Verfügbare Informationen zu "IT-Security System"
Qualität des Beitrags: Beteiligte Poster: Dewil Forenurl: Klick aus dem Unterforum: IT-SECURITY Antworten: 1 Forum gestartet am: Sonntag 22.04.2007 Sprache: Link zum Originaltopic: IT-Security System Letzte Antwort: vor 16 Jahren, 8 Monaten, 2 Tagen, 17 Stunden, 42 Minuten
Alle Beiträge und Antworten zu "IT-Security System"
Re: IT-Security System
Dewil - 26.08.2007, 10:29IT-Security System
Доброго времени суток, уважаемые посетители раздела IT-Security!
Сегодня мы поговорим с вами о создании системы информационной безопасности (СИБ). Аспектов в этом деле много, но в этой небольшой статье я постараюсь отразить свои умозаключения (исходя как из личного опыта, так и из различного рода литературных источников) на тему защиты информационных систем.
Давайте определимся, что необходимо для строительства системы информационной безопасности – прежде всего, определить цель и конечный результат.
Цель: уменьшить до минимума (а в идеале вообще пресечь) потери, особенно это касается ощутимых для компании. Т.е., грубо говоря, сократить любой ущерб, наносимый субъектам посредством воздействия на информационные системы (ИС). В качестве такого субъекта может выступать как сотрудник компании, так и просто личность, информация о которой хранится и обрабатывается в системе.
Для создания системы информационной безопасности необходима, прежде всего, решимость руководства заняться IT-безопасностью всерьез. Рано или поздно этот вопрос станет одним из острых. И тут многие руководители допускают ошибку – начинают-таки понимать критичность проблемы безопасности ИС и её ресурсов, но представляют её как чисто техническую.
Поговорим о кадрах.
IT-безопасность – проблема не столько техническая, сколько скорее организационно-техническая, так как одной из целей СИБ является защита людей, от последствий действия других людей, а так же от неприятностей техногенного и природного происхождения. Что же все-таки должна представлять собой СИБ? На мой взгляд, это не просто совокупность мероприятий по обеспечению ИБ и различных технических средств. Если взглянуть в самую суть, защита ИС – это некий процесс управления рисками, а получаемая безопасность – его результат. Фактически, создавая СИБ, мы получаем еще одну полноценную систему управления – рисками и информационной безопасностью. Для управления СИБ, конечно же, должно быть создано подразделение «офицеров безопасности», которое и будет контролировать систему управления ИБ. Они будут представлять собой управляющий орган, профессионально решающий задачи ИБ.
Собственно, что и как строить?
Создана команда «офицеров безопасности», но тут же возникает множество вопросов – как строить и что должно быть «внутри» СИБ? Здесь необходим детальный анализ ИС, для определения критичных процессов и ресурсов. Исходя из полученных результатов, можно продумывать правила и ограничения, нацеленные на минимизацию потерь от выявленных возможных угроз, и, непосредственно, их реализацию на практике.
Далее необходимо думать о создании политики безопасности (ПБ) компании – одного из главных документов СИБ. ПБ разрабатывается на основе анализа автоматизации бизнес-процессов, информационных ресурсов и потребностей их в защите. Политика представляет собой совокупность правил и ограничений, направленных на корректную работу ИС с минимальными потерями для бизнеса.
Теперь, наконец, можно переходить непосредственно к реализации решения – прежде всего здесь необходимо обеспечить реальную работу всех правил и ограничений из ПБ, а для этого, так или иначе, нужно применять различные технические средства защиты. Но одними техническими средствами все равно не обойтись – всплывает такая немаловажная вещь, как человеческий фактор, т.е. управлять рисками через контроль, как средств защиты, так и непосредственно людей. Тут важна четкая исполнительная дисциплина, без которой и бизнес-процесс-то трудно реализовать, не говоря уж о специальных мерах безопасности. Это означает, что любой из сотрудников компании должен быть мотивирован на выполнение правил и ограничений ИБ. Нельзя забывать и об оценке эффективности принятых политик, так как очень важно знать, насколько принятые меры повлияли на сокращение потерь. Ведь именно это и является изначальной целью.
Если взглянуть на СИБ со стороны – по сути это бесконечный цикл, в котором постоянно идет анализ результатов, пересмотр правил политик, затем оценка результатов.. И так далее. Как Вы понимаете, за один такой цикл мы не получим адекватную систему защиты, так как такие вещи создаются итеративно, т.е. шаг за шагом. Ведь с течением времени постоянно появляются новые угрозы, критичные процессы и ресурсы. Нельзя один раз сделать защиту и забыть.
На федеральном уровне сейчас нет четких требования к СИБ, нет каких-то общих регламентов или методик, поэтому сравнивать не с чем, - каждая компания выбирает для себя свою модель, которую считает нужной. Но нельзя не заметить – подвижки определенного рода уже присутствуют: международные стандарты, различного рода государственные требования и корпоративные правила. Но чем больше документов, тем, к сожалению, их реже читают… Один из выходов в данной ситуации: все правила IT-безопасности должны стать элементом культуры. Надеюсь, для всех скоро станет очевидным, что создавать ИС без учета требований безопасности нельзя и их нужно закладывать еще в самом начале – при проектировании системы.
Подведем итоги.
Самая типичная ошибка при построении СИБ – отсутствие понимания и поддержки со стороны руководства. И это обязательно даст о себе знать, и тогда неизбежна смена либо мнения руководителя, либо его самого. Вторая ошибка – решать текущие проблемы, не создавая серьезную систему, не назначая людей, не выделяя средства. Часто ответственным за ИБ назначается один человек, который за все отвечает, а сделать ничего не может.
И, как я уже говорил, нельзя смотреть на проблему ИБ как на чисто техническую. Например, руководство осознало необходимость закупки средств защиты информации. Купили самые дорогие, установили, а в результате нечего не получили. Не знают даже, как настроить все эти средства. Потому что никто не сказал, как должна работать СИБ, чтобы компания не несла потерь. Вопрос-то организационный, а не технический.
Я всегда был сторонником такого мнения, что магистральный путь повышения безопасности – снижение сложности системы. И здесь, кроме «хирургического», имеется и иной способ – унификация. Унифицированные ИС и эксплуатировать, и защищать проще: для них создаются типовые решения, которые тестируются не только разработчиком, но и при каждой конкретной реализации. А вот так называемые «зверинцы», когда в системе установлено множество разнообразных технических и программных средств, представляют большую угрозу, их защищать сложнее.
---------
В этом топике я и далее буду публиковать информационный материал, который может помочь в создании систем информационной безопасности. Следите за обновлениями, спасибо!
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum Untitled
Management - gepostet von R.Igor am Montag 18.06.2007
Suche eine Arbeitsstelle - gepostet von K.Ludmila am Freitag 01.06.2007
Ähnliche Beiträge wie "IT-Security System"
Änderungen Raid-Anmelde-System - Farad (Mittwoch 22.02.2006)
DKP System - Schurkilix (Montag 16.07.2007)
Unser DKP System - Der Rat (Dienstag 21.11.2006)
Euer System - markus (Montag 29.05.2006)
System of a Down - Revenga (Donnerstag 02.06.2005)
Bayern ersteigert im pn system - Sandro (Donnerstag 12.10.2006)
BlizzCon 2007: Neues zum PvP-System - Hadassa (Montag 06.08.2007)
System?? - DerKelte (Dienstag 11.01.2005)
Ranking System - .LoGo (Dienstag 26.04.2005)
Neues PVP System - Os (Dienstag 21.11.2006)