Пора закручивать «гайки безопасности»!

Информация к размышлению

добавить в избранное

Пора закручивать «гайки безопасности»!

Прочитали: 1486 Комментариев: 53 Рейтинг: 74

31 января 2020

Складывается парадоксальная ситуация: бизнес не любит вложения в безопасность, которые, как считается, не принесут непосредственной отдачи, но внесут некие затруднения и ограничения в рабочий процесс. Но при этом все ожидают от своих партнеров и пользователей качественной работы с учетом требований безопасности. Как же ее реализовать?

Путь первый. Государство определяет требования по безопасности, в том числе настаивает на использовании определенных мер защиты и решений, соответствующих известным требованиям. Соблюдение требований должно быть обязательным, а продукты, которые должны использоваться, проходят процедуру проверки соответствия. Обычно это происходит в форме сертификации.

Это, в общем-то, самый надежный способ. Но в силу больших затрат, требующихся как от компаний, требования для которых часто невыполнимы, так и от государства, на которое возлагаются расходы по проверке выполнения требований, подход частенько приводит к ситуации, когда поставленная задача остается только на бумаге.

При этом возникает ряд проблем.

Разработка детальных требований к продуктам и мерам защиты – процедура длительная и требующая участия множества экспертов. Без них требования могут стать непонятными или невыполнимыми в принципе.
Не все продукты защиты могут быть сертифицированы (например, по географическому признаку разработки).
Сертификация – тоже процесс длительный. Пока он идет, продукт продолжает совершенствоваться, сертифицированной оказывается не самая новая его версия. Таким образом, пользователи вынуждены использовать устаревшую версию продукта.
Сертификация – процедура очень дорогостоящая. Разработчику невыгодно сертифицировать продукты, имеющие малый спрос, что препятствует работе пользователей с такими продуктами.

Второй подход можно условно назвать «невидимая рука рынка»: при желании компании самостоятельно проходят некие процедуры сертификации и заявляют о соответствии определенным требованиям. Приводит это к тому, что с точки зрения европейских требований по защите персональных данных работать безопасно можно далеко не с любыми компаниями США. Ну а компании, не потратившие деньги на выполнение требований по безопасности, получают возможность предлагать услуги дешевле. И понятно, чьи услуги будут выбраны при прочих равных условиях.

Третий вариант – промежуточный: государство вырабатывает общие требования по защите, не столь детальные, как в первом случае. Например, что именно надо защищать и от чего. А вот чем – остается на совести компании, которая сама решает, как выполнять требования. Сертифицировать продукты при этом ненужно. Ответственность за выполнение требований лежит на компании – предполагается, что бесполезное и некачественное она не выберет.

Но не следует думать, что третий подход – оптимальный. При втором подходе велик риск пренебрежений элементарными мерами безопасности, при третьем – выбора некачественного продукта, который бы никогда не прошел никакой сертификации.

Антивирусная правДА! рекомендует

Какие бы подходы к обеспечению выполнения бизнесом требований по безопасности предложили бы вы? На самом деле, варианты имеются. Например, подход из «лихих 90-х», когда крепкие ребята, купив зараженный компьютер, приходили разбираться с продавцами, и те осознавали причину необходимости поставки качественных продуктов.

Или так:

Страху не стало, страху нет никакого... Конкурсы, администрации?.. Одна только повадка!.. От немцев, что ли, такую выдумку к нам занесли, только не по плечу она нам скроена да сшита... А ты вот как сделай: вышел векселю срок, разговоров не размножай, а животы продавай; не хватает, сам иди в кабалу, жену, детей закабали. Так бывало в стары годы, при благочестивых царях, при патриархах... Не то Сибирь — заселяй ее должниками, люди там нужны... А теперь что это такое? Мошенникам житье, а честному купцу только убытки... А вон зачали еще толковать, чтоб и яму порушить, должника неисправного в тюрьму бы не сажать! Да что ж после этого будет?

Вспомните автора и произведение без использования поисковика?

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Slava90
19:07:55 2020-03-12

Первый вариант самый оптимальный я думаю.

cruise
05:17:38 2020-02-03

Все хотят порядка, соблюдения правил, а вот сами напрягаться для этого не хотят.

user91
12:23:01 2020-02-01

3й вариант, меньше народа больше кислорода

ka_s
12:05:17 2020-02-01

@Любитель_пляжного_футбола, спасибо за очень хороший совет. Купил обе книги: "В лесах" и "В горах". Буду получать удовольствие.

Sasha50 Собкор
06:23:57 2020-02-01

Первый вариант более действенный.

SGES Собкор
02:53:41 2020-02-01

Нет обороны, так клюют сороки и вороны.

Lia00 Собкор
00:19:18 2020-02-01

чего только не придумают в сфере безопасности...

Неуёмный Обыватель Собкор
00:12:42 2020-02-01

Подход называется "для галочки".

Неуёмный Обыватель Собкор
00:11:53 2020-02-01

Мы знаем, как компании исполняют навязанные государством требования по соблюдению чего-либо...

I23
23:05:45 2020-01-31

"мы с тобой в Париже
Нужны - как в бане пассатижи" - занимайтесь свой безопасностью сами.

I23
23:05:04 2020-01-31

"мы с тобой в Парижее
Нужны - как в бане пассатижи" - занимайтесь свой безопасностью сами.

I46
23:00:29 2020-01-31

В вопросах безопасности без государства не обойтись.

Любитель пляжного футбола Собкор
21:43:14 2020-01-31

По абзацу книгу не узнал, сегодня вечером нашёл в поисковике, эту книгу в школе не проходили. Но я прочитал её уже потом сам, по совету папы, очень хорошая, серьёзная книга. Когда её читал, не раз приходила мысль, что и двести лет, и тысячу лет назад люди были такими же, со всеми своими достоинствами и недостатками, время идёт, а люди в этом отношении не меняются. Зависть и подлость, доброта и благородство, сколько бы лет и веков ни прошло, а они будут вечным спутником человеческого общества.

@ka_s, а начните читать с романа "В лесах". "В горах" - это непосредственное продолжение событий, описанных в первом романе, с теми же героями.

L1t1um
21:33:30 2020-01-31

Считаю, что первый вариант самый подходящий.

anatol
20:10:03 2020-01-31

Подход будет единственным при четком осознании, что скупой рано или поздно заплатит дважды.
Автор произведения - Островский А.Н., а произведение - затрудняюсь, но предположу: "На всякого мудреца довольно простоты".

orw_mikle
20:00:31 2020-01-31

Подходы к обеспечению выполнения требований по информационной безопасности в частном бизнесе должен решать сам бизнесмен, а вот в гос.структурах и им подобных отвечать должно государство и ген.директор.

ka_s
19:17:57 2020-01-31

Ситуация в ИТ-безопасности не уникальна. Аналогичные проблемы имеются в области фармацевтики, пищевой промышленности, охраны труда, экологической безопасности и т.п. Как показывает практика, обеспечение безопасности нельзя ограничить только выбором соответствующего инструмента, например, антивирусного продукта. Главной проблемой практически в любой деятельности остается человеческий фактор. Именно ему и нужно уделять основное внимание при обеспечении безопасности: распределять ответственность, мотивировать, обучать, контролировать, поправлять ... И наказание здесь не всегда будет иметь успех. Человек склонен ошибаться. Перспектива в обеспечении информационной безопасности видится не только в использовании антивируса, но и во внедрении и постоянном совершенствовании системы менеджмента компьютерной безопасности.

Шалтай Александр Болтай Собкор
18:54:31 2020-01-31

Доктор говорит медсестре: — Мария Ивановна, последний раз повторяю: белые и круглые — это таблетки, а черненькие и квадратные — это гайки. Вам—то все равно, но вот больные жалуются...

matt1954
18:46:44 2020-01-31

Я-за первый вариант.А с цитатой неизвестного автора потом обязательно разберусь :-)...

Геральт Собкор
18:17:57 2020-01-31

Я выбираю 1-ый вариант.

Татьяна
18:10:05 2020-01-31

Требования по безопасности все таки должно определять государство.

znamy
17:19:41 2020-01-31

Выбираю первый вариант,автор произведения думаю Петр 1,или Столыпин.

Toma
16:24:58 2020-01-31

Вариант выберу под номером 1. Произведения такого не читала.

Денисенко Павел Андреевич
15:45:08 2020-01-31

Ну Я скорей всего тоже выберу "Первый вариант".
Не стоит жалеть денег на антивирусную защиту, лучше потратить немного денег на лицензию для антивируса, чем потерять всю денежную прибыль.

Альфа
13:40:36 2020-01-31

Ни автора, ни произведение не смог вспомнить.Видимо не читал.

Masha
13:05:24 2020-01-31

Я бы тоже выбрала первый вариант.

vinnetou
12:28:16 2020-01-31

Все зависит от руководителя,вариант 1 считаю более подходящим!!!

Alexander Собкор
12:10:03 2020-01-31

Да... интересная информация к размышлению. Хочется, чтоб и надёжно было, и подешевле... чтоб на частной фирме использовалось, но чтоб за всё ответственность нёс бы сертифицирующий орган.

"Хотелки" - они такие... удержу им нет... и чтоб было, и чтоб не за мой счёт... И бизнес, и государство, их взаимодействие и разного рода регуляторы, - всё это находится в постоянном развитии и изменении, они бывают успешными и не очень...

Поэтому и всякого рода "Безопасность" не может касаться только конкретного предприятия или бизнеса, и не затрагивать, одновременно, интересы государства и местного самоуправления, да и нас – их работников.

И таки, да... закручивать «гайки безопасности», иногда, очень даже необходимо. Придерживаюсь мнения, что финансирование в кибербезопасность - это не накладные и не пустые траты, а вложение в сохранение и развитие бизнеса.

Приятно и важно знать, что продукция компании Dr.Web сертифицирована государством. Это вклад в нашу с вами безопасность.

admin_29
12:05:00 2020-01-31

Государство должно контролировать обеспечение безопасности, не только у бюджетных, но и и у частных компаний, которые работают с персональными данными граждан. Остальные компании могут сами решать, как им защищаться от вирусов

Rigor
11:38:16 2020-01-31

"Бизнес не любит вложения в безопасность" - слишком размытое оправдание поголовного отсутствия профессиональных руководителей организаций: любые действия ( в том числе в сфере безопасности) должны быть спланированы и прослежены вплоть до исполнения, тогда любые вложения (как материальные, так и ресурсные) обязательно дадут отдачу. Но это дело (планирование и сопровождение) очень профессиональное и кропотливое, поэтому сегодня, к сожалению, невостребованное.

kozinka.ru Собкор
11:32:52 2020-01-31

Всё-то в нашем царстве-государстве как-то не так как должно быть и как хотелось бы!
Первый вариант - неплох, но этот процесс - "..сертификация – тоже процесс длительный.." можно ведь привести к такой схеме, при которой он может быть "без линии задержки" и тогда зачем искать другие варианты?
Но кто эту "линию задержки" заменит на "оптоволокно"? Только государство и только принятием новых законодательных актов этой сфере. А у нас с этим исторически было туго...

dyadya_Sasha Собкор
10:49:18 2020-01-31

От всего по чуть-чуть:
- Государство определяет требования по безопасности для всех, но обязательными они должны быть на начальном этапе для бюджетных и околобюджетных организаций.
- Получение всеми признанного "знака качества" в области ИБ, должно не только поднимать имид компании, но и быть на прямую выгодным.

Dmur
10:48:50 2020-01-31

К данному вопросу нужно подходить серьезно. Вариант 1 наиболее приемлем.

Zserg
10:17:00 2020-01-31

Давно пора закручивать «гайки безопасности»!

Lenba
09:56:06 2020-01-31

Соображайте сами, без принуждения.

marisha-san Собкор
09:13:41 2020-01-31

Нет не вспомнили ,будем читать ...

Vlad X
09:06:59 2020-01-31

С точки зрения надежности,конечно 1 подход надежней.Но государство
у нас не расторопное.А в принципе,затеял свое дело,то надо и потратиться.
Как-то привыкли сливки снимать,а там и трава не расти.

ZesMen
09:03:38 2020-01-31

Интересная выдержка, надо будет почитать на досуге.

vkor
08:49:50 2020-01-31

Там дальше ещё хорошо о духоскрепной санкции: "Уложено так царем Алексием Михайловичем, когда еще он во благочестии пребывал, благословлено святейшим Иосифом патриархом и всем освященным собором. Чего тебе еще?.. Значит, святым духом кабала-то уставлена, а не заморскими выходцами".
Страху нагнать - это да, этому нас учить не надо.

Xamanaptr
08:34:53 2020-01-31

Так и живем, Кто-то сэкономил на безопасности лям, а персональные данные клиентов в сеть утекли наши.

ЛехаК.
08:24:22 2020-01-31

Считаю, что требования к обеспечению безопасности персональных данных должно регулировать государство и быть обязательным для исполнения. Это как с безопасностью дорожного движения, не было бы регулирования, был бы хаос на дорогах и большая смертность.

ka_s
08:02:18 2020-01-31

Без поисковика не смог вспомнить ни автора, ни произведение. Очевидно, плохо в школе учился. А книгу "На горах" Павла Ивановича Мельникова-Печерского скачал с сайта ЛитРес. Почитаю.

DoctorW
07:58:14 2020-01-31

Безопасность должна быть безопасной.

Пaвeл Собкор
07:41:02 2020-01-31

Какие бы подходы к обеспечению выполнения бизнесом требований по безопасности предложили бы вы?
- вариант 1

tigra Собкор
06:51:00 2020-01-31

Только на уровне государства и только методом принуждения.В стране любителей халявы другой метод приживётся ежели лет так через 100-150, когда менталитет изменится.

Любитель пляжного футбола Собкор
06:45:35 2020-01-31

Наверное, оставить так, как есть. К государственным компаниям повышенные требования, что касается остальных, то прописать ответственность в случае чего и дать рекомендации, как и чем обеспечивать ИБ. Мелкие компании всё равно все не проверишь. А первый вариант - это пока из области научной фантастики.

Tanya086
06:42:12 2020-01-31

Мне тоже кажется если руководитель имеет представление об информационных технологиях и опасностях которые возможны при сбоях в их работе, тогда будет уделять им должное внимание.

Morpheus Собкор
06:31:28 2020-01-31

Все зависит от руководителя бизнеса. Если, человек заботится о репутации своей фирмы и беспокоится о сохранности информации, то, я думаю, вопросов по обеспечению ИБ у него не будет. А навязывать что-то кому-то - это последнее дело.

achemolganskiy
06:27:35 2020-01-31

За столько лет ни разу не читал комментарии айтишника какой-нибудь фирмы. Можно подумать, они засекречены, как Королёв. Некрасов написал. В поисковике посмотрю.

EvgenyZ
05:58:17 2020-01-31

Первый вариант самый правильный, хотя и более сложный.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Пора закручивать «гайки безопасности»!

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей