Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

6 услуг в рамках обеспечения информационной безопасности заказчика

6 услуг в рамках обеспечения информационной безопасности заказчика

При обсуждении одного из материалов, зашла речь о пользе слежения за сотрудниками в компании. Сам по себе мониторинг сетевой активности сотрудников ­ — часть мероприятий по обеспечению информационной безопасности компании. Полноценную службу безопасности могут позволить себе только относительно крупные компании. В малом и среднем бизнесе внимание к безопасности ИТ-среды значительно меньше. Однако, информационная безопасность — хороший аутсорсинговый бизнес.

Защита периметра. Настройка межсетевого экрана и развертывание антивирусного решения — базовый проект, с которого начинается создание системы защиты ИТ-среды компании. Кроме того, подобные решения могут быть дополнены системами обнаружения внешних вторжений, а также продуктами обеспечивающими защиту ресурсов компании от внешних атак (DDoS и т.п.).

Разграничение доступа к ресурсам в корпоративной сети. Угрозы безопасности часто возникают там, где сотрудники имеют доступ к данным, которые им не нужны для работы. В том числе к документам, содержащим коммерческую тайну компании. ИТ-компании могут предложить разработку и внедрение корпоративных политик безопасности, систем авторизации и аутентификации, создание работающих служб управления правами пользователей.

Мониторинг активности сотрудников. Следить за деятельностью сотрудников лучше всего изнутри компании. Однако, настраивать системы, которые будут собирать  данные о посещаемых сотрудниками сайтах и запрашиваемых документах вполне может и внешняя компания.

Обучение основам безопасности. Обучение сотрудников — важная составляющая безопасности. По крайней мере, любой сотрудник должен знать, что нельзя открывать непонятные вложения в электронную почту, передавать собственные пароли коллегам, отключать антивирусные программы и использовать простые пароли.

Установка обновлений. Безопасность ИТ-систем во многом зависит от своевременной установки обновлений ПО. Однако, с одной стороны массовая установка обновлений пользователями — большой трафик в корпоративной сети, да и не все обновления совместимы с корпоративным ПО. Хорошая практика — использование систем централизованной установки обновлений и разработка политик блокирующих доступ компьютеров без необходимого набора обновлений системного и антивирусного ПО в корпоративную сеть.

Разработка плана действий в чрезвычайных ситуациях, а также плана восстановления после сбоев. Угрозы безопасности компании происходят из самых разных источников. Бывают ситуации, когда компаниях теряет собственные компьютеры и все содержащиеся на них данные. При этом необходимо предотвратить доступ к данным посторонних лиц и восстановить данные на новых компьютерах. Тут поможет как разработка системы резервного копирование, использование систем шифрования и виртуализация.

Организация процессов информационной безопасности — востребованная бизнес услуга. Однако контроль за работой систем безопасности компании все же обычно оставляют себе. Впрочем, с внешним провайдером сложнее договориться о том, чтобы он «закрыл глаза» на нарушение корпоративных политик безопасности. Так что передача таких ИТ-процессов на аутсорсинг вполне способна увеличить безопасность компании.

Дополнительные материалы

Комментарии (10)

  • Аватар

    Яковлев Андрей Михайлович [swtws], 22 марта 2011, 10:29

    1

    Покажите мне пожалуйста, где в ISO 27001/27002, общепринятом стандарте ИБ упомянуто "слежение за сотрудниками" ???
    Дело в том что это  международный стандарт. И во многих странах это самое "отслеживание" - банальная уголовщина - вторжение в частную жизнь, право на которую гарантирует Основной закон. В РФ кстати на бумаге тоже (ст 137, 138 УК РФ)

    • Аватар

      Рубинштейн Кирилл [krubinshteyn], 22 марта 2011, 10:53

      0
      кстати да, этого делать нельзя.
    • Аватар

      Прокудин Николай Владимирович [www.serv-comp.ru], 22 марта 2011, 13:36

      0
      На бумаге у нас вообще все просто зашибись. В реальности клиенты ОЧЕНЬ часто просят наглухо блокировать соцсети и мессенджеры, а по корпоративной почте сотрудников регулярно шарится безопасник :( Особо повернутые на информационной безопасности клиенты просто заказывают создание и поддержку локальных кусков "сети" без какого бы то ни было физического выхода куда - либо во вне.
      • Аватар

        Котельников Илья [iluha], 22 марта 2011, 14:38

        0
        Это нормально, когда только по корпоративной почте. Вот когда я встретил на одном предприятии тотальную телефонную прослушку, которая пишет ВСЕ разговоры предприятия в базу, да еще и шерстят ее периодически - вот это как мне кажется полный финишЪ!
        • Аватар

          Бычков Валерий [vbychkov], 22 марта 2011, 16:38

          0
          И что плохого в записи разговоров с клиентами? Для предприятия только польза, особенно, когда клиент потом обращается с жалобой на грубость и хамство персонала. Ну а то, что при этом записываются личные разговоры сотрудников, так их вообще не должно было быть на рабочем месте. Опять же для конфиденциальности сейчас у всех есть сотовые телефоны.
          • Аватар

            Котельников Илья [iluha], 22 марта 2011, 16:40

            0
            По-моему это маразм, я бы не смог работать в такой ситуации - это раз. А во-вторых у всех сотрудников, занимающих более-менее важные посты на предприятии есть корпоративная сотовая связь. Утверждалось, что она тоже прослушивается...
          • Аватар

            Яковлев Андрей Михайлович [swtws], 23 марта 2011, 07:09

            0
            Запись разговоров с клиентами в колл-центре - обычная практика, там ничего личного не обсуждают с незнакомыми людьми. Но и тут есть несколько перекосов:

            1. Пишутся все разговоры. Бред. Во-первых дорого, во-вторых задача уведомить сотрудника, а не собирать на него "доказательства", перед клиентом виноват всегда менеджер колл-центра, он(а) и извиняться будут, в третьих самое плохое: струдник первой линии и так находится под сильным психологическим давлением, звонят ведь не сказать "Доброе утро", а так давление еще усиливается. Вывод: правильно - "Звонок может быть записан".
            2. Следуя выводу из пункта 1, клиента (!) нужно спросить согласен ли он на запись своего разговора. Вот это почему-то делается крайне редко.  Хотя тоже грозит юридическими осложнениями. Допустим он выругался, вы защищая свою сотрудницу (как правило) предоставляете запись. И - статья. Вы не имели права ее делать, если не заручились его согласием.
  • Аватар

    Яковлев Андрей Михайлович [swtws], 22 марта 2011, 14:49

    0
    Я думаю, может кратенько описать требования 27001 ?
    Дабы понятно было как устроены "лучшие практики" ?