Форум Сообщества Аналитиков

×


Анализ IT-безопасности на предприятиях(Прочитано 23003 раз)
Коллега дал идею. Проанализировать вопросы IT-безопасности на предприятиях с выдачей рекомендаций.
Мол народ помешан на безопасности, а следовательно будет спрос на решения, в том числе и за деньги.

Давайте обсудим этот аспект.



Я не большой спец в безопасности, но у меня где-то была ДК, которая описывала потенциальные угрозы ИТ-безопасности организации. Поищу ...

З.Ы. А вообще это очень даже опасный консалтинг как мне кажется, что будет если после выдачи рекомендаций сломают систему безопасности??? Где гарантии???
« Последнее редактирование: 03 Июля 2007, 13:25:06 от bas »
Не важно какой ты сейчас - большой или маленький, важно - как ты растешь.
Б.А.С.



Саша, почитай правила эхи



А что такое правила эхи и где их почитать?
Успех - не окончателен, поражение - не фатально, мужество продолжать - вот, что имеет значение.






Извиняюсь ....

Тогда поставим вопрос по другому (не отвертишься :)):
Как можно гарантировать, что после выдачи рекомендация система безопасности не будет сломана?
Не важно какой ты сейчас - большой или маленький, важно - как ты растешь.
Б.А.С.



в позитифф таккаать и развивая идею ...: для осуществления такой деятельности нужно иметь лицензию ... джентельмены из соответствующих структур позаботились, чтобы такие лицензии попадали только "к своим", следовательно нужно сделаться "своим" и получить лицензию. Кроме этого нужно поднять соответствующие ГОСТы и прочия стандарты по информбезопасности и стать докой в этом вопросе.
"Politics is the art of looking for trouble, finding it, misdiagnosing it, and then misapplying the wrong remedies" (c)
Мой блог
http://www.yurybuluy.blogspot.com/



Извиняюсь ....

Тогда поставим вопрос по другому (не отвертишься :)):
Как можно гарантировать, что после выдачи рекомендация система безопасности не будет сломана?
Не бывает совершенных систем, и не бывает совершенных средств защиты.
Однако бывают определенные стандартные предложения. Скажем, если на окнах поставить ставни и закрыть их изнутри + поставить некоторую охранную сигнализацию, то веротяность проникновения в дом будет гораздо меньше, чем если всех этих мер не было принято.

По статистике - самые проблемные места сейчас - это не внешние угрозы, а как раз внутренние, поэтому возникает необходимость: как реализовать такую систему безопасности, чтобы с одной стороны обеспечить нормальный доступ к информации внутри корпорации, и одновременно обеспечить достаточно надежный механизм затрудняющий, или делающий невозможным различные инсайдерские действия.



Про защиту от инсайдерских действий: я видела такой механизм в банковской инфосистеме для защиты от инсайдеров: двойной ввод с логированием. Суть: выявляется список важных возможных изменений, и на эти изменения вводятся права на уровне изменений записей базы данных, такие что проводить изменения могут не менее 2 ответственных пользователей. Алгоритм проведения изменений таков: первый делает изменение, это логируется, записи в БД, задействованные в изменении, блокируются. Второй пользователь, имеющие соответствующие права, должен подтвердить изменения (опять таки это логируется), и только после этого изменение войдет в силу. Разумеется, первый и второй должны быть разными пользователями.
Так же могу поискать статью про анализ и создание дерева уязвимостей и запостить сюда линку, где-то я недавно ее видела. Надо?



<...>Как можно гарантировать, что после выдачи рекомендация система безопасности не будет сломана?
Гарантировать - никак. Уменьшить риск - устранив дыру в безопасности в максимально короткие сроки. Но если  рекомендация не выдана и риск не выявлен - его уменьшение невозможно.
Если Вы беспокоитесь, что сломает тот, кто выявил - заранее подпишите с ним договор о неразглашении, а по завершении работ полностью расплатитесь и/или устраните его физически (самая мягкая форма - посадка в тюрьму за "прошлые грехи", прецеденты были).



<...>Так же могу поискать статью про анализ и создание дерева уязвимостей и запостить сюда линку, где-то я недавно ее видела. Надо?
Буду очень признателен. Деревья уязвимости и методику их построения можно увидеть также в книге Шнайера "Секреты и ложь: безопасность данных в цифровом мире"



по завершении работ полностью расплатитесь и/или устраните его физически

расплатитесь или устраните физически:
1 Истинное утверждение: расплатитесь и устраните физически - это, возможно, версия верящего в бога бандита
2 Истинное утверждение: расплатитесь - самый предпочитаемый вариант с точки зрения отыскавшего
3 Истинное утверждение: устраните - прагматичный подход
 :-) Так лирическое измышление.


Но обратите внимание на мой пост, не просто предлагать решения, но и предлагать за деньги!!! Но учитывая замечания АлексаЗеРайвена, что-то стало как-то не уютно....



Не бывает совершенных систем, и не бывает совершенных средств защиты.<...>
Делаем :) .
А если серьёзно - единственно возможной защитой является уменьшение экономической целесообразности взлома. Если взлом стоит $2 млн., а в результате получения данных будет получена прибыль всего лишь $1 млн., взлома с большой вероятности не будет - злоумышленники очень хорошо умеют считать деньги.



<...>Но обратите внимание на мой пост, не просто предлагать решения, но и предлагать за деньги!!! Но учитывая замечания АлексаЗеРайвена, что-то стало как-то не уютно....
Есть вещи, знание которых опасно. Я бы не взялся защищать от утечки чёрную бухгалтерию какой-нибудь крупной российской компании (особенно настраивать контентную фильтрацию) за деньги, на которые не смогу до конца жизни нанимать десяток охранников, бункер в городской черте, пару бронетранспортёров и пару двойников :) .



Статья про построение деревьев уязвимостей была на software-testing.ru, а он сейчас эволюционировал в it4business.ru, как найти конкретно эту статью - непонятно, но зато там есть Открытая База Знаний по Информационной Безопасности - http://it4business.ru/itsec/Home




 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19