|
|
Знаете ли Вы, что ... | |
...для каждой темы существует свой раздел. Изучите структуру форума. Если соответствующего раздела нет, то всегда есть раздел "Разное" :) | |
<< Предыдущий совет - Случайный совет - Следующий совет >> |
Информационная безопасность Вопросы по защите информации и данных в сетях телекоммуникаций |
Ответить |
|
Опции темы | Опции просмотра |
22.03.2007 20:20 | #66 |
WorldBrandBank, Российское подразделение
Руководитель в областиИБ
Сообщений: 78
+ 4
76/28
– 0
0/0
|
Уважаемый Silveran!
Вы правильно отметили, что люди в ИБ это одна из основных проблем. Я скажу больше того, даже не спецы по безопасности и не админы – а пользователи! Если поглядеть западную статистику, то видно, что простое проведение на предприятии security awareness, снижает информационные риски в разы… Мне только не очень понравилось Ваше пренебрежительное отношение к стандартам (ИСОшным). Стандарты – это квинтэссенция опыта и предназначены как раз для помощи в организации толковой ИБ. Не знаю, каков у Вас опыт работы специалистом по безопасности, но, полагаю, Вы понимаете, что “хороший хакер\кракер\any-“Black-Hat”-er” не равняется “хороший специалист по безопасности”. Знания и навыки по взлому это безусловный плюс, но не достаточное условие. Предположу, что все громкие случаи по принятию на работу успешных хакеров, означали, на самом деле, зачисление их в команду “penetration testing”. А для того, чтобы выстраивать защиту, нужен другой склад ума и характера. Пойду дальше, даже человек, искусно защищающий свой домашний компьютер не обязательно станет хорошим профи по безопасности в организации. Это хорошо видно на развитии уровней зрелости в ИБ для всех компаний. Начальный уровень – это приобретение и внедрение большого количества технических решений. Именно на этом этапе понадобятся хорошие технари, толковые индивидуалы, в том числе, возможно, и хакеры. Но через некоторое время предприятие столкнется с проблемами управления своим техническим хозяйством, возросшей совокупной стоимостью владения и кучей других проблем. Вот тут понадобится качественный переход от внедрения технической безопасности к построению системы управления ИБ. И тут без стандартов никак не обойтись. Недавнее исследование по ИБ, проведенное компанией, где я сейчас работаю, показало, что просто наличие формализованного документа – политики ИБ, как ни странно, существенно снижает риск реализации инцидентов ИБ. |
|
Ответить |
23.03.2007 13:45 | #67 |
WorldBrandBank, Российское подразделение
Руководитель в областиИБ
Сообщений: 78
+ 4
76/28
– 0
0/0
|
Еще одно небольшое замечание, раз уж всплыл вопрос про аудит ИБ.
Я понимаю, что большинство предприятий в странах бывшего СССР и в Узбекистане в том числе, находятся на той стадии зрелости, когда наиболее актуально как раз техническое обеспечение ИБ. Тем не менее, я рекомендовал бы сразу приучать пользователей к правильной терминологии и разделять понятия технического аудита и аудита системы управления ИБ. Не в обиду будет сказано, но в принятой мировой практике, аудитом ИБ называется именно второе. А технический аудит обычно соотносится скорее с vulnerability management или penetration testing. Хотя многие, даже довольно известные компании используют определение “аудит” применительно к технической части. Если же говорить об аудите именно на языке тех стран, откуда к нам приходят стандарты, то тут нельзя обойтись без определения control (по-русски, кратко он тоже называется “контролем”, но более глубоко под ним следует понимать “контрольный механизм”, куда может входить, как техническое решение, так и, например, организационное мероприятие) Вот именно проверкой контролей и занимается аудит ИБ и технический аудит это только одна из его составляющих. Уклонение только в техническую часть, без комплексного подхода чревато неприятными последствиями. Известные мне примеры: 1. Прекрасно оборудованная серверная комната оказалась расположена рядом с туалетом и очередная протечка принесла колоссальный неожиданный ущерб. 2. Хорошо налаженная система резервного копирования, тем не менее, не предусматривала регулярного тестового восстановления данных. В критической ситуации, компания была неприятно удивлена, что большинство ее лент не подлежит восстановлению. Согласитесь, что сканированием уязвимостей такие недостатки не выявить. Об этом необходимо помнить, в противном случае может получиться некая профанация ИБ. Компания, пройдя аудит в узком (техническом) понимании, будет считать, что все ОК и получив негативный опыт, будет, мягко говоря, недовольна. Вообще, сильный уклон в обеспечение защиты от хакеров, это некая детская болезнь, которую предприятие тоже должно пережить. Не отрицая опасности от внешних злоумышленников, надо помнить об имеющейся статистике, которая гласит, что до 80% ущерба в ИБ приносят собственные пользователи предприятия, причем из этого списка до 80% - в результате ошибок, а не злого умысла… |
|
Ответить |
|