Защищаемся и расследуем или расследуем и защищаемся?

Сегодня во многих, особенно крупных организациях, существует служба информационной безопасности (защиты информации). И это, безусловно, абсолютно правильное решение. Однако проблемой, на мой взгляд, является то, что очень часто задачи службы ИБ подменяются гораздо более частной задачей – проведением расследований происшествий. Особенно это характерно для тех организаций, где:

  1. Руководитель соответствующей службы ИБ - выходец из правоохранительных органов
  2. Руководитель службы ИТ, которому подчинен отдел ИБ (да-да, такое тоже бывает) имеет более слабые позиции в организации и вместо непосредственного руководства подразделением ИБ, фактически идет на поводу у начальника службы безопасности, и начальник подразделения ИБ фактически выполняет задачи СБ.

Почему это неверно в принципе?

Да потому, что задачи у подразделения ИБ гораздо шире, чем просто проведение расследований. Если попытаться сформулировать в двух словах, то задача ИБ – сделать так, чтобы злоумышленнику (внешнему или внутреннему) максимально затруднить весь процесс добывания нужных данных, т.е. снизить вероятность воровства.

Задача же проведения расследования – найти виновного и доказать его вину.

Т.е. в первом случае – это профилактика правонарушения и построение «забора», а во втором – поиск виноватого в том, что «забор» уже проломлен и деньги уже ушли. Т.е. вторая ситуация возникает тогда, когда отдел ИБ фактически уже не справился со своими функциями и преступление уже произошло!

Таким образом, надеюсь, вы понимаете, что первый подход срабатывает ДО совершения правонарушения, а второй ПОСЛЕ такового.

Вместе с тем, не стоит забывать, что проводя расследование, мы фактически нарушаем закон Украины об оперативно-розыскной деятельности, и любые доказательства, найденные нами, будут считаться добытыми противоправным путем, а, следовательно, не могут быть доказательствами в суде.

Итак, проводить расследование мы с вами можем только в том случае, если сотрудники правоохранительных органов сочтут необходимым привлекать нас для проведения экспертизы.

И никак иначе!


Заключение

Как видите, создание группы проведения расследований это всего лишь часть (правда существенная часть) работы подразделения информационной безопасности и нельзя подменять всю работу ИБ исключительно расследованием происшествий!

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя savely

До слов  

>Задача же проведения расследования – найти виновного и доказать его вину. 

все верно. А далее - не согласен. Доведение до суда - да, это задача органов. А вот внутреннее расследование инцидента, IMHO, не нарушает закон. И нужно оно нет только для ответа на вопрос "КТО?", но и для ответа на "КАК?" (т.е. обнаружения (и закрытия в дальнейшем) "дыр" в системе). 

И система ДОЛЖНА быть построена так, чтобы иметь в составе инструменты для облегчения анализа инцидента (начиная с банальных журналов). 

 

 

Аватар пользователя VladB

Не знаю законодательство РБ, но у нас я даже сказать о том что занимаюсь РАССЛЕДОВАНИЕМ не могу, так как сразу же нарушаю закон Украины об оперативно-розыскной деятельности

 

Аватар пользователя savely

Хм, так скажите, что Вы занимаетесь анализом данных. :)) 

Аватар пользователя DA

Пустой материал с запутанным заголовком. Совершенно не ясно, что им хотел передать автор

Аватар пользователя VladB

А вы подумайте, это только вначале сложно, потом может и привыкнете, может даже понравится. Если есть чем думать, безусловно

Аватар пользователя DA

Актуальное мнение аналитика, MVP эксперта о вирусах СМОТРЕТЬ