Вы используете устаревший браузер!

Страница может отображаться некорректно.

Информация к размышлению

Информация к размышлению

Другие выпуски этой рубрики (44)
  • добавить в избранное
    Добавить в закладки

Пора закручивать «гайки безопасности»!

Прочитали: 1004 Комментариев: 53 Рейтинг: 60

Складывается парадоксальная ситуация: бизнес не любит вложения в безопасность, которые, как считается, не принесут непосредственной отдачи, но внесут некие затруднения и ограничения в рабочий процесс. Но при этом все ожидают от своих партнеров и пользователей качественной работы с учетом требований безопасности. Как же ее реализовать?

Путь первый. Государство определяет требования по безопасности, в том числе настаивает на использовании определенных мер защиты и решений, соответствующих известным требованиям. Соблюдение требований должно быть обязательным, а продукты, которые должны использоваться, проходят процедуру проверки соответствия. Обычно это происходит в форме сертификации.

Это, в общем-то, самый надежный способ. Но в силу больших затрат, требующихся как от компаний, требования для которых часто невыполнимы, так и от государства, на которое возлагаются расходы по проверке выполнения требований, подход частенько приводит к ситуации, когда поставленная задача остается только на бумаге.

При этом возникает ряд проблем.

  • Разработка детальных требований к продуктам и мерам защиты – процедура длительная и требующая участия множества экспертов. Без них требования могут стать непонятными или невыполнимыми в принципе.
  • Не все продукты защиты могут быть сертифицированы (например, по географическому признаку разработки).
  • Сертификация – тоже процесс длительный. Пока он идет, продукт продолжает совершенствоваться, сертифицированной оказывается не самая новая его версия. Таким образом, пользователи вынуждены использовать устаревшую версию продукта.
  • Сертификация – процедура очень дорогостоящая. Разработчику невыгодно сертифицировать продукты, имеющие малый спрос, что препятствует работе пользователей с такими продуктами.

Второй подход можно условно назвать «невидимая рука рынка»: при желании компании самостоятельно проходят некие процедуры сертификации и заявляют о соответствии определенным требованиям. Приводит это к тому, что с точки зрения европейских требований по защите персональных данных работать безопасно можно далеко не с любыми компаниями США. Ну а компании, не потратившие деньги на выполнение требований по безопасности, получают возможность предлагать услуги дешевле. И понятно, чьи услуги будут выбраны при прочих равных условиях.

Третий вариант – промежуточный: государство вырабатывает общие требования по защите, не столь детальные, как в первом случае. Например, что именно надо защищать и от чего. А вот чем – остается на совести компании, которая сама решает, как выполнять требования. Сертифицировать продукты при этом ненужно. Ответственность за выполнение требований лежит на компании – предполагается, что бесполезное и некачественное она не выберет.

Но не следует думать, что третий подход – оптимальный. При втором подходе велик риск пренебрежений элементарными мерами безопасности, при третьем – выбора некачественного продукта, который бы никогда не прошел никакой сертификации.

Dr.Web рекомендует

Какие бы подходы к обеспечению выполнения бизнесом требований по безопасности предложили бы вы? На самом деле, варианты имеются. Например, подход из «лихих 90-х», когда крепкие ребята, купив зараженный компьютер, приходили разбираться с продавцами, и те осознавали причину необходимости поставки качественных продуктов.

Или так:

Страху не стало, страху нет никакого... Конкурсы, администрации?.. Одна только повадка!.. От немцев, что ли, такую выдумку к нам занесли, только не по плечу она нам скроена да сшита... А ты вот как сделай: вышел векселю срок, разговоров не размножай, а животы продавай; не хватает, сам иди в кабалу, жену, детей закабали. Так бывало в стары годы, при благочестивых царях, при патриархах... Не то Сибирь — заселяй ее должниками, люди там нужны... А теперь что это такое? Мошенникам житье, а честному купцу только убытки... А вон зачали еще толковать, чтоб и яму порушить, должника неисправного в тюрьму бы не сажать! Да что ж после этого будет?

Вспомните автора и произведение без использования поисковика?

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: