НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Как изменить "бумажную" безопасность на реальную?

Роман Кобцев
16.01.2013 12:01:16

Очень часто слышны сетования специалистов по информационной безопасности на то, что заказчики (особенно не крупные) большей частью реализуют проекты ИБ только для "бумажки", защищающей их от проверок регуляторов. И такая безопасность, не всегда соответствует реальной защищенности данных или информационных ресурсов.

Риск-ориентированный подход, который приводится в пример при подобных разговорах, на мой взгляд, в нашей стране пока даже для многих крупных компаний является "светлым завтра", а уж для СМБ так вообще "светлым послезавтра". Как ни крути, все-таки выполнение обязательных требований есть и будет основной движущей силой, заставляющей бизнес внедрять решения ИБ.

Что могло бы изменить такой подход? Ну, во-первых, если речь идет об информации, касающейся только самого бизнеса, то и говорить нечего - пусть защищает или не защищает как хочет. Поэтому, все эти разговоры актуальны только для информации, имеющей значение для государства и общества (персональные данные, разные тайны, критические инфраструктуры и т.д.) И здесь, на мой взгляд, проблему перевода ИБ от бумажного, в практическое русло могла бы решить корректировка принципов контроля и регулирования ИБ, а точнее ответственности за инциденты. Т.е. когда за инциденты ИБ (не за все конечно, а которые могут затронуть еще интересы других сторон, но это отдельная тема) будут строгие санкции, бизнес будет предпринимать меры по их недопущению. Причем санкции именно за инциденты, а не за ущерб, причиненный в следствии таковых. Почему именно так? Сейчас за ущерб и так имеются санкции в рамках действующего законодательства, но проблема его доказательства лежит на потерпевшей стороне. И если представить, к примеру, что субъект персональных данных (обычный гражданин) пытается доказать моральный ущерб от утечки его персональных данных у крупного оператора связи, или и того круче - у ГИБДД, то шансы его не велики (если кто судился в нашей стране, поймет). Поэтому все организации будут защищать эти данные не более чем, чтобы отбиться от проверки регулирующего органа. А если бы даже за сам факт утечки данных (даже если сам субъект об этом даже не узнал) были бы строгие санкции, к защищенности этих данных в той же ГИБДД отнеслись бы гораздо серьезнее. И это не вместо требований к обеспечению ИБ, а в дополнение.

Хотя, конечно, здесь гораздо больше проблем, чем видны на поверхности...

Комментариев: 3

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

16.01.2013 21:56:54

Я прочитал пост несколько раз, чтобы понять его смысл. Не уверен, что я понял правильно, поэтому хочу проверить себя, спросив у автора.
Речь идет о том, чтобы в нормативные требования внести ответственность держателя данных (попадающих под требования) за "за инциденты, а не за ущерб, причиненный в следствии таковых". Т.е. за факт утечки информации, как таковой.
Я правильно понял?

Если это так, то почему бы именно так - просто и понятно и не изложить эту идею?


17.01.2013 09:51:07

В принципе правильно, но инцидент не всегда утечка информации. К примеру, может быть модификация данных или еще что, за которые тоже необходимы санкции. Просто утечки - наиболее распространенный и понятный вид, поэтому в качестве примера я их и помянул.

Ну уж как изложил..

17.01.2013 10:13:44

Я считаю данную идею совершенно верной, ее нужно развивать и продвигать (воплощать).

Но я бы искренне советовал подумать над формой ее изложения. Хочу сразу сказать, что возможно, это я такой бестолковый, все остальные читатели поняли. Возможно, я ошибаюсь в восприятии текста.

Но если идея изложена непонятным образом, но реализовать ее будет невозможно.
Значит, нужно изложить иначе. Другого варианта нет smile:)

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии