среда, 15 июля 2015 г.

Маркетинг "черных" списков и польза для служб ИБ

    Для любой организации являются проблемой утечки чувствительной информации по неконтролируемым каналам - цен закупа, тендерных предложений, цифр "черной" бухгалтерии посредством мобильного телефона.

    Проблему решают по разному - анализируют звонки по корпоративной мобильной связи, содержат штат осведомителей, назначают вознаграждение за информацию о нарушениях ИБ.
    Т.е. используют т.н. "детектирующие" контмеры, позволяющие выявить утечку, но не снижающие вероятность утечки. Предлагаю стряхнуть пыль подумать о использовании старых добрых "черных" списков. Ведение "черных" списков вкупе с публичным разделом на сайте с контактной информацией СБ для проверки ранее работавших в компании кандидатов возможными работодателями отобьет охоту у многих потенциальных нарушителей. Возможен и более эффективный с точки зрения загрузки СБ вариант в виде списка хэшей SHA-1 от полного ФИО, серии и номера паспорта, что бы работодатели смогли проверить кандидата с одной стороны самостоятельно а с другой наша компания не нарушила ФЗ-152.
    Для пущей эффективности можно рассказать о подобной практике на индустриальных мероприятиях, а так же дать интервью журналистам известных изданий, что бы каждый сотрудник понял - компания не шутит.
    Кстати, Сбербанк еще в 2010 пробовал внедрить подобную практику:)

Комментариев нет:

Отправить комментарий