За последний год 77% организаций пострадало от потери данных

Компания Check Point и Ponemon Institute, сообщают, что за последней год 77 процентов опрошенных организаций столкнулись с проблемой потери данных. В докладе «Обоснование вопроса сложности обеспечения безопасности в сфере ИТ в XXI веке» (Understanding Security Complexity in 21st Century IT Environments) указано, что наиболее распространенным видом информации, подвергшейся несанкционированному разглашению, является информация о клиентах (52%), интеллектуальная собственность (33%), информация о сотрудниках (31%) и корпоративные планы (16%).



В связи с внедрением приложений Web 2.0 и мобильных устройств, подключенных к сети, организации сталкиваются с проблемой обеспечения лучшей защиты данных, а также с проблемами стратегического управления, контроля рисков и выполнения нормативных требований для ИТ (GRC — Governance, Risk and Compliance).

По данным опроса свыше 2 400 администраторов ИТ-безопасности, основной причиной потери данных является утеря или кража оборудования, вслед за ней идут сетевые атаки, ненадежные мобильные устройства, приложения стандарта Web 2.0 и приложения для совместного использования файлов, а также случайная отправка сообщений по электронной почте тем получателям, которым они не предназначались. Кроме того, около 49 процентов всех респондентов считают, что их сотрудники мало информированы или вообще не имеют представления об обеспечении безопасности данных, о соблюдении требований и политиках безопасности, указывают на необходимость обеспечения компаниями большей осведомленности пользователей в качестве одной из составляющих стратегии защиты данных, поскольку именно персонал зачастую является первой линией обороны.

«Мы понимаем, что безопасность данных и соблюдение требований часто возглавляют список функциональных обязанностей директора по IT-безопасности. Однако, при ближайшем рассмотрении факторов, влияющих на потерю данных, вы увидите, что большинство инцидентов являются непреднамеренными, — говорит Одед Гонда (Oded Gonda), вице-президент по продуктам сетевой безопасности компании Check Point Software Technologies. — Чтобы перейти от выявления потерь данных к их профилактике, предприятия должны повысить осведомленность пользователей и создать соответствующие процедуры для достижения большей прозрачности и контроля над информационными активами».

Поскольку предотвращение потерь данных является приоритетным вопросом информационной безопасности, для предприятий важно определить основные причины потери данных и создать комплекс мер безопасности для предотвращения несанкционированного доступа к информации, например:

  • Определить потребности организации в сфере безопасности — иметь четкое представление и перечень типов конфиденциальных данных, имеющихся в организации, а также знать то, какие типы данных являются предметом государственных или отраслевых нормативных требований.
  • Классифицировать конфиденциальные данные, начиная с создания списка типов конфиденциальных данных, имеющихся в организации, и определения уровней конфиденциальности. Рассмотреть вопрос о создании набора шаблонов документов для классификации информации по типам «Общественная», «Для ограниченного круга лиц» или «Строго конфиденциальная», информируя конечных пользователей о корпоративной политике и о том, какая информация является конфиденциальной.
  • Согласовать политики безопасности с потребностями бизнеса — стратегия безопасности организации должна обеспечивать защиту информационных активов компании, не препятствуя действиям конечного пользователя. Необходимо начать с описания в простых бизнес-терминах политики компании, согласованной с бизнес-потребностями отдельных сотрудников, групп или организации. Решение Identity Awareness обеспечивает компаниям лучшую видимость своих пользователей и ИТ-среды, что позволяет более эффективно соблюдать корпоративную политику. 
  • Обеспечить безопасность данных на протяжении всего времени их существования — компании должны рассмотреть вопрос о внедрении решений для информационной безопасности, обеспечивающих безопасность их конфиденциальных данных в различных формах, связанных с ними пользователей, типов данных и процессов, а также защиту на протяжении всего времени существования этих конфиденциальных данных при их хранении, передаче и обработке.
  • Избавиться от бремени соблюдения нормативных требований — определить требования правительственных и промышленных стандартов и то, как они влияют на безопасность организации и бизнес-поток. Рассмотреть вопрос о внедрении решений с передовыми методами, ориентированными на согласование с конкретными положениями, в том числе с законом об ответственности и переносе данных о страховании здоровья граждан, стандартами безопасности данных в сфере платежных карт и законом Сарбейнса-Оксли, для быстрой организации мер профилактики в один день. Передовые методы работы также позволяют ИТ-специалистам, помимо соблюдения существующих требований, сосредоточиться на активной защите данных. 
  • Особое внимание уделять осведомленности и вовлеченности пользователей — вовлекать пользователей в процесс принятия решений в области безопасности. Технологии могут способствовать информированию пользователей о корпоративной политике и позволят им устранять последствия инцидентов в режиме реального времени. Сочетание технологий и осведомленности пользователей делает сотрудников более осторожными в отношении рискованного поведения путем самостоятельного обучения.

