Смартсорсинг.ру

Как уже говорилось в предыдущей статье, под действие информационной безопасности подпадают все информационные активы предприятия или компании. В данной статье мы рассмотрим общие принципы реализации стандарта, подходящие для большинства компаний. Итак, с чего начинается их защита на практике?

Информационная безопасность — то чем частенько пренебрегают российские компании. Пренебрегают по вполне понятным причинам. Во-первых, предмет этот кажется очень сложным, непонятным и мутным. И, самое главное, скучным, требующим много внимания к нюансам, деталям и формализации. Во-вторых, полностью предотвратить потенциальную утечку или потерю информации — невозможно, поскольку, даже лишив человека всех возможных технических средств, всегда остается его способность запоминать, а потом где-то озвучивать то, что запомнил. И в-третьих: «А зачем? У нас нет секретов».

Из материала об утечке данных о жертвователях Роспил.Инфо, следует очевидный вывод критичные данные нужно хранить локально и иметь план их ликвидации на случай чрезвычайных  обстоятельств. Максимальный срок наказания за препятствие следствию — два года. Данные на корпоративных серверах нередко тянут на большее. Впрочем, уничтожение данных — естественная часть жизненного цикла оборудования, необходимая во многих легальных ситуациях  — списание, продажа, ремонт компьютеров и т.п.

У неких неизвестных лиц оказались данные пользователей, перечисливших средства в поддержку проекта Роспил.Инфо. Очевидно, что утечка произошла в ФСБ, куда платежная система «Яндекс Деньги» передала информацию в ответ на официальный запрос. Условия ведения бизнеса в России таковы, что «Яндекс Деньги» обязана была предоставить эту информацию. С тем, что у государства должна быть возможность использовать данные в электронном виде при проведении расследований никто не спорит. Однако мы не договаривались о том, что данные могут официально изыматься, а затем  продаваться по сходной цене конкурентам или политическим противникам.

В 2011-2012 году у пользователей появится множество новых мобильных устройств — планшеты.  Сегодня в реальной жизни этот класс устройств представляет только iPad, однако возможные конкуренты уже представили свои устройства на рынке и скоро начнут их продавать. Скоро ИТ-зоопарк пополнится новыми обитателями. В большинстве случаев ИТ-службы не смогут занять консервативную позицию и просто все запретить — придется включать эти устройства в ИТ-среду.

Самое востребованное корпоративное приложение — браузер. Многим пользователям для работы нужен доступ в интернет, к тому же бизнес-системы используют браузеры в качестве тонкого клиента. Однако используя браузер пользователи и работают и развлекаются — это огромная открытая дыра в корпоративной ИТ-среде: бесплатная электронная почта, одноклассники, ЖЖ и другие пожиратели рабочего времени. Однако, хуже всего — обновления. Гонка IE vs. FireFox приводит к тому, что разработчики регулярно выпускаю обновления, которые далеко не всегда совместимы с предыдущими версиями. Свежий пример FireFox 4 и Internet Explorer 9.

Продолжая нападки на безопасность облачных решений, предлагаю познакомиться с публикацией, появившейся на Information Security Forum (ISF). Авторы составили свой список смертных грехов для облачной модели. С оригинальным списком в нем не так уж и много общего, хотя пара совпадений все же есть.

Технология облачных вычислений набирает сегодня популярность. Финансово облачные платформы выглядят очень привлекательно, да и других привлекательных сторон немало. Однако, передавать свои данные в «облако», т.е. непонятно куда и практически без гарантий их сохранности провайдером — кажется это весьма рискованная стратегия. Предлагаю взглянуть на проблемы с безопасностью облачных решений.

16 марта в Москве прошел третий форум «ИТ-безопасность в финансовом секторе». Банки и финансовые организации — те, кто действительно озабочен проблемами безопасности. Это определяется, как требованиями регулирующих органов и отраслевыми стандартами, так и особенностями отрасли в целом. Тем не менее, многие вопросы безопасности, волнующие финансовые организации столь же актуальны для компаний других отраслей.

Информационная безопасность в компании — вещь нужная. Вдруг инновации конкурент украдет? Да ладно б инновации, а как же персональные данные, которые почти как 3 года нужно пристально охранять? Закон о защите персональных данных сильно подогрел интерес к теме информационной безопасности. ИТ-руководители даже в небольших компаниях теперь вынуждены прибегать к услугам консультантов (либо нанимать таковых в штат). Короче говоря, поставщики решений счастливы.

А теперь вопрос в зал. Где находится основная угроза информационной безопасности компании? Вирусы-трояны? VPN? Firewall? На самом деле, я уверен, все дали правильный ответ. Основная угроза находится между монитором и креслом. Сотрудники компании — самое слабое звено. И чтобы это звено хоть как-то укрепить, чтобы у этого звена язык не болтал налево и направо обо всяком, придумали интересный документ: соглашение о неразглашении. На самом деле, с учетом всепроникающей социализации, в последнее время начал появляться документ, называется который везде по разному, но суть его в том, что он регламентирует правила и политики раскрытия сотрудниками информации о компании в социальных сетях. Ну т.е. чтобы не было у секретарши Людочки в одноклассниках указан работодатель ООО “Вектор +”, а она при этом в своем статусе не писала “Ой блин, опять зарплату задерживают :..(”. Кстати, ситуация для работодателя не из приятных, особенно если речь идет не про ООО “Вектор +”, а про публичную компанию. Но суть не в этом, рассказать я хочу об интересной ситуации, которая произошла со мной на прошлой неделе.