21 Ноября, 2013

Общие идеи анализа информационных систем

Роман Идов
Когда-то я рассказывал о разных методах аудита и анализа корпоративных информационных систем. Тогда я говорил о том, что имеет смысл обратиться к специалистам, в совершенстве владеющим этими методиками. Но это возможно не всегда и не везде, ну и часто, ко всему прочему, хочется еще и сэкономить. Поэтому сегодня у нас будет этакая рубрика "Сделай сам" или "Очумелые ручки" - тут уже как кому больше нравится.
Владея в достаточной мере тематикой, специалист по информационной безопасности может самостоятельно разработать несложную методику, которая будет максимально полно соответствовать специфике информационной системы организации. Для этого необходимо отталкиваться от нескольких основных идей, которые объединяют широко применяемые методики анализа:
•    Необходимо классифицировать все имеющиеся в организации информационные ресурсы с точки зрения критичности для бизнеса и стоимости.
•    Необходимо определить наиболее вероятные для каждого из информационных ресурсов угрозы и затем провести анализ вероятности их реализации. Отталкиваться можно как от статистики, собранной в самой организации, так и от общедоступных источников, говорящих о частоте тех или иных инцидентов в вашей отрасли и/или в вашем регионе.
•    Путем несложных вычислений можно определить стоимость одного инцидента, исходя из вероятности его реализации и стоимости информационного ресурса.
•    Как уже упоминалось ранее, защита от этого инцидента не должна стоить дороже, чем потери от него же для компании.
•    Все рекомендации по внедрению новых или модификации уже существующих систем должны быть подкреплены соответствующими расчетами.
Безусловно, методики, которые разработаны давно и применены сотни раз в разных сферах, дают более точные и комплексные результаты, но если стоит задача первичной оценки рисков и возможностей защиты информационной системы, можно справиться и самому со своей методикой, сделанной, что называется, "на коленке".
или введите имя

CAPTCHA
Николай
22 Ноября, 2013
Действительно. И нахрена нужны все эти интеграторы с огромным опытом проведения аудитов. Нафига нужны спецы с сертификатами типа CISA, зачем вообще им платить деньги? Можно ж на коленке все сделать... "Владея в достаточной мере тематикой, специалист по информационной безопасности может самостоятельно разработать несложную методику, которая будет максимально полно соответствовать специфике информационной системы организации." Владея в достаточной мере тематикой специалист по ИБ НИКОГДА не будет этим заниматься, потомучто штирлиц знает, что такого рода документы разрабатываются комиссионно и утверждаются высшим органом управления организации. Методика же сама по себе абсолютно бесполезна, если нет комплекса документов, а вот для этого уже необходимы аудиторы, которые сделают это не так, "как нужно работникам организации", а так, как это есть в действительности. Это единственный объективный способ получения информации генеральным или любым другим органом управления организацией для того чтобы впоследствии спустить это спецам. Для всего этого хозяйства есть ряд стандартов, вагон курсов, люди этому годами обучаются и потом годами же практикуют, а вы, Алексей, это все в 1 абзац умудрились захреначить. Не пишите о том, о чем понятия не имеете.
0 |
  • Поделиться
  • Ссылка
Местный
22 Ноября, 2013
Сразу видно опытного интегратора:))) Как только ваша многолетняя деятельность в один абзац уместилась, сразу понятно стало, что такие бабки за неё драть стыдно. Но вы ж всё равно будете...
0 |