Вопрос эксперту

Всякое уважающее себя экспертное сообщество имеет рубрику «Вопрос эксперту», где у специалиста по тому или иному вопросу можно поинтересоваться о наболевшем. Мы решили не отставать и открыть такую рубрику у себя. В ней можно задавать любые вопросы по ИТ и ИБ, начиная от порядка соблюдения норм законодательства и заканчивая правилами установки «железа». Любой вопрос в рамках профессиональной тематики мы адресуем специалисту, который лучше всего разбирается в проблеме может подробно её осветить.

Для того чтобы ваш вопрос попал на рассмотрение и переадресацию эксперту, заполните форму ниже

Задать вопрос

Вопросы экспертам

Как измерять эффективность снижения риска службой ИБ?
Служба информационной безопасности должна быть неотъемлемой частью компании. Естественно, на нее приходится тратить ресурсы предприятия, а в условиях жесткой экономии эффективность использования таких ресурсов и работы самой службы ИБ необходимо как-то оценивать. Наиболее общий подход к решению данной задачи – оценка на основе риска и ущерба. Вот что советуют эксперты, являющиеся сторонниками этого универсального рискового подхода к определению эффективности.

Ольга Фефелова, PR-менеджер МГТС:
Основным показателем эффективности службы ИБ является предотвращенный ущерб – сумма средств, сохраненных компанией вследствие «ненаступления» рисков. Однако для использования этого показателя требуется определенный уровень зрелости системы управления ИБ. В тех организациях, в которых регуляторы проводят внешние проверки на постоянной основе (таких как государственные организации, банки, медицинские учреждения), эффективность работы службы информационной безопасности определяется, в том числе, и по результатам таких аудитов, а именно по отсутствию предписаний и критических замечаний.

Максим Лукин, руководитель направления ИБ компании CTI-Communications:
Я бы свел оценку эффективности к следующим основным моментам. Риски информационной безопасности могут включать в себя как риски, обусловленные недостаточным уровнем защищенности ИТ-инфраструктуры, так и юридические риски, связанные с несоответствием нормативным требованиям. Об эффективности внедрения средств защиты свидетельствует уменьшение количества ИБ-инцидентов и тяжести их последствий для бизнеса (то есть можно говорить о снижении уровня рисков информационной безопасности в целом). Об уменьшении юридических рисков позволяет судить успешно пройденная компанией проверка, проведенная регулятором. Если говорить о подразделении ИБ в целом, то обоснование эффективности его работы для бизнеса – это комплексная задача, и универсальных методик тут не существует.

Игорь Антонов, директор департамента защиты процессов компании «Андэк»:
Оценка эффективности информационной безопасности не может проводиться отдельно от процесса построения системы управления ИБ в целом. Выбор определенных мер и средств обеспечения информационной безопасности обязательно должен быть обусловлен наличием тех или иных рисков. Если, согласно выбранным метрикам, процесс осуществляется эффективно, но не влияет на риск, который он призван снизить, то может возникнуть ложное ощущение эффективности системы ИБ. Следовательно, выбирая метрики эффективности информационной безопасности, нельзя ограничиваться прямыми оценками выполнения того или иного процесса (число обработанных обращений, выявленных уязвимостей) или работы средств защиты (количество выявленных атак). Необходимо оценивать и то, как их использование повлияло на имеющиеся риски ИБ.

Владимир Иванов, директор по развитию компании «Актив»:
Для начала надо разобраться, зачем конкретной организации нужна служба ИБ, какова цель ее создания и как определить, достигнута ли она. Только ответив на эти, казалось бы, простые вопросы, можно подобраться к ответу на вопрос об эффективности работы службы ИБ.
Когда мы говорим о рисках, очевидно, мы имеем в виду, что угрозы могут реализовываться с определенной вероятностью. Следующий момент оценки – реализация системы защиты информации, соответствующей сформулированным рискам и нейтрализующей обозначенные угрозы. При этом важно, насколько эффективные средства обеспечения безопасности выбраны и каковы возможности поддержания системы защиты информации в адекватном состоянии. Следующий существенный момент – разработка и эффективная реализация организационных мер по защите информации. Техника не всесильна, а человек очень часто является самым слабым звеном в системе ИБ.

Как добиться соответствия сайта требованиям 152-ФЗ?
Закон "О персональных данных" с номером 152-ФЗ жёстко регламентирует как именно должны обрабатываться данные россиян. При этом требования по защите персональных данных (ПДн) содержатся не только в самом законе, но и в подзаконных актах различных российских ведомств, поэтому разобраться в требованиях не просто. В то же время наиболее заметной информационной системой компании, на которую точно обратят внимание регуляторы, является её веб-сайт. Именно поэтому мы задали нашим экспертам следующий вопрос:
Какие этапы построения защиты должна выполнить компания, которая имеет свой сайт, чтобы добиться его соответствия требованиям 152-ФЗ "О персональных данных"?

Екатерина Мухина, руководитель группы по работе с клиентами, DEFA:
Перечень мер защиты персональных данных и организационных мероприятий с этим связанных зависит от требуемого уровня защищенности сайта, который в свою очередь зависит от таких параметров, как тип хранимых персональных данных, их объём и др.
Соответственно, общими этапами могут быть:
1. Определение требуемого уровня защищенности сайта.
2. Определение перечня необходимых мер (организационных, программных, аппаратных), необходимых для обеспечения требуемого уровня защищенности.
3. Ввод в действие системы мер по защите информации.
4. Разработка должностных инструкций, обучение персонала, работающего с персональными данными.
5. Документальное подтверждение соответствия свойств и характеристик сайта предъявляемым к ней требованиям.

Игорь Луканин, менеджер продукта «Контур.Персональные данные», СКБ "Контур"
Этап 1. Разобраться, как используется сайт. Выясните, размещает ли компания на сайте материалы, содержащие персональные данные. Выясните, собирает ли она персональные данные через сайт. Дальнейшие действия зависят от этого.
Этап 2. Взять согласие на размещение персональных данных на сайте. Получите согласие физических лиц на распространение персональных данных — раскрытие неопределённому кругу лиц через сайт. Информация о работниках часто публикуется в разделе о компании, информация о клиентах — в отзывах о полученных услугах. Включите пункт о согласии в договор или анкету, которые подписывает клиент, а у работника возьмите отдельное письменное согласие.
Этап 3. Получайте согласие при сборе данных через сайт. Позвольте физическим лицам, сообщающим персональные данные на сайте, предоставить согласие на их использование. Часто это происходит при регистрации на сайте, оформлении заказа, предоставлении обратной связи. Расскажите посетителю сайта, как используются эти данные, и дайте согласиться на это. «Галочка» перед кнопкой отправки подойдёт — физическое лицо предоставит согласие в конклюдентной форме, совершив подтверждающее согласие действие. Некоторые персональные данные при такой форме согласия собирать нельзя: на получение специальных категорий данных и биометрических данных нужно письменное согласие. Исключение — если субъект делает специальные категории данных общедоступными (например, рассказывая на странице в социальной сети о своих политических взглядах и мировоззрении). Другое ограничение при получении согласия в конклюдентной форме — запрет на решения, затрагивающие права и интересы физического лица и принимаемые на основании исключительно автоматизированного анализа данных. На это нужно письменное согласие. Нельзя оставлять такие решения на откуп машине — нужен контроль со стороны человека. Так на сайтах микрофинансовых организаций клиенты заполняют заявки на займ, оцениваемые системой скоринга, однако окончательное решение о выдаче займа принимает работник МФО.
Этап 4. Разместите на сайте политику в отношении обработки персональных данных. Компания должна разработать политику и обеспечить к ней неограниченный доступ. Если компания собирает данные через сайт, политика обязательно размещается на сайте. Полезно публиковать политику на сайте, даже если компания не собирает данные через него — это демонстрирует желание выполнить 152-ФЗ клиентам и Роскомнадзору, который проверяет наличие политики на сайтах безо всякого предупреждения.
Этап 5. Принимайте обращения физических лиц через сайт. Закон даёт физическим лицам право обратиться к оператору и получить сведения об обработке его персональных данных. Дайте клиентам сделать это так, как им удобно — лично в офисе, по почте и через сайт компании.
Этап 6. Защитите данные, собираемые через сайт. Выясните, какие угрозы актуальны при вводе данных на сайте, передаче на сервер, хранении и дальнейшем использовании. Например, атаки типа XSS и MitM, атаки на сервер. Используйте протокол HTTPS при передаче данных и принимайте другие защитные меры, ориентируясь на актуальность угроз.

Ринат Катчиев, руководитель направления аудита и консалтинга компании Softline.
1. Если на сайте обрабатываются персональные данные – оператор или обработчик этой информации обязан обеспечивать безопасность обработки в соответствии с законодательством РФ и требованиями по безопасности информации;
2. На сайте должен быть опубликован документ, определяющий политику оператора в отношении обработки персональных данных;
3. Оператор должен быть зарегистрирован в реестре операторов персональных данных на сайте Роскомнадзора по адресу http://pd.rkn.gov.ru/operators-registry/operators-list. Исключением является выполнение трудового законодательства, обработка ПДн в целях выполнения договора, обработка общедоступных данных, обработка только ФИО и тому подобное;
4. Оператор должен обрабатывать персональные данные с соблюдением правил, установленных Федеральным законом №152-ФЗ "О персональных данных", в частности, собирать согласия субъектов персональных данных на обработку их персональных данных. При этом в ряде случаев, установленных законом «О персональных данных», это не требуется. Основные из них перечислены ниже:
• обработка персональных данных необходима для осуществления правосудия;
• обработка персональных данных необходима для исполнения договора, стороной или выгодоприобретателем по которому является субъект персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом РФ;
• обработка персональных данных необходима для защиты жизни и здоровья субъекта персональных данных, при условии, что получение согласия субъекта невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов оператора.
5. Необходимо удостовериться, что компания, предоставляющая услуги хостинга, выполняет требования законодательства по защите персональных данных. Также необходимо юридически закрепить (например, поручением обработки или договором) обязательство компании-хостера по обеспечению безопасность обработки ПДн и выполнению требований в соответствии с законодательством РФ.
6. Для построения эффективной системы защиты персональных данных должно быть проведено всестороннее обследование информационных систем, обрабатывающих персональные данные, и подготовлен необходимый набор проектной и организационно-распорядительной документации, включающей в себя модели угроз и нарушителя, техническое задание, положения, приказы, инструкции и прочую документацию, направленную на реализацию требований нормативной базы регулирующих органов.
7. В случае необходимости должны быть проведены мероприятия по технической защите ИСПДн с внедрением средств защиты информации, прошедших процедуру оценки соответствия. СЗИ могут включать в себя антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и другие средства, использование которых установлено регулирующими органами.
8. В случае, если есть требования по обязательной оценке соответствия – необходимо провести аттестацию ИСПДн по требованиям безопасности информации.

Денисенко Екатерина, старший юрист гражданско-правового Департамента, юридическая фирма «КЛИФФ»:
Система защиты в сфере обработки персональных данных состоит из трех частей: документальное оформление, выполнение фактических действий, направленных на обеспечение защиты персональных данных, и, наконец, регистрация в качестве оператора по обработке персональных данных.
сональных данных в компании, собирающей персональные данные через свой Интернет сайт, необходимо разрабатывать индивидуально.
Усиленная защита должна быть применена при обработке биометрических и специальных (национальность, вероисповедание и аналогичные) персональных данных. При этом, необходимо учитывать, что изображение страницы паспорта, содержащей фотографию, также относится к биометрическим персональным данным.
Дополнительные меры по защите информации необходимо применять при трансграничной передаче данных, в случае направления персональных данных на любой персональный компьютер, расположенный за пределами Российской Федерации.
Говоря о пакете документов, необходимых для обеспечения законности, можно выделить обязательные и дополнительные документы. Если отсутствие обязательного пакета документов, является основанием для получения претензий от контролирующих государственных органов, то дополнительные будут необходимы самому оператору в случае утечки информации или возникновения иных спорных ситуаций.
К обязательным документам можно отнести следующие:
• положение о комиссии по приведению деятельности Заказчика в соответствие с требованиями законодательства в области персональных данных и приказ о её назначении
• положение по обработке персональных данных;
• форма обязательства о неразглашении персональных данных;
• форма соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку;
• уведомление об обработке персональных данных.
Перечень обязательных фактических действий, которые необходимо предпринять, очень обширен и варьируется в каждом конкретном случае. В случае сбора персональных данных посредством сети Интернет, в обязательном порядке к таким действиям относится установка антивирусной системы, паролей на компьютеры, на которых осуществляется обработка персональных данных; резервное копирование; ограничение доступа в помещения в которых осуществляется обработка персональных данных.
Полный перечень мер, которые необходимо принимать при защите персональных, определен органами ФСБ и ФСТЭК.
Иногда обработка персональных данных требует направление соответствующего уведомления в Роскомнадзор. Форма заполняется на сайте http://pd.rkn.gov.ru/operators-registry/notification/. Но необходимо помнить, что заявление также нужно будет направить по почте.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1. сотрудников;
2. полученных оператором в связи с заключением договора;
3. относящихся к членам (участникам) общественного объединения или религиозной организации;
4. общедоступных персональных данных;
5. включающих в себя только фамилии, имена и отчества;
6. необходимых в целях однократного пропуска;
7. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем;
8. обрабатываемых вручную;
9. обрабатываемых государственными и муниципальными органами.
Большая часть компаний, получающих персональные данные через свой Интернет сайт, к таким исключениям не относятся и должны направлять уведомление в Роскомнадзор.
Соблюдение всех мер защиты персональных данных - это достаточно трудоемкая и комплексная работа. Но разработка полного и качественного пакета документов, создание необходимых технических условий защиты персональных данных и направление уведомления в Роскомнадзор позволят избежать привлечения к административной и даже уголовной ответственности.
При работе с потребителями через Интернет сайт, сборе персональных данных для направления маркетинговых рассылок помимо законодательства о защите персональных данных, необходимо учитывать ограничения, предусмотренные законами о рекламе, связи и защите прав потребителей.

