Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (124)
  • добавить в избранное
    Добавить в закладки

«Шьем» защиту на заказ

Прочитали: 867 Комментариев: 35 Рейтинг: 51

Продолжим тему процедуры выбора мер защиты, которую мы начали разбирать в выпуске «Корпоративная безопасность шаг за шагом». Мы остановились на том, что составили модель угроз и решили, что защищаться нужно. И назначили виноватого… то есть ответственного.

Следующий этап – проектирование. Зачем? Очень просто. Скажем, мы решили, что антивирус нужен. Ставим его, и вдруг все начинает тормозить, так как в системе имеется странный сервис, который работает криво. Нужно его поместить в исключения и предусмотреть для него компенсирующие меры защиты – ведь антивирус его защищать уже не будет. Дальнейшие цитаты – отсюда.

Разработка системы защиты информации информационной системы организуется обладателем информации (заказчиком).

Это логичный пункт, показывающий, что в итоге за все отвечает заказчик работ. Работы можно скинуть на подрядчика, но отвечать все равно будет заказчик.

Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы.

То есть, грубо говоря, нужен документ о том, что и какими мерами мы хотим достичь. Чтобы потом все участники процесса не говорили, что они все поняли превратно.

Разработка системы защиты включает:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы (при необходимости).
  • Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.

То есть мы не просто ставим антивирус и подписываем акт, а делаем эксплуатационную документацию: кто имеет право настраивать исключения из проверки, кто утверждает данное решение, в какой последовательности настраиваются те или иные компоненты защиты.

И обязательно проводим тест, а то вдруг мы поставим защиту, а там – вирус. Антивирус как завизжит – и у секретарши сердце прихватит. Ну а если серьезно – тест выявляет узкие места. Скажем, в мире не везде есть Интернет, достаточно быстрый для распространения дистрибутивов по сети, и в такие места придется организовать доставку актуальных версий антивируса. Сталкивались.

Ну и то, чем нас попрекали. Первична не защита, а работа компании. Нужно сделать так, чтобы было достаточно безопасно, но при этом и комфортно тоже.

При проектировании системы защиты информации информационной системы:

определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);

определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов …;

выбираются меры защиты информации…;

определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;

…определяются требования к параметрам настройки программного обеспечения…, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации.

Обратим внимание на два пункта: «выбираются меры защиты информации» и «определяются виды и типы средств защиты информации». Дело вот в чем: мало решить, что нужен, условно, бэкап. Нужно выбрать, какое именно ПО из имеющегося на рынке подойдет для этих целей.

Ну и отметим последний абзац цитаты. ПО должно не допускать небезопасной работы. Например, там, где ненужно, отключаем макросы в офисном ПО и JavaScript в браузерах.

А если в процессе тестов выяснились интересные моменты? Возвращаемся на нужное число этапов назад и начинаем снова!

… В том числе осуществляются

  • проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
  • проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
  • корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы…

Отметим пункт про работоспособность мер защиты. Мало прочитать заверения маркетологов – все нужно проверить ручками. Доверяй, но проверяй!

#антивирус #бэкап #законодательство #корпоративная_безопасность #ответственность

Антивирусная правДА! рекомендует

Ну что, теперь можно ставить антивирус? Да! Но расходиться по домам нам не позволяет процедура защиты информации. О ней поговорим в одном из следующих выпусков.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей