Поиск
Вход
X

Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
ИТ-Клуб
Поиск
Фильтр материалов
Вход
X

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

  • предоставление Пользователю услуг Сайта;
  • направление уведомлений, касающихся услуг Сайта;
  • подготовка и направление ответов на запросы Пользователя;
  • выполнение регулярной информационной рассылки;
  • направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30

Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

Как создать комплексную систему ИБ в компании

Логотип компании
Автор
Как создать комплексную систему ИБ в компании
Нужно ли обращаться к интегратору или можно сделать самим?

Систему информационной безопасности в компании можно назвать иммунитетом бизнеса. Она должна работать как единый слаженный механизм и охватывать все уровни защиты информации: законодательный, организационный, программно-аппаратный, физический и морально-этический. Только при наличии всех элементов, работающих в единой концепции, достигается синергетический эффект. Отсутствие или изъяны в каком-то из этих элементов делают всю систему уязвимой, что особенно рискованно в периоды активности хакеров.

Что мешает организовать системный подход к информационной безопасности в компаниях

Рассмотрим основные факторы.

Рост угроз ИБ и числа хакерских атак на фоне пандемии

Глобальные перемены — катализатор хакерской активности. С 2020 года мы становились свидетелями самых громких инцидентов ИБ. Быть готовым ко всему крайне сложно. Но практика показывает, что в вопросах ИБ имеет значение скорость реакции, и даже после регистрации факта атаки, ее можно локализовать, если для этого под рукой имеются подходящие инструменты.

Множество разнородных решений на рынке ИБ с высоким ценником

Обычно ИБ-инструменты набирают по принципу «это дешевле» или «это легче внедрить». Каждый раз исследовать рынок в поисках идеального решения, которое требуется здесь и сейчас, — неудобно. Некоторые инструменты оказываются слишком дорогими. Даже при острой необходимости быстро разморозить и согласовать на них бюджет — задача не из простых.

Долгое внедрение и настройка оборудования и ПО

Если компания приобрела новый инструмент, возникает другая задача — грамотно все настроить и внедрить, и сделать это оперативно. Здесь компании часто сталкиваются с отсутствием практического опыта в настройке. В редких случаях помогают вендоры, но делают они это в отрыве от полноценной картины ИБ-системы заказчика, и каждый — со своей позиции.

Отсутствие внутренних ИБ-компетенций при проектировании и организации целевой архитектуры ИБ

При организации ИБ собственными силами ИТ-специалисты концентрируют внимание в первую очередь на своей зоне ответственности и могут пропустить аспекты, связанные с неключевыми бизнес-процессами. Наём квалифицированных специалистов в штат тоже не помогает решить задачу оптимально по времени и по финансам.

Кажется, что обеспечить техническую целостность и захватить «слепые» зоны помогает внедрение SIEM-системы, которая объединяет весь инструментарий в единую схему. Но такой шаг учитывает лишь программно-аппаратный уровень безопасности, а законодательные, административные и морально-этические уровни остаются без внимания. Инструмент довольно дорогой, поэтому без экспертного подхода к внедрению и настройке его приобретение можно считать неудачной инвестицией.

Неосведомленность о законодательных требованиях к безопасности, продиктованных спецификой отрасли

Сфера, в которой функционирует предприятие, имеет не меньшее значение. От специфики информации, с которой работает компания, зависит набор инструментов для ее защиты, а также предъявляемые законодательные требования.

Владельцы медицинских информационных систем (МИС) должны располагать не только целевой системой ИБ, требуемой для подключения к ЕГИСЗ, но и действующими сертификатами ФСБ, ФСТЭК.

В мае 2021 года Госдума приняла законопроект о штрафных санкциях за нарушение безопасности объектов критической инфраструктуры (КИИ). ФСТЭК планирует увеличить число проверок объектов КИИ и привлечь другие ведомственные органы к их проведению.

Защита информации, и в особенности государственной тайны, на государственных информационных системах (ГИС) — действительно сложная и ответственная задача. Требования к безопасности ГИС изложены и закреплены в Приказе ФСТЭК № 17 от 11.02.2013 и в Постановлении Правительства РФ № 555 от 11.05.2017

152-ФЗ «О персональных данных» по-своему окрашивает целевую ИБ-архитектуру компаний из различных сфер:

  • ретейл (как электронная коммерция, так и офлайн-сегмент) с CRM-системами и программами лояльности;

  • медицинские, страховые и банковские организации, обрабатывающие различные категории персональных данных;

  • онлайн-сервисы с формами регистрации;

  • веб-ресурсы, собирающие файлы cookie.

Самостоятельно мониторить все законодательные изменения и гибко подстраиваться под них — задача не из легких. Однако для операторов персональных данных большинство провайдеров уже предоставляют комплексную услугу «Защищенный облачный сегмент, аттестованный в соответствии с требованиями ФЗ-152».

Эффект «лоскутного одеяла»

Нередко в процессе построения комплексной ИБ-системы может возникнуть несогласованность инструментов между собой. Предпосылки к этому могут быть разными:

у компании несколько подрядчиков, участвующих в организации ИБ-архитектуры, из-за чего возникает децентрализованный контроль и конфликты инструментов на стыке систем;

Читайте также
Будущее ИТ-образования: диплом или практика? Кто победит в новой реальности индустрии?
ИТ-образование — это обширная и многогранная область, охватывающая множество направлений, от разработки программного обеспечения до управления данными и информационной безопасности. В ближайшие 5-10 лет ИТ-образование будет продолжать быстро развиваться, реагируя на изменения в технологиях и запросы рынка труда. О том, каким ИТ-образование будет завтра, о ключевых тенденциях, изменениях в подходах к обучению и о том, как современные технологии влияют на подготовку специалистов IT-World рассказывает  Георгий Ефименко, основатель и генеральный директор IT-лаборатории VibeLab.

  • в результате резких глобальных изменений в бизнесе;

  • усложнение, масштабирование и(или) появление новых бизнес-процессов;

  • появление новых активов, нуждающихся в защите;

  • слияние, поглощение, присоединение компаний.

Модули безопасности необходимо интегрировать в общую ИБ-систему так же оперативно, как происходят изменения. Частым итогом в стремлении к этому становится хаос в системе информационной безопасности с несогласованными сегментами ИБ и непрозрачными принципами работы всей системы.

Временная потребность в ИБ-инструментах

Нередко ИБ-инструменты необходимы для временных проектов — организация тестовых сред, государственные инициативы, юридические проекты или перевод сотрудников на удаленку. Компания вынуждена приобретать нужные инструменты при заранее известном исходе событий: по истечении сроков проекта неутилизованные до конца инструменты останутся висеть на балансе организации мертвым грузом.

Вывод очевиден: необходим комплексный подход к организации ИБ-системы, гибко решающий перечисленные проблемы, а также учитывающий цели, отраслевую специфику и масштабы бизнеса.

Подходы к организации комплексной системы ИБ

Базовый набор инструментов, актуальных сегодня для любой организации для достижения комплексности ИБ-системы, выглядит следующим образом:

• IPS/IDS-системы, обеспечивающие безопасность инфраструктуры и приложений от внешних вторжений, в том числе от DDoS-атак;

• WAF (Web Аpplication Firewall) — средство защиты веб-приложений для обнаружения и блокировки сетевых атак;

• централизованная антивирусная защита на уровне серверов и конечных устройств пользователей, защищающая от троянов и вирусов-шифровальщиков;

• корпоративная почта с защитой от спама, вирусов и настроенными политиками, снижающими вероятность получения фишинговых писем и спам-рассылок;

• виртуальные рабочие места (VDI) с двухфакторной аутентификацией и установленным антивирусом;

• защищенное хранилище данных с безопасным удаленным доступом через приложение.

Каждый из инструментов ориентирован на различные цели. Облачное исполнение позволяет всем им органично работать как единый слаженный механизм и масштабироваться на проекты любой сложности.

Обычно первым делом компании предпринимают попытку организовать систему самостоятельно и сразу сталкиваются с описанными выше проблемами: отсутствие бюджета на крупные единовременные затраты, нехватка экспертизы при поиске или внедрении новых инструментов, неясная картина об отраслевых требованиях к ИБ-системе.

При обращении к нескольким подрядчикам по аутсорсингу не всегда удается выстроить единую ИБ-систему: если брать инструменты точечно у разных интеграторов или вендоров, эффекта «лоскутного одеяла» не избежать. В то же время комплексный подход одного провайдера, обладающего широкой экспертизой, эту проблему позволяет решить. Сервис «единого окна» помогает организовать слаженную согласованную систему информационной безопасности.

Возможности организации комплексной системы ИБ с помощью провайдера

Задача провайдера несколько шире, чем у вендора или интегратора, — он стремится предоставить не только ресурсы или инструменты. Провайдеры широкого спектра услуг информационной безопасности пришли к выводу, что рынок нуждается в комплексных ИБ-решениях под ключ с расширенным стеком инструментов для возможности выбора.

Удобным дополнением к этой идее стал сервисный формат «подписки», с помощью которого можно оперативно подключать/отключать модули ИБ. Можно использовать даже дорогие решения — их стоимость будет оптимально распределяться во времени и безболезненно ощущаться для бюджета. А партнерские отношения провайдера с вендорами и глубокая экспертиза в их решениях позволяют еще лучше оптимизировать затраты.

За счет обширного опыта исполнитель всегда в курсе актуальных отраслевых и законодательных нюансов, может безошибочно определить класс информационной системы и категорию данных, обрабатываемых в ней. В зависимости от этого подобрать необходимые инструменты из существующего на рынке мультивендорного предложения.

Провайдер комплексной ИБ-системы может полностью погрузиться в проект: разработать целевую архитектуру ИБ для конкретного заказчика, предоставить несколько линий поддержки для оперативного реагирования на инциденты безопасности, в том числе заняться сопровождением всех продуктов вендоров. Все вопросы в таком случае закрываются через единую точку взаимодействия.

Читайте также
За одну минуту можно взломать 65% паролей. Как не попасть в число пострадавших
На что делают ставку злоумышленники, пытаясь угадать пароли пользователей? Какие факторы, помимо выбора пароля, влияют на безопасность данных пользователя? Какие меры могут принять пользователи для повышения безопасности своих данных?

При недостаточной картине актуального состояния ИБ-системы эксперты способны провести аудит ИБ и протестировать инфраструктуру на устойчивость к хакерским атакам (Pentest). Выводы и документация, которые они предоставят, будут полезны для построения целевой ИБ-архитектуры.

С таким подходом можно закрыть сразу несколько уровней защиты информации.

  • Мультивендорный набор ИБ-инструментов по подписке помогает оперативно и гибко надстраивать ИБ-систему на техническом уровне.

  • Размещение инфраструктуры в защищенном дата-центре на территории России позволит поддерживать безопасность на физическом и законодательном уровнях.

  • Привлечение экспертизы сертифицированных специалистов помогает решить вопрос с обеспечением безопасности на административном, морально-этическом и законодательном уровнях.

Централизованный контроль и экспертная поддержка позволяют убрать «слепые» зоны и снизить риски ИБ

Обеспечивая защиту информации на всех уровнях, удается достичь комплексности — одного из главных принципов информационной безопасности. Без него ИБ-система лишена смысла и экономического обоснования.

Выстраивание комплексной системы ИБ на аутсорсинге позволяет добиться большей гибкости:

1.  Собирать конструктор из инструментов, закрывающий актуальные задачи заказчика.

2.  Использовать понятный KPI услуги, за счет которого система ИБ становится прозрачной.

3.  Продолжать держать фокус на ключевых бизнес-задачах и работать в привычной парадигме, но уже с большей уверенностью в комплексной безопасности компании.

Такой подход выигрывает на фоне децентрализованной организации системы ИБ — она становится прозрачной и целостной, исчезают «слепые» зоны, улучшается контроль процессов, за счет чего снижаются риски ИБ.

Смотреть все статьи по теме "Информационная безопасность"

 

 

 

Журнал IT Manager

Опубликовано 01.08.2021

Об авторах
Мурад Мустафаев
Информационная безопасность
Предыдущая
Доксинг может разрушить вашу репутацию
Следующая
Три технологии ИБ, которые меняют привычный мир
Похожие статьи
Загрузить ещё1 2 3 4 5 »» Следующая →