Николай Горожанкин, руководитель, веб-студия «Первый БИТ» (г. Воронеж)
Защиту персональных данных в любом веб-проекте можно разделить на активную и пассивную. Пассивная используется для исключения попыток взломов, то есть подстраховка. Например, хранение всех паролей в зашифрованном виде, запрет ввода вредоносного кода в формах взаимодействий системы (обратная связь, регистрация), использование CAPTCHA - ввод символов для защиты от автозаполнения форм.
Также к пассивной защите можно отнести права на файлы и папки веб-приложения. Данные права должны быть организованы таким образом, чтобы извне изменения в файлах произвести было невозможно - достаточно иметь доступ к одному файлу в веб-приложении, чтобы взломать всю систему. Активная защита – это веб-антивирусы, различного вида межсетевые экраны - системы, которые пресекают попытки взлома. На данный момент рынок ИТ-услуг предлагает множество решений веб-антивирусов от простых до сложных. Некоторые компании, к примеру, «1С Битрикс», на все лицензии продуктов для создания веб-сайтов в комплекте предоставляет достаточно мощный модуль для защиты сайта «Проактивная защита». Данный модуль не только пресекает попытки взлома веб-приложения, но и позволяет просматривать и анализировать множество видов атак.
Несколько советов по защите веб-приложения:
1. Выбор хостинга. Выбирая компанию, предоставляющую услуги хостинга, необходимо ознакомиться с системами защиты, которые она предоставляет.
2. Проектируя веб-приложение, необходимо обеспечить защиту всем входным данным, особенно системам взаимодействия с пользователем: обратная связь формы подписки, формы заказов, авторизация, регистрация и так далее.
3. Обеспечить веб-приложению хранение паролей - в зашифрованном виде.
4. Исключить запись и хранение в сессиях веб-приложения или в сессиях веб-барузера пользовательских данных.
5. Исключить передачу паролей по электронной почте.
6. Исключить передачу персональных данных методом $_GET (через строку браузера).
7. Использовать сторонний или штатный (в случае, например, продукта «1С-Битрикс») веб-антивирус.
При проектировании веб-приложения любой сложности необходимо прилагать максимум усилий для защиты веб-проекта, поскольку любая утечка персональных данных - серьезная угроза как самому проекту, так и компании в целом. Утечка персональных данных не понизит репутацию вашей компании, она преследуется по закону.

Как реагировать на ночные атаки?
У многих небольших компаний есть часть оборудования, которое работает круглосуточно, хотя управлять им по ночам не обязательно. Но иногда возникают ситуации, когда на инциденты нужно реагировать оперативно, поскольку есть вероятность опоздать. Как же поступить небольшой компании в следующей ситуации:
Нас хакеры атаковали ночью, когда администраторы не смогли вовремя отреагировать на нападение, и произошла утечка данных. Что нам делать, что бы таких проблем больше не было?

Вадим Галлямшин, эксперт сервиса "Контур-Безопасность" компании СКБ "Контур"
При первом прочтении вопроса, я был очень удивлен такой его постановке. Можно ведь совсем утрировать и сказать «нас хакеры атаковали, пока администраторы были на обеде». Но, немного поразмыслив, я понял откуда «растут ноги». Сейчас попробую объяснить, почему такого рода вопросы могут возникать и что нужно сделать, чтобы их не было.
Я бы сказал, что эта проблема – это следствие того подхода к ИБ, который реализуется в очень многих компаниях. Как правило, это происходит в малом и среднем бизнесе. От крупной компании со зрелой ИБ такого вопроса мы не услышим.
Приведу пример из своей практики. Есть у меня один знакомый – работает «безопасником» в региональной компании средних размеров (штат порядка 300 человек). Мы с ним давно ведем очень однобокую переписку. Я пытаюсь объяснить ему, что к построению ИБ нужно подходить последовательно. Есть мировые практики (так называемые best practices), стандарты и рекомендации.
Взять тот же SANS 20 Critical Security Controls (20 наиболее важных мероприятий по ИБ по версии авторитетной международной организации SANS). С наивысшим приоритетом идут мероприятия по инвентаризации устройств и ПО, безопасному конфигурированию ПО и «железа», контролю вредоносного ПО, контролю беспроводных устройств и т.д. Тот же пресловутый DLP только лишь на 17 месте.
Так вот, этот товарищ с места в карьер просит продать ему DLP. На вопрос было ли вообще в компании что-то сделано для минимизации рисков утечки информации он ответил, что нет. Не реализован контроль носителей, пользователи работают из-под учётных записей администраторов, не реализовано разграничение прав доступа в информационной системе и так далее. Зато, подавайте DLP. Так и в данной ситуации. ИБ в целом должна выстраиваться так, что она бы никак не зависела от того где находится администратор (спит, болеет, в отпуске).
Как обычно реагируют на угрозы «атаки хакеров»? Надо срочно купить самый крутой и самый навороченный межсетевой экран. Надо срочно поставить IPS. Надо купить ловушку Honey Pot. И так далее. Да вот только я знаю приличное количество компаний, обладающих всеми этими системами, но при этом обойти которые не составит труда. Никакой межсетевой экран, IPS или ловушка не защитят вашу компанию от того, что бухгалтер, осуществляющий платежи, не загрузит вредоносное ПО и не уйдет на обед, оставив токен в системном блоке. Ни межсетевой экран, ни IPS, ни ловушка не защитят вашу компанию от инсайдеров, содействующих внешним злоумышленникам. Внешняя атака ведь может быть всего лишь прикрытием для того злодеяния, которое творится на самом деле. В большинстве организаций, для того, чтобы стащить ценную базу клиентов с сервера, достаточно быть всего лишь продвинутым пользователем.
Как насчет социальной инженерии? Если не проводить регулярные обучения и тренинги сотрудников, работающих с конфиденциальной информацией, реализовать подобные атаки не помешает даже играющий в World of Tanks на рабочем месте системный администратор. Обучайте пользователей. Повышайте уровень их осведомленности. Показывайте им, как их же могут использовать для совершения незаконных действий. Покажите им ответственность за это. Так что, если отвечать прямо и без подробностей на основной вопрос – используйте системный подход к ИБ и будет вам спокойствие.

