Понять и обеспечить
20 июня 2019
Простые, практически «детские» вопросы подчас оказываются самыми интересными. Вроде бы всё очевидно, но когда задумываешься... Вот, скажем, зачем вам информационная безопасность? Прежде чем ответить, попробуйте сформулировать, что означает информационная безопасность конкретно для вас.
И это совершенно не блажь. Дело в том, что от вашего определения зависит то, какое ПО вы должны будете приобрести и установить, и какие риски будут или не будут для вас значимыми.
Вот несколько примеров.
- Информационная безопасность – это недопущение на компьютер ни одного вируса. Тут однозначно нужен антивирус – для проверки входящих данных. Еще желательны антиспам и запрет доступа к нерекомендуемым сайтам.
- Информационная безопасность – это недопущение на компьютере запуска ни одного троянца. Тоже возможно использовать антивирус – но уже не Dr.Web Security Space, а просто антивирус. И дополнить защиту работой под обычным пользователем и списком разрешенных к запуску приложений.
- Информационная безопасность – это сохранность важных данных. В этом случае вам нужно в первую очередь настроить резервное копирование с постоянной записью данных.
- Информационная безопасность – это минимум защиты при максимуме удобств.
И так далее. Естественно, это не все меры безопасности, возможные к применению, но принцип понятен. А теперь цитата:
- ИБ – действия, направленные на защиту информации.
- ИБ – это сочетание защиты и снижения беспокойства (комфорт).
- Гарантия того, что актив защищен в степени, необходимой для снижения риска эксплуатации уязвимости до уровня, приемлемого для владельца актива.
- Это видимость критически важных для бизнеса людей, процессов и технологий, с четкой способностью предотвращать или быстро реагировать на угрозы, как внутренние так и внешние, которые угрожают способности предоставлять ценность как компания.
- Это все, что вам нужно, чтобы защитить себя и все, что вы цените, от того, что может причинить вам вред или привести к потерям.
- Защита ключевых бизнес-операций для обеспечения прибыльности организации.
- Состояние свободы от опасности или страха.
- Это уменьшение, минимизация или устранение вероятности того, что угроза будет использовать уязвимость и повлияет на критичные активы.
- Это состояние защиты компьютеров и данных от вреда.
- Защита ваших интересов за пределами возможностей, пороговые значения рентабельности или устойчивости к риску ваших потенциальных злоумышленников.
- Разумная защита от актуальных угроз.
- Практика минимизация беспокойства о системе или продукте.
- Цикличный процесс идентификации, достижения и поддержания состояния.
- Это состояние, в котором, контроль, целостность, автономность и эволюция поддерживаются несмотря на внешнюю неопределенность окружающей среды.
- Минимизация рисков, позволяющая нормально функционировать предприятиям и гражданам.
- Процесс защиты критичных активов предприятия, позволяющий предприятию использовать функции этих активов для достижения своих целей.
- Поддержание способности системы надежно выполнять предназначенную функцию, несмотря на разумный набор ошибок или помех со стороны нарушителей.
- Практика защиты информации в структурированном и неструктурированном виде.
- Это внимание, которое уделяется обеспечению доступности, используемости и сохранности данных надлежащим образом.
- Обнаружение, предотвращение и реагирование на злоупотребления до приемлемого уровня риска.
- Это когда частное преимуществ и стоимости от безопасности больше 1.
- Состояние убежденности (которое может быть и ложным), которое было определено и разумно подготовлено к большим и наиболее вероятным угрозам текущему состоянию или любым его изменениям, которые могут произойти.
- Это управление рисками.
- Это предотвращение потерь.
- Достижение баланса между целостностью, конфиденциальностью и доступностью в условиях постоянно меняющегося ландшафта рисков.
- Это практика сочетания функциональности с конфиденциальностью.
- Обеспечение доверия.
- Минимизация рисков при максимизации ценности и работоспособности функции.
- Действия, предпринятые для создания комфортного состояния, обеспечивающего нормальное функционирование.
- Совокупность процессов и практик, предназначенных для защиты активов от атак, ущерба или неавторизованного доступа.
- Непрерывный процесс оценки рисков.
- Процессы предотвращения угроз и реагирования на них для минимизации риска компрометации данных.
- Знание того, что для вас важно, и сохранение его там, где вы хотите, тогда, когда вы хотите, и так, как вы этого хотите.
- Достижение состояния, когда усилия по вторжению обходятся дороже прибыли от вторжения.
- Сбалансированность использования ресурсов для снижения рисков, в то же время позволяя бизнесу выполнять желаемые функции, необходимые для продолжения работы, не препятствуя введенным мерам смягчения рисков.
- Бесконечная битва с непредвиденными последствиями.
- Меры безопасности, принимаемые для активного обнаружения и предотвращения совершения людьми плохих действий, а также процессы поддержания этих мер безопасности функциональными, актуальными и релевантными.
- Борьба с максимальным ущербом минимальными усилиями, приводящими к максимально возможному благу.
- Способность обнаруживать и сдерживать угрозы в допустимых пределах потерь для организации.
Как видим, для каждого безопасность – это что-то свое.
Антивирусная правДА! рекомендует
На самом деле то, что мы описали и вы пытались сформулировать, – давно прописано в стандартах и документах регулятора. Например, в Приказе ФСТЭК России № 17. Согласно данному приказу, прежде чем устанавливать защиту, нужно определить задачи, которые требуются организации, определить возможные риски, выделить среди рисков значимые и менее значимые, и только потом закрывать риски с помощью программных или организационных средств.
Формирование требований к защите информации, содержащейся в информационной системе
14.1. При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:
анализ целей создания информационной системы и задач, решаемых этой информационной системой;
<...>
14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
<...>
14.4. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации.
Казалось бы, всё написано – читай и пользуйся. Но кто читает эти приказы...
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Lia00
13:09:06 2019-07-17
Andromeda
00:40:58 2019-06-23
Альфа
00:31:52 2019-06-23
Александр
22:20:28 2019-06-21
zitkss
15:59:10 2019-06-21
Sasha50
02:20:39 2019-06-21
Shogun
23:49:45 2019-06-20
razgen
22:56:55 2019-06-20
Любитель пляжного футбола
20:55:48 2019-06-20
Шалтай Александр Болтай
20:40:05 2019-06-20
— Не понял...
— И не пытайся!
robot
20:27:19 2019-06-20
anatol
20:25:16 2019-06-20
Татьяна
19:14:40 2019-06-20
Lenba
18:21:13 2019-06-20
I23
18:05:14 2019-06-20
maestro431
18:02:38 2019-06-20
I46
17:41:26 2019-06-20
sanek-xf
17:21:57 2019-06-20
Zserg
16:58:43 2019-06-20
Masha
16:51:52 2019-06-20
L1t1um
16:47:55 2019-06-20
vinnetou
16:27:02 2019-06-20
Natalya_2017
16:26:42 2019-06-20
kozinka.ru
16:17:06 2019-06-20
Ну, что ж - у каждого свои определения, свои критерии, свои к ИБ тревования.
znamy
16:12:57 2019-06-20
Неуёмный Обыватель
15:58:21 2019-06-20
marisha-san
15:14:45 2019-06-20
Toma
14:22:54 2019-06-20
blade79
14:09:26 2019-06-20
Dmur
12:42:26 2019-06-20
orw_mikle
10:43:36 2019-06-20
Serg07
10:25:21 2019-06-20
Денисенко Павел Андреевич
10:22:22 2019-06-20
EvgenyZ
10:11:17 2019-06-20
Vlad X
09:56:44 2019-06-20
Геральт
09:22:53 2019-06-20
Ilya
09:04:01 2019-06-20
Alexander
08:59:02 2019-06-20
Статья наполнена очень наглядными и показательными примерами. И в них читается такое словоблудие, которое, наверное, мог собрать воедино только человек, действительно подошедший близко к пониманию вопросов информационной безопасности...
Сколько людей - столько и мнений... И лукавые "говорящие головы", и недобросовестные средства визуальной информации, в том числе блогеры и другие модные гуру, "впаривают" нам, простым пользователям-обывателям, идеи и искусно созданные потребности, и товары для нашего спокойствия в виртуальном цифровом мире...
Да, много написано по вопросам информационной безопасности, - но в этом "бумагомарании" сколько мусора, заблуждений и целевой недобросовестности, что, порой, становится как-то неуютно...
Вот только Dr.Web остаётся одним из немногих уголков честной информационной безопасности. Dr.Web Security Space - прекрасный недорогой многоцелевой продукт, обеспечивающий комплексную безопасность в нашем сложном и опасном цифровом мире. Спасибо…
vkor
08:58:00 2019-06-20
dyadya_Sasha
08:45:54 2019-06-20
Если по дому, то "приказ" отпугивает. Тут не приказывать, убеждать нужно. Убеждать примерами чужих ошибок и высокой вероятностью эти ошибки повторить.
TV
08:18:17 2019-06-20
Oleg
08:11:01 2019-06-20
ka_s
07:05:34 2019-06-20
Korney
07:01:00 2019-06-20
Пaвeл
06:49:37 2019-06-20
tigra
06:23:38 2019-06-20
tigra
06:21:01 2019-06-20
Любитель пляжного футбола
05:57:06 2019-06-20
Morpheus
04:56:44 2019-06-20