Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Внутренние угрозы ИБ: инсайдеры и не только

Однако ошибочно было бы считать, что все внутренние информационные риски, т. е. риски, связанные с внутренними угрозами предприятия, исходят только от недобросовестных работников, называемых «инсайдерами», хотя такое представление достаточно распространено даже в литературе по ИБ. В настоящей статье хотелось бы, прежде всего, отойти от столь одностороннего взгляда, представив новые угрозы, актуальность которых значительно возросла за последние годы. Конечно, эти угрозы связаны, в том числе, и с проблемой инсайдеров, которой будет уделено достаточно внимания.

В настоящее время на первое место выдвигается новая внутренняя угроза, связанная с ограничениями полномочий службы ИБ. Ведь даже при наличии желания и воли руководителя или владельца бизнеса решать вопросы ИБ в соответствии с мировыми стандартами и лучшими практиками, в 90% случаев руководитель бизнеса понимает ИБ исключительно как техническую проблему компьютерной безопасности, решаемую на уровне системного или прикладного администратора, считая необходимым содержать для этого лишь технического специалиста. В данном случае, даже если на предприятии создано подразделение ИБ, его руководитель (Chief Information Security Officer – CISO) обычно получает статус технического руководителя среднего уровня, не участвующего в построении бизнеса и в стратегическом планировании развития компании, и, как следствие, не владеющего информацией о структуре бизнеса, о ролях и функциях топ-менеджеров. Не обладает он и другой важнейшей информацией, без которой невозможно эффективно управлять процессами обеспечения ИБ на всех уровнях, поэтому не в состоянии правильно защищать имеющиеся и новые информационные взаимодействия бизнес-единиц. CISO вынужден разрабатывать стратегию и тактику защиты ИТ и информации, исходя лишь из известных международных и национальных стандартов и лучших практик обеспечения безопасности ИТ, а не из бизнес-процессов компании и связанных с ними информационных взаимодействий. CISO трудно учитывать роль и место топ-менеджмента в бизнесе компании, что зачастую влечет за собой серьезные ограничения при решении проблемы инсайдеров. Все эти беды обусловлены тем, что CISO практически не участвует в разработке стратегии предприятия, не допущен к формированию бизнеса, не знает многих бизнес-направлений компании, не знаком с фактическими обязанностями топ-менеджеров и, как следствие, не в состоянии контролировать их действия. Иногда подобная ситуация приводит к серьезным ошибкам в управлении ИБ. Мы приведем несколько реальных примеров.

Пример первый. У предприятия среди контрагентов имеются «особые» партнеры, с которыми организуется специальное информационное взаимодействие. CISO, выстраивая процессы защиты информации и информационных технологий, не информирован об этих партнерах и потому неправильно организует информационное взаимодействие, что наносит существенный урон бизнесу, поскольку открывает доступ партнерам к дополнительной информации.

Пример второй. В хранилище информации компании имеются особо конфиденциальные сведения, причем размещенные в общей базе данных. О наличии данных записей CISO не знает, ибо понятия не имеет об этих «секретных» проектах. Как следствие специальная защита такой информации не реализована, что позволяет относительно легко получить к ней доступ.

Пример третий. Топ-менеджмент предприятия разрабатывает новое направление бизнеса, не зная о том, что его информационное взаимодействие должно соответствовать неким дополнительным требованиям федерального законодательства в области защиты информации, выполнение которых либо делает бизнес не эффективным, либо существенно увеличивает риски, которые руководство предприятия не может принять. CISO, не принимая участия в обсуждении, не может своевременно информировать руководство о существующих ограничениях.

Пример четвертый. При увольнении топ-менеджера CISO не имеет возможности обеспечить проверку владения этим менеджером конфиденциальной информации (в частности, содержащей коммерческую тайну). Сегодня обычной практикой является ситуация, когда топ-менеджер при увольнении скачивает всю доступную ему информацию предприятия.

Главная страница / Архитектура отрасли