Листовка GlobalTrust по политикам безопасности
GlobalTrust Solutions попытается заработать на комплекте типовых документов по информационной безопасности
Представители индустрии все чаще говорят о необходимости более активного использования в России современных ИТ-стандартов и методологий, активно использующихся на развитых рынках. И некоторые движения на этом фронте уже происходят.
Мало того, подобные документы становятся товаром, который заказчикам предлагается приобретать вместе с консалтинговыми услугами. Именно так действуют в GlobalTrust Solutions: компания сообщила о выпуске новой редакции обширного комплекта типовых документов по информационной безопасности на русском языке ─ GTS 1000.
В комплект входит более 120 документов, которые разбиты на 16 категорий: политики, стандарты, концепции, процедуры, правила, руководства, положения, регламенты, инструкции, реестры, приказы, журналы, планы работ, модели угроз и нарушителей, формы отчетов и проектные документы.
«Разработка пакета документов, аналогичного комплекту GTS 1000 по содержанию, качеству и глубине проработки ─ длительный и трудоемкий процесс, на который у команды профессионалов, обладающих отличными знаниями международных и отраслевых стандартов и нормативной базы РФ, уйдет не менее полугода. При этом потребность в подобных документах есть у любой организации, сотрудники которой намерены разработать локальную нормативную базу в области информационной безопасности, внедрить систему управления информационной безопасностью, документировать процессы и требования безопасности, а также распределить роли и назначить ответственных за безопасность в организации», — говорят в GlobalTrust Solutions.
В компании уверяют, что все документы, входящие в комплект, «были опробованы на практике более чем в 100 организациях» и «полностью соответствуют действующей законодательной и нормативной базе РФ в области защиты информации и персональных данных, а также требованиям международных и отраслевых стандартов (например, ISO 27001, СТО БР ИББС и т. д.)».
Одним из главных преимуществ GTS 1000 в GlobalTrust Solutions считают то обстоятельство, что все входящие в комплекта документы являются законченными и, в общем случае, не требуют значительных доработок для начала их использования в конкретной организации (т. е. не являются простыми формами или шаблонами). Кроме того утверждается, что все документы обеспечены не только консалтинговой поддержкой, но и «гарантиями возврата денег».
В GlobalTrust Solutions также обещают, что входящие в комплект документы весьма подробны. Так, план обеспечения соответствия в области персональных данных включает в себя 63 этапа, каждый из которых, по сообщению компании, «расписывается по целям, мероприятиям, нормативным требованиям, исходным данным, результирующим документам, срокам выполнения и ответственности, а также сопровождается поясняющей информацией». В качестве другого примера представители компании приводят типовую частную модель угроз безопасности, которая «не ограничивается только формальными положениями и перечнями угроз, утвержденными регуляторами, а значительно расширяет как общий перечень угроз, так и набор параметров, по которым они оцениваются».
Источник: ibusiness.ru
Мониторинг действий пользователей: презентация на международном семинаре Группы «ЛУКОЙЛ»
Компания GlobalTrust приняла участие во втором международном семинаре «Обеспечение информационной безопасности Группы «ЛУКОЙЛ», который проводился в период с 8 по 15 июля в г. Сочи. Целью данного мероприятия является обмен опытом между заказчиками, консультантами и поставщиками решений по информационной безопасности, демонстрация новейших достижений в этой области.
В рамках семинара GlobalTrust представил специалистам Группы «ЛУКОЙЛ» наиболее продвинутые средства для мониторинга действий пользователей корпоративной сети.
Отрывок из выступления Александра Астахова (Генерального директора GlobalTrust) на семинаре:
«Понятие «информационная безопасность» для разных людей имеет разный смысл. Для простого обывателя это набор мифов и полуправды о компьютерных вирусах и всесильных хакерах. Для «айтишников» – это джентльменский набор из антивирусов, межсетевых экранов, VPN и средств обнаружения вторжений. Для менеджеров это, прежде всего, документы и процедуры, для бывших военных – это противодействие техническим разведкам и предотвращение утечки информации по техническим каналам.
Конечно для решения столь сложной задачи как обеспечение информационной безопасности необходимы различные специалисты и подходы. Однако есть одно фундаментальное условие без которого все эти подходы не приносят желаемого результата. Это то, что лежит в основе самого понятия информационной безопасности. Это контроль над использованием информации. А если еще конкретизировать, то это контроль над людьми использующими информацию, контроль всех их действий, всех коммуникаций, всех контактов и даже их привычек и особенностей выполнения работы.
Чем занимаются службы безопасности (неважно какой) по всему миру? Прежде всего наблюдают за вероятным противником, скурпулезно фиксируют все его шаги и пытаются спрогнозировать возможные действия. Своих целей добивается тот, кто лучше осведомлен. Шахматисты в обязательном порядке записывают все ходы противника и тщательно их анализируют, а лучший способ защиты в шахматах, как известно, контратака.
Безопасность — это своего рода игра, в которой выигрывает тот, кто лучше осведомлен. Успех корпоративной информационной безопасности определяется прежде всего степенью контроля ситуации: кто чем занят? кто с чем или с кем работает? Что они собираются предпринять? Кто нарушает или пытается нарушить правила безопасности? Кто готовит для вас сюрприз? Сотрудники организации чувствуют, что безопасники должны это знать. Они подозревают в чем должен быть основной смысл нашей работы и это одна из причин настороженного отношения к безопасникам в любой организации. К сожалению, как показывает наша консалтинговая практика, сами сотрудники служб информационной безопасности часто об этом не подозревают. Они бывают сосредоточены либо на внедрении сложнейших программно-технических комплексов защиты информации, либо на разработке организационно-распорядительных документов, либо на бесконечных совещаниях и управляющих комитетах, и понятия не имеют о том, что происходит за рабочими местами пользователей и администраторов корпоративной сети. А это означает, что они не контролируют по крайней мере 70% существующих рисков информационной безопасности.
Обычно практикуется три вида мониторинга: трафика, логов, электронной почты. При этом используются сложнейшие сигнатурные, статистические, эвристические и лингвистические методы. Однако все эти меры направлены против внешних злоумышленников, чтобы по косвенным признакам обнаружить опасные действия. Нам же в первую очередь надо контролировать собственных пользователей и администраторов. Когда объектом мониторинга является корпоративная сеть мы имеем возможность контролировать все действия пользователей непосредственно на рабочих местах, что намного эффективнее».