?

Log in

No account? Create an account

Previous Entry Share Next Entry
Два способа управлять женщиной
информационная безопасность, information security, searchinform
securityinform
Не удаляй это письмо! Методика действительно работает! 
Всего пара слов – и любая женщина твоя! 
(самизнаетеоткуда).

Такие способы есть – и они на самом деле абсолютно надёжны. Просто их никто не знает.
Здесь моему коллеге ответили, что оказывается, при внедрении DLP деньги берутся за то, что специалисты интегратора определят, что является конфиденциальной информацией, а что нет. Повторите чушь двести двадцать восемь раз, и она станет правдой?
Представьте себе ситуацию. Вы ставите квартиру на сигнализацию. А представитель охранного предприятия мне сообщает, что деньги я плачу не за систему, а за то, что они определят, что именно в моём доме ценного.
Вы меня сильно простите, но в моём доме я сам знаю, что есть ценность, а что нет. Когда у меня квартиру выставили – жальче всего было не две видеокамеры, импортных, и не портсигар, золотой, тоже два, а самопальную подвеску, за которую в ломбарде и двадцатки не дадут. И правильно, потому что ценность она имела только внутри моей семьи.
Аналогично с информационной безопасностью. Если служба информационной безопасности не может самостоятельно определить, что есть конфиденциальная информация – то её или просто нет, или она формально есть, но фактически её нет, что в конечном итоге – одно и то же.
Хочется также обратить внимание на то, что любая компания – она не статична. Да, пришли умные люди, определили конфиденциальную информацию, настроили систему… И всё? Думается – нет. Появляются новые конфиденциальные документы, изменяются опасности, в конце концов кто-то из сотрудников может написать документ, который придётся признавать конфиденциальным задним числом. И? Ну да. Обучение своих безопасников. Но ровно такое же обучение проведёт и интегратор, который не будет с умным видом копаться в ваших документах.
Выбор правильной DLP – действительно задача, стоящая перед человеком, отвечающим за информационную безопасность. Но перед выбором – он должен чётко ответить сам себе, чего он хочет. Закрыть каналы утечек или переложить ответственность на кого-то другого. В первом случае он должен отдать себе отчёт, что охрана периметра – это не действие, а процесс. Формирование контура информационной безопасности нельзя закончить, его можно только прекратить. Как и обновление антивируса, например.
Если же просто хочется, чтоб крайним был не ты – тогда да. Убеди собственника купить DLP, при инциденте – все шишки свали на разработчика.
Есть и третий способ, на самом-то деле. Рекомендую прислушаться к совету из соседнего блога. Отдайте информационную безопасность на аутсорсинг. Но по несколько иному алгоритму. Еуж вы пускаете оценщика рисков в свой дом – то пусть он и отвечает так, как представитель организации, работающей с рисками. То есть как страховая компания. Пока нет утечек – вы платите ему. Случилась – он платит вам. Но этот способ никто не предлагает. Пока не предлагает.
Александр Ерощев
специалист по информационной безопасности компании SearchInform


  • 1
Люди платят не за ПО, не за железо, не за просто работы, а за комплексное внедрение, за то что бы система была внедрена и нормально функционировала
DLP это же майкрофост и не офис, тут не достаточно понажимать кнопочку далее и потом пользоваться благами цивилизации
Люди не хотят что бы им продали ПО, а потом им было заявлено ну вы же умные, сами дальше настраиваете
Я занимаюсь информационной безопасностью более 5 лет и повидали и гос. структуры и коммерческие всех типов и размеров. Работал и с гос. тайной, и коммерческой и с ПД. А мантры для заказчикам «вы же умные и сами всё сделаете мы даем вам ПО с большим потенциалом, но этот потенциал вы сами раскрывайте. У вас кучи времени, у вас есть отдельный человек, который будет отвечать только за это, он сделает всё инструкции и сам проведет грамотное обследование, оценку рисков, определит КИ, разработает инструкции как определить что данный документ является КИ, как назначается метка и снимается метка о том что документ является КИ» можете и дальше читать
Прочтите перед клиентом 200 раз вашу мантру и какой нибудь ген. директор в это поверит
Как что как вы выразились, чушь как раз вы говорите
Может в Москве в каждой фирме сидит множество спецов по ИБ, у которых кучи времени, которые могут каждый день уделять не один час настройке системе DLP, которые сами разработают все документы и реально разберут что КИ, то за МКАД с этими спецами большая поблема
На спецов по ИБ если человек с такой должностью вообще компании есть, а не так, что на ИТ свалили за одно еще и эти функции, обычно со своими прямыми обязанностями справляются, если задерживаются на работе до 8 вечера.
И не надо говорить, что если человек носит гордое имя безопасника значит он должны во всех аспектах этой необъятной области быть высококвалицированными спецом. Есть физическая безопасность, есть безопсность данных, есть энерго безопсность, есть сетевая безопасность
Или вы вместе со своим ПО поставляете бонус – безопасника, который сможет заставить вашу систему полноценно функционировать, а не в режиме демо

Безусловно, на рынке есть потребность и в системах с внедрением, и в "коробочных" продуктах. Если бы было не так, то одни из них просто вымерли бы. Кстати, рассказы о том, что "в Москве у каждого киоска есть безопасник" несколько преувеличены - как раз в регионах к нашей "коробочной" системе интерес гораздо выше, чем к "внедренческим". В любом случае, даже внедренная кем-то извне система при отсутствии грамотных "безопасников" и политик безопасности не сможет решить проблему, поэтому уместно говорить, пожалуй, об экономии времени и удобстве для организаций на начальном этапе работы системы, но никак не о комплексном обеспечении ИБ внедряемой вендором системой.

  • 1