понедельник, 27 февраля 2012 г.

Закон Парето и информационная безопасность

"Закон Парето" как известно гласит что «20 % усилий дают 80 % результата, а остальные 80 % усилий — лишь 20 % результата». Если не придираться конкретно к цифрам, то думаю можно смело утверждать, что  эффективность механизмов безопасности различна и в большинстве случаев определенный, ограниченный набор действий позволяет ликвидировать большую часть угроз и обеспечить требуемый уровень безопасности (в т.ч. с учетом требований законодательства). Но что это за набор действий ? Точного ответа никто не дает, но я со своей стороны рискну сделать некоторое предположение, основанное на различных материалах, которые мне за последние годы довелось изучить. Итак, 

5 основных мероприятий, позволяющих обеспечить базовый  уровень защиты:

1. Антивирусная защита 
(включая защиту серверов, рабочих станций, интернет-шлюза, почты)

2. Выявление и устранение уязвимостей и своевременное обновление программного обеспечения 
(vulnerability & patch management)

3. Управление доступом 
(включая вопросы идентификации, распределения ролей, разграничения полномочий и доступа)

4. Сегментирование сети и защита каналов связи 
(включая шифрование каналов связи, VPN, SSL и проч.)

5. Шифрование хранимой информации 
(на носителях, устройствах, в базах данных)

17 комментариев:

  1. А я не соглашусь ;-) Если не учитывать, что закон Парето звучит немного иначе, то на мой взгляд упор на технические мероприятия в ущерб организационным (анализ рисков, повышение осведомленности и т.п.) обречен на провал

    ОтветитьУдалить
    Ответы
    1. По моей оценке технические и организационные вопросы нужно оценивать по отдельности. Например, постоянное повышение осведомленности сотрудников в вопросе ИБ решит примерно 60% проблем безопасности, многие технические меры могут, не пригодится в этом случае.
      Соответственно то, что описал Александр, является самым эффективным в отношении повышения защищенности с точки зрения только технических мероприятий.

      Удалить
    2. Ну, какие вы технические меры имеете в виду, что они не пригодятся? На ум приходит только контроль web-трафика, "зарезающего" вредоносные сайты, DLP как система защиты от случайных писем, ну, если совсем притянуть за уши, от некоторых систем корреляция и анализа логов, типа осведомленный и опытный ИТ-специлист заметит инцедент ;)))... Но их Александр не упоминал. Ни от АВЗ, ни от устранения уязвимостей, ни от средств от НСД, ни от сегментирования сети, ни от криптографии отказаться не удастся.

      Удалить
  2. По-моему, Александр по каждому пункту имел ввиду именно комплекс мер - орг + техн.
    Комплексный подход - основа ИБ, странно думать, что автор блога этого не понимает...

    ОтветитьУдалить
  3. Коллеги, конечно же я имел в виду комплекс мероприятий. Иначе я бы так и написал - "Установить антивирус" и проч. Но вот анализ рисков и повышение осведомленности я все же не отношу к методам, которые входят в 20%, решающих 80% проблем.
    Повышение осведомленности в большинстве случаев вообще вещь неблагодарная :) а до менеджмента рисков еще сперва дозреть надо и хотя бы базовые вещи закрыть.

    ОтветитьУдалить
    Ответы
    1. А вот, поддержу Александра. Сколько бумажками с анализом рисков не размахивай, руководству будет плевать, если сеть на бок завалится от вирусной эпидемии. Практиковал. Денег на распределенную систему анализа рисков в холдинге не дали - не доросли до этой идеи.

      Удалить
    2. Ну, про управление рисками ни кто и не говорит, что вешь первоочередная. Тут, да, нужен определенный уровень зрелости, причем именно процессов управления ИБ.

      Удалить
  4. Да, управление рисками в те эффективных 20% не входит. Но повышение осведомленности, я бы тоже выделил отдельно (Алексей опередил своим комментом :)))). Кстати, а почему сегментирование и защиту каналов в 1 пункт сделал, только по тому, что многие решения делаю и то и то? Тогда было бы вообще 7 отличных (best) областей:
    1. Антивирусная защита
    2. Выявление и устранение уязвимостей и своевременное обновление программного обеспечения
    3. Управление доступом
    4. Сегментирование сети
    5. Защита каналов связи
    6. Шифрование хранимой информации
    + 7. Повышение осведомленности

    Кстати, возможно имеет смысл отдельно вынести физ.безопасность, а именно, защиту от кражи носителей и оборудования, хотя часть рисков можно снизить, как ты сказал, криптографией...

    P.S. А защита от ПЭМИН? Шучу )))

    ОтветитьУдалить
  5. По поводу осведомленности, тут надо выбирать подходы, приемлемые для организации. Это не обязательно могут быть тренинги, а просто поддержание соответствующей культуры, симмуляционные игры, полезные памятки-faq, и даже плакаты. Вот у Эшелона вроде были забавные плакаты с полуголыми девицами :))) Вот, например тут - http://s3r.ru/29/11/2010/eshelon/povyishenie-osvedomlennosti-v-oblasti-informatsionnoy-bezopasnosti-plakat-ne-boltay/

    ОтветитьУдалить
  6. Этот комментарий был удален автором.

    ОтветитьУдалить
  7. Этот комментарий был удален автором.

    ОтветитьУдалить
  8. по-моему, эти базовые меры тянут скорее на "80%", чем на "20%".

    ОтветитьУдалить
  9. Александр, считаю, что вы незаслуженно забыли резервирование и восстановление после сбоев. С этим процессом у большинства компаний постоянный провал: библиотека стоит и что-то постоянно пишет, но стоит системе завалиться, как её потом 2 дня переустанавливают "с нуля".

    ОтветитьУдалить
    Ответы
    1. Да, тут Вы правы. По сути база - это именно АВЗ, МСЭ и резервное копирование. Ну и стандартные средства контроля доступа ОС и приложения. Без этого никуда. Остальное уже будет зависеть от анализа возможных угроз/результатов анализа риска (специально разделяю эти два понятия).

      Удалить
  10. to Tazmania: Да, согласен. Действительно незаслуженно забыл. Каюсь. Спасибо за замечание.

    ОтветитьУдалить
  11. а я бы поддержала Александра: именно _базовый_ уровень защиты обеспечивается всеми приведенными в списке мероприятиями и без привлечения пользователей, т.е. человеческий фактор в данном случае отсутствует. и это хорошо, так как пользователи, как их ни пугай приказами, под которыми надо поставить подпись, и как ни повышай уровень их осведомленности, обязательно будут царапать карандашами на оборотной стороне клавиатуры (возможны варианты) пароли и логины, нажимать "да" в окошке браузера и т.д. такова жизнь. поэтому, мне кажется, лучше доверить обеспечение базовой защиты машинам, действующим согласно предписанным правилам, а все, что сверх того, постараться дополнять руками пользователей.

    Tazmania, спасибо огромное за ссылочку на плакаты. распечатала и повесила в кабинете, пусть мужчины порадуются)

    ОтветитьУдалить