|
|
Знаете ли Вы, что ... | |
...для каждой темы существует свой раздел. Изучите структуру форума. Если соответствующего раздела нет, то всегда есть раздел "Разное" :) | |
<< Предыдущий совет - Случайный совет - Следующий совет >> |
Информационная безопасность Вопросы по защите информации и данных в сетях телекоммуникаций |
Результаты опроса: Делаете ли резервные копии и тестируете ли их ? | |||
У меня все есть: политика, бэкап, тесты | 4 | 57.14% | |
И так бэкап работает, зачем бумагу и время тратить | 1 | 14.29% | |
Руки все не доходят нормально сделать | 1 | 14.29% | |
Тестировать не на чем и некогда. | 1 | 14.29% | |
А что такое бэкап ??? | 0 | 0% | |
Голосовавшие: 7. Вы ещё не голосовали в этом опросе |
Ответить |
|
Опции темы | Опции просмотра |
23.03.2007 23:58 | #1 | ||
А вот хотелось бы провести мини-опрос.
У кого есть в компании установленная политика по резервированию и архивации ? И кто регулярно выполняет тестирование накопителей и делает восстановления в тестовой среде ? Если нет - то почему ? |
|||
|
Ответить |
24.03.2007 00:20 | #2 |
|
тема опроса хорошая. только считать будет сложно, так как нужно голосовать за организацию (один раз), а не за себя, учитывая постановку вопроса. иначе 1000 сотрудников одной компании скажут да или нет за нее. и что тогда?
А в целом здесь в теме можно обсудить различные модели, чтобы те, кто еще никак не занимается этим вопросом, могли выбрать себе наиболее подходящую Последний раз редактировалось Djalolatdin Rakhimov; 24.03.2007 в 00:31. |
|
Ответить |
24.03.2007 00:50 | #3 |
все конечно зависит от размеров предприятия. РК (резервное копирование) я в первую очередь отношу к ИБ. но не эксплуатационную ее составляющую а контролирующую. поэтому тут роль ИБ я вижу как законодателя в компании. а админов как исполнителей. так вот. необходимо создать и согласовать необходимые документов по компании, затем согласовать с бизнесом, затем делать бэкапы, и вообщем входить в рабочий цикл. хотя сказал очень примитивно, но в где-то как-то.... а вообще вопрос очень серьезный и ответственный.
а вот чтобы у сотрудников не было плюрализма мнений в данном вопросе и нужна согласованная политика на уровне рук-ва компании, тогда у сотрудника есть два выбора: либо работать, либо работать в другом месте |
|
|
Ответить |
24.03.2007 00:52 | #4 |
а еще интересно проводить боевые тестирования например удалить с сетевого диска свои файлы, пойти к админам и сказать: ну как, Василий Алибабаевич, восстановите ка мне мои файлы, взять секундомер и замерить все.
Да.... файлы лучше все-таки куда-нить еще скопировать.... на всякий случай.... от греха.... |
|
|
Ответить |
24.03.2007 01:02 | #5 | |||
|
Цитата:
Цитата:
Цитата:
для анализа текущего состояния политики обеспечения резервирования необходим сбор информации по определенным организациям. анализ может указать на первопричины "невнедрения" нормальных механизмов. отсюда можно делать предложения и рекомендации. к сожалению, многие организации не придают большого значения такому анализу, не идут на необходимые вложения (анализ хороший никто не будет делать за "просто так") |
|||
|
Ответить |
24.03.2007 09:57 | #6 |
ооооо бэкапы - это просто я не знаю как важно. многие игнорируют это или не торопятся начать делать но когда наступает момент Х (например такой) то плачут потом горькими слезами.
я сам себе делаю бэкап. не всего правда (место не хватает) но самого важного делаю. после того как наш энергосбыт скачком электричества убил файл ктр я делал весь день я стал бэкапить и всем советую. еще упс приобрел и очень рад он уже за пару месяцев раз 20 спасал от скачков. а по возможностям юрлицам лучше делать еще бумажные копии и отвозить под охраной в нукус и в фергану. и держать копии там =) |
|
|
Ответить |
25.03.2007 00:18 | #7 | ||
|
Компания USRobotics объявила о добавлении к семейству своих решений для хранения данных подключаемого к сети накопителя. Устройство USR8700 Serial ATA 4 Drive Network Attached Storage станет экономически эффективным и надежным средством хранения данных для малых предприятий, подразделений корпораций и современных семей. «Наш сетевой накопитель предназначен для решения проблем хранения данных, характерных для малых офисов и индивидуальных пользователей, и служит для хранения документов, данных и мультимедийного контента, а также обеспечивает защиту посредством резервирования, — говорит старший продакт-менеджер USRobotics Фрэнк Суджино (Frank Sugino). — USR8700 безопасен, прост в установке и эксплуатации и содержит все основные функции, необходимые индивидуальным пользователям и малым предприятиям, включая резервное копирование и восстановление, резервирование данных по принципу RAID и поддержку Active Directory».
USR8700 содержит четыре отсека для жестких дисков, что позволяет добавлять к системе до 2 ТБ внешней памяти. Он поставляется с предустановленным мощным аппаратно-программным обеспечением RAID, которое служит стандартом безопасного хранения данных на множестве устройств, а также с простыми для понимания и применения мастерами. Устройство поддерживает работу в режиме одного большого накопителя, но допускает и использование нескольких дисков в качестве основной и резервной памяти с динамическим регулированием размера логических дисков. Поддерживаются конфигурации RAID 0, 1, 5, 10 и JBOD. Кроме программно-аппаратного обеспечения RAID, USR8700 отличается развитыми возможностями резервного копирования. В комплект поставки входит ПО DiskSafe Express, которое в случае катастрофического отказа выполняет функцию резервного копирования и восстановления «с нуля» (Back-up and Bare Metal Recovery — BBMR), с лицензией на одного пользователя. Дополнительные лицензии можно приобрести в онлайне. Безопасное хранение данных гарантировано параметрами настройки на уровне пользователя и на уровне группы, такими как блокирование доступа, доступ только для чтения и доступ для чтения и записи. Параметры безопасности на уровне папок с наследованием еще больше упрощают процесс настройки системы защиты. http://www.cnews.ru/news/line/index....7/03/23/241749 |
||
|
Ответить |
Реклама и уведомления | |
25.03.2007 00:37 | #8 |
ЕС
|
На случай, если Сарезское озеро смоет Ташкент-Самарканд-Карши-Бухару-Термез-Навои? А кто будет потом забирать эти копии?
__________________
ZiyoNet.uz - Образовательный портал с элементами соцсети. |
|
Ответить |
27.03.2007 17:33 | #9 | |
|
Цитата:
Как известно, в настоящее время сложилась ситуация, когда во многих компаниях затруднена работа между этими службами из-за внутренних конфликтов. Чтобы проанализировать ситуацию, давайте рассмотрим основные варианты организации службы информационной безопасности внутри компании, а также недостатки и преимущества этих вариантов. У всех конфликтов есть источники, они также будут проанализированы в рамках данной статьи, как и потенциальные опорные пункты, которые могут помочь избежать этих конфликтов. Далеко не каждая компания может себе позволить в сжатые сроки провести реорганизацию службы информационной безопасности, поэтому очень важным моментом является то, как должна работать эта служба в неидеальном варианте организации. На рисунке ниже приведена схема возможных вариантов организации службы информационной безопасности (далее служба ИБ). Всего можно рассмотреть шесть вариантов. Служба ИБ может находиться обособленно, внутри ИТ-службы, внутри службы общей безопасности. При каждом из этих вариантов служба может быть полноценной структурой (отделом, подразделением), а может быть представлена несколькими специалистами внутри другого отдела. Рассмотрим вкратце каждый вариант. Первым и самым простым является наличие одного или нескольких специалистов, специализирующихся на ИБ внутри ИТ-службы. Это наиболее естественный способ организации, который приходит в голову руководителям исходя из сложившихся стереотипов о том, что информационная безопасность – это всего лишь часть процесса обеспечения ИТ. Если в компании не происходит инцидентов безопасности, связанных с подчиненной позицией сотрудников по ИБ, то компания по мере своего роста переходит к следующему этапу эволюции – оформлению службы ИБ как отдельной структуры внутри ИТ-службы. Этот вариант лучше только тем, что работа по обеспечению ИБ выделяется уже как существенная функция среди прочей деятельности ИТ. Выделяется больше ресурсов, как человеческих, так и финансовых. Это позволяет сделать больше и провести более качественную работу, но, тем не менее - там, где нужен паритет, учет обоих мнений, поиск компромисса, компания имеет отношения власти-подчинения, которые плохо сказываются на общем процессе создания комплексной системы обеспечения информационной безопасности. Рисунок 1. Варианты организации службы ИБ Итак, давайте подведем итоги по варианту организации работы по направлению информационной безопасности внутри ИТ-службы. Преимущества:
Преимущества:
Для создания процесса управления информационной безопасности в данном варианте должны использоваться ресурсы других подразделений и служб, в том числе ИТ-службы. Преимущества:
1. Разделение функций ИБ К сожалению, работа по направлениям ИТ обеспечения и информационной безопасности несет в себе потенциальное разделение функций, касающихся информационной безопасности. Как известно, целью информационной безопасности является обеспечение конфиденциальности, доступности и целостности информационных ресурсов компании. К сожалению, часто приходится наблюдать, как эти функции разделяются. Обеспечение целостности и доступности считается прерогативой ИТ-службы, а службы ИБ занимается только вопросами конфиденциальности. Часто это вызвано общим ошибочным мнением, состоящим в том, что информационная безопасность – это прежде всего обеспечение секретности. Подобное разделение мгновенно вызывает конфликт интересов между ИТ и ИБ вместо поиска баланса. На самом деле конфиденциальность, целостность и доступность могут рассматриваться только в комплексе, поэтому обеспечение этих свойств информационных ресурсов должно рассматриваться как единая цель для ИТ и ИБ. Разделение должно быть не в функциях, а в масштабах выполнения этих функций. Для ИТ-службы это прежде всего автоматизированные информационные системы, а для ИБ – вся компания, вместе с ее людьми, информационными системами, бизнес-процессами, контрагентами, информационными потоками, которые могут воплощаться не только в электронном виде. Именно поэтому служба ИБ считается выставляющей требования по отношению к ИТ, потому что эти требования должны вписываться во всю систему обеспечения информационной безопасности компании. 2. Контроль и исполнение Следующим источником конфликтов, который мы рассмотрим, является естественный конфликт между исполняющей и контролирующей службой. В случае если работа и взаимодействие между ИТ и ИБ службами построена так, что для ИТ-службы информационная безопасность – это то, что мешает им делать свою работу, а службе ИБ приходится играть роль «полицейских», то это плохо отражается на общем процессе. Здесь свою роль играет человеческая природа. Подобная ситуация провоцирует то, что «исполняющие» пытаются уходить от контроля, а «контролирующие» ужесточают контроль. И все это вместо того, чтобы достигать общих целей. 3. Битвы за бюджет Пресловутые битвы за бюджет, вошедшие в историю как основная причина для конфликтов между ИТ и ИБ, по сути являются очень странной ситуацией. Можно еще предположить реальность этого для крупных корпораций, где службы и департаменты далеки друг от друга. Но почему-то в этих конфликтах не упоминается то, что на самом деле речь идет о построении единой, целостной и гармоничной ИТ-инфраструктуры. У служб информационной безопасности и информационной технологий нет отдельных и обособленных собственных инфраструктур. И в этом случае конфликт выглядит неуместным. 4. Внедрение требований Следующий рассматриваемый источник конфликтов выявляется при выставлении службой ИБ своих требований к среде, подчиненной ИТ. Очень часто в компаниях создается атмосфера, когда работа служб ИБ сводится к выставлению требований к ИТ инфраструктуре. Естественно, в такой ситуации у ИТ службы возникает негативное отношение к информационной безопасности в целом и службе ИБ в частности. Кроме того, им кажется, что им мешают работать, что во многом будет правдой при таком стиле работы. Однако требования безопасности к ИТ инфраструктуре должны быть зафиксированы в политике безопасности (под политикой безопасности в рамках данной статьи понимается весь пакет документов, регламентирующих работы системы управления информационной безопасности компании). В разработке этих требований ИТ служба должна участвовать непосредственно наравне со службой ИБ. Споры в такой ситуации сводятся к поиску конкретной реализации и практическим тонкостям выполнения зафиксированных требований по отношению к отдельной ИТ задаче или проекту. Основным условием здесь является консенсус между ИТ и ИБ в отношении реализации требований, ведь в противном случае они могут быть реализованы таким образом, который может повлечь за собой ущерб бизнесу компании. 5. Борьба за статус и последнее слово Когда две службы воспринимают друг друга как конкурирующие или враждующие, естественным образом начинается борьба за последнее слово. Следствием такого стечения обстоятельств является то, что в каждой отдельной ситуации последнее слово останется только за одной из сторон. С большой долей вероятности «последнее слово» любой из сторон не будет учитывать требования бизнеса и его безопасности в целом и может повлечь за собой ущерб. Информационная безопасность – это деятельность, направленная на упорядочивание и обеспечение большей устойчивости бизнеса в части информационных ресурсов, которые для него необходимы. Подобный подход позволяет достичь взаимопонимания и эффективного взаимодействия между службой ИБ и другими связанными с ней подразделениями, в чем мы убедимся далее. Предпосылки к эффективному взаимодействию Работа по созданию системы управления информационной безопасностью несет позитивные последствия для обеих сторон. К ним можно отнести следующее:
Итак, при таком подходе ИБ и ИТ - это взаимодействующие структуры, имеющие общие интересы, но разную специализацию; они могут объединяться для достижения общих целей; у них дополняющие друг друга функции. Лучшее, что могут сделать ИБ и ИТ службы – это относиться друг к другу как бизнес-партнерам. Для рассматриваемых трех вариантов организации службы ИБ это выливается в следующее. Если ИБ – это внутренняя структура ИТ, то лучшее, что можно и нужно вынести из этой структуры – это тесная интеграция и мгновенная реализация в рамках других ИТ проектов вопросов безопасности. При таком раскладе требования безопасности могут учитываться напрямую в концепции развития ИТ и в планировании отдельных проектов. Если ИБ – это внутренняя структура общей службы безопасности, то лучшее, что можно и нужно вынести из этой структуры - это интеграция между информационной, экономической, физической безопасностью, а также реализация обучения и контроля за пользователями. Если ИБ – это обособленная структура, то можно построить полноценную систему управления ИБ, взаимодействуя с другими службами. Эта схема обладает наибольшим потенциалом. Для решения конфликта на данной стадии необходимо прийти к единому подходу и найти точки взаимовыгодного сотрудничества с ИТ, а также с другими подразделениями, такими как служба общей безопасности, кадровая и юридическая службы. Разрешения и урегулирования конфликтов с ИТ службой можно достичь, если следовать следующим простым правилам:
Смородникова Евгения CISO МУП «РКЦ г. Новосибирска» http://www.securitylab.ru/analytics/293391.php |
|
|
Ответить |
27.03.2007 18:47 | #10 |
WorldBrandBank, Российское подразделение
Руководитель в областиИБ
Сообщений: 78
+ 4
76/28
– 0
0/0
|
Стаья интересная, но несет в себе отпечаток старого советского подхода.
ИТ и ИБ рассматриваются оторвано от бизнеса (косвенно упоминается вариант подчинения топ-менеджменту) На самом деле, многие проблемы проистекают из того, что у данных (порой самого ценного актива предприятия) нет владельца. То есть работают с ними все, а ответственность за них (в частности за безопасность) пытаются переложить на ИТ или ИБ. Отсюда и ошибочная тенденция наделить ИБ законодательными инициативами в области ИТ. Между тем, лучшая практика (рекомендуемая и текущими стандартами) в том, что у данных должен быть владелец (owner) из бизнес-среды. И именно он определяет существенные параметры этих данных, в частности их стоимость и правила работы с данными (в т.ч. и правила безопасности) Администратор (ИТ) обеспечивает технологическое применение Правил Контролер (ИБ) обеспечивает уверенность в том, что все (в т.ч. и Администратор и Пользователь и сам Владелец) работают с данными согласно этим правилам. В тех ситуациях, когда Владелец данных мало компетентен в ИТ вопросах, ИБ (или ИТ) может выступить в качестве разъяснителя или коректного оформителя Правил (в виде Политик, Процедур и т.д.), но никак не их Назначателем. В такой схеме не возникнет ни конфликта между ИТ и ИБ, ни остаточного финансирования, ни кучи других проблем... |
|
Ответить |
|