"Закон Парето" как известно гласит что «20 % усилий дают 80 % результата, а остальные 80 % усилий — лишь 20 % результата». Если не придираться конкретно к цифрам, то думаю можно смело утверждать, что эффективность механизмов безопасности различна и в большинстве случаев определенный, ограниченный набор действий позволяет ликвидировать большую часть угроз и обеспечить требуемый уровень безопасности (в т.ч. с учетом требований законодательства). Но что это за набор действий ? Точного ответа никто не дает, но я со своей стороны рискну сделать некоторое предположение, основанное на различных материалах, которые мне за последние годы довелось изучить. Итак,
5 основных мероприятий, позволяющих обеспечить базовый уровень защиты:
1. Антивирусная защита
(включая защиту серверов, рабочих станций, интернет-шлюза, почты)
2. Выявление и устранение уязвимостей и своевременное обновление программного обеспечения
(vulnerability & patch management)
3. Управление доступом
(включая вопросы идентификации, распределения ролей, разграничения полномочий и доступа)
4. Сегментирование сети и защита каналов связи
(включая шифрование каналов связи, VPN, SSL и проч.)
5. Шифрование хранимой информации
(на носителях, устройствах, в базах данных)
Facebook
Соглашусь с Александром.
ОтветитьУдалитьА я не соглашусь ;-) Если не учитывать, что закон Парето звучит немного иначе, то на мой взгляд упор на технические мероприятия в ущерб организационным (анализ рисков, повышение осведомленности и т.п.) обречен на провал
ОтветитьУдалитьПо моей оценке технические и организационные вопросы нужно оценивать по отдельности. Например, постоянное повышение осведомленности сотрудников в вопросе ИБ решит примерно 60% проблем безопасности, многие технические меры могут, не пригодится в этом случае.
УдалитьСоответственно то, что описал Александр, является самым эффективным в отношении повышения защищенности с точки зрения только технических мероприятий.
Ну, какие вы технические меры имеете в виду, что они не пригодятся? На ум приходит только контроль web-трафика, "зарезающего" вредоносные сайты, DLP как система защиты от случайных писем, ну, если совсем притянуть за уши, от некоторых систем корреляция и анализа логов, типа осведомленный и опытный ИТ-специлист заметит инцедент ;)))... Но их Александр не упоминал. Ни от АВЗ, ни от устранения уязвимостей, ни от средств от НСД, ни от сегментирования сети, ни от криптографии отказаться не удастся.
УдалитьПо-моему, Александр по каждому пункту имел ввиду именно комплекс мер - орг + техн.
ОтветитьУдалитьКомплексный подход - основа ИБ, странно думать, что автор блога этого не понимает...
Коллеги, конечно же я имел в виду комплекс мероприятий. Иначе я бы так и написал - "Установить антивирус" и проч. Но вот анализ рисков и повышение осведомленности я все же не отношу к методам, которые входят в 20%, решающих 80% проблем.
ОтветитьУдалитьПовышение осведомленности в большинстве случаев вообще вещь неблагодарная :) а до менеджмента рисков еще сперва дозреть надо и хотя бы базовые вещи закрыть.
А вот, поддержу Александра. Сколько бумажками с анализом рисков не размахивай, руководству будет плевать, если сеть на бок завалится от вирусной эпидемии. Практиковал. Денег на распределенную систему анализа рисков в холдинге не дали - не доросли до этой идеи.
УдалитьНу, про управление рисками ни кто и не говорит, что вешь первоочередная. Тут, да, нужен определенный уровень зрелости, причем именно процессов управления ИБ.
УдалитьДа, управление рисками в те эффективных 20% не входит. Но повышение осведомленности, я бы тоже выделил отдельно (Алексей опередил своим комментом :)))). Кстати, а почему сегментирование и защиту каналов в 1 пункт сделал, только по тому, что многие решения делаю и то и то? Тогда было бы вообще 7 отличных (best) областей:
ОтветитьУдалить1. Антивирусная защита
2. Выявление и устранение уязвимостей и своевременное обновление программного обеспечения
3. Управление доступом
4. Сегментирование сети
5. Защита каналов связи
6. Шифрование хранимой информации
+ 7. Повышение осведомленности
Кстати, возможно имеет смысл отдельно вынести физ.безопасность, а именно, защиту от кражи носителей и оборудования, хотя часть рисков можно снизить, как ты сказал, криптографией...
P.S. А защита от ПЭМИН? Шучу )))
По поводу осведомленности, тут надо выбирать подходы, приемлемые для организации. Это не обязательно могут быть тренинги, а просто поддержание соответствующей культуры, симмуляционные игры, полезные памятки-faq, и даже плакаты. Вот у Эшелона вроде были забавные плакаты с полуголыми девицами :))) Вот, например тут - http://s3r.ru/29/11/2010/eshelon/povyishenie-osvedomlennosti-v-oblasti-informatsionnoy-bezopasnosti-plakat-ne-boltay/
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьпо-моему, эти базовые меры тянут скорее на "80%", чем на "20%".
ОтветитьУдалитьАлександр, считаю, что вы незаслуженно забыли резервирование и восстановление после сбоев. С этим процессом у большинства компаний постоянный провал: библиотека стоит и что-то постоянно пишет, но стоит системе завалиться, как её потом 2 дня переустанавливают "с нуля".
ОтветитьУдалитьДа, тут Вы правы. По сути база - это именно АВЗ, МСЭ и резервное копирование. Ну и стандартные средства контроля доступа ОС и приложения. Без этого никуда. Остальное уже будет зависеть от анализа возможных угроз/результатов анализа риска (специально разделяю эти два понятия).
Удалитьto Tazmania: Да, согласен. Действительно незаслуженно забыл. Каюсь. Спасибо за замечание.
ОтветитьУдалитьа я бы поддержала Александра: именно _базовый_ уровень защиты обеспечивается всеми приведенными в списке мероприятиями и без привлечения пользователей, т.е. человеческий фактор в данном случае отсутствует. и это хорошо, так как пользователи, как их ни пугай приказами, под которыми надо поставить подпись, и как ни повышай уровень их осведомленности, обязательно будут царапать карандашами на оборотной стороне клавиатуры (возможны варианты) пароли и логины, нажимать "да" в окошке браузера и т.д. такова жизнь. поэтому, мне кажется, лучше доверить обеспечение базовой защиты машинам, действующим согласно предписанным правилам, а все, что сверх того, постараться дополнять руками пользователей.
ОтветитьУдалитьTazmania, спасибо огромное за ссылочку на плакаты. распечатала и повесила в кабинете, пусть мужчины порадуются)