-
добавить в избранное
«Шьем» защиту на заказ
2 ноября 2020
Продолжим тему процедуры выбора мер защиты, которую мы начали разбирать в выпуске «Корпоративная безопасность шаг за шагом». Мы остановились на том, что составили модель угроз и решили, что защищаться нужно. И назначили виноватого… то есть ответственного.
Следующий этап – проектирование. Зачем? Очень просто. Скажем, мы решили, что антивирус нужен. Ставим его, и вдруг все начинает тормозить, так как в системе имеется странный сервис, который работает криво. Нужно его поместить в исключения и предусмотреть для него компенсирующие меры защиты – ведь антивирус его защищать уже не будет. Дальнейшие цитаты – отсюда.
Разработка системы защиты информации информационной системы организуется обладателем информации (заказчиком).
Это логичный пункт, показывающий, что в итоге за все отвечает заказчик работ. Работы можно скинуть на подрядчика, но отвечать все равно будет заказчик.
Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы.
То есть, грубо говоря, нужен документ о том, что и какими мерами мы хотим достичь. Чтобы потом все участники процесса не говорили, что они все поняли превратно.
Разработка системы защиты включает:
- проектирование системы защиты информации информационной системы;
- разработку эксплуатационной документации на систему защиты информации информационной системы;
- макетирование и тестирование системы защиты информации информационной системы (при необходимости).
- Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.
То есть мы не просто ставим антивирус и подписываем акт, а делаем эксплуатационную документацию: кто имеет право настраивать исключения из проверки, кто утверждает данное решение, в какой последовательности настраиваются те или иные компоненты защиты.
И обязательно проводим тест, а то вдруг мы поставим защиту, а там – вирус. Антивирус как завизжит – и у секретарши сердце прихватит. Ну а если серьезно – тест выявляет узкие места. Скажем, в мире не везде есть Интернет, достаточно быстрый для распространения дистрибутивов по сети, и в такие места придется организовать доставку актуальных версий антивируса. Сталкивались.
Ну и то, чем нас попрекали. Первична не защита, а работа компании. Нужно сделать так, чтобы было достаточно безопасно, но при этом и комфортно тоже.
При проектировании системы защиты информации информационной системы:
определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов …;
выбираются меры защиты информации…;
определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
…определяются требования к параметрам настройки программного обеспечения…, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации.
Обратим внимание на два пункта: «выбираются меры защиты информации» и «определяются виды и типы средств защиты информации». Дело вот в чем: мало решить, что нужен, условно, бэкап. Нужно выбрать, какое именно ПО из имеющегося на рынке подойдет для этих целей.
Ну и отметим последний абзац цитаты. ПО должно не допускать небезопасной работы. Например, там, где ненужно, отключаем макросы в офисном ПО и JavaScript в браузерах.
А если в процессе тестов выяснились интересные моменты? Возвращаемся на нужное число этапов назад и начинаем снова!
… В том числе осуществляются
- проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
- проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
- корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы…
Отметим пункт про работоспособность мер защиты. Мало прочитать заверения маркетологов – все нужно проверить ручками. Доверяй, но проверяй!
#антивирус #бэкап #законодательство #корпоративная_безопасность #ответственность
Антивирусная правДА! рекомендует
Ну что, теперь можно ставить антивирус? Да! Но расходиться по домам нам не позволяет процедура защиты информации. О ней поговорим в одном из следующих выпусков.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Lia00
22:04:43 2020-11-19
achemolganskiy
14:04:16 2020-11-03
Неуёмный Обыватель
23:46:35 2020-11-02
Денисенко Павел Андреевич
21:16:44 2020-11-02
Karnegi
20:23:22 2020-11-02
Vlad X
20:09:49 2020-11-02
поздравления!
orw_mikle
19:57:16 2020-11-02
tigra
19:17:28 2020-11-02
tigra
19:16:28 2020-11-02
Masha
18:44:48 2020-11-02
Korney
18:44:09 2020-11-02
Dvakota
18:24:38 2020-11-02
Татьяна
18:21:18 2020-11-02
Татьяна
18:19:04 2020-11-02
Геральт
16:13:24 2020-11-02
Любитель пляжного футбола
16:00:00 2020-11-02
Альфа
15:16:02 2020-11-02
anatol
14:37:47 2020-11-02
GREEN
13:32:08 2020-11-02
Что есть, то есть. А вот верить или не верить кому-либо (в том числе и маркетологам ...) - личное дело каждого.
Но доверять нужно и важно, а уж проверять - то так обязательно!
vinnetou
13:29:27 2020-11-02
Zserg
13:12:01 2020-11-02
L1t1um
12:11:25 2020-11-02
maestro431
12:07:08 2020-11-02
Slava90
12:04:07 2020-11-02
kozinka.ru
10:07:42 2020-11-02
===
@Vlad_X, с Днём рождения! Пусть всё будет как задумано! Всех благ и крепкого иммунитета!
Alexander
09:50:31 2020-11-02
Проектирование, разработка, "притирка", - всё это, на мой взгляд, относится к высшему и высокому менеджменту. Специалистам даже среднего управленческого звена здесь многое как в тумане. Не говоря уже о рядовых работниках.
Главное, как указано в "Dr.Web рекомендует", - ставьте антивирус Dr.Web Security Space! А о разных дополнительных "процедурах" поговорить можно и позже...
@tigra, это - всего лишь два показателя. Безопасно и комфортно, - первый, - относительный (разброс критериев не обозначен, а он велик), второй, - субъективный (у каждого он воспринимается по-разному, плюс привычка). И таки да, в России и "за кордоном" они воспринимаются иначе. Не зря же так живуча поговорка, - "что русскому хорошо, то немцу - смерть". А совмещение комфорта и безопасности, - реально, например, в таком универсальном инструменте как топор. В умелых руках всё может стать идеальным!
vkor
09:19:50 2020-11-02
Sergey
08:58:57 2020-11-02
Vlad X
08:48:14 2020-11-02
все равно ему.
tigra
08:17:04 2020-11-02
ka_s
07:47:18 2020-11-02
Пaвeл
07:42:59 2020-11-02
SGES
06:48:50 2020-11-02
Любитель пляжного футбола
06:29:48 2020-11-02
Morpheus
04:37:45 2020-11-02