Вы используете устаревший браузер!

Страница может отображаться некорректно.

Информация к размышлению

Информация к размышлению

Другие выпуски этой рубрики (99)
  • добавить в избранное
    Добавить в закладки

Понять и обеспечить

Прочитали: 10310 Комментариев: 49 Рейтинг: 70

20 июня 2019

Простые, практически «детские» вопросы подчас оказываются самыми интересными. Вроде бы всё очевидно, но когда задумываешься... Вот, скажем, зачем вам информационная безопасность? Прежде чем ответить, попробуйте сформулировать, что означает информационная безопасность конкретно для вас.

И это совершенно не блажь. Дело в том, что от вашего определения зависит то, какое ПО вы должны будете приобрести и установить, и какие риски будут или не будут для вас значимыми.

Вот несколько примеров.

  • Информационная безопасность – это недопущение на компьютер ни одного вируса. Тут однозначно нужен антивирус – для проверки входящих данных. Еще желательны антиспам и запрет доступа к нерекомендуемым сайтам.
  • Информационная безопасность – это недопущение на компьютере запуска ни одного троянца. Тоже возможно использовать антивирус – но уже не Dr.Web Security Space, а просто антивирус. И дополнить защиту работой под обычным пользователем и списком разрешенных к запуску приложений.
  • Информационная безопасность – это сохранность важных данных. В этом случае вам нужно в первую очередь настроить резервное копирование с постоянной записью данных.
  • Информационная безопасность – это минимум защиты при максимуме удобств.

И так далее. Естественно, это не все меры безопасности, возможные к применению, но принцип понятен. А теперь цитата:

  • ИБ – действия, направленные на защиту информации.
  • ИБ – это сочетание защиты и снижения беспокойства (комфорт).
  • Гарантия того, что актив защищен в степени, необходимой для снижения риска эксплуатации уязвимости до уровня, приемлемого для владельца актива.
  • Это видимость критически важных для бизнеса людей, процессов и технологий, с четкой способностью предотвращать или быстро реагировать на угрозы, как внутренние так и внешние, которые угрожают способности предоставлять ценность как компания.
  • Это все, что вам нужно, чтобы защитить себя и все, что вы цените, от того, что может причинить вам вред или привести к потерям.
  • Защита ключевых бизнес-операций для обеспечения прибыльности организации.
  • Состояние свободы от опасности или страха.
  • Это уменьшение, минимизация или устранение вероятности того, что угроза будет использовать уязвимость и повлияет на критичные активы.
  • Это состояние защиты компьютеров и данных от вреда.
  • Защита ваших интересов за пределами возможностей, пороговые значения рентабельности или устойчивости к риску ваших потенциальных злоумышленников.
  • Разумная защита от актуальных угроз.
  • Практика минимизация беспокойства о системе или продукте.
  • Цикличный процесс идентификации, достижения и поддержания состояния.
  • Это состояние, в котором, контроль, целостность, автономность и эволюция поддерживаются несмотря на внешнюю неопределенность окружающей среды.
  • Минимизация рисков, позволяющая нормально функционировать предприятиям и гражданам.
  • Процесс защиты критичных активов предприятия, позволяющий предприятию использовать функции этих активов для достижения своих целей.
  • Поддержание способности системы надежно выполнять предназначенную функцию, несмотря на разумный набор ошибок или помех со стороны нарушителей.
  • Практика защиты информации в структурированном и неструктурированном виде.
  • Это внимание, которое уделяется обеспечению доступности, используемости и сохранности данных надлежащим образом.
  • Обнаружение, предотвращение и реагирование на злоупотребления до приемлемого уровня риска.
  • Это когда частное преимуществ и стоимости от безопасности больше 1.
  • Состояние убежденности (которое может быть и ложным), которое было определено и разумно подготовлено к большим и наиболее вероятным угрозам текущему состоянию или любым его изменениям, которые могут произойти.
  • Это управление рисками.
  • Это предотвращение потерь.
  • Достижение баланса между целостностью, конфиденциальностью и доступностью в условиях постоянно меняющегося ландшафта рисков.
  • Это практика сочетания функциональности с конфиденциальностью.
  • Обеспечение доверия.
  • Минимизация рисков при максимизации ценности и работоспособности функции.
  • Действия, предпринятые для создания комфортного состояния, обеспечивающего нормальное функционирование.
  • Совокупность процессов и практик, предназначенных для защиты активов от атак, ущерба или неавторизованного доступа.
  • Непрерывный процесс оценки рисков.
  • Процессы предотвращения угроз и реагирования на них для минимизации риска компрометации данных.
  • Знание того, что для вас важно, и сохранение его там, где вы хотите, тогда, когда вы хотите, и так, как вы этого хотите.
  • Достижение состояния, когда усилия по вторжению обходятся дороже прибыли от вторжения.
  • Сбалансированность использования ресурсов для снижения рисков, в то же время позволяя бизнесу выполнять желаемые функции, необходимые для продолжения работы, не препятствуя введенным мерам смягчения рисков.
  • Бесконечная битва с непредвиденными последствиями.
  • Меры безопасности, принимаемые для активного обнаружения и предотвращения совершения людьми плохих действий, а также процессы поддержания этих мер безопасности функциональными, актуальными и релевантными.
  • Борьба с максимальным ущербом минимальными усилиями, приводящими к максимально возможному благу.
  • Способность обнаруживать и сдерживать угрозы в допустимых пределах потерь для организации.

Источник

Как видим, для каждого безопасность – это что-то свое.

#антивирус #терминология

Антивирусная правДА! рекомендует

На самом деле то, что мы описали и вы пытались сформулировать, – давно прописано в стандартах и документах регулятора. Например, в Приказе ФСТЭК России № 17. Согласно данному приказу, прежде чем устанавливать защиту, нужно определить задачи, которые требуются организации, определить возможные риски, выделить среди рисков значимые и менее значимые, и только потом закрывать риски с помощью программных или организационных средств.

Формирование требований к защите информации, содержащейся в информационной системе

14.1. При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:

анализ целей создания информационной системы и задач, решаемых этой информационной системой;

<...>

14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

<...>

14.4. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации.

Источник

Казалось бы, всё написано – читай и пользуйся. Но кто читает эти приказы...

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей