|
||
| Публикации |
|
Платный хостинг от провайдера HostSpace.com.ua - хостинг, регистрация доменов. Поддержка PHP, MySQL, почта - в каждом тарифном плане.
Илья Сачков Менеджер по информационной безопасности ОАО «АРКТЕЛ»  Введение. Данный обзор в первую очередь предназначен для специалистов тех компаний, в которых информационная безопасность, как разносторонний и непрерывный процесс, находится на этапе зарождения. Такая ситуация может проявляться в компаниях, которых так внезапно коснулся закон «О персональных данных», согласно которому они могут быть привлечены к ответственности за разглашение/утерю/утечку данных клиентов и сотрудников. В тех компаниях, где произошёл серьёзный инцидент в области информационной безопасности, который повлиял на бизнес и, как следствие на сознание руководства. Или же самое маловероятное событие – это когда топ-менеджмент компании самостоятельно приходит к выводу, что информационная безопасность, не лишнее бремя, а надёжная опора для бизнеса. Аудит, как первый шаг. В любом случае первым шагом должен стать аудит текущего состояния ИТ - инфраструктуры и информационной безопасности компании. Нельзя бездумно пропускать аудит и также бездумно начинать разработку политики информационной безопасности и внедрение систем защиты. Аудит так же не сделает невозможного, аудит может сделать только две вещи – понять, что компания имеет сейчас, какие риски ей угрожают и понять к чему она должна придти. Я думаю, что не стоит упоминать о том, что риски должны быть реальными и информационная безопасность, не должна стать тем якорем, который зацепился за подводные скалы и мешает бизнесу плыть к цели. Сейчас появляется модная тенденция проводить аудит силами сторонних компаний. Такие компании обещают за короткий срок провести качественную проверку систем безопасности, указать конкретные уязвимости и составить план работ на будущее. Я хочу сказать, что это утопия полагаться, что за одну – три недели, люди, которые не представляют особенности конкретной корпорации, люди, которые видят любой аудит сквозь призму методологии обычного ИТ проекта, не могут провести аудит достойно. Давно уже пора понять, что проекты (в том числе аудиторские) в области информационной безопасности – это не стандартные проекты PM, они лишь отдалённо похожи на собратьев по ИТ. Информационная безопасность включает в себя психологию, социологию, этические аспекты. Я не думаю, что можно позволить аудиторам давать доступ и даже упоминать о серверах, на которых хранится информация, утечка которой грозит компании финансовым ударов или ударом по престижу. Естественно, что все документы, которые аудиторы составят в ходе работы, останутся в компании. Но, то что осталось в их памяти, уйдёт из вашего вида навсегда. Мир ИТ в России очень тесен и фраза оброненная аудитором где-нибудь в кафе, потом может обернуться серьёзными проблемами. Считается, что основным преимуществом аудиторов является то, что их работа является независимой, что они не будут скрывать недоработки службы безопасности. Вдобавок ко всему аудиторы являются более грамотными специалистами в области ИБ. Взглянем на это с другой стороны. Во-первых, если ваша служба безопасности, ваши технические специалисты скрывают какие-то недоработки, то возникает вопрос в компетентности этих людей и в верности их идеям компании. Зачем оплачивать сотрудников, которые что-то скрывают, которые боятся, что результат их работы станет известен топ-менеджменту? Теперь поговорим об опыте и о знаниях. Я уверен, что сотрудник, который работает в компании продолжительное время, обладает знаниями о внутренней инфраструктуре, об особенностях и проблемах компаниями. И эти знания аудитор не получит за одну неделю. Нормальный аудит не может длиться одну неделю в крупной компании. А во-вторых, не проще потратить деньги, выделенные для аудита, на обучение собственных сотрудников? Если сделать именно так, то в следующий раз, денег вообще не придётся тратить. Обучение собственного персонала, создание уникальных специалистов именно для вашей компании – вот что приносит плоды. Единственным возможным аудитом в области Информационной безопасности я вижу аудит на соответствие каким-либо положениям или на получение какого-либо сертификата (стандарты, политики безопасности). И даже в этом случае сначала такой аудит должны провести ваши специалисты, а уж потом можно вынести этот вопрос на аутсорсинг. Другой вопрос, что если в компании вообще нет службы информационной безопасности. Со мной согласятся многие специалисты, что каждая компания должна придти к тому, что у неё есть либо человек, ответственный за безопасность информационную, либо отдел. Хватит учиться на ошибках. Опыт, накопленный в этой области миллионами компаний по всему миру, показывает, что рано или поздно, если вы не будете уделять внимание информационной безопасности, случится неприятность. А она случится обязательно. И потом придётся тратить деньги на восстановительные работы, на поиск людей. А этим людям нужно будет включиться в процесс. Политика информационной безопасности. Следующий после аудита шаг, а возможно шаг, выполняемый параллельно с аудитом, на основе получаемых результатов – это написание политики информационной безопасности. Не буду говорить, что политика информационной безопасности во многих случаях необходимо законодательно, и что считается дурным корпоративным тоном её отсутствие. Способов написать политику безопасности много – взять готовую, или воспользоваться опросником или программным решением, а можно опять же попросить стороннюю организацию всё это проделать. На основе того, что написано выше хочу сказать, что политика безопасности должна быть сделана собственными силами. Документ политики безопасности не должен стать той формальностью, когда есть документ, но никто не знает, что в нём написано. Документ должен описывать реальную ситуацию, к которой стремится компания, но он не должен стать толстой прошивкой из документации к межсетевым экранам и т.д. Политика информационной безопасности не должна разрабатываться в вакууме, иначе после её принятия выяснится несогласие с ней многих подразделений и не актуальность её положений. Лучше всего, когда каждый раздел политики отсылается на согласование/ознакомление руководителям подразделений. Только в таком случае получится «живая политика информационной безопасности». Но, к сожалению, всё не так просто. До сих пор многие руководители не понимают для чего это всё нужно и не обращают внимания на работу в этой области. До сих пор существует вопрос о самоокупаемости информационной безопасности. Человеческий фактор основная проблема. Необходимо найти баланс между безопасностью и удобством. Известна аксиома- «безопасность и удобство вещи обратно пропорциональные». Именно поэтому специалист в области корпоративной информационной безопасности должен уметь общаться с людьми. Нельзя бездумно всё запрещать, нельзя бездумно всё разрешать. Теперь по поводу самого документа. Документ рекомендуется поделить на несколько обособленных документов. Один описывает цели, средства, ответственность. Другой устанавливает правила работы в корпоративной информационной системе. И отдельно надо уже выделить технические политики. Почему именно так? Правила работы в информационной системе часто будут меняться, и если они выделены в отдельный документ, то исправления вносить придётся только в него. Технические политики, скорее всего, являются конфиденциальными данными, и поэтому рядовым сотрудникам совсем необязательно знать как и каким образом реализуются те или иные средства защиты. Продолжение следует… www.cybersecurity.ru Компьютерная безопасность 14-03-2007 Microsoft закрыла серьезную уязвимость в Windows 28-10-2008 Компьютерная безопасность "Лаборатория Касперского" распространила для пользователей предупреждение онеобходимости установки обновления MS08-067(http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx) дляоперационной системы Microsoft Windows. Уязвимость, которую исправляетпоследнее обновление, представляет серьезную угрозу для многочисленныхпользователей ПК.Компания Microsoft объявила о выходе внеочередного обновления дляоперационных систем Micr... Антивирусная компания Eset открыла офис в Северо-Западном федеральном округе 28-10-2008 Компьютерная безопасность Российское представительство антивирусной компании Eset открыло первый региональный офис в Северо-Западном федеральном округе. В планах российского представительства до конца 2008 года довести количество региональных офисов в России и СНГ до трех.В начале 2008 года российское представительство Eset предприняло шаги по оптимизации партнерской сети в стратегически важных регионах. Были повышены требования к компаниям, обладающим статусами Eset Part... ЗАО «Компания Безопасность» на VII Всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты». 17-10-2008 Компьютерная безопасность Организатором конференции выступило НОУ «Академия Информационных Систем». Генеральным спонсором конференции - ОАО "ГАЗПРОМ", соспонсорами конференции стали такие известные корпорации, как «Microsoft» и «ORACLE». Спонсором одной из секций Конференции выступила ЗАО «Компания Безопасность».По своим масштабам VII Всероссийская конференция значительно превысила показатели прошлых лет. Так в 2008 году приняло участие свыше 500 делегатов – представител... Приглашаем всех на XIV Международный форум «Технологии безопасности» 16-10-2008 Компьютерная безопасность С 3 по 6 февраля 2009 года в МВЦ «Крокус Экспо» пройдет XIV Международный форум «Технологии безопасности» - глобальный проект в области безопасности, в рамках которого будут представлены следующие тематические экспозиции: • Технические средства и системы безопасности • Инженерно-технические средства физической защиты, Банковская безопасность • Антитеррор • Радиоэлектроника, компоненты и системы безопасности • Transport. Terminal. Security • По... Форум «Технологии безопасности» станет площадкой для мероприятий Global Security Alliance в России 10-10-2008 Компьютерная безопасность 3 октября 2008 года состоялась встреча Директора по международным связям американской ассоциации индустрии безопасности (SIA) Дина Руссо с представителями российской ассоциации индустрии безопасности (АИБ) и московского офиса компании Reed Exhibitions. АИБ была представлена Вице-президентом по международным связям И. Филоненко и Исполнительным директором А.Иванченко. Компанию Reed Exhibitions представляли Генеральный директор Г. Зарайский и Дире... Важность стратегии борьбы с мошенничеством 30-09-2008 Компьютерная безопасность Альфредо Габриэль ЛАРРАНАГА,директор службы глобального консалтинга ECtel Ltd.,Михаил ФЕЙЛЕР,директор по продажам ECI TelecomВ сегодняшней изменчивой экономике мошенничество в сфере телекома вынуждает операторов и провайдеров коммуникационных услуг (CSP) корректировать подход к своему бизнесу. При росте телекоммуникационного мошенничества от 10 до 12% в год и потерях в объеме 3-5% годового дохода (а иногда и выше), они ищут инновационных и до... |
При любом использовании материалов сайта ссылка на сайт www.archive.com.ua обязательна.