Александр Бодрик, ведущий консультант центра информационной безопасности ЗАО "Эр-стайл"
Мастер каратэ не зайдет в темный переулок», а значит и рекомендация будет прежде всего в том, чтобы начать управлять «поверхностью атаки» – уязвимостью корпоративной сети. Программа управления поверхностью атаки (attack surface management) подразумевает как выстраивание процесса управления уязвимостями, так и регулярные внешние аудиты периметра корпоративной сети и доступных извне приложений. Для оптимизации затрат на исправление уязвимостей желательно использовать интеллектуальные системы приоритезации уязвимостей, а так же наладить рабочие отношения с соответствующими службами ИТ (поддержка ПК, серверов, сети и приложений). Полезным будет и использование аналитических инструментов по контролю сетевых политик и портов, особенно учитывая практическую невозможность ручного аудита сетевой конфигурации в большой сложной сети.
После внедрения эффективной программы управления поверхностью атаки рационально подумать о выявлении и блокировке атак. Как минимум нужно закрывать традиционные вектора атак – почта, веб, сеть, с последующей интеграцией отдельных средств защиты в единую консоль управления и автоматической интеллектуальной блокировкой. Внедряя технологии стоит помнить о том, что полноценным внедрением стоит считать организацию эффективной связки из системы, регламентов и обученного персонала, позволяющей получить реальный эффект для уровня защищённости организации.
Почти последним по порядку, но не по значимости, будет реализация программы мониторинга и мотивации привилегированных пользователей. Системы технологического независимого мониторинга и видеозаписи всех действий подрядчиков и администраторов, и организационной системы – ведь без достаточной мотивации (лояльности) привилегированных пользователей, технологии, увы, будут в состоянии лишь снизить, но не предотвратить урон, что для многих организаций, впрочем, уже не мало.

Борис Грейдингер, директор по информационным технологиям ESET Russia
На самом деле, дневная и ночная атаки равновероятны, поскольку для хакеров не составит труда найти уязвимость в любое время суток. Как вариант, злоумышленники могут находиться с потенциальной жертвой в разных часовых поясах. Утечка данных может произойти в любое время, поэтому вопрос – в мерах обеспечения безопасности. И здесь возможны два варианта:
Компания должна использовать специализированные программно-аппаратные комплексы для мониторинга возможных инцидентов безопасности в периметре корпоративной сети, на внешних веб-ресурсах и в других информационных системах.
Также необходимо организовать круглосуточное дежурство специалистов с регламентом оповещения ответственных лиц о нештатных ситуациях и тем самым снизить риск утечек данных и взлома ресурсов в любое время суток.
Если компания не располагает ни материальными, ни человеческими ресурсами для организации указанных мероприятий, она может передать эту функцию на аутсорсинг. Профессиональную круглосуточную защиту информационных систем различного назначения предлагает целый ряд компаний.

Александр Хрусталев, директор по информационной безопасности ОАО МГТС
Ответить на этот вопрос можно как с точки зрения действий системного администратора, так и с точки зрения используемых в организации технологий. Если проблема главным образом заключалась в скорости реакции, то, в зависимости от критической важности информации и информационных систем, нуждающихся в обслуживании в ночное время суток, можно выделить следующие решения:
1) поручить контроль за сохранностью информации человеку, а именно, создать расписание дежурств, регламент поведения и алгоритмы действий в критических ситуациях;
2) внедрить в эксплуатацию систему мониторинга с возможностью гибкой настройкой под вашу систему. Заполнить её базу датчиками состояний ИС и сценариями восстановления работы системы в случаях отказов датчиков. Большинство систем мониторинга могут уведомлять человека почтовым сообщением, SMS или голосовым вызовом. Таким образом, автоматика сможет оперативно предупредить об утечке информации и оповестить ответственных лиц.
Если проблема заключается в доступности данных, то тут могут помочь решения, основанные на процессах шифрования. Можно установить корпоративную систему защиты конфиденциальной информации с централизованным управлением (например, Secret Disk Enterprise), а всю ценную коммерческую информацию хранить в зашифрованных папках.
Даже если в результате атаки хакеры получили доступ (перехватили управление от имени всех системных администраторов, дистанционно запустили всё оборудование и так далее), никакая конфиденциальная информация не сможет быть считана и расшифрована, поскольку компьютеры получают ключи шифрования от защищённых ресурсов только после двухфакторной аутентификации при помощи токенов (например, JaCarta).
Даже если пользователь оказался слишком безответственным или был в тайном сговоре с хакерами и оставил токен в своём ПК, системный администратор всё равно не сможет прочитать конфиденциальную информацию, поскольку секретные ключи шифрования сами зашифрованы в свою очередь на ключе сертификата пользователя.

Олег Мусинов, технический директор Borodutch Studio
Чтобы избежать повторной успешной атаки компании необходимо, в первую очередь, понять, что стало причиной и через какие каналы был реализован взлом - это могут быть вирусы, шпионское ПО и другие вредоносные программы, компрометация учетных данных и многое другое. Анализ всей ситуации позволит предприятию выявить уязвимые места в информационной системе и в дальнейшем изменить схему информационной безопасности с учетом уже имеющихся данных.
Как показал опыт МГТС, наиболее эффективной мерой выявления слабых мест информационной защиты является имитация действий злоумышленника. Это помогает заранее обратить внимание на проблемные места и предпринять целенаправленные меры по их устранению, разработать систему защиты для предотвращения кибератак. При этом не стоит забывать и об основных постулатах информационной безопасности: поддержании антивирусных баз и антиспама в актуальном состоянии, применении стойких и регулярно сменяемых паролей на информационных системах, повышение грамотности персонала компании в части ИБ, контроль за использованием сотрудниками мобильных устройств и планшетов для работы и так далее.

Как управлять многовендорной защитой?
Доверять защиту одному производителю (вендору) не принято. В лучших практиках и некоторых руководящих документах есть требование использовать средства защиты разных производителей. Кроме того, многовендорные системы возникают при слиянии или поглощении компаний. Каждый производитель предлагает клиентам свою систему управления, но управлять продуктами других производителей с её помощью нельзя. В результате, компании часто строят систему обработки событий SIEM, но реакцию на инциденты приходится вносить по отдельности в системы управления разных производителей. Именно поэтому мы задали экспертам следующий вопрос:
С помощью каких инструментов можно управлять многовендорной защитой?

Александр Хрусталев, директор по информационной безопасности ОАО МГТС
В настоящее время с учетом роста ИТ-инфраструктуры, в том числе её разнообразия, растет и число рисков информационной безопасности, как следствие появляется потребность в использовании различных типов систем защиты. В силу ряда причин данные системы закупаются у различных производителей (вендоров) и, как следствие, многообразие систем защиты влечет за собой сложности в администрировании и обработке информации с них. Для систематизации и сокращения времени реакции на тот или иной инцидент, как правило, используют системы класса Security Information and Event Management, которые обеспечивают сбор, корреляцию и регистрацию событий со всех средств защиты информации в режиме реального времени.
В ОАО МГТС используется система класса SIEM, которая позволяет обнаруживать аномальную активность, несанкционированные действия в момент их выполнения, получать статистику событий в процессе расследования инцидентов, а также составлять собственные правила управления инцидентами информационной безопасности исходя из особенностей ИТ-инфраструктуры Компании. Благодаря выявлению инцидентов информационной безопасности на начальной стадии нашим экспертам-аналитикам удается минимизировать последствия этих инцидентов или предотвратить их вовсе. В конечном счете, SIEM позволяет эффективнее управлять многовендорной системой защиты МГТС.
Помимо SIEM на рынке существуют другие классы решений для управления многовендорной защитой, в большинстве своем это решения бизнес-аналитики и отчетности, которые по сути своей автоматизируют и упрощают сбор информации и демонстрацию эффективности подразделения ИБ для руководства. Однако, перед внедрением того или иного инструмента необходима оценка рисков и возможных потерь для сохранения приницпов разумности и достаточности.

Алексей Оськин, руководитель отдела технического и маркетингового сопровождения ESET Russia
При построении многовендорной системы защиты информации большое внимание уделяется возможностям контроля и управления всеми узлами системы.
Отдельные вендоры обычно разрабатывают продукт для централизованного управления только своими продуктами. Но в многовендорных системах неудобно (или неэффективно) контролировать и использовать средства управления для каждого продукта. Существуют специальные продукты класса SIEM (Security information and event management), которые позволяют обрабатывать информацию от различных источников и уведомлять специалистов при несоответствии ранее заданным критериям безопасности.
SIEM системы решают первый вопрос – контроля работы многовендорной системы продуктов – и позволяют оперативно реагировать на различные инциденты информационной безопасности. Данные системы довольно независимы от набора конечных продуктов, так как работают со стандартными данными (логами) или событиями, которые большинство современных продуктов для защиты информации способны формировать и передавать.
Что касается вопроса управления всеми продуктами, то здесь все решается индивидуально, так как создать и развивать универсальный продукт для управления другими продуктами довольно сложно и, главное, дорого.
Существуют вендоры, которые предлагают комплексную систему информационной защиты, основанную на многовендорных продуктах с уже интегрированной SIEM системой и возможностями централизованного управления всеми продуктами. При этом конечному клиенту могут предлагать выбрать состав продуктов из существующего перечня.
Но такие решения из-за их дороговизны могут позволить себе не все компании. В этом случае инструменты для централизованного управления многовендорной системой защиты информации разрабатываются сотрудниками компании: системными администраторами, программистами или специалистами по информационной безопасности. Большинство современных продуктов для защиты информации поддерживают скриптовые языки, что позволяет разрабатывать довольно гибкие инструменты для их управления.

Андрей Воробьев, эксперт по информационной безопасности компании «Андэк»
На сегодняшний день практически невозможно построить сетевую инфраструктуру из решений одного производителя. Приходится использовать многовендорный подход. Такой подход, оказывает дополнительные сложности при управлении безопасностью. Подумайте насколько сложно администратору по ИБ будет разобраться во всех конфигурациях устройств, а внесение вручную изменения может оказаться очень трудоемким процессом и отнимет массу времени. Кроме того необходимо понимать, что вносимые изменения являются правильными и не нанесут вред корпоративной информации.
Избежать этих проблем и упростить работу администраторам по ИБ помогают системы по управлению устройствами обеспечения ИБ. На сегодняшний день основными игроками на российском рынке являются 4 компании: Tufin, Algosec, Firemon, SkyBox.
Основные функции, которые выполняют решения данных компаний схожи. Это:

• Анализ рисков
• Аудит и проверка на соответствие стандартам
• Оптимизация политик безопасности
• Упрощение процедуры управления МЭ
• Проверки на соответствие минимальным требованиям ИБ

Так как основные функции у всех вендоров похожи, то окончательное решение по выбору может быть принято в зависимости от пожеланий и потребностей заказчика.

В чем состоит особенность обеспечения информационной безопасности в территориально распределенной компании?
Организовать защиту информационной системы даже в одном офисном здании – совсем не просто. Если же компания, например, имеет несколько филиалов и, соответственно, офисов, то сложность задачи возрастает многократно. Мы попытались разобраться, в чем состоит особенность обеспечения информационной безопасности в территориально распределенной компании.

Владимир Перминов, начальник отдела продвижения и поддержки продаж R-Style
Я бы выделил три ключевых аспекта, на которые необходимо обратить внимание при обеспечении ИБ территориально распределенной компании.
1. Прежде всего, следует выяснить, как реализуются основные бизнес-процессы и каковы информационные потоки компании. Понимание того, где, как и кем обрабатывается информация, циркулирующая между головным офисом и удаленными площадками, поможет сформировать адекватную модель угроз и на ее основе внедрить необходимые технические и организационные меры защиты.
2. Нужно обеспечить как безопасность сетевого взаимодействия между удаленными площадками и головным офисом, так и защиту периметра ИТ-инфраструктуры каждой площадки.
3. Головному офису необходимо организовать эффективный контроль и мониторинг состояния ИБ на удаленных площадках. Эта задача актуальна во многих территориально распределенных компаниях, так как зачастую сложно получить в удаленном режиме полную и достоверную информацию без средств автоматизации. Как правило, внедрение решений классов SIEM и BI позволяет решить часть технических проблем. Не следует забывать и о регулярном обучении сотрудников, связанном с защитой информации, поскольку на практике большинство ИБ-инцидентов обусловлены человеческим фактором.