«Учитывая сотни происходящих ежегодно случаев потери данных, как официальных, так и неофициальных, не удивительно, что в настоящее время растут проблемы, связанные с управлением, рисками и соответствием требованиям, — говорит д-р Ларри Понемон (Larry Ponemon), председатель и основатель компании Ponemon Institute. — Защита информации в современном мире означает больше, чем развертывание комплекса технологий для решения этих проблем. В действительности отсутствие осведомленности сотрудников является основной причиной потери данных, что заставляет все большее число предприятий вести среди своих пользователей разъяснительную работу в отношении действующей корпоративной политики».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Минэкономики против повышения штрафов за отсутствие СОРМ у операторов

Минэкономики считает избыточными предложения Минцифры ввести оборотные штрафы за отсутствие у оператора связи СОРМ. Участники рынка тоже обеспокоены. По их прогнозу, от оборотных штрафов пострадают все.

Об отзыве Минэкономики на поправки к закону “О связи” пишет сегодня “Ъ”. Минцифры предлагает ужесточить ответственность для операторов за нарушения установки средств оперативно-разыскных мероприятий (СОРМ). А если нет технических средств противодействия угрозам (ТСПУ), вообще запретить оказывать услуги связи.

Минцифры подготовило изменения трех федеральных законов в начале июня. Поправки к закону “О связи” также предписывают новым операторам согласовывать с ФСБ схему построения сети. Поправки к Налоговому кодексу предлагают поднять госпошлину на девять видов лицензий по услугам связи — с 7,5 тыс. до 1 млн руб.

Изменения в кодексе об административных правонарушениях вводят оборотный штраф за отсутствие у оператора СОРМ в размере от 0,01% до 0,05% от годовой выручки оператора, но не менее 1 млн руб. Сейчас эти штрафы составляют от 100 тыс. до 200 тыс. руб.

Отзыв Минэкономразвития размещен на портале regulation.gov.ru:

Минэкономики считает, что основания для введения подобного регулирования в отношении установки СОРМ не представлены, и оно может привести к дополнительным расходам бизнеса. В то же время ТСПУ устанавливают не операторы, а Роскомнадзор, поэтому такие требования к операторам избыточны, следует из позиции министерства.

В Минцифры сообщили, что находятся в диалоге с бизнесом и Минэкономики по этому вопросу и стараются найти компромисс. МТС, “Вымпелком”, “МегаФон” и Tele2 отказались от комментариев.

Применение оборотных штрафов может привести к существенному сокращению рынка, отметил источник “Ъ” в одном из операторов.

Потеря денег сделает цель 100-процентного внедрения СОРМ недостижимой, а единственным вариантом развития событий станет закрытие оштрафованного оператора.

“Это особенно затронет небольших участников рынка”, — говорит собеседник издания.

Крупные операторы также не застрахованы от штрафов за неустановку СОРМ — на сетях локально иногда могут возникать проблемы с работой оборудования, отметил другой источник на телеком-рынке:

“Поэтому крупные компании также рискуют получить штрафы, что негативно скажется на их бизнесе с учетом кризиса”.

Пауза в ужесточении требований к установке СОРМ и возможный отказ от них были бы полезны операторам, которые еще не установили на своих сетях необходимое оборудование, считает гендиректор TelecomDaily Денис Кусков.

Это, по его словам, прежде всего небольшие провайдеры.

У производителей отечественного оборудования, в том числе и СОРМ, технологические и кадровые ресурсы близки к исчерпанию из-за большой нагрузки в связи с уходом зарубежных игроков.

Это привело к росту цен на оборудование и увеличению сроков его поставки, говорит эксперт:

“Операторы не могут сейчас установить СОРМ, даже если имеют финансовые возможности для этого. Ужесточение регулирования заставило бы их уйти с рынка”.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru