IT-Security System

Untitled
Verfügbare Informationen zu "IT-Security System"
  • Qualität des Beitrags: 0 Sterne
  • Beteiligte Poster: Dewil
  • Forenurl: Klick
  • aus dem Unterforum: IT-SECURITY
  • Antworten: 4
  • Forum gestartet am: Sonntag 22.04.2007
  • Sprache:
  • Link zum Originaltopic: IT-Security System
  • Letzte Antwort: vor 16 Jahren, 2 Monaten, 8 Tagen, 6 Stunden, 16 Minuten

    • Alle Beiträge und Antworten zu "IT-Security System"

    Re: IT-Security System

    Dewil - 21.02.2008, 21:50

    IT-Security System
    Уважаемые посетители раздела IT-Security ...

    Сегодня мы поговорим с вами о создании системы информационной безопасности - СИБ. Аспектов в этом деле много, но в этой публикации я постараюсь отразить свои умозаключения (исходя как из личного опыта, так и из различного рода литературных источников) на тему защиты информационных систем.

    Давайте определимся, что необходимо для строительства системы информационной безопасности – прежде всего, определить цель и конечный результат.

    Цель: уменьшить до минимума (а в идеале вообще пресечь) потери, особенно это касается ощутимых для компании. Т.е., грубо говоря, сократить любой ущерб, наносимый субъектам посредством воздействия на информационные системы ИС. В качестве такого субъекта может выступать как сотрудник компании, так и просто личность, информация о которой хранится и обрабатывается в системе.

    Для создания системы информационной безопасности необходима, прежде всего, решимость руководства заняться IT-безопасностью всерьез. Рано или поздно этот вопрос станет одним из острых. И тут многие руководители допускают ошибку – начинают-таки понимать критичность проблемы безопасности ИС и её ресурсов, но представляют её как чисто техническую.


    Re: IT-Security System

    Dewil - 21.02.2008, 21:51


    Поговорим о кадрах

    IT-безопасность – проблема не столько техническая, сколько скорее организационно-техническая, так как одной из целей СИБ является защита людей, от последствий действия других людей, а так же от неприятностей техногенного и природного происхождения. Что же все-таки должна представлять собой СИБ?

    На мой взгляд, это не просто совокупность мероприятий по обеспечению ИБ и различных технических средств. Если взглянуть в самую суть, защита ИС – это некий процесс управления рисками, а получаемая безопасность – его результат. Фактически, создавая СИБ, мы получаем еще одну полноценную систему управления – рисками и информационной безопасностью.

    Для управления СИБ, конечно же, должно быть создано подразделение «офицеров безопасности», которое и будет контролировать систему управления ИБ. Они будут представлять собой управляющий орган, профессионально решающий задачи ИБ.


    Re: IT-Security System

    Dewil - 21.02.2008, 21:52


    Собственно, что и как строить?

    Создана команда «офицеров безопасности», но тут же возникает множество вопросов – как строить и что должно быть «внутри» СИБ? Здесь необходим детальный анализ ИС, для определения критичных процессов и ресурсов. Исходя из полученных результатов, можно продумывать правила и ограничения, нацеленные на минимизацию потерь от выявленных возможных угроз, и, непосредственно, их реализацию на практике.

    Далее необходимо думать о создании политики безопасности (ПБ) компании – одного из главных документов СИБ. ПБ разрабатывается на основе анализа автоматизации бизнес-процессов, информационных ресурсов и потребностей их в защите. Политика представляет собой совокупность правил и ограничений, направленных на корректную работу ИС с минимальными потерями для бизнеса.

    Теперь, наконец, можно переходить непосредственно к реализации решения – прежде всего здесь необходимо обеспечить реальную работу всех правил и ограничений из ПБ, а для этого, так или иначе, нужно применять различные технические средства защиты. Но одними техническими средствами все равно не обойтись – всплывает такая немаловажная вещь, как человеческий фактор, т.е. управлять рисками через контроль, как средств защиты, так и непосредственно людей. Тут важна четкая исполнительная дисциплина, без которой и бизнес-процесс-то трудно реализовать, не говоря уж о специальных мерах безопасности. Это означает, что любой из сотрудников компании должен быть мотивирован на выполнение правил и ограничений ИБ. Нельзя забывать и об оценке эффективности принятых политик, так как очень важно знать, насколько принятые меры повлияли на сокращение потерь. Ведь именно это и является изначальной целью.

    Если взглянуть на СИБ со стороны – по сути это бесконечный цикл, в котором постоянно идет анализ результатов, пересмотр правил политик, затем оценка результатов.. И так далее. Как Вы понимаете, за один такой цикл мы не получим адекватную систему защиты, так как такие вещи создаются итеративно, т.е. шаг за шагом. Ведь с течением времени постоянно появляются новые угрозы, критичные процессы и ресурсы. Нельзя один раз сделать защиту и забыть.

    На федеральном уровне сейчас нет четких требования к СИБ, нет каких-то общих регламентов или методик, поэтому сравнивать не с чем, - каждая компания выбирает для себя свою модель, которую считает нужной. Но нельзя не заметить – подвижки определенного рода уже присутствуют: международные стандарты, различного рода государственные требования и корпоративные правила. Но чем больше документов, тем, к сожалению, их реже читают… Один из выходов в данной ситуации: все правила IT-безопасности должны стать элементом культуры.

    Надеюсь, для всех скоро станет очевидным, что создавать ИС без учета требований безопасности нельзя и их нужно закладывать еще в самом начале – при проектировании системы.


    Re: IT-Security System

    Dewil - 21.02.2008, 21:53


    Подведем итоги

    Самая типичная ошибка при построении СИБ – отсутствие понимания и поддержки со стороны руководства. И это обязательно даст о себе знать, и тогда неизбежна смена либо мнения руководителя, либо его самого. Вторая ошибка – решать текущие проблемы, не создавая серьезную систему, не назначая людей, не выделяя средства. Часто ответственным за ИБ назначается один человек, который за все отвечает, а сделать ничего не может.

    И, как я уже говорил, нельзя смотреть на проблему ИБ как на чисто техническую. Например, руководство осознало необходимость закупки средств защиты информации. Купили самые дорогие, установили, а в результате нечего не получили. Не знают даже, как настроить все эти средства. Потому что никто не сказал, как должна работать СИБ, чтобы компания не несла потерь. Вопрос-то организационный, а не технический.

    Всегда был сторонником такого мнения, что магистральный путь повышения безопасности – снижение сложности системы. И здесь, кроме «хирургического», имеется и иной способ – унификация. Унифицированные ИС и эксплуатировать, и защищать проще: для них создаются типовые решения, которые тестируются не только разработчиком, но и при каждой конкретной реализации. А вот так называемые «зверинцы», когда в системе установлено множество разнообразных технических и программных средств, представляют большую угрозу, их защищать сложнее.

    Спасибо за Ваш интерес!

    Dewil


    Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken


    Weitere Beiträge aus dem Forum Untitled

    Nachhilfe Französisch (8 Kl.) - gepostet von R.Igor am Samstag 28.04.2007
    Arbeitsrecht - gepostet von R.Helena am Sonntag 12.08.2007


    Ähnliche Beiträge wie "IT-Security System"

    Ferien!! - gepostet von marv09 am Montag 03.04.2006
    lipo lade equipment zusammenfassung - gepostet von beazmusix am Sonntag 28.05.2006

    Menü

    iphpbb Statistik

    weitere Themen

    Thema 1399841-1399880
    Thema 625241-625280
    Thema 1458641-1458680