Алексей Оськин, руководитель отдела технического и маркетингового сопровождения ESET Russia
Можно выделить два типа способов обеспечения ИБ в территориально распределенных компаниях.
Первый тип – создание отделов информационной безопасности в каждом филиале. Локальные отделы занимаются киберзащитой только своих подразделений, но в соответствии с общей политикой безопасности компании. В этом случае ответственность распределяется между региональными руководителями служб ИБ. Для реализации данной схемы требуется иметь на местах значительное число высококвалифицированных специалистов.
Второй тип – использование современных программно-аппаратных средств, поддерживающих функционал удаленного управления. В этом случае достаточно организовать один ИБ-отдел в штаб-квартире организации, сотрудники которого удаленно управляют защитой в региональных филиалах. А в каждом филиале работают лишь один-два системных администратора со средним уровнем квалификации.
Вопрос обеспечения ИБ в территориально распределенных филиалах каждое предприятие решает по-своему. Выбор конкретного решения зависит от особенностей компании и объема средств, которые она готова вложить в защиту информации.
Вполне вероятно, что после такого обсуждения бизнес-руководители предпочтут продолжить финансирование ИБ в прежнем объеме.

Александр Ульянов, ведущий инженер департамента телекоммуникационных решений компании «ЛанКей»
Обеспечение информационной безопасности является комплексным непрерывным процессом. В территориально распределенных компаниях с несколькими географически разделенными филиалами пристальное внимание уделяется ИБ главного офиса, но, к сожалению, не всегда обеспечивается должная защита филиалов. Однако пренебрегать информационной безопасностью филиалов крайне нежелательно, поскольку при получении злоумышленниками доступа к инфраструктуре филиала может быть нанесен значительный ущерб всей компании. В случае ненадлежащей организации киберзащиты филиалов возможны атаки на центральный офис через доверенную сеть филиалов, получение злоумышленниками доступа к конфиденциальной информации и реализация других угроз.
Наиболее затратный, но самый эффективный подход к обеспечению ИБ – развертывание многоуровневой защиты. При таком подходе отказ одного из устройств защиты не приводит к уязвимости всей сети.
Зачастую встречаются, как минимум, две ошибки при обеспечении ИБ территориально распределенных компаний: использование незащищенных каналов связи и отсутствие или недостаточная проработка общей политики безопасности. Защита информации, передаваемой по распределенной корпоративной сети, с помощью современных средств и технологий шифрования снижает риск утечки важных данных по публичным каналам связи (Интернету). На мой взгляд, одним из самых важных факторов (если не основным) обеспечения ИБ в распределенных компаниях является наличие четко сформулированной и задокументированной политики безопасности для каждого уровня защиты и каждой системы. Эти политики должны применяться вкупе с другими внутриведомственными документами, например содержащими инструкции для пользователей или определяющими их ответственность за нарушение правил ИБ.
Не стоит забывать об однородности инфраструктуры и используемых технологий. Проработка компанией стандарта подключения новых устройств и офисов облегчает управление инфраструктурой, ее мониторинг, снижает возможность ошибок при внедрении.

Ксения Шудрова, независимый эксперт
Обычно в территориально распределенных компаниях возникают общие проблемы в области обеспечения ИБ, из которых, по моему мнению, наиболее актуальны следующие.
1. Сложность аудита, необходимость проведения выездных проверок и установки средств удаленного мониторинга. Некоторые инциденты остаются скрытыми от руководства.
2. Необходимость защиты каналов связи между филиалами и головным офисом. В некоторых случаях (например, в отношении персональных данных) обеспечение мер безопасности является обязательным. В Приказах ФСТЭК № 17 и № 21 приведены требования к защите канала связи. Применение криптографических средств регламентируется документами ФСБ, в частности Приказом № 378. Защита коммерческой тайны федеральными законами не регулируется, и каждая организация вправе организовывать ее по своему усмотрению.
3. Увеличенное время реагирования на инциденты. Порядок реагирования на инциденты, связанные с персональными данными, закреплен в ФЗ-152 «О персональных данных». Необходимо организовать работу с обращениями субъектов персональных данных и отвечать на их запросы в определенные сроки.
4. Сложности при организации проверок. Зачастую специалисты по защите информации находятся в головном офисе, а в филиале ответственными назначают ИТ-сотрудников. В результате специалистам центрального офиса приходится тратить дополнительное время на связь с филиалами, а если проблема не решается удаленно – еще и на дорогу.
5. Необходимость обеспечения безопасности центрального узла. На моей памяти – такой случай: из-за отключения электричества в центральном здании перестала работать сеть банкоматов по всему краю.
6. Низкий уровень подготовки кадров на местах, сложность обучения. Обратившись к Закону «О персональных данных», можно увидеть, что обучение сотрудников, связанное с защитой ПДн, – прямая обязанность компаний.
7. Низкая лояльность сотрудников удаленных офисов как следствие их меньших зарплат и ослабления дисциплины; «навязывание» головным офисом решений, которые должны использоваться удаленными офисами. Ну а в целом основные проблемы связаны с организацией канала передачи данных и с контролем над сотрудниками.

Олег Мусинов, технический директор Borodutch Studio
Основная техническая особенность обеспечения ИБ территориально распределенной компании – необходимость организации надежного защищенного канала связи с отдаленными офисами. Надежность взаимодействия с ними можно основательно повысить с помощью резервного канала связи, функционально дублирующего основной. Защищенность канала обеспечивается стойким шифрованием. Для большинства ситуаций подойдёт VPN с шифрованием на канальном уровне. Если планируется передавать персональные данные, криптошлюзы должны иметь соответствующие сертификаты ФСБ.
Организационная особенность – это, в первую очередь, необходимость реализации единой политики безопасности во всех отделениях. Прочность системы равна прочности ее самого слабого звена, поэтому нельзя допускать нарушения правил ИБ в сколь угодно отдаленных филиалах.
При невозможности или нецелесообразности обеспечения единого уровня защищенности компании можно сегментировать ее информационную систему. Это следует сделать так, чтобы из удаленных филиалов с их невысоким уровнем обеспечения ИБ осуществлялся доступ только к той информации, которая такому уровню соответствует. Их доступ к более важной информации должен быть закрыт точно так же, как доступ извне, из публичных сетей.
Если речь идет о крупной компании, отделения которой имеют собственные ИТ- и ИБ-отделы, то необходимо регулярно проводить внутренний аудит силами сотрудников центрального отделения. Цель аудита – проверка выполнения всех требований политики безопасности в отделениях.
Система управления ИБ должна быть как можно более централизованной. В тех случаях, когда это технически возможно, доступ к управлению и журналу работы средств ИБ необходимо предоставить сотрудникам службы ИБ центрального отделения. Оповещения о сбоях в работе важных узлов системы должны приходить к сотрудникам не только удаленного отделения, но и центрального.
Система аутентификации (если это, опять-таки, технически возможно) тоже должна быть централизованной, то есть необходимы единая база учетных данных и минимизация прав доступа. Если на то нет веских причин, пользователи одного филиала не должны иметь доступа к информационной системе (локальной сети, серверам, рабочим станциям) другого филиала. Общие для всех отделений серверы следует разместить в центральном отделении. Это позволит локализовать и уменьшить ущерб от несанкционированного доступа.

