25

Продолжение (ИБ)

Кратенько о рисках

Методов оценки рисков множество множеств, а потому рассматривать все их я разумеется не буду. Но рассмотрю метод, который прекрасно укладывается в мою стройную картину видения ИБ - метод контрольных листов. Если помните, то пилоты перед взлетом читают контрольную карту. Ну вот что-то вроде. Документация предприятия, как я уже отмечал, имеет функции интегрирования ИБ, представление множества процессов в виде целого и непротиворечивого. Регламентирует действия сотрудников, предъявляет требования к средствам защиты информации и т.д. Но помимо этого она так же выполняет функцию накопления знания в виде отчетов, аналитических материалов по проектам, извлеченных уроках, которые учитываются и вносятся в документацию предприятия. Организация накапливает опыт, знания, аккумулирует их в базах данных или знаний. Учитывая, что наибольшие информационные риски присущи проектным процессам ввиду плохой прогнозируемости и значительной доли неизвестности, то в первую очередь опыт должен накапливаться за счет них. Проект должен заканчиваться не в момент достижения поставленной цели, а в момент сдачи документации по проекту и отчетов участвовавших руководителей в архив. Если Вася Пупкин за время проекта постоянно косячил и срывал сроки, то это будет подшито в папочку и в следующий раз его или не привлекут к проекту, или за ним будет строгий надзор. Это зрелый подход, обеспечивающий совершенствование процессов ИБ, позволяющий накапливать СОБСТВЕННЫЙ опыт и знания. Если следовать стандартам (когда они не являются обязательными), то мы попадем в каменный век. Да, если говорить о стандартах, то это лучший опыт, но это лучший опыт почти двадцатилетней давности. Взять для примера стандарт "ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности", который издан был в 2008 (в 2010 переведен на русский) или "ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности". Получается, что изданы они были 10 лет назад. Но опыт, который был в них использован должен был быть получен из компаний, проанализирован, утвержден и т.д. Можно прибавить еще лет 10. Если компания будет опираться на стандарты, то в лидеры она никогда не выбьется. Для лидерства стандарты надо писать самим, а для этого нужен свой опыт и свои знания.

Ну и конечно хочу отметить совсем простые вещи, как наличие риска явки аудиторов для проверки документации и снижение рисков вследствие наличия грамотной документации и её соблюдения.

Эх, раз уж начал про сферических коней, то гулять так гулять.

Закон что дышло... А потому основная правовая нагрузка по защите информации ложится на плечи компании. Писали мне про ФЗ-98 "О коммерческой тайне" мол вот закон и там все написано. Но все меры в этом законе уместили в 5 пунктов и почти все отдано на откуп компаний. Есть проблемы и в образовании, и в законодательстве. Но мне кажется, что такие проблемы есть везде и ИБ не исключение. Есть проблема обеспечения исполнения документации. Но тут важно понять, что совсем исключить риск нарушения регламентов и инструкций полностью довольно проблематично, а вот снизить до приемлемого уровня можно. Конечно приемлемый уровень у каждого свой, но не будем отвлекаться) Ну штрафы это само собой, еще можно внедрять разделение обязанностей (один делает, другой контролирует), внедрять какие-то технические средства контроля, облегчать выполнение требований, проводить тренинги. Ну для примера о паролях: можно внедрить SSO (сложно и не всегда возможно), можно рекомендовать использовать не пароли, а парольные фразы вроде "синийконьнакухнесзеленымиобоямиипаркетом", можно внедрить средства аутентификации по ключу, ну и разумеется поставить галочку на запрет слабых паролей)

Еще есть такой принцип необходимости знания. Если необходимости нет, то и знать ты этого не должен. Реализуется как правило через руководителей отделов, которые указывают для каких должностей какой доступ должен быть предоставлен.Отдел ИБ здесь выступает в качестве надзорно-утверждающего.

Дубликаты не найдены

+3

ТС, я прямо предчувствую как на твои посты в курсовых ссылаться начнут))))

раскрыть ветку 3
+1

Молодой человек, вам плюсы не жмут? Не боитесь, что скоро int переполнится?

раскрыть ветку 1
0

Да вроде нет

+1

+1 Уже скопипастил в диплом. Пишите еще про чек-листы!

0

Ваше чтиво крайне занимательно. Мне в школе и в универе, к сожалению, никто ИБ не преподавал. Хотелось бы задать Вам вопросы на приземленные, скорбные темы. Самый главный вопрос, который интересует всех без исключения, кроме меня - это воровство баз. Баз клиентов, поставщиков, наработок фирмы, перенаправление потоков клиентов на левую фирму. Как противостоять, что делать, есть ли выход. И второй вопрос - есть такая штука, называется цилиндр джефферсона. Я нигде не могу найти анализа криптостойкости этой машинки. То есть, я понимаю, что есть уязвимое звено - ключом является сам аппарат, повторяемость шифра и вслед за этим уязвимость перед частотным анализом. Но меня интересует его актуальность и сравнение с другими полиалфавитными методами шифрования. Этого я в сети, к сожалению не нашел. Ну и плюс возможные альтернативы. Буду рад, если ответите.

0
Я бы дополнил ещё принципом "Необходимости НЕ знания". Т.е. категории информации, о существовании которой не должны догадываться "те, которые не те"
0
Добрый день!
С Вами можно где-то пообщаться помимо пикабу?
0

+1 Про парольные фразы - понравилось. ;)))

Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: