Корпоративная безопасность шаг за шагом

Правила гигиены

добавить в избранное

Корпоративная безопасность шаг за шагом

Прочитали: 12612 Комментариев: 47 Рейтинг: 64

27 октября 2020

В выпуске «Защита как искусство баланса» мы говорили о том, что меры по защите не должны применяться с бухты-барахты. Нужно определить, что и в какой степени требуется защищать, что произойдет, если отказаться от защиты, и т. д. Сегодня подробнее рассмотрим процедуру выбора мер и способов защиты.

Документов, описывающих подобные процедуры, существует достаточно много. Мы разберем вопрос на примере процедуры, описанной в 17-м приказе ФСТЭК РФ. Почему именно он? Во-первых, он на русском, что уже удобно. Во-вторых, это довольно компактный документ, позволяющий ознакомиться с темой. И, в-третьих, описанная процедура должна применяться (как сказано в приказе) в том числе «для защиты общедоступной информации, содержащейся в государственных информационных системах» и является обязательной «при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении». Кроме того, описанные в приказе требования «могут применяться для защиты информации, содержащейся в негосударственных информационных системах».

То есть этот документ явно должен быть знаком всем, кто занимается выбором средств защиты на территории Российской Федерации.

Перейдем к самой процедуре (цитаты ниже даны из документа, размещенного на этой странице сайта ФСТЭК РФ).

14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком).

…и в том числе включает:

принятие решения о необходимости защиты информации, содержащейся в информационной системе;
…
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
определение требований к системе защиты информации информационной системы.

Как видим, первый пункт – принятие решения. То есть защита должна быть применена осознанно. Логично, что решение должно приниматься ответственными лицами компании.

Далее составляется список угроз и моделей их реализации. Причем не всех подряд угроз, а тех, которые критичны для конкретного предприятия и условий его работы. Скажем, если компьютеры обычной компании размещены в подземном датацентре, то защиту целостности информации от угрозы космического излучения, скорее всего, реализовывать не нужно. А вот если за стенкой стоит ядерный реактор – тогда другое дело.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

…

При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

Уже исходя из составленной модели угроз выбираются меры защиты. Причем тут тоже не все просто. Так, если речь о защите обычного компьютера от вирусов, то поставить на него антивирус – не проблема (хотя бывает всякое). А вот если нужно защитить от вирусов домашний роутер, то туда антивирус не установишь, и нужно принимать так называемые компенсирующие меры.

При необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Как видим, не антивирусом единым… Можно, например, выделить часть компьютеров в отдельную подсеть или ужесточить требования к парольной защите. Способов много.

Но вернемся к приказу.

При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:

анализ целей создания информационной системы и задач, решаемых этой информационной системой;
определение информации, подлежащей обработке в информационной системе;
анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации (заказчика), оператора и уполномоченных лиц.

Как видим, здесь первым пунктом идет вопрос в духе: «А зачем нам это нужно?». Вопрос серьезный, и выбираемые меры защиты напрямую зависят от ответа на него. Скажем, мы – ИП, ведем бухгалтерию на коленке. Что мы теряем при заражении? Скорее всего, копии договоров и список контактов. Наверняка достаточно будет бэкапа. Даже и антивирус, возможно, не нужен, если бэкап делается правильно. А вот если мы – ядерный центр и, проникнув к нам, хакеры могут… (тут включайте воображение!), то, понятное дело, одним антивирусом здесь не обойдешься.

Второй пункт выше понятен. Дополним только, что нужно определить еще и важность информации. Скажем, график чистки туалетов не требует такой защиты, как договоры компании. То есть для разной корпоративной информации могут применяться разные меры защиты.

Третий пункт тоже ясен – закон есть закон.

Минимум пятеро управляющих баров и ресторанов в Гренобле задержаны полицией.

В этих барах не соблюдали малоизвестный закон от 2006 года, который обязывает в течение одного года хранить логи активности всех клиентов, которые подключались к Wi-Fi.

Источник

Отметим, что должны быть назначены ответственные за безопасность. Если их нет, то, скорее всего, ничего хорошего из этой благой затеи не выйдет.

#антивирус #бэкап #законодательство #корпоративная_безопасность #ответственность #роутер

Антивирусная правДА! рекомендует

Итак, мы выбрали меры защиты. Что же, устанавливаем антивирус – и по домам? Вовсе нет. Не расходитесь – продолжим тему в следующем выпуске.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Alex Kad
14:55:15 2020-11-02

изложено достаточно разумно ..

Dragstars
18:32:19 2020-11-01

Статья не о чем...Будто писать уже не о чем :-)

Karnegi
21:35:18 2020-10-29

Любопытненько и полезненько ))!!!

anatol
19:50:46 2020-10-28

Ждем следующего выпуска.

Людмила
08:48:35 2020-10-28

@tigra,
" я тоже хочу Dr.Web AV-Desk,дайте мне его поюзать)"
хм... к корпоративной сети я вам доступ дать не могу. догадайтесь почему?:)
Dr.Web AV-Desk - это то, что в виде подписки предлагают провайдеры.
я могу устроить вам демо на https://www.drweb.ru/saas/mydrweb/activate/ - но, веб-цуп на нашем сайте это не личные кабинеты у провайдеров (каждый делал управление подпиской сам под свой сайт). таким образом, Dr.Web будет такой же как у провайдеров, а вот управление подпиской - иное. сделать вам демо-доступ к веб-цупу?

Serg07
06:47:20 2020-10-28

Хорошая статья. В закладки однозначно. Спасибо.

Альфа
22:26:53 2020-10-27

С данным выпуском ознакомился. Познавательно!

Zserg
22:23:34 2020-10-27

БЫЛО БЫ ЧТО ЗАЩИЩАТЬ, И АНТИВИРУС ПОНАДОБИТСЯ.

Lia00 Собкор
21:28:16 2020-10-27

@tigra, почитайте этот выпуск https://www.drweb.ru/pravda/issue/?number=1029 , без обид...

tigra Собкор
21:20:34 2020-10-27

@Lia00, мне так видится... вы в предвыборном штабе нашего, так сказать, дональда .. ибо уклончиво отвечаете(не отвечаете) печально.но.. но

Lia00 Собкор
21:16:07 2020-10-27

@tigra, это людям ответственным за безопасность приходится анализировать или не анализировать. А мне только представлять, читая выпуски...

tigra Собкор
21:13:36 2020-10-27

@Dvakota, учась в технаре, за халявой я(как и все мои сокурсники) я бегал ежесекундно, притом я не учил материал, а по общаге гонял... короче я безобразничал до талого... а в день перед экзаменом как положено орали, сами знаете кудой, сами знаете чегой))) так вот. За халявой я всегда стоял первый в очереди(или так мне думалось))) и по прошествию многих(как мне кажется) лет я по-привычке готов халяву всеми чреслами хавать))))но! на безопасности никогда не экономил.себе дороже.А после знакомства со славным нашим доктором Вебом, я вашпе перестал возжелать бесплатное мясо)))

tigra Собкор
21:07:35 2020-10-27

@Lia00, требую уточнения, однако, ибо, интрига... а я, заинтригованный спать не могу, приходится поднимать демографию...устаю однако я, а я не молод..

Dvakota
21:05:15 2020-10-27

@tigra,Ну да "халява" она такая притягательная ! А когда ее пять, ващщее ...!

tigra Собкор
21:03:28 2020-10-27

@Slava90, "Кто то вообще пренебрегает защитой.." давайте я вас удивлю... кто пренебрегает защитой- тот совсем становится мёртвый, навсегда))))

Lia00 Собкор
21:01:35 2020-10-27

каких только систем анализа не бывает...

tigra Собкор
21:01:25 2020-10-27

@Sergey, предлагаю тему кандидатской.На злобу дня. Целесообразность многодневного ношения одноразовых масок в России.Цели и негативные последствия.

tigra Собкор
20:58:21 2020-10-27

@Lia00, а каких систем вы производите анализ? еже ли это не тайна?)

tigra Собкор
20:55:04 2020-10-27

Мысли вслух.... я часто(неприлично часто) встречаюсь с ситуацией, когда на системе(машине) обычного пользователя стоит до пяти!!!(на минуточку!!) "антивирусных" так сказать программ. На вопрос зачем?-стандартно, в голос-мы ничего не ставили!А то что факты-весТЧЬ упрямая- мол бира-бар.)) И ведь, когда предлагаешь один, но платный, но достойно защищающий!!(угадайте, знатоки, какой)))) антивирус говорят как под копирку- мы же только в одногрупники, мы же вашпе никудой... нас нелёгкая вывезит)).Картина маслом.

tigra Собкор
20:49:59 2020-10-27

@Людмила, я тоже хочу Dr.Web AV-Desk,дайте мне его поюзать))

tigra Собкор
20:48:56 2020-10-27

@Неуёмный_Обыватель, чем больше я знаю свою меру-тем трудней мне её(меру) соблюдать.А так я меру знаю-упал-хватит))

Неуёмный Обыватель Собкор
20:29:33 2020-10-27

Во всём надо знать меру

orw_mikle
20:19:09 2020-10-27

Для домашнего ПК достаточно одного антивируса Dr.Web. Но следующий выпуск всё равно прочитаю.

Геральт Собкор
19:07:50 2020-10-27

Без комплексного антивируса никуда.

L1t1um
17:52:57 2020-10-27

Неее. Без антивируса в наше время совсем никуда!

DrKV Собкор
17:46:43 2020-10-27

Ох, как же мы далеки от всего этого! )))
Зато, есть к чему стремиться.

Татьяна
17:08:02 2020-10-27

Думаю, этот выпуск будет полезен системным администраторам.

Stan
16:22:26 2020-10-27

Нам хватает пока что одного антивируса! Но это все пока...

Stan
16:21:26 2020-10-27

Шаг за шагом так и все изучим!

Денисенко Павел Андреевич
13:51:56 2020-10-27

Выпуск очень интересный, продолжение следует...

Masha
13:32:43 2020-10-27

Информация конечно полезная, но для нашей организации достаточно одного антивируса.

vinnetou
11:56:22 2020-10-27

Спасибо за интересный выпуск,ждём продолжения!!!

SGES Собкор
11:43:12 2020-10-27

Толково рассказано о выборе мер и способов защиты, но это, наверное, только вершина айсберга.

Людмила
11:21:21 2020-10-27

@Sergey,
"При наличии наработанного материала, времени и желания можно спокойно и за кандидатскую приниматься)) "
и за учебник, кстати.

Людмила
11:20:37 2020-10-27

@tigra,
"А в лаборатории доктора Веба пользуются антивирусом? если да, то каким?))) а сотрудники лаборатории доктора Веба дома используют антивирус? если да, то какой???))))) "
ой, признайтесь — вы знали ответ:)

в компании используется Dr.Web AV-Desk, сотрудникам выдают каждый год несколько лицензий Dr.Web Security Space

Alexander Собкор
10:56:33 2020-10-27

Да, серьёзный разговор... Step by step... Schritt für Schritt... сделал шаг, потом второй... и начался путь, большой нескончаемый и непрерывный Путь организации и поддержки Безопасности на требуемом уровне, который постоянно подкидывает новые и более сложные задачи.

Федеральный Закон N 149 "Об информации..." от 27-07-2006 г. и Приказ ФСТЭК России "...о защите информации..." от 11 февраля 2013 г. N 17 демонстрируют необъятность организационного поля для пристального внимания и работы в направлении защиты информации. Это как "объять необъятное", - начало имеется, а окончания не будет, и перерывов на остановку и отдых, - тоже не будет никогда!

Как один из первых шагов в сегодняшней статье АП отмечается, "...что должны быть назначены ответственные за безопасность. Если их нет, то, скорее всего, ничего хорошего из этой благой затеи не выйдет". Конечно, правильно... совершенно верно... но...! Почему-то многими сотрудниками предприятий именно назначенный "ответственный" воспринимается как тот "крайний виноватый" в случае чего... На мой взгляд, именно с этого казуса начинается "разруха" строящейся системы безопасности.

Спасибо за статью. Жду продолжения... Но уже сегодня можно "почистить свои пёрышки"... Проверить актуальность и настройки Dr.Web Security Space, а затем запустить полную проверку операционной системы своего рабочего компьютера... Особенно на "удалёнке"…

ka_s
09:51:08 2020-10-27

Безусловно, законы нужно выполнять. Проблемы появляются, когда за законом появляются подзаконные акты, которые ещё нужно отследить и довольно часто за знакомство с ними - заплатить. Кроме того, дополнительно приходится выяснять, какой нормативный документ имеет большую юридическую силу, поскольку требования в них могут противоречить друг другу.

Sergey
09:49:36 2020-10-27

Тема эта важная, серьезная и объемная. При наличии наработанного материала, времени и желания можно спокойно и за кандидатскую приниматься))

vkor
09:19:01 2020-10-27

Ну что ж, раскрывать тему с развёрнутым анализом - правильный подход.

Любитель пляжного футбола Собкор
09:02:47 2020-10-27

Чтобы обеспечить ИБ, нужна совокупность всех мер, и установка антивируса - лишь одна из них.

Vlad X
08:04:12 2020-10-27

Как обычный пользователь,ставлю антивирус.

Slava90
07:59:40 2020-10-27

Кто то вообще пренебрегает защитой и несёт большие убытки.

tigra Собкор
07:58:27 2020-10-27

А, зародился волнительный вопрос. А в лаборатории доктора Веба пользуются антивирусом? если да, то каким?))) а сотрудники лаборатории доктора Веба дома используют антивирус? если да, то какой???)))))

tigra Собкор
07:56:16 2020-10-27

Не знаю как в больших мегаФирмах, а вот в быту подавляющее количество пользователей по-старинке надеются на авось, мол кривая вывезет и так далее.

GREEN Собкор
07:53:05 2020-10-27

"... меры по защите не должны применяться с бухты-барахты. Нужно определить, что и в какой степени требуется защищать, что произойдет, если отказаться от защиты, и т. д."
Здесь не убавить и не прибавить, так и надо поступать. Если, конечно, хочешь получить хотя бы приемлемый уровень ИБ.
Но вот что делать с этим?
"Отметим, что должны быть назначены ответственные за безопасность. Если их нет, то, скорее всего, ничего хорошего из этой благой затеи не выйдет"
Это и есть та соломинка, которая (при несоблюдении!) рушит всю стройную систему ИБ.

Пaвeл Собкор
07:39:38 2020-10-27

В серьезных компаниях безопасность может быть и на уровне. Но в мелких - о безопасности никто и не думает.

Morpheus Собкор
04:41:23 2020-10-27

To be continued... Как говорится:)

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Корпоративная безопасность шаг за шагом

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей