4 марта, четверг 08:53
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Наиболее распространенные ошибки при построении системы ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Наиболее распространенные ошибки при построении системы ИБ

    (с) копипаст http://dorlov.blogspot.com/2010/03/blog-post_17.html

    Практика ИБ \ Наиболее распространенные ошибки при построении системы ИБ

    Ниже представлены наиболее распространенные ошибки при построении системы информационной безопасности, которые следует избегать. Это переведенная, расширенная и слегка адаптированная "шпаргалка" (How to Suck at Information Security) с сайта Ленни Зельцера.

    Политика безопасности и Соответствие
    •Игнорировать требования регуляторов
    •Надеяться, что пользователи будут читать политику безопасности, потому что Вы попросили их об этом
    •Использовать шаблоны политик без предварительной их адаптации под конкретные условия
    •Браться за полное внедрение комплексного стандарта безопасности (такого как ISO 27001/27002) до того, как Ваша компания реально будет к этому готова
    •Создавать политики безопасности, которые Вы не сможете реализовать на практике
    •Внедрять политики, которые не были надлежащим образом согласованы и приняты
    •Вслепую следовать требованиям регуляторов без создания целостной архитектуры безопасности
    •Разрабатывать политику безопасности просто "для галочки"
    •Поручать внешнему подрядчику написание политики безопасности без понимания им бизнеса и процессов Вашей компании
    •Переводить политику с иностранного языка (например, в международных компаниях) без учета особенностей значения отдельных слов, понятий, терминов в различных языках
    •Создавать условия для того, чтобы сотрудники даже при желании не могли найти политики безопасности
    •Надеяться, что если политика работала в прошлом году, она будет актуальна и в следующем году
    •Надеяться, что обеспечив соответствие требованиям регуляторов, Вы тем самым обеспечите безопасность
    •Полагать, что требования политики не относятся к руководству компании
    •Скрывать политику от аудиторов

    Инструменты безопасности
    •Внедрять коробочные продукты безопасности без их тонкой настройки
    •Настраивать IDS на слишком большое количество сообщений (излишне жесткие правила) или на слишком малое (излишне мягкие правила)
    •Покупать продукты безопасности, не учитывая стоимость их внедрения и дальнейшей поддержки
    •Полагаться на одни только антивирусы и межсетевые экраны без других защитных мер и средств
    •Регулярно проводить сканирование уязвимостей, но не анализировать результаты
    •Позволять антивирусным средствам, IDS и другим средствам безопасности работать на "автопилоте"
    •Внедрять множество различных технологий безопасности, не понимая вклада каждой из них
    •Ориентироваться на различные "прибамбасы" продуктов безопасности, забывая при этом про важность их системы отчетности
    •Покупать дорогие и сложные продукты безопасности при том, что более простые и дешевые могут решить проблему на 80%
    •Внедрять новые защитные меры и средства без предварительного анализа их влияния на ИТ-инфраструктуру и бизнес-процессы

    Управление рисками
    •Пытаться применить одни и те же строгие требования ко всем ИТ-активам, невзирая на профили их рисков
    •Поручать кому-либо управление рисками, но не давать ему при этом никаких полномочий для принятия решений
    •Игнорировать общую картину, фокусируясь на количественной оценке рисков
    •Полагать, что Вам не следует волноваться за безопасность, поскольку Ваша компания маленькая и незначительная
    •Полагать, что Вы в безопасности потому, что у Вас за последнее время не было проблем с безопасностью
    •Параноидально относиться к защите активов, не взирая на уровень их ценности и угрозы этим активам
    •Классифицировать все информационные активы по высшему уровню конфиденциальности
    •Проводить оценку рисков силами одной только Службы ИБ, не привлекая владельцев данных и ИТ-специалистов

    Практика безопасности
    •Не анализировать системные журналы, журналы приложений и безопасности
    •Ожидать, что пользователи откажутся от удобств ради повышения безопасности
    •Жестко ограничивать инфраструктуру, делая выполнение работы значительно более сложным
    •Отвечать "нет" на любые запросы
    •Устанавливать требования безопасности без предоставления необходимых для их выполнения инструментов и проведения обучения
    •Фокусироваться на превентивных механизмах, игнорируя детективные меры и средства
    •Не использовать DMZ для серверов, доступных из сети Интернет
    •Надеяться, что Ваш процесс управления патчами работает, не проверяя это
    •Удалять журналы регистрации событий из-за того, что они очень большие и их сложно читать
    •Ожидать, что использование SSL решит все проблемы безопасности Вашего веб-приложения
    •Запрещать использование USB-флешек, не ограничивая доступ в Интернет
    •Ставить себя выше Ваших коллег - администраторов сети и систем, а также команды разработчиков
    •Не изучать новые технологии и новые виды атак
    •Внедрять новинки ИТ и информационной безопасности до того, как они достигнут приемлемого уровня зрелости
    •Принимать сотрудника на работу в Службу ИБ только потому, что он имеет много различных сертификатов
    •Не уведомлять своего руководителя о проблемах безопасности, которые удалось избежать Вашими усилиями
    •Не проводить взаимное (перекрестное) обучение персонала ИТ и информационной безопасности
    •Привлекать внешних подрядчиков для выполнения работ, цели, объем и/или ожидаемые результаты которых Вам не полностью ясны
    •Игнорировать потребности бизнеса
    •Обеспечивать соблюдение безопасности персоналом только с помощью метода "кнута"
    •Устанавливать запреты, не предоставляя эффективных разрешенных альтернатив
    •Фокусироваться на "конфиденциальности", забывая при этом про "доступность" и "целостность" (в коммерческой компании)

    Управление паролями
    •Требовать, чтобы пользователи меняли пароли очень часто
    •Ожидать, что пользователи будут помнить множество своих паролей, не записывая их
    •Устанавливать очень жесткие требования по сложности паролей
    •Использовать одни и те же пароли в различных системах, которые отличаются по уровню рисков или по уровню критичности данных
    •Устанавливать требования к паролям не обеспечивая простого способа их сброса
    •Устанавливать жесткие требования к паролям пользователей, забывая при этом про пароли администраторов и служебных учетных записей

    Есть что добавить?

  • #2
    Вы постите, значит у Вас должны в первую очередь возникнуть какие-то согласия и/или не согласия с автором статьи .

    Комментарий


    • #3
      Сообщение от Ерохин Сергей Посмотреть сообщение
      Вы постите, значит у Вас должны в первую очередь возникнуть какие-то согласия и/или не согласия с автором статьи .
      Они бы может и возникли бы, но увы опыта не хватает, вот и спрашиваю у более опытных Может кто и чего и добавит, ну и для "новичков" (как я) тоже будет полезен данный материал.

      З.Ы. Я щас как губка впитываю все подряд

      Комментарий


      • #4
        Это всего лишь стёб на тему информационной безопасности. Или коль угодно, легкая ирония.
        Почитайте и просто улыбнитесь.
        Это все с вами будет и будет именно так

        Прокомментирую первый раздел, чтобы Вам было понятнее
        Сообщение от K0Lb@zzeR Посмотреть сообщение
        Политика безопасности и Соответствие
        •Игнорировать требования регуляторов
        Вся ИБ строится исключительно на законодательной основе, иначе это будут просто фантазии на тему защищенности.

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Надеяться, что пользователи будут читать политику безопасности, потому что Вы попросили их об этом
        Читать не будут. Более того читать не будут и документы более низкого уровня. Потому что это не их политика. Она вообще никак не согласуется с тем, что имеет ценность для рядовых сотрудников

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Использовать шаблоны политик без предварительной их адаптации под конкретные условия
        Как правило, основная причина Вашего устройства в эту компанию для того, чтобы создать систему ИБ. А политика будет Вашим первым заданием. Начнете отбрыкиваться - руководство займется поисками более "грамотного" товарища.

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Браться за полное внедрение комплексного стандарта безопасности (такого как ISO 27001/27002) до того, как Ваша компания реально будет к этому готова
        Без давления "снизу", то есть от Вас лично, этот момент (что компания реально будет готова) вообще никогда не наступит.

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Создавать политики безопасности, которые Вы не сможете реализовать на практике
        На момент создания политики (напомню, что это Ваше первое задание от руководства) Вы вообще не представляете и представить не можете что Вы сможете реализовать на практике, а что нет.

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Внедрять политики, которые не были надлежащим образом согласованы и приняты
        На момент написания политики в компании вообще никто не представляет во что это все выльется. Согласуют на "автопилоте".

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Вслепую следовать требованиям регуляторов без создания целостной архитектуры безопасности
        Пока Вы для себя не увидите хоть какой-то целостной картины писать политику бессмысленно. Но это Ваше первое задание. Выбора нет.

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Разрабатывать политику безопасности просто "для галочки"
        Напомню про первое задание. Про то, что никто читать ее не будет. Про то, что согласуют на "на автопилоте". И после этого Вы еще уверены, что политика будет не просто "для галочки"?

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Поручать внешнему подрядчику написание политики безопасности без понимания им бизнеса и процессов Вашей компании
        Затея бесполезная. Понимания бизнеса и процессов у Вас тоже еще нет (а может и вообще никогда не появится). Поэтому результат будет одинаков, что напишите политику Вы сами или ее напишут такие же товарищи, но за ДЕНЬГИ. Тем более что руководство (вполне обоснованно) считает, что взяв Вас на работу оно УЖЕ достаточно вложило денег в ИБ. Зачем руководство разубеждать в том, что они сделали правильное вложение средств?

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Переводить политику с иностранного языка (например, в международных компаниях) без учета особенностей значения отдельных слов, понятий, терминов в различных языках
        Особенно смешно выглядят переводы после автоматических переводчиков. Очевидно пытаются предостеречь именно от этого шага.

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Создавать условия для того, чтобы сотрудники даже при желании не могли найти политики безопасности
        Поводов для ее поиска у сотрудников вообще никогда не появится. Будьте уверены.

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Надеяться, что если политика работала в прошлом году, она будет актуальна и в следующем году
        Политика это Ваша карта. Если она не актуальна в следующем году, значит она не была актуальной и в прошлом.

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Надеяться, что обеспечив соответствие требованиям регуляторов, Вы тем самым обеспечите безопасность
        Если Ваша политика не обеспечивает требования регуляторов, то что Вы тогда вообще разработали? И на основании чего Вы строите систему ИБ?

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Полагать, что требования политики не относятся к руководству компании
        Ваше мнение на этот счет вообще ничего не значит. Руководству самому виднее какие требования к нему относятся, а какие нет. Попытаетесь переубедить - возможно придется заняться поисками новой работы.

        Сообщение от K0Lb@zzeR Посмотреть сообщение
        •Скрывать политику от аудиторов
        А для кого Вы ее вообще писали? И кто ее вообще сможет заценить профессиональным взглядом?

        Дальше комментировать не буду, так как смысла в этом нет.

        зы: меня улыбнуло больше всего то, что оказывается за рубежом теже проблемы с отношением к ИБ, что и у нас. Я ранее думал, что там в плане ответственности лучше.
        Да пребудет с тобой Сила!

        Комментарий


        • #5
          думается что это в большинстве банков так, но не везде

          Комментарий


          • #6
            Прокомментирую отдельные комментарии, уважаемого Turkish:
            Сообщение от Turkish Посмотреть сообщение
            Читать не будут. Более того читать не будут и документы более низкого уровня. Потому что это не их политика. Она вообще никак не согласуется с тем, что имеет ценность для рядовых сотрудников.
            Поводов для ее поиска у сотрудников вообще никогда не появится. Будьте уверены.
            Необходимо просто предоставить сотрудникам поводы для чтения политики и документов нижнего уровня, например проводя регулярное обучение, или если ваша организация сертифицирована по ISO 9001, то вопросы по ИБ вполне можно включить в регулярные аттестации сотрудников.
            Также на практике замечено, что сотрудники сразу находят, читают и даже цитируют политику и инструкции по ИБ в случае проведения расследования инцидента по ИБ =).

            Комментарий

            Обработка...
            X