Форум Сообщества Аналитиков
Обсуждения => Идеи и мозговой штурм => Тема начата: Galogen от 28 Июня 2007, 19:02:14
-
Коллега дал идею. Проанализировать вопросы IT-безопасности на предприятиях с выдачей рекомендаций.
Мол народ помешан на безопасности, а следовательно будет спрос на решения, в том числе и за деньги.
Давайте обсудим этот аспект.
-
Я не большой спец в безопасности, но у меня где-то была ДК, которая описывала потенциальные угрозы ИТ-безопасности организации. Поищу ...
З.Ы. А вообще это очень даже опасный консалтинг как мне кажется, что будет если после выдачи рекомендаций сломают систему безопасности??? Где гарантии???
-
Саша, почитай правила эхи
-
А что такое правила эхи и где их почитать?
-
например здесь: http://www.uml2.ru/index.php?option=com_smf&Itemid=45&topic=271.0
-
Извиняюсь ....
Тогда поставим вопрос по другому (не отвертишься :)):
Как можно гарантировать, что после выдачи рекомендация система безопасности не будет сломана?
-
в позитифф таккаать и развивая идею ...: для осуществления такой деятельности нужно иметь лицензию ... джентельмены из соответствующих структур позаботились, чтобы такие лицензии попадали только "к своим", следовательно нужно сделаться "своим" и получить лицензию. Кроме этого нужно поднять соответствующие ГОСТы и прочия стандарты по информбезопасности и стать докой в этом вопросе.
-
Извиняюсь ....
Тогда поставим вопрос по другому (не отвертишься :)):
Как можно гарантировать, что после выдачи рекомендация система безопасности не будет сломана?
Не бывает совершенных систем, и не бывает совершенных средств защиты.
Однако бывают определенные стандартные предложения. Скажем, если на окнах поставить ставни и закрыть их изнутри + поставить некоторую охранную сигнализацию, то веротяность проникновения в дом будет гораздо меньше, чем если всех этих мер не было принято.
По статистике - самые проблемные места сейчас - это не внешние угрозы, а как раз внутренние, поэтому возникает необходимость: как реализовать такую систему безопасности, чтобы с одной стороны обеспечить нормальный доступ к информации внутри корпорации, и одновременно обеспечить достаточно надежный механизм затрудняющий, или делающий невозможным различные инсайдерские действия.
-
Про защиту от инсайдерских действий: я видела такой механизм в банковской инфосистеме для защиты от инсайдеров: двойной ввод с логированием. Суть: выявляется список важных возможных изменений, и на эти изменения вводятся права на уровне изменений записей базы данных, такие что проводить изменения могут не менее 2 ответственных пользователей. Алгоритм проведения изменений таков: первый делает изменение, это логируется, записи в БД, задействованные в изменении, блокируются. Второй пользователь, имеющие соответствующие права, должен подтвердить изменения (опять таки это логируется), и только после этого изменение войдет в силу. Разумеется, первый и второй должны быть разными пользователями.
Так же могу поискать статью про анализ и создание дерева уязвимостей и запостить сюда линку, где-то я недавно ее видела. Надо?
-
<...>Как можно гарантировать, что после выдачи рекомендация система безопасности не будет сломана?
Гарантировать - никак. Уменьшить риск - устранив дыру в безопасности в максимально короткие сроки. Но если рекомендация не выдана и риск не выявлен - его уменьшение невозможно.
Если Вы беспокоитесь, что сломает тот, кто выявил - заранее подпишите с ним договор о неразглашении, а по завершении работ полностью расплатитесь и/или устраните его физически (самая мягкая форма - посадка в тюрьму за "прошлые грехи", прецеденты были).
-
<...>Так же могу поискать статью про анализ и создание дерева уязвимостей и запостить сюда линку, где-то я недавно ее видела. Надо?
Буду очень признателен. Деревья уязвимости и методику их построения можно увидеть также в книге Шнайера "Секреты и ложь: безопасность данных в цифровом мире"
-
по завершении работ полностью расплатитесь и/или устраните его физически
расплатитесь или устраните физически:
1 Истинное утверждение: расплатитесь и устраните физически - это, возможно, версия верящего в бога бандита
2 Истинное утверждение: расплатитесь - самый предпочитаемый вариант с точки зрения отыскавшего
3 Истинное утверждение: устраните - прагматичный подход
:-) Так лирическое измышление.
Но обратите внимание на мой пост, не просто предлагать решения, но и предлагать за деньги!!! Но учитывая замечания АлексаЗеРайвена, что-то стало как-то не уютно....
-
Не бывает совершенных систем, и не бывает совершенных средств защиты.<...>
Делаем :) .
А если серьёзно - единственно возможной защитой является уменьшение экономической целесообразности взлома. Если взлом стоит $2 млн., а в результате получения данных будет получена прибыль всего лишь $1 млн., взлома с большой вероятности не будет - злоумышленники очень хорошо умеют считать деньги.
-
<...>Но обратите внимание на мой пост, не просто предлагать решения, но и предлагать за деньги!!! Но учитывая замечания АлексаЗеРайвена, что-то стало как-то не уютно....
Есть вещи, знание которых опасно. Я бы не взялся защищать от утечки чёрную бухгалтерию какой-нибудь крупной российской компании (особенно настраивать контентную фильтрацию) за деньги, на которые не смогу до конца жизни нанимать десяток охранников, бункер в городской черте, пару бронетранспортёров и пару двойников :) .
-
Статья про построение деревьев уязвимостей была на software-testing.ru, а он сейчас эволюционировал в it4business.ru, как найти конкретно эту статью - непонятно, но зато там есть Открытая База Знаний по Информационной Безопасности - http://it4business.ru/itsec/Home
-
Коллега дал идею. Проанализировать вопросы IT-безопасности на предприятиях с выдачей рекомендаций.
Мол народ помешан на безопасности, а следовательно будет спрос на решения, в том числе и за деньги.
0) на it2b.ru занимаются именно этим, и видимо за деньги. почему бы не позвать профессионала?
1) начните со списка угроз.
2) ранжируйте угрозы по уровню потерь.
3) введите актеров. раскидайте, кто к чему имеет отношение.
гм... вернитесь к пункту 0) :-)
во
-
Коллега дал идею. Проанализировать вопросы IT-безопасности на предприятиях с выдачей рекомендаций.
Мол народ помешан на безопасности, а следовательно будет спрос на решения, в том числе и за деньги.
Давайте обсудим этот аспект.
Э-э-э... А безопасность чего здесь обсуждается? Что защищать-то будем?