Информационная безопасность на предприятии
Лугин Андрей Иванович
|
Всем привет. В данный момент наша компания расширяется, и возникли некоторые опасения, что инсайдерская информация может стать доступна не совсем лояльным (читай новым) сотрудникам. Как предотвратить развитие такого сценария и осуществить мониторинг необходимых каналов данных? |
||
|
|||
|
|||
- Нет новых сообщений
- Новые сообщения
- Новые сообщения [ Популярная тема ]
- Нет новых сообщений [ Популярная тема ]
- Новые сообщения [ Тема закрыта ]
- Нет новых сообщений [ Тема закрыта ]
- Объявление
- Прикреплен
Всего пользователей на форуме (за последние 15 мин): 437
из них
0 пользователей,
437 гостей
Всего пользователей, читающих форум Безопасность бизнеса:
0 пользователей,
22 гостя
ИТ-аудит – как долгосрочное вложение в бизнес. Проводите его сегодня, и узнаете, насколько ...
В финансовой литературе и бизнес-практике часто упоминаются контрагенты организации, однако ...
20.02.2015
Делайте этих сотрудников лояльными! Всеми силами и средствами. Тогда и утечек не будет. Можете еще для дополнительного эффекта и того самого мониторинга какую-нибудь dlp внедрить наподобие инфовотча. Или даже службу безопасности организовать. Короче, сложно по такому абстрактному вопросу определить, что Вам конкретно защитить нужно. Приглашайте специалиста по ИБ и дело с концом.
Цитата от Лугин Андрей ИвановичРаскрыть
Админа надежного найдите + четкое разграничение полномочий и запаролированные доступы, согласно рангу служащего
Для начала надо понять что защищать: информацию - персональные данные, коммерческую тайну, бизнес-процессы.
Средства обеспечения безопасности внутренних ресурсов сегодня востребованы многими компаниями. Статистика свидетельствует, что около 80% всех инцидентов ИБ возникают по вине или при содействии сотрудников компании. Существуют стратегии (Check Point Total Acess Protection, Cisco NAC) и разработки (Microsoft NAP), направленные на противодействие внутренним угрозам. Чтобы снять нагрузку с МЭ и разделить системы защиты периметра и внутренних ресурсов (это также позволяет избежать создания единственной "точки компрометации"), а также снизить стоимость системы защиты, можно использовать решения по защите внутренних ресурсов.
Цитата от АринаРаскрыть
Чтобы получить доступ к информационным ресурсам, пользователю необходимо пройти процедуру аутентификации и авторизации. На сегодняшний день парольная защита не выдерживает никакой критики. Сложные пароли тяжело запомнить, а слабые легко подобрать. Пароли, как и идентификационные данные, являются мишенью "фишинга". Поэтому для снижения рисков, связанных с аутентификацией, в системе ИБ предлагается использовать средства как минимум двухфакторной аутентификации. В нашей архитектуре системы ИБ мы предлагаем средства строгой аутентификации с использованием автономных токенов. Эти устройства позволяют генерировать динамически изменяемый пароль, то есть они формируют одноразовый пароль, валидный в течение нескольких секунд. Даже будучи перехваченным, пароль не может быть повторно использован. Таким образом, ключевое преимущество таких устройств в том, что их работу тяжело подделать. Автономные токены эффективны с точки зрения обеспечиваемого уровня защищенности систем и совокупной стоимости владения: они компактны, просты и надежны в эксплуатации.
Специфика работы пользователей и особенности моделей безопасности различных приложений и прикладных систем требуют многочисленных аутентификаций и использования множества идентификаторов и аутентификационных признаков для одного пользователя. Возникающие при этом накладные расходы и затраты времени снижают решения единого входа ("одного окна"): однажды пройдя авторизацию ко всем доступным ему ресурсам, пользователь не нуждается в повторных сеансах входа или подтверждения своих прав.
В эту пятницу BIS будет. Всем, заинтересованным в теме, можно сходить. Или как я на трансляцию записываться. Организаторы ещё какие-то бесплатные коды для просмотра раздают сейчас.
Каналы утечки конфиденциальной информации можно разделить на две большие группы: злонамеренное похищение (включая инсайдерские риски) и утечки по неосторожности или оплошности персонала. Практика показывает, что абсолютное большинство случаев утечки конфиденциальной информации стали результатом ошибок сотрудников при работе с данными. Это не значит, что инсайдерскую угрозу и промышленный шпионаж можно сбросить со счетов, просто доля таких происшествий очень мала.
Цитата от АринаРаскрыть
Плюс к этому контракты о неразглашении пускай подпишут. На страхе иногда тоже можно продержаться.
Главный вопрос - добропорядочный сисадмин, к сожалению такого человека найти очень сложно, так как в наше время за деньги продается все
Цитата от АринаРаскрыть
согласна