«Ֆինանսների բացակայությունը պատճառ չէ տեղեկատվական անվտանգություն չունենալու համար»

10.04.2017, Խաչմերուկ

Տեղեկատվության անվտանգության փորձագետ, ուկրաինացի Միկոլա Կոստինիանը հիմնականում աշխատում է մեդիա ընկերությունների ու հասարակական կազմակերպությունների հետ` խորհրդատվություն տրամադրելով նրանց տեղեկատվական անվտանգության հարցերի վերաբերյալ:

Նա համոզված է` ֆինանսական միջոցերի բացակայությունը պատճառ չէ տեղեկատվական անվտանգություն չունենալու համար, քանի որ կան կազմակերպություններ, որ օգնում են լրատվամիջոցներին:

«Գումարի հարց չէ, էլ. փոստը պաշտպանելու համար գումար հարկավոր չէ: Պաշտպանված են այն կազմակերպությունները, որոնք լավ են կառավարվում, ոչ թե նրանք, որոնք ավելի շատ ֆինանսական միջոցներ ունեն:»

Ըստ փորձագետի` տեղեկատվական անվտանգությունն ապահովելու համար ցանկացած մեդիա ընկերություն տարին մեկ անգամ պետք է կառավարող աշխատակազմի ու հիմնական մի քանի աշխատողների հետ քննարկում կազմակերպի և ռիսկերի գնահատում անի:

«Նախ պետք է հասկանալ` ինչը պետք է պաշտպանել: Հնարավոր է` պետք է պաշտպանել համակարգիչներում, սերվերներում կամ էլ. փոստում առկա տվյալներն ու հաղորդակցությունը, ինչպես նաև կայքը` կոտրելուց և հարձակումներից:

Պետք է նաև որոշել, թե ումից ու ինչից պետք է պաշտպանել տվյալները: Օրինակ` մրցակիցներից, որոնք կարող են DDoS հարձակում պատվիրել, կամ ոստիկանությունից, որը կարող է մի օր գալ ու առգրավել ընկերության համակարգիչները: Քննարկմանը պետք է ցանկ կազմել, որը կներառի բոլոր ռիսկերը:

Ռիսկերն առանձնացնելուց հետո պետք է գնահատել դրանց հավանականությունը և հետևանքները, այնուհետև առանձնացնել, օրինակ, հինգ գլխավոր խնդիրները, որոնք լուծելուց հետո միայն կարելի է անցնել երկրորդական խնդիրներին:»

Ըստ Կոստինիանի` քննարկմանը հաջորդում է անվտանգության աուդիտը, որը ցանկալի է` իրականացնի հրավիրված ընկերություն: Այն պետք է գնահատի, թե որքանով է մեդիա ընկերությունը պաշտպանված ռիսկերից:

Միկոլա Կոստինիանը դասընթացի ժամանակ

«Աուդիտի ընթացքում ստուգվում է` որքանով են այդ ռիսկերն իրական, կարող է պարզվել, որ ընկերությունն արդեն պաշտպանված է որոշ ռիսկերից: Այնուհետև աուդիտը առաջարկություններ է անում` թե’ տեխնիկական (գաղտնաբառերի օգտագործում համակարգիչների համար կամ հատուկ մուտքով էլ. փոստ) թե’ կառավարչական (ընթացակարգերի սահմանում):

Երբ որոշում է կայացվում, թե մասնավորապես ո՞ր առաջարկություններն է հնարավոր իրականացնել, դրանք կյանքի են կոչվում, ինչից հետո կատարվում է վերջնական աուդիտ: Օրինակ` եթե որոշում է կայացվել, որ գատնաբառերը պետք է լինեն որոշակի երկարության, դա ստուգվում է` աշխատակիցների գաղտնաբառերը վերանայելով, երբեմն` տարեկան մի քանի անգամ:

Քննարկման, գնահատման, աուդիտի անցկացման, իրականացման ու վերահսկողության այս գործընթացը պետք է կրկնել ամեն տարի:»

Տեղեկատվության անվտանգության միջազգային չափորոշիչներին համապատասխան աշխատել ցանկացող ընկերություններին փորձագետն առաջարկում է ծանոթանալ ISO 27001 չափանիշին, որը կոչվում է «Տեղեկատվական անվտանգության ռիսկերի կառավարման համակարգ»:

Միկոլա Կոստինիան

Իսկ այն մեդիա ընկերություններին, որոնք չեն կարող բոլոր կանոններին հետևել, Կոստինիանը մի քանի հիմնական խորհուրդներ է տալիս.

  • Աշխատել լիցենզավորված օպերացիոն համակարգերով ու ծրագրերով: Կան միջազգային կազմակերպություններ, որոնք կարող են մեդիա ընկերություններին օգնել նման ծրագրեր ու համակարգեր ձեռք բերելու հարցում` Ինտերնյուզ, Թեքսուպ: Պարզապես պետք է դիմել նրանց:
  • Անպայման ապահովել էլ. փոստի անվտանգությունը:
  • Կայքի պարագայում հատուկ աշխատակից ունենալ, որը պարբերաբար կհետևի դրա գործառնությանը` թարմացումներին, պաշտպանությանն ու հարձակումների ինդենտիֆիկացմանը:
  • Համակարգիչների աշխատանքը վերահսկելու համար ունենալ պրոակտիվ ռեժիմով աշխատող սիսադմին:

Սառա Խոջոյան

Մեկնաբանել

Media.am-ի ընթերցողների մեկնաբանությունները հրապարակվում են մոդերացիայից հետո: Կոչ ենք անում մեր ընթերցողներին անանուն մեկնաբանություններ չթողնել: Միշտ հաճելի է իմանալ, թե ում հետ ես խոսում:
 

Media.am-ը չի հրապարակի զրպարտություն, վիրավորանք, սպառնալիք, ատելություն, կանխակալ վերաբերմունք, անպարկեշտ բառեր եւ արտահայտություններ պարունակող մեկնաբանությունները կամ անընդունելի համարվող այլ բովանդակություն:
Լրացուցիչ տեղեկություններ ?