ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Необходимость минимизации риска утечки информации диктует новые правила игры для коллекторов. Банк, как и любая другая финансовая структура, очень тщательно следит за соблюдением конфиденциальности информации. Касается это и моментов, когда банк отдает проблемные долги на аутсорсинг внешнему агентству (коллекторам).
✐ место для Вашей рекламы
Поэтому тенденция получить лицензию на деятельность по технической защите информации набирает обороты у коллекторских агентств.
«Глубина проработки темы борьбы с внутренними ИТ-угрозами зависит от уровня паранойи в компании.
Важно помнить, что владелец информации имеет право на ее защиту, и знать, что для этого доступны все средства – технические и организационные» -
отметил Александр Щербаков заместитель директора Коллекторского агентства АКМ в своем докладе на II международной конференции “Коллекторский бизнес в России: особенности подготовки».
Коллекторское агентство АКМ первым получило лицензию на деятельность по технической защите информации Федеральной службы по техническому и экспортному контролю РФ. Согласно ст.
3 Закона о защите персональных данных «персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
согласно п.
4 ст.6 того же Закона - в случае, если оператор (в нашем случае банк или страховая компания) на основании договора поручает обработку персональных данных другому лицу (т.е. бюро кредитных историй или коллекторскому агентству), существенным условием такого договора будет обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. На практике это означает возможность одностороннего расторжения банком договора на оказание коллекторских услуг при обнаружении фактов утечки служебной информации.
Подобное условие действует даже в случае неуказания об этом в тексте договора.
В рамках доклада Александр рассказал какие меры можно применять в целях защиты информации. Все их механизмы предлагаем рассматривать сквозь призму практической целесообразности в части защиты передаваемой информации.
Проведенные исследования компанией Ernst&Young в России и странах СНГ среди 1230 компаний (в т.ч. кредитных учреждений) показали, что вопросам обеспечения информационной безопасности придается все большее внимание.
В частности, 78% респондентов назвали минимизацию рисков в качестве фактора. На первое место по степени риска поставлен факт внутренней угрозы со стороны своих сотрудников. Для предотвращения этого, многие компании осуществляют политику организационных мер.
Для этого компании необходимо самостоятельно принимать решение о выборе и интенсивности тех или иных мер, исходя из своего бюджета, кадровых возможностей и поставленных целей. К тому же перечисленные аспекты — далеко не полный список, а, скорее, наиболее распространенные меры. Не вдаваясь в психологические аспекты защиты подробно, можно выделить два способа внедрения систем — открытый и закрытый. Как внедрять такую систему — решает сама компания.
Если основная цель внедрения системы — выявление уже действующего канала утечки, определение всех его звеньев, причем не только исполнителей внутри компании, но и заказчиков информации вне ее, имеет смысл повременить с объявлением процедур и ставить в первую очередь мониторы активности пользователей и контентную фильтрацию почты и веб-трафика. Если же внедрять систему защиты от внутренних угроз открыто, то за счет психологического фактора можно даже сэкономить.
Известно, что при внедрении систем видеонаблюдения для защиты периметра на некоторых направлениях можно ставить неподключенные видеокамеры. Было бы неправильным считать, что любое, даже самое совершенное программное обеспечение может решить все проблемы с утечками. Установленное ПО такого рода все равно будет время от времени проверяться сотрудниками на возможность преодоления защиты. Еще одни способ сокращения утечки информации, это внедрение в компаниях списка программного обеспечения, допустимого к установке на рабочих станциях.
После составления списка программного обеспечения необходимо обеспечить его установку на все рабочие станции и ограничить запуск других программ без участия администратора. Принцип «все, что не разрешено — запрещено» в этом случае должен выполняться неукоснительно. Небольшими организационными мерами можно решить очень большие проблемы, одним из таких способов является ограничение объема ежедневных запросов до минимума допустимого компанией, все что больше — по дополнительной заявке с обоснованием служебной необходимости.
Вряд ли нарушители захотят проявить себя регулярными просьбами об увеличении лимита. И, конечно, необходимо постоянно работать с пользователями. Обучение пользователей, воспитание бдительности сотрудников, инструктаж новичков и временных сотрудников во многом сможет предотвратить утечки через незлонамеренных пользователей. Еще один канал утечки информации — физический вынос носителей с резервными копиями.
Поэтому сейчас используется несколько способов защиты этого канала утечки. Первый — анонимизация носителей, т.е. сотрудники, имеющие доступ к носителям не знают, какая информация записана на каком носителе, они управляют только анонимными номерами носителей. Второй— шифрование информации при резервном копировании, поскольку даже вынесенная и скопированная информация потребует некоторого времени и дорогостоящей вычислительной мощности на расшифровку.
Сейчас развивается рынок услуг по аутсорсингу информационных систем, которые обеспечивают хранение информации в защищенном режиме, загрузку ее в арендуемые приложения и выдачу удаленно по запросам. Data-центр — ядро компании, оказывающей такие услуги - изначально проектируется таким образом, чтобы свести к минимуму вероятность утечек
Опубликовано: 27 мая 2008 г.
Ключевые слова: нет
Извините, комментариев пока нет
|