иных приложений или технологий. Бизнес всегда ищет баланс.Однако приоритет не всегда устанавливается объективными потребностями, очень часто главную роль играет авторитет личности или близость руководителя ИТ или ИБ к директору.

2. Нарушения ИБ чаще всего происходят не по злому умыслу, а по незнанию. Очень мало внимания уделяется «психологии безопасности», в том числе объяснению важности и необходимости соблюдения правил ИБ. Тогда соблюдение безопасности стало бы не нагрузкой, а естественным и, может, в какой-то степени «приятным» процессом.

3. Действия при ЧП на ИТ-объекте похожи на действия при пожаре. Службы ИБ должны иметь модели возможных угроз и заготовленные меры по их предотвращению, а также ликвидации последствий, проводить инструктаж и учения, чтобы каждое подразделение знало свои задачи и работало слаженно в случае кризисной ситуации. Если налажен мониторинг ИБ и о ЧП вовремя стало известно, то это уже очень хорошо. Устраняют ЧП обычно те подразделения, в чьей зоне ответственности находится пострадавший ИТ-объект. С DDoS и прочими внешними вторжениями сетевики борются самостоятельно.

4. Директору в любом случае приходится кому-то доверяться. Это либо специалист по ИБ в штате, либо поддержка системы ИБ внешними компаниями. Человека довольно сложно привлечь к ответственности, особенно если в трудовом контракте не прописаны все детали, и другого независимого взгляда, как устроена ИБ и все ли в порядке с безопасностью, в компании просто не существует. Соответственно трудно проверить эффективность и качество используемых методов обеспечения безопасности. У организации обычно работа более отлажена и стандартизирована, но и количество сотрудников, имеющих доступ к обеспечению безопасности клиента, большое. С другой стороны, тут проще разбираться в случае ЧП.

5. Сейчас самая больная тема ИБ – полная «мобилизация» сотрудников, BYOD. Контур безопасности размывается. В этом случае помогают различные контролируемые службой ИБ облачные решения. Вторая тема – «серые ИТ», когда сотрудники организации, имея выход в Интернет, самостоятельно используют какие-либо SaaS-решения и облачные хранилища без привлечения ИТ-службы своей организации. Так бизнес-данные расползаются по всему миру. Еще одна угроза конфиденциальности – социальные сети.

6. Хочется, чтобы была внесена ясность в отношении требований к небольшим компаниям и системам по обеспечению защиты персональных данных 152-ФЗ. Также необходимо избавиться от навязывания методик защиты, повысив взамен ответственность в случае инцидентов. Необходимо контролировать не процесс защиты, а его результат. Кроме этого, отсутствуют требования к облачным платформам по безопасности, что существенно замедляет использование внешних облаков для «ответственных» систем.

 

 Читать полную версию...

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru