Вопрос информационной безопасности (ИБ) будет актуален всегда. Это и защита интеллектуальной собственности, и создание качественного ПО, и обеспечение роста компании. Мы поговорили с директором по информационной безопасности Алексеем Евменковым, чтобы напомнить всем, что такое ИБ и с чем ее едят.
Наша политика информационной безопасности строится на основе международного стандарта ИСО 27001. Он состоит из почти 20 доменов, в каждом из которых свой список защитных мер. Например, один из самых больших доменов – «Сетевая безопасность». Но надо помнить и о том, что безопасность – это люди. Это не только правила, которых мы должны придерживаться, но и здравый смысл. Смысл основанный и на понимании ценности репутации, и честности.
Охватить все пункты ИСО невозможно, поэтому наша компания фокусируется на наиболее важном. На чем именно мы сосредотачиваемся в этом году можно посмотреть в Information Security Roadmap.
ИБ – это сквозные процессы, не зависящие в основном от местоположения. К примеру, процедура регистрации инцидентов одинаковая, как в нашем офисе, так и в новых, в случае их появления – нужно позвонить Алексею, или создать тикет в helpdesk.
Самые важные правила ИБ:
- Здравый смысл и еще раз здравый смысл. Встаньте на место владельца бизнеса или заказчика, чтобы понять, с какими рисками они сталкиваются.
Например, часто разработчики не осознают, что нельзя использовать повторно код с прошлого проекта. Ведь это нарушение прав интеллектуальной собственности. Так, ваш бывший заказчик может проанализировать новый код для другого клиента и обнаружить плагиат. Из-за этого у нашей компании могут быть серьезные проблемы.
Надеемся, что каждый понимает, что пользоваться публичными шарингами кода нельзя.
- Если вы видите инцидент ИБ – сообщите об этом! Не стоит думать, что это несущественно, или что «я предаю товарища». Наказывать (скорее всего) никого не будут, но вы можете предотвратить серьезные проблемы.
- Не храните свои пароли на видном месте (на бумаге, в файлике). Для решения этой проблемы имеются «паролехранилки». Также не следует ставить одни и те же пароли на рабочую систему и личные аккаунты.
- Не стоит переходить по ссылкам, в которых не уверен. Вы можете не только потерять данные на компьютере, но и заразить сеть компании.
«Никто не имеет права спросить ваш пароль, кем бы он вам не приходился в компании. Если такое произошло, то нужно сообщить об инциденте директору по ИБ».
Отдел информационной безопасности компании развивается. В планах увеличить число сотрудников отдела, проводить онлайн-тренинги с экзаменацией и прописать планы действий для основных рисков.
«Хотелось бы, чтобы сотрудники не боялись, когда к ним подхожу я. Ведь моя работа устранить проблему, а не «пофиксить» человека. И не всегда, когда я заглядываю, это означает проблему. Может быть я просто заблудился или хочу с вами познакомиться?»
Помнить об информационной безопасности должен каждый. Соблюдать правила должны все.
