ПОИСК
ВЫБЕРИТЕ НОМЕР
         
Показать все
статьи из этой
рубрики
Показать все
статьи этого
автора
Показать все
статьи по этой теме
НАШИ ИЗДАНИЯ
Connect! Мир Связи
Каталог-справочник
НАШИ ПРОЕКТЫ
Наши авторы о важном
СОТРУДНИЧЕСТВО
Выставки и конференции
Connect Conferences
РЕКЛАМА



Яндекс Цитирования





Rambler's Top100 Rambler's Top100


Бизнес-практикум
Внутренние угрозы ИБ: инсайдеры и не только   Михаил Левашов

То, о чем говорили уже несколько лет ведущие специалисты по информационной безопасности (ИБ), наконец, свершилось. Риски от реализации внутренних угроз превысили риски от реализации внешних угроз. Это обстоятельство, очевидное для ведущих специалистов по ИБ, формирующих политику развития этой отрасли, уже зафиксировалось и в массовом «сознании» людей, работающих с информационными технологиями и безопасностью. Подтверждением данного факта могут служить многочисленные публикации, результаты исследований профессиональных аудиторов, исследователей рынков ИТ в целом и ИБ в частности, а также активность продаж в области ИБ. Если рассматривать отдельно банковский сектор экономики, то сделанный вывод фактически зафиксирован в стандарте ИБ банковской системы РФ.

Михаил ЛевашовОднако ошибочно было бы считать, что все внутренние информационные риски, т. е. риски, связанные с внутренними угрозами предприятия, исходят только от недобросовестных работников, называемых «инсайдерами», хотя такое представление достаточно распространено даже в литературе по ИБ. В настоящей статье хотелось бы, прежде всего, отойти от столь одностороннего взгляда, представив новые угрозы, актуальность которых значительно возросла за последние годы. Конечно, эти угрозы связаны, в том числе, и с проблемой инсайдеров, которой будет уделено достаточно внимания.

Внутренние угрозы
В настоящее время на первое место выдвигается новая внутренняя угроза, связанная с ограничениями полномочий службы ИБ. Ведь даже при наличии желания и воли руководителя или владельца бизнеса решать вопросы ИБ в соответствии с мировыми стандартами и лучшими практиками, в 90% случаев руководитель бизнеса понимает ИБ исключительно как техническую проблему компьютерной безопасности, решаемую на уровне системного или прикладного администратора, считая необходимым содержать для этого лишь технического специалиста. В данном случае, даже если на предприятии создано подразделение ИБ, его руководитель (Chief Information Security Officer – CISO) обычно получает статус технического руководителя среднего уровня, не участвующего в построении бизнеса и в стратегическом планировании развития компании, и, как следствие, не владеющего информацией о структуре бизнеса, о ролях и функциях топ-менеджеров. Не обладает он и другой важнейшей информацией, без которой невозможно эффективно управлять процессами обеспечения ИБ на всех уровнях, поэтому не в состоянии правильно защищать имеющиеся и новые информационные взаимодействия бизнес-единиц. CISO вынужден разрабатывать стратегию и тактику защиты ИТ и информации, исходя лишь из известных международных и национальных стандартов и лучших практик обеспечения безопасности ИТ, а не из бизнес-процессов компании и связанных с ними информационных взаимодействий. CISO трудно учитывать роль и место топ-менеджмента в бизнесе компании, что зачастую влечет за собой серьезные ограничения при решении проблемы инсайдеров. Все эти беды обусловлены тем, что CISO практически не участвует в разработке стратегии предприятия, не допущен к формированию бизнеса, не знает многих бизнес-направлений компании, не знаком с фактическими обязанностями топ-менеджеров и, как следствие, не в состоянии контролировать их действия. Иногда подобная ситуация приводит к серьезным ошибкам в управлении ИБ. Мы приведем несколько реальных примеров.
Пример первый. У предприятия среди контрагентов имеются «особые» партнеры, с которыми организуется специальное информационное взаимодействие. CISO, выстраивая процессы защиты информации и информационных технологий, не информирован об этих партнерах и потому неправильно организует информационное взаимодействие, что наносит существенный урон бизнесу, поскольку открывает доступ партнерам к дополнительной информации.
Пример второй. В хранилище информации компании имеются особо конфиденциальные сведения, причем размещенные в общей базе данных. О наличии данных записей CISO не знает, ибо понятия не имеет об этих «секретных» проектах. Как следствие специальная защита такой информации не реализована, что позволяет относительно легко получить к ней доступ.
Пример третий. Топ-менеджмент предприятия разрабатывает новое направление бизнеса, не зная о том, что его информационное взаимодействие должно соответствовать неким дополнительным требованиям федерального законодательства в области защиты информации, выполнение которых либо делает бизнес не эффективным, либо существенно увеличивает риски, которые руководство предприятия не может принять. CISO, не принимая участия в обсуждении, не может своевременно информировать руководство о существующих ограничениях.
Пример четвертый. При увольнении топ-менеджера CISO не имеет возможности обеспечить проверку владения этим менеджером конфиденциальной информации (в частности, содержащей коммерческую тайну). Сегодня обычной практикой является ситуация, когда топ-менеджер при увольнении скачивает всю доступную ему информацию предприятия.

Продолжение читайте в печатной версии журнала




Заказать полную PDF-версию свежего номера Connect!



Показать все статьи по теме Информационная безопасность

Поставьте свою оценку:
   1   2   3   4   5   

< Предыдущая статья

  
Следующая статья >

НАШИ ПРОЕКТЫ
ПРОСМОТР ПО ТЕМАМ
IP-телефония
Беспроводная связь
Бизнес-аналитика
Биллинг и OSS/BSS решения
Видеоконференцсвязь
Измерительная техника
Инфокоммунникации регионов
Информационная безопасность
ИТ-услуги
КИС (Корпоративные информационные системы)
Контакт-центры
КСПД (Корпоративные сети передачи данных)
Мобильная связь
Облачные технологии
Профессиональная радиосвязь
Серверные решения
Системы бесперебойного питания
Системы хранения данных
Ситуационные центры
Спутниковая связь
УПАТС
Фиксированная связь
Цифровое телевидение
TOP 20 СТАТЕЙ
Роль государства в обеспечении информационной безопасности
Консолидация телекоммуникационных ресурсов отраслей топливно-энергетического комплекса
Реквием по SoftSwitch
Трехсайтовая архитектура – реальная защита от катастроф
В Тулу за кальяноваром, или Что такое адаптивный call-центр
Ненадежность IP-телефонии: мифы и реальность
Четвертым будешь?
Путеводитель по рынку OSS-решений
В жизни все бывает, поэтому сделайте резервную копию…
Оптимизация энергопотребления в современном ЦОД
VSATизация России – промежуточные итоги
Современные программные телефоны
Аккумуляторные батареи для современных ИБП
Особенности информатизации телекоммуникационных компаний в России
Отечественные производители телекоммуникационного оборудования
Проблемы нормативно-правового, организационно-технического и программного обеспечения защиты информационных систем
Смена поколений в стандартизации СКС
Проблемы и перспективы формирования мобильной медиасреды в России
Принципы организации сетевой инфраструктуры ООО «ЛУКОЙЛ-ИНФОРМ»
Модульные отказоустойчивые системы бесперебойного питания: за и против
Все ТОПовые статьи >>