Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Как эффективно работать с уязвимостями?, Хочу спросить у мудрых мужчин безопасников как работать с уязвимостями.
 
Здравствуйте Мальчики.

Я блондинка  :o, так что строго не судите!

Учусь на 2-м курсе на компьютерную безопасность. Мне предложили писать курсовой проект по теме управление уязвимостями. Сказали, что есть даже системы управления уязвимостями.

Я поискала информацию и нашла на сайте www.penetrationtest.ru немного информации про то, что устранять уязвимости это очень эффективно т.к. можно снизить риски информационной безопасности (про это в написано http://www.penetrationtest.ru/service/Preventive_measures_detail.html). Там еще говорится что можно создать бизнес-процесс управления уязвимостей и мол он почти описан в стандарте Nist sp800-40v2 (http://www.penetrationtest.ru/service/create_business_process.html).

Подскажите, как мне раздобыть информацию и правильно ли я думаю?

Для написания курсовой мне наверно нужно этот стандарт по управлению уязвимостями почитать Nist sp800-40v2? На сайте ссылка на английский вариант стандарта, а есть у кого-нибудь аналогичный стандарт на русском языке?
Действительно ли на сайте честно написано, что можно устраняя уязвимости снизить риски?

Может у кого-нибудь есть курсовая на эту тему? Поделитесь, пожалуйста, пишите мне личное сообщение.

Может, кто-то просто даст хороший и полезный совет?

Спасибо Вам мальчики.
Изменено: BlondeSecurity - 16.11.2009 18:22:04
 
реклама сайта
 
Цитата
IgAl пишет:
реклама сайта

lgAl очень жаль, что вам показалось, что это реклама. Это не так! Жаль, потому что теперь вы не поможете мне разобраться в этом сложном вопросе.

На сайт я вышла через поисковик.

Наверно мне нужно поискать помощи на других форумах  :cry:  На новом форуме добавлю ссылку на эту тему. Напишу, что отказались помочь  :(

Делаю последнюю попытку найти отзывчивых мужчин разбирающихся в работе с уязвимостями.

Мужчины помогите мне, пожалуйста, разобраться с этим сложным для меня вопросом. Пожалуйста.

Дайте хотя бы русский стандарт nist sp800-40, если есть.

Заранее благодарю, отозвавшихся на мою просьбу.
 
Сомневаюсь что адекватный человек примет "системы управления уязвимостями" как решение всех проблем. Да и врядли данные системы превышает по качеству "общий инструктаж персонала". Имхо данное решение не даёт никакой практической пользы кроме как наличие бумажки "у нас всё хорошо" (в банках имеется много степеней защиты а всеравно как то в попу уходят периодически)
 
Что-то у меня большие сомнения в адекватности топик-стартера.
Изменено: Migel - 17.11.2009 11:53:48
 
Цитата
Наверно мне нужно поискать помощи на других форумах   На новом форуме добавлю ссылку на эту тему. Напишу, что отказались помочь  
Та пожалуста. Шантажистка :D
Так все прям и кинулись помогать)))) На зов  :sensored: -й бл :sensored: ндинки, которая рекламирует свой сайт.
Изменено: Migel - 17.11.2009 12:00:27
 
Цитата
[mad]Mega пишет:
Сомневаюсь что адекватный человек примет "системы управления уязвимостями" как решение всех проблем. Да и врядли данные системы превышает по качеству "общий инструктаж персонала". Имхо данное решение не даёт никакой практической пользы кроме как наличие бумажки "у нас всё хорошо" (в банках имеется много степеней защиты а всеравно как то в попу уходят периодически)

Спасибо хоть за какую-то реакцию  :{}.
[mad]Mega у меня нет опыта работы в организациях. Я учусь. Так что я не знаю можно ли решить все проблемы с помощью "системы управления уязвимостями". Думаю, нет. К тому же я такого не писала, точно!

[mad]Mega Вы навели меня на интересную мысль, а нельзя ли рассматривать обучение пользователей и их инструктаж как устранение уязвимостей в персонале. Нам рассказывали на обучении, что есть понятие "дырки в головах". Может обучение (общий инструктаж) устраняет уязвимости в персонале?

По поводу "наличия бумажки" и пользы решения ничего сказать не могу. Мне как раз и нужно написать в курсовой работе и наверно ответить на этот вопрос.

В любом случае спасибо за ответ.


Цитата
Migel пишет:
Что-то у меня большие сомнения в адекватности топик-стартера.

Migel я не знаю, что вам написать в ответ на ваше сообщение. Я пошла в