Как оптимизировать ИБ?
В наше непростое время многим компаниям приходится сокращать расходы. При этом порой страдают и подразделения информационной безопасности, которые воспринимаются бизнесом как источники расходов, практически не приносящие прибыли. Варианты ответных действий руководителей ИБ-отделов могут быть самыми разными – от активной борьбы за сохранение прежних бюджетов до сведения к минимуму деятельности, связанной с защитой информации. Мы задали экспертам рынка следующий вопрос: как при снижении расходов на ИБ сохранить приемлемый уровень безопасности?

Сергей Груздев, генеральный директор компании «Аладдин Р.Д.»
Сама по себе возможность обеспечения приемлемого уровня безопасности в условиях зарождающейся политики тотальной экономии представляется призрачной. Экономить на ИТ и ИБ, конечно, не возбраняется – это позволит несколько облегчить положение компаний. Но практиковать такой подход можно лишь ограниченное время, особенно если произойдут серьезные случаи, связанные с фродом. И, понятно, если это случится, будет уже поздно что-то предпринимать... Нужно осознавать, что в условиях общей паники и урезания бюджетов злоумышленники, хорошо знающие, что дыры в системах защиты есть, как никогда готовы к новым «подвигам».
Кроме того, когда ситуация в стране стабилизируется, те, кто не стали экономить, уйдут далеко вперед. Это относится ко всем направлениям, в том числе – к ИТ и ИБ. Позиция нашей компании такова: не стоит опускать руки, ведь рынку нужны качественные решения, способные обеспечить необходимый функционал как во время кризиса, так и после него.

Александр Бодрик, ведущий консультант Центра информационной безопасности компании «Эр-Стайл»
Для снижения затрат возможны следующие стратегические шаги.
1. Перераспределение обязанностей внутри организации. Например, можно передать администрирование «базовых» средств защиты (таких как межсетевые экраны, антивирусы и средства обнаружения вторжений) ИТ-подразделениям.
2. Перенос операционной деятельности по обеспечению ИБ. Например, можно перевести первую линию корпоративного SOC из Москвы в более «дешевый» регион.
3. Унификация средств безопасности на промышленных платформах минимально возможного количества производителей.
4. Передача на аутсорсинг систем, для защиты которых требуются существенные инвестиции. Скажем, банк может передать процессинг во внешний процессинговый центр, сертифицированный по PCI DSS.
5. Наконец, если всего перечисленного недостаточно, можно обсудить с бизнес-подразделениями их риск-аппетиты и зафиксировать принятие рисков владельцами активов. Вполне вероятно, что после такого обсуждения бизнес-руководители предпочтут продолжить финансирование ИБ в прежнем объеме.

Алексей Комаров, директор по маркетингу и продуктовому управлению NGS Distribution
Если вы, определив приемлемый для вас уровень безопасности, провели исследование рынка и выбрали экономически оправданный набор решений, то последующее отключение или приостановка работы любого из компонентов системы защиты неизбежно приведет к снижению этого уровня безопасности. Таким образом, без пересмотра модели угроз, без переопределения степени важности рисков никак не обойтись. Единственный вариант – заново установить приемлемый уровень безопасности и заменить, например, какие-то технические решения организационными методами. Но здесь нельзя посоветовать что-то универсальное – в каждом конкретном случае задача должна решаться индивидуально.

Валентин Крохин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»
При снижении расходов нужно понимать, что именно вам действительно необходимо защищать. В данном контексте стоит сосредоточиться на обеспечении безопасности критически важных систем, не «размазывая» бюджет по всем возможным системам и процессам. «Размазывание» чревато недостаточностью защиты каждой составляющей, а это, фактически, означает, что защиты попросту нет.

Олег Губка, директор по развитию бизнеса компании «Аванпост»
На мой взгляд, сокращение расходов на информационную безопасность – не лучшая тактика даже в кризисную пору. Мало того, в условиях кадровой оптимизации бизнеса информационная безопасность должна обеспечиваться наиболее эффективно. Вероятное недовольство сотрудников может перерасти в реальные ИБ-угрозы для компании, последствия которых окажутся весьма плачевными для нее в это непростое время. Конечно, всегда есть задачи с менее высоким приоритетом, решение которых можно отложить, – как и реализацию долгосрочных проектов внедрения сложных ИБ-решений. Но экономить на основных процессах обеспечения ИБ или сокращать соответствующих специалистов нужно в последнюю очередь!

Как правильно организовать работу специалиста по ИБ?
Я недавно пришел на предприятие, и обнаружил, что до меня информационной безопасность на нем не занимались вообще. Нет нормальной авторизации, не устанавливаются обновления, не проводится поиск уязвимостей, трояны можно внедрять на любые компьютеры. Кроме того, нужно добиться выполнения требований надзорных органов. С чего мне начать и как расставить приоритеты в условиях ограниченного бюджета?

Валентин Крохин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»
Бюджет всегда ограничен, поэтому правильнее – начинать с выделения действительно критически важных систем и бизнес-процессов. Нужно понять, что именно нуждается в защите в первую очередь. Общего совета тут нет: у разных компаний наборы систем и процессов могут сильно различаться. Общим подходом можно считать лишь ранжирование систем по степени критичности (от большей к меньшей) при расстановке приоритетов.

Алексей Комаров, директор по маркетингу и продуктовому управлению NGS Distribution
В любом случае начинать надо с общения с руководителями и владельцами бизнес-процессов – только при их поддержке и при наличии понимания с их стороны можно добиться успеха. А в ожидании такого общения можно, в порядке личной инициативы, заняться тем, что можно делать самостоятельно, без привлечения других ресурсов организации и без ущерба для качества выполнения текущих рабочих задач. Тут уже все зависит от личной профессиональной квалификации и опыта. Если говорить про непосредственные действия, то любые планы изменения чего-либо, связанного с обеспечением ИБ, должны начинаться с аудита.

Александр Бодрик, ведущий консультант Центра информационной безопасности ЗАО «Эр-Стайл»
Следует параллельно запустить два процесса.
1. Формирование бизнес-ориентированной стратегии ИБ (с упрощенным анализом рисков ввиду нынешней динамичной кризисной ситуации). Этот процесс должен базироваться на изучении отчетов о прибылях и убытках предприятия, на беседах с его ключевыми руководителями и формировании понимания того, на чем компания зарабатывает и что ей нужно для стабильного развития и функционирования. Кроме того, необходимо разработать «краткую» модель угроз и сформировать матрицу соотношения бизнес-функций и угроз. С такой основой станет понятен приоритет внедрения тех или иных мер безопасности и будет получен адекватный бюджет.
2. Запуск проектов внедрения базовых средств защиты (межсетевых экранов, антивирусов, настроек VPN), необходимость которых понятна всем, в том числе бизнес-руководителям.

Роман Кобцев, директор департамента развития и маркетинга компании «Элвис Плюс»
Сложно говорить о мерах обеспечения информационной безопасности на конкретном предприятии без детализации того, что это за предприятие и в качестве кого пришел туда человек, задающий вопрос. Но по-хорошему всегда нужно начинать с оценки рисков – хотя бы на пальцах, и пусть даже только собственных рисков как должностного лица, отвечающего за ИБ. Двигатели обеспечения информационной безопасности – это, в первую очередь, необходимость выполнения обязательных требований и, во вторую очередь, риски реализации угроз. А двигатель человека, который за это отвечает, – риск быть наказанным. И везде бывает настолько по-разному…
Однако можно все-таки попробовать пробежать по реперным точкам. Если мы говорим о рисках «несоответствия», то сначала нужно определить, кто из регуляторов «ближе к телу». В России вопросами информационной безопасности занимаются четыре «надзорных» органа — ФСБ, ФСТЭК, Банк России и Роскомнадзор. Очень сложно представить, что на предприятии, входящем в сферу интересов какого-либо из первых трех регуляторов, может сложиться ситуация, описанная в вопросе. Обычно у таких компаний в области обеспечения ИБ дела обстоят гораздо лучше. Поэтому можно предположить, что речь идет о Роскомнадзоре и защите персональных данных.
Самое главное в таком случае — определиться, будем ли мы защищать информацию или защищаться от регулятора. Если мы выбираем второе, то можно принять риски и оставить все как есть (ведь раньше об этом не думали и преспокойно жили-поживали), а при проверке — просто заплатить штраф. Но это – путь юриста, а не хорошего безопасника. Если же принято решение защищать информацию, то придется что-то делать даже в условиях ограниченного бюджета.
В первую очередь, нельзя сбрасывать со счетов организационные меры и применение встроенных в ИТ-архитектуру сервисов безопасности. Нужно разобраться с имеющимися ИТ и, где возможно, установить обновления. Предполагается, что все используемое системное ПО – легальное, а обновления прежде не устанавливались просто из-за разгильдяйства. Хороший безопасник помнит, что нелегальное ПО — это статья.
Кроме того, следует провести инвентаризацию информационных ресурсов. При этом нужно определить, что именно является критически важным, что нужно защитить в первую очередь, а что может подождать. Скажем, персональные данные клиентов, электронный архив договоров или финансовая информация имеют высший приоритет защиты, а фотографии с новогоднего корпоратива в общей папке — низший. Затем необходимо настроить права доступа к приоритетным информационным ресурсам имеющимися системными средствами.
Что же касается организационных мер, можно, например, ввести в организации режим коммерческой тайны, определить, кто и каким образом получает доступ к конфиденциальным данным. Такой подход обеспечит персональную ответственность. Можно выделить сегмент информационной системы, в котором будут обрабатываться ПДн, и в первую очередь защитить именно его, а обработку персональных данных вне этого сегмента запретить.
Не забудьте и о повышении уровня осведомленности сотрудников. Зачастую ИБ-инциденты происходят из-за их банальной неосведомленности, поэтому необходимо регулярно проводить собрания или тренинги по ИБ — например, на тему «Подозрительные вложения не открывать, по ссылкам не ходить!».
Если нет ресурсов для приобретения средств защиты информации, можно воспользоваться решениями с открытыми исходными кодами (антивирусами, межсетевыми экранами, IPS/IDS- и DLP-системами), которые достаточно легко найти в Интернете. Да, они вряд ли могут конкурировать с решениями, предлагаемыми лидерами рынка, по функциональным возможностям и легкости внедрения, а к тому же не сертифицированы и не соответствуют требованиям «надзорных» органов. Но если стоит задача экономии средств, на них можно обратить внимание. Пока мы не потратили на ИБ ничего, кроме собственного времени и усилий, но уже сделано достаточно много. Автор вопроса сообщил, что выделенный на ИБ бюджет ограничен, но, значит, он все-таки есть, и осталось лишь его грамотно потратить. Хорошим решением станет использование сертифицированных продуктов отечественных производителей. Как показывает практика, именно они имеют лучшее соотношение цены и функциональных возможностей.
Таким образом, даже при ограниченном бюджете специалист по ИБ должен выполнить на новом месте работы целый спектр задач, связанных с обеспечением безопасности. И самые первые из них – наведение порядка и расстановка приоритетов.

Поделиться:
 

Комментарии на сайте

Аватар пользователя e.v.rodygin

Речь идет о небольших компаниях. Поставлено условие - ночь, когда скорость реакции заведомо ниже чем днем в рабочее время. Угроза - утечка данных. Первое ограничение - небольшая компания отсекает "тяжелую артилеррию в виде СрЗИ" а так же возможности по "ночным бдениям" службы поддержки. Вопрос тоже с подвохом - что делать чтобы не повторялось! А ведь уже случилось!

Итак: 

  1. Необходимо разобрать случившийся инцидент.
  2. По результатам разбора изменить ИТ-инфраструктуру. Вплоть до выноса сервисов за периметр.
  3. Отделить ИС обрабатывающие защищаемую информацию от других ИС.
  4. Сформировать DMZ
  5. Ну и банальщина: перетрясти пароли, каналы передачи информации и права доступа.
  6. Сформировать перечень событий которые могут прямо или косвенно говорить о попытках взлома и реализовать сигнализирование о таких событиях.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.