Категории
Самые читаемые
PochitayKnigi » Бизнес » Экономика » Обеспечение информационной безопасности бизнеса - В. Андрианов

Обеспечение информационной безопасности бизнеса - В. Андрианов

Читать онлайн Обеспечение информационной безопасности бизнеса - В. Андрианов

Шрифт:

-
+

Интервал:

-
+

Закладка:

Сделать
1 ... 70 71 72 73 74 75 76 77 78 ... 86
Перейти на страницу:

Это лишь один из инструментов, который поодиночке не позволит решить задачу в целом. Кроме того, такие средства требуют тщательной настройки с периодической актуализацией настроек.

4.3.8. Расследование инцидентов

Инцидент, в котором замешан сотрудник организации, для большинства организаций — чрезвычайное происшествие. Поэтому способ организации расследования сильно зависит от сложившейся корпоративной культуры организации. Но можно уверенно сказать: важно продумать заранее и зафиксировать организационные политики по расследованию таких инцидентов, включая состав и основные роли участников расследования, условия предоставления и объем чрезвычайных полномочий по получению информации при расследовании, возможные меры в отношении сотрудников, причастных к инциденту.

Расследование выявленного инцидента — информационный процесс, один из этапов реагирования на инцидент. Сбор и документирование информации об инциденте целесообразно начинать уже с момента его обнаружения, а желательно еще раньше — при выявлении предвестников инцидента.

Целями расследования обычно являются:

— восстановление хода инцидента;

— выявление участников инцидента (в том числе из числа сотрудников) и их ролей в ходе инцидента;

— сбор свидетельств и предварительная оценка степени вины сотрудников в инциденте;

— сбор юридически значимых материалов, пригодных для инициирования процедур, обеспечивающих привлечение виновных лиц к ответственности;

— выявление причин и условий инцидента, включая недостатки системы защиты организации, формирование предложений по совершенствованию системы защиты;

— сбор свидетельств и оценка негативных последствий инцидента.

Для успешного расследования крайне важно наличие механизмов регистрации действий сотрудников в расследуемой сфере деятельности.

Отметим, что определение вины сотрудника может быть весьма сложной задачей при проведении внутреннего расследования, поскольку обосновывающие умысел факты часто отсутствуют. К подобным фактам можно отнести:

— неоднократность инцидентов, связанных с сотрудником;

— подтвержденная заинтересованность сотрудника в последствиях инцидента;

— попытки сокрытия сотрудником следов своих действий, связанных с инцидентом;

— наличие следов заблаговременной подготовки сотрудника к инциденту;

— высказывания сотрудника до инцидента, свидетельствующие о его мотивах и намерениях.

Обращение к правоохранительным органам может потребоваться в случае, когда есть основания в умышленном характере инцидента; есть основания для уверенности во внешней поддержке злоумышленника, причинен или мог быть причинен существенный ущерб организации или третьим лицам.

Техническая сторона действий внутреннего злоумышленника зачастую настолько выражена в инцидентах ИБ, что для проведения внутреннего расследования может потребоваться использование специализированных программных средств, позволяющих получить необходимые свидетельства с устройств хранения и обработки информации, принадлежащих организации.

Отметим, что любое внутреннее расследование, пусть и без привлечения правоохранительных органов, — всегда стресс для коллектива. Среди возможных негативных последствий для организации: наказание невиновных, напряженность в коллективе, отвлечение сотрудников от работы и др.

4.3.9. Раскрытие информации об инцидентах

Вопросы раскрытия информации о различных инцидентах внутри и вне организации являются весьма значимыми для большинства организаций. При этом вполне обоснованы опасения менеджмента большинства организаций относительно возможных негативных последствий от раскрытия информации.

Такие негативные последствия могут наступить в форме реакции рынка — снижения капитализации компании, реакции акционеров по отношению к менеджменту организации, реакции клиентов и партнеров в форме изменения решений по совместной работе, реакции регуляторов в форме повышения планки различных требований (например, требований по резервированию капитала или обеспечения защиты от различных угроз) и проведения внеплановых проверок, а также конкурентов в форме осуществления черного пиара. Поток негатива о компании может сильно повлиять на ее имидж на рынке и на выполнение бизнес-планов даже в условиях небольших прямых потерь от собственно инцидентов.

Между тем раскрытие информации может оказаться необходимым организации для применения санкций в отношении злоумышленника и его сообщников, организации возврата материальных и других активов, обеспечения осведомленности персонала, выполнения законных требований регулирующих органов и собственников компании, а также выполнения соглашений с партнерами и клиентами.

Кроме того, позиция полного сокрытия информации об инцидентах может оказаться неприемлемой, поскольку информация так или иначе (очень вероятно, что в искаженной форме) все равно будет просачиваться к ее потенциальным потребителям. Сплетни и слухи, оставаясь без официальных комментариев организации, будут формировать ее имидж как скрытного и потенциально ненадежного партнера, риски работы с которым неприемлемо высоки. Естественно, что происшествия различного рода случаются в любой организации, и утверждения о полном их отсутствии вызовут улыбку у любого специалиста или руководителя.

Приведенные аргументы убеждают, что организациям необходимо тщательно прорабатывать вопросы информационной политики в части дозирования выдаваемой во внешний мир информации по инцидентам, определения способа подачи такой информации, выбора момента подачи информации, определения состава первых ретрансляторов информации (СМИ, ресурсов Интернет и др.), а также по выбору ответственных за внутреннюю и внешнюю информационную политику сотрудников компании.

Хорошей практикой является индивидуальное информирование собственников, партнеров и клиентов по крупным инцидентам, затрагивающим их интересы.

Приложение 1

Архитектура стандартов защиты информации и обеспечения информационной безопасности

Общие сведения

Стандарты по защите информации и обеспечения информационной безопасности, используемые в российских организациях, имеют различное происхождение, различия и общности в объектах и аспектах стандартизации.

Если рассматривать чисто российские документы, то такие стандарты носят, как правило, форму требований технического характера преимущественно к компонентам технологической среды или справочного назначения, например ГОСТ Р 51275 («Факторы, воздействующие на информацию. Общие положения»). В редких случаях российские национальные стандарты являются основанием для соответствующих систем сертификации, такие как стандарты на алгоритмы криптографических преобразований (ГОСТ Р 34.10, ГОСТ Р 34.11, ГОСТ 28147).

1 ... 70 71 72 73 74 75 76 77 78 ... 86
Перейти на страницу:
Тут вы можете бесплатно читать книгу Обеспечение информационной безопасности бизнеса - В. Андрианов.
Комментарии