Главная страница
Форум
Промиздат
Опережения рынка
Архитектура отрасли
Формирование
Тенденции
Промстроительство
Нефть и песок
О стали
Компрессор - подбор и ошибки
Из истории стандартизации резьб
Соперник ксерокса - гектограф
Новые технологии производства стали
Экспорт проволоки из России
Прогрессивная технологическая оснастка
Цитадель сварки с полувековой историей
Упрочнение пружин
Способы обогрева
Назначение, структура, характеристики анализаторов
Промышленные пылесосы
Штампованные гайки из пружинной стали
Консервация САУ
Стандарты и качество
Технология производства
Водород
Выбор материала для крепежных деталей
Токарный резец в миниатюре
Производство проволоки
Адгезия резины к металлокорду
Электролитическое фосфатирование проволоки
Восстановление корпусных деталей двигателей
Новая бескислотная технология производства проката
Синие кристаллы
Автоклав
Нормирование шумов связи
Газосварочный аппарат для тугоплавких припоев
|
Главная страница / Архитектура отрасли Внутренние угрозы ИБ: инсайдеры и не только Однако ошибочно было бы считать, что все внутренние информационные риски, т. е. риски, связанные с внутренними угрозами предприятия, исходят только от недобросовестных работников, называемых «инсайдерами», хотя такое представление достаточно распространено даже в литературе по ИБ. В настоящей статье хотелось бы, прежде всего, отойти от столь одностороннего взгляда, представив новые угрозы, актуальность которых значительно возросла за последние годы. Конечно, эти угрозы связаны, в том числе, и с проблемой инсайдеров, которой будет уделено достаточно внимания. В настоящее время на первое место выдвигается новая внутренняя угроза, связанная с ограничениями полномочий службы ИБ. Ведь даже при наличии желания и воли руководителя или владельца бизнеса решать вопросы ИБ в соответствии с мировыми стандартами и лучшими практиками, в 90% случаев руководитель бизнеса понимает ИБ исключительно как техническую проблему компьютерной безопасности, решаемую на уровне системного или прикладного администратора, считая необходимым содержать для этого лишь технического специалиста. В данном случае, даже если на предприятии создано подразделение ИБ, его руководитель (Chief Information Security Officer – CISO) обычно получает статус технического руководителя среднего уровня, не участвующего в построении бизнеса и в стратегическом планировании развития компании, и, как следствие, не владеющего информацией о структуре бизнеса, о ролях и функциях топ-менеджеров. Не обладает он и другой важнейшей информацией, без которой невозможно эффективно управлять процессами обеспечения ИБ на всех уровнях, поэтому не в состоянии правильно защищать имеющиеся и новые информационные взаимодействия бизнес-единиц. CISO вынужден разрабатывать стратегию и тактику защиты ИТ и информации, исходя лишь из известных международных и национальных стандартов и лучших практик обеспечения безопасности ИТ, а не из бизнес-процессов компании и связанных с ними информационных взаимодействий. CISO трудно учитывать роль и место топ-менеджмента в бизнесе компании, что зачастую влечет за собой серьезные ограничения при решении проблемы инсайдеров. Все эти беды обусловлены тем, что CISO практически не участвует в разработке стратегии предприятия, не допущен к формированию бизнеса, не знает многих бизнес-направлений компании, не знаком с фактическими обязанностями топ-менеджеров и, как следствие, не в состоянии контролировать их действия. Иногда подобная ситуация приводит к серьезным ошибкам в управлении ИБ. Мы приведем несколько реальных примеров. Пример первый. У предприятия среди контрагентов имеются «особые» партнеры, с которыми организуется специальное информационное взаимодействие. CISO, выстраивая процессы защиты информации и информационных технологий, не информирован об этих партнерах и потому неправильно организует информационное взаимодействие, что наносит существенный урон бизнесу, поскольку открывает доступ партнерам к дополнительной информации. Пример второй. В хранилище информации компании имеются особо конфиденциальные сведения, причем размещенные в общей базе данных. О наличии данных записей CISO не знает, ибо понятия не имеет об этих «секретных» проектах. Как следствие специальная защита такой информации не реализована, что позволяет относительно легко получить к ней доступ. Пример третий. Топ-менеджмент предприятия разрабатывает новое направление бизнеса, не зная о том, что его информационное взаимодействие должно соответствовать неким дополнительным требованиям федерального законодательства в области защиты информации, выполнение которых либо делает бизнес не эффективным, либо существенно увеличивает риски, которые руководство предприятия не может принять. CISO, не принимая участия в обсуждении, не может своевременно информировать руководство о существующих ограничениях. Пример четвертый. При увольнении топ-менеджера CISO не имеет возможности обеспечить проверку владения этим менеджером конфиденциальной информации (в частности, содержащей коммерческую тайну). Сегодня обычной практикой является ситуация, когда топ-менеджер при увольнении скачивает всю доступную ему информацию предприятия. Главная страница / Архитектура отрасли |