Пора закручивать «гайки безопасности»!
31 января 2020
Складывается парадоксальная ситуация: бизнес не любит вложения в безопасность, которые, как считается, не принесут непосредственной отдачи, но внесут некие затруднения и ограничения в рабочий процесс. Но при этом все ожидают от своих партнеров и пользователей качественной работы с учетом требований безопасности. Как же ее реализовать?
Путь первый. Государство определяет требования по безопасности, в том числе настаивает на использовании определенных мер защиты и решений, соответствующих известным требованиям. Соблюдение требований должно быть обязательным, а продукты, которые должны использоваться, проходят процедуру проверки соответствия. Обычно это происходит в форме сертификации.
Это, в общем-то, самый надежный способ. Но в силу больших затрат, требующихся как от компаний, требования для которых часто невыполнимы, так и от государства, на которое возлагаются расходы по проверке выполнения требований, подход частенько приводит к ситуации, когда поставленная задача остается только на бумаге.
При этом возникает ряд проблем.
- Разработка детальных требований к продуктам и мерам защиты – процедура длительная и требующая участия множества экспертов. Без них требования могут стать непонятными или невыполнимыми в принципе.
- Не все продукты защиты могут быть сертифицированы (например, по географическому признаку разработки).
- Сертификация – тоже процесс длительный. Пока он идет, продукт продолжает совершенствоваться, сертифицированной оказывается не самая новая его версия. Таким образом, пользователи вынуждены использовать устаревшую версию продукта.
- Сертификация – процедура очень дорогостоящая. Разработчику невыгодно сертифицировать продукты, имеющие малый спрос, что препятствует работе пользователей с такими продуктами.
Второй подход можно условно назвать «невидимая рука рынка»: при желании компании самостоятельно проходят некие процедуры сертификации и заявляют о соответствии определенным требованиям. Приводит это к тому, что с точки зрения европейских требований по защите персональных данных работать безопасно можно далеко не с любыми компаниями США. Ну а компании, не потратившие деньги на выполнение требований по безопасности, получают возможность предлагать услуги дешевле. И понятно, чьи услуги будут выбраны при прочих равных условиях.
Третий вариант – промежуточный: государство вырабатывает общие требования по защите, не столь детальные, как в первом случае. Например, что именно надо защищать и от чего. А вот чем – остается на совести компании, которая сама решает, как выполнять требования. Сертифицировать продукты при этом ненужно. Ответственность за выполнение требований лежит на компании – предполагается, что бесполезное и некачественное она не выберет.
Но не следует думать, что третий подход – оптимальный. При втором подходе велик риск пренебрежений элементарными мерами безопасности, при третьем – выбора некачественного продукта, который бы никогда не прошел никакой сертификации.
Антивирусная правДА! рекомендует
Какие бы подходы к обеспечению выполнения бизнесом требований по безопасности предложили бы вы? На самом деле, варианты имеются. Например, подход из «лихих 90-х», когда крепкие ребята, купив зараженный компьютер, приходили разбираться с продавцами, и те осознавали причину необходимости поставки качественных продуктов.
Или так:
Страху не стало, страху нет никакого... Конкурсы, администрации?.. Одна только повадка!.. От немцев, что ли, такую выдумку к нам занесли, только не по плечу она нам скроена да сшита... А ты вот как сделай: вышел векселю срок, разговоров не размножай, а животы продавай; не хватает, сам иди в кабалу, жену, детей закабали. Так бывало в стары годы, при благочестивых царях, при патриархах... Не то Сибирь — заселяй ее должниками, люди там нужны... А теперь что это такое? Мошенникам житье, а честному купцу только убытки... А вон зачали еще толковать, чтоб и яму порушить, должника неисправного в тюрьму бы не сажать! Да что ж после этого будет?
Вспомните автора и произведение без использования поисковика?
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
19:07:55 2020-03-12
cruise
05:17:38 2020-02-03
user91
12:23:01 2020-02-01
ka_s
12:05:17 2020-02-01
Sasha50
06:23:57 2020-02-01
SGES
02:53:41 2020-02-01
Lia00
00:19:18 2020-02-01
Неуёмный Обыватель
00:12:42 2020-02-01
Неуёмный Обыватель
00:11:53 2020-02-01
I23
23:05:45 2020-01-31
Нужны - как в бане пассатижи" - занимайтесь свой безопасностью сами.
I23
23:05:04 2020-01-31
Нужны - как в бане пассатижи" - занимайтесь свой безопасностью сами.
I46
23:00:29 2020-01-31
Любитель пляжного футбола
21:43:14 2020-01-31
@ka_s, а начните читать с романа "В лесах". "В горах" - это непосредственное продолжение событий, описанных в первом романе, с теми же героями.
L1t1um
21:33:30 2020-01-31
anatol
20:10:03 2020-01-31
Автор произведения - Островский А.Н., а произведение - затрудняюсь, но предположу: "На всякого мудреца довольно простоты".
orw_mikle
20:00:31 2020-01-31
ka_s
19:17:57 2020-01-31
Шалтай Александр Болтай
18:54:31 2020-01-31
matt1954
18:46:44 2020-01-31
Геральт
18:17:57 2020-01-31
Татьяна
18:10:05 2020-01-31
znamy
17:19:41 2020-01-31
Toma
16:24:58 2020-01-31
Денисенко Павел Андреевич
15:45:08 2020-01-31
Не стоит жалеть денег на антивирусную защиту, лучше потратить немного денег на лицензию для антивируса, чем потерять всю денежную прибыль.
Альфа
13:40:36 2020-01-31
Masha
13:05:24 2020-01-31
vinnetou
12:28:16 2020-01-31
Alexander
12:10:03 2020-01-31
"Хотелки" - они такие... удержу им нет... и чтоб было, и чтоб не за мой счёт... И бизнес, и государство, их взаимодействие и разного рода регуляторы, - всё это находится в постоянном развитии и изменении, они бывают успешными и не очень...
Поэтому и всякого рода "Безопасность" не может касаться только конкретного предприятия или бизнеса, и не затрагивать, одновременно, интересы государства и местного самоуправления, да и нас – их работников.
И таки, да... закручивать «гайки безопасности», иногда, очень даже необходимо. Придерживаюсь мнения, что финансирование в кибербезопасность - это не накладные и не пустые траты, а вложение в сохранение и развитие бизнеса.
Приятно и важно знать, что продукция компании Dr.Web сертифицирована государством. Это вклад в нашу с вами безопасность.
admin_29
12:05:00 2020-01-31
Rigor
11:38:16 2020-01-31
kozinka.ru
11:32:52 2020-01-31
Первый вариант - неплох, но этот процесс - "..сертификация – тоже процесс длительный.." можно ведь привести к такой схеме, при которой он может быть "без линии задержки" и тогда зачем искать другие варианты?
Но кто эту "линию задержки" заменит на "оптоволокно"? Только государство и только принятием новых законодательных актов этой сфере. А у нас с этим исторически было туго...
dyadya_Sasha
10:49:18 2020-01-31
- Государство определяет требования по безопасности для всех, но обязательными они должны быть на начальном этапе для бюджетных и околобюджетных организаций.
- Получение всеми признанного "знака качества" в области ИБ, должно не только поднимать имид компании, но и быть на прямую выгодным.
Dmur
10:48:50 2020-01-31
Zserg
10:17:00 2020-01-31
Lenba
09:56:06 2020-01-31
marisha-san
09:13:41 2020-01-31
Vlad X
09:06:59 2020-01-31
у нас не расторопное.А в принципе,затеял свое дело,то надо и потратиться.
Как-то привыкли сливки снимать,а там и трава не расти.
ZesMen
09:03:38 2020-01-31
vkor
08:49:50 2020-01-31
Страху нагнать - это да, этому нас учить не надо.
Xamanaptr
08:34:53 2020-01-31
ЛехаК.
08:24:22 2020-01-31
ka_s
08:02:18 2020-01-31
DoctorW
07:58:14 2020-01-31
Пaвeл
07:41:02 2020-01-31
- вариант 1
tigra
06:51:00 2020-01-31
Любитель пляжного футбола
06:45:35 2020-01-31
Tanya086
06:42:12 2020-01-31
Morpheus
06:31:28 2020-01-31
achemolganskiy
06:27:35 2020-01-31
EvgenyZ
05:58:17 2020-01-31