Rambler's Top100
Статьи
02 июля 2014

А.Лукацкий: За безынцидентную работу – пряник

Часто ИБ-службы компании не очень охотно вовлекают персонал в решение задачи борьбы с утечками. Это неправильно, считают эксперты «ИКС».

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 7.

? «ИКС»: Какие организационные меры обеспечения ИБ компании обычно забывают предпринять (информирование персонала, тренинги, программы обучения, практика поощрений и наказаний, др.)? Какие стали "классикой жанра", какие – экзотикой? Андрей Прозоров

Андрей Прозоров, ведущий эксперт по информационной безопасности, InfoWatch: Несмотря на то, что организационные меры обычно недороги и достаточно эффективны, их часто недооценивают и не применяют. Вот топ-5 важных мер, которые обычно забывают принять: разработка и утверждение политики допустимого использования ресурсов (электронной почты, интернета, мобильных устройств, ноутбуков и пр.); первичный инструктаж по правилам обработки и защиты информации; повышение осведомленности пользователей по вопросам актуальных угроз и защиты информации; внедрение политики «чистых столов и экранов»; составление детализированного перечня информации ограниченного доступа, обрабатываемой в компании, и правил работы с ней. Антон Разумов

  Антон Разумов, руководитель группы консультантов по безопасности, Check Point Software Technologies: Все понимают, что ландшафт угроз ИБ постоянно меняется. Если лет семь назад о социальных сетях только начинали говорить, то сейчас они таят в себе серьезную угрозу. Однако много ли компаний проводят регулярные тренинги, оперативно информируют сотрудников об изменениях корпоративной политики безопасности? Аркадий Прокудин  

Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности, АйТи: Самой действенной по-прежнему является работа с персоналом. Обучение персонала и мониторинг выполнения им требований организации. Однако встречается и такая экзотика, как изъятие любого электронного оборудования на проходной и хранение его в ячейках до выхода сотрудника с территории организации. Александр Санин

  Александр Санин, коммерческий директор, Аванпост: Реально работающие организационные меры ИБ встречаются крайне редко. Обычно подобные методы лишь декларируются на бумаге, но в реальности никак не выполняются. Выстроенную и работающую систему периодического обучения персонала и повышения осведомленности в области ИБ я вообще за все время работы в области ИБ (а это больше 10 лет) встречал не более 10 раз. И в большинстве случаев это были западные компании, работающие и в России. Дмитрий Барабаш 

Дмитрий Барабаш, руководитель отдела защиты данных, T-Systems CIS: Сегодня многие российские компании уже используют меры повышения осведомленности персонала. Для тех, кто этого еще не делает, вот градация по степени доступности – информационные рассылки по почте, публикации тематических новостей на интранет-портале, размещение постеров и памяток в переговорных и около общих принтеров, очные тренинги силами специалистов ИБ. По опыту нашей компании, эти меры имеют достаточно высокий КПД, при своей низкой стоимости они часто дают заметный результат. Также важна и дисциплинарная практика. Например, по результатам расследования внутренних инцидентов безопасности службам ИБ рекомендуется доводить результаты до руководителей сотрудников и в отдельных случаях до «широкой общественности». Огласка возможна, конечно, если уязвимость уже закрыта и нет возможности ее повторной эксплуатации. Перед публикацией подобных отчетов в Интранете службе ИБ необходимо проконсультироваться с юридическим и HR-отделами. Вячеслав Медведев

 

Вячеслав Медведев, старший аналитик, DrWeb: В большинстве случаев не забывается о наказании, хотя это и незаконно в большинстве случаев. Если же говорить об организационных мерах, то забывается о вовлеченности сотрудников в процесс обеспечения безопасности. В этих условиях все вышеперечисленное выполняется, но остается галочками – либо приводит к падению производительности труда – фактически виду итальянской забастовки. Александр Трошин

  Александр Трошин, технический директор, «Манго Телеком»: Это существенно зависит от конкретной организации. Но я бы выделил две главные универсальные ошибки. Первая – отсутствие обязательного разъяснения степени конфиденциальности той или иной информации, к которой имеет доступ конкретный сотрудник. Второй – отсутствие связи между усилиями по повышению информационной безопасности и системой работы с персоналом, т.е. HR. На третье место можно, пожалуй, поставить невнимание к usability системы информационной безопасности, что приводит к тому, что система начинает мешать работе и сотрудники перестают следовать правилам (листочки с паролями – классический, но далеко не единственный пример).  

Александр ХрусталевАлександр Хрусталев, директор департамента информационной безопасности, МГТС:   Как правило, забывают именно про обучение персонала азам грамотности по части информационной безопасности. Мало ввести правила и проинформировать сотрудника о них, необходимо донести до сотрудника практическую необходимость соблюдения этих правил для защиты конфиденциальной информации и обозначить его персональную ответственность за их нарушение. В МГТС существует практика создания обучающих курсов для сотрудников по ИБ с последующим прохождением тестирования. Кроме того, каждый сотрудник может проконсультироваться с нашими специалистами по вопросам  ИБ и получить квалифицированную помощь. Применение обучающих курсов позволило сократить в два раза риски утечек конфиденциальной информации. Сергей Иванов

 

Сергей Иванов, руководитель офиса технологии защиты информации, Первый БИТ: Традиционно не уделяется внимание работе с персоналом – в итоге обеспечение безопасности полностью перекладывается на отдел ИБ и вся вертикаль управления организацией снимает с себя ответственность. При отсутствии ответственности то, как именно произойдет утечка уже не важно – будь это многообразные способы копирования данных на мобильные устройства, в том числе при использовании их в качестве модема, отсутствие блокировки сервисов, позволяющих сохранить произвольные объемы данных.

 

Артур СкокАртур Скок, ведущий специалист по внедрению систем защиты информации, СКБ Контур: Чаще всего "слабым звеном" в защите оказываются сами сотрудники, то есть срабатывает "человеческий фактор". В некотором роде идеальным способом защиты является построение системы по принципу "всё, что не разрешено, -- запрещено". То есть сотрудник должен иметь доступ только к тем информационным сервисам, которые ему требуются для выполнения должностных функций. Но в реальности это может сильно демотивировать персонал и снизить его производительность. Александр Бодрик

 

Александр Бодрик, ведущий консультант Центра информационной безопасности, R-Style: Основной проблемой при обеспечении ИБ в компаниях, как правило, является недостаточная поддержка со стороны администрации. Это не позволяет реализовать наиболее эффективные меры, такие как регулярная аттестация и проверка знаний сотрудников по вопросам ИБ, создание горячих линий, интеграция показателей нарушений правил ИБ с финансовой мотивацией сотрудников. При этом классические меры, такие как внедрение режима коммерческой тайны, обучение персонала, интеграция обязанностей по соблюдению правил ИБ в должностные обязанности сотрудников часто оказываются недостаточно эффективными без вышеуказанных процедур. Рустэм Хайретдинов

  Рустэм Хайретдинов, исполнительный директор, Appercut Security: По организационным мерам российские компании находятся в «каменном веке», в большинстве компаний единственный «инструктаж» - подписание пары страниц текста при приеме на работу. Поскольку борьбой с утечками занимается служба ИБ, которая не имеет административных ресурсов для воздействия на персонал, исповедуется «технический» подход – установить на компьютеры или шлюзы агенты, собирающие информацию о перемещении информации, и их пост-анализ. Алексей Лукацкий  

Алексей Лукацкий, эксперт по информационной безопасности, Cisco: Очень многие службы ИБ сегодня слишком полагаются на технические меры, не желая или не умея работать с людьми, которые и являются самым слабым звеном в системе ИБ любого предприятия. Почему-то считается, что технические меры могут компенсировать работу с персоналом, но это не так. При этом к работе с персоналом нельзя отнести только кнут в виде запрета пользоваться корпоративными средствами вычислительной техники в личных целях или получение всеобъемлющего согласия на чтение всей переписки сотрудника. Нужен и пряник в виде поощрения за безынцидентную работу. А достичь ее можно только внедрением соответствующей культуры ИБ на предприятии, включающей целый спектр различных мероприятий.

 

Алексей РаевскийАлексей Раевский, генеральный директор, Zecurion: Часто ИБ-отделы компании не очень охотно вовлекают персонал в решение задачи борьбы с утечками. В некоторых компаниях даже могут скрывать наличие DLP-системы от сотрудников и нас, как вендоров, в таких случаях просят проконсультировать или доработать функционал системы таким образом, чтобы она была еще более незаметна. На мой взгляд, это связано со спецификой оценки эффективности ИБ-подразделений в этих организациях. Там, видимо, считается, что ИБ-служба хорошо работает, если она ловит много инсайдеров. А если всем рассказать, что в компании стоит система, которая за всеми следит, то 99% сотрудников будут ее бояться и воздерживаться от попыток переслать что-то запрещенное за пределы компании. Таким образом, пойманных нарушителей будет меньше, следовательно, польза от ИБ-службы будет как бы тоже невелика. Но это принципиально неправильный подход, который может привести к большим проблемам. Как известно, ни одна система защиты от утечек не обладает 100% эффективностью, и на 10 обнаруженных попыток слива информации останется 1 необнаруженная. В такой ситуации вроде бы ИБ-служба отлично работает и ловит много инсайдеров, но утечки все равно случаются. А если сделать сотрудников союзниками ИБ-службы, регулярно рассказывать им про то, как опасны утечки, какую информацию нельзя посылать за пределы компании и что если все-таки кто-то ошибся, то есть специальная система, которая эту ошибку обнаружит и исправит, то они станут чаще задумываться над своими действиями, и число потенциальных инцидентов снизится. Соответственно, снизится риск утечки и потенциальный ущерб для компании.

Подготовила Лилия Павлова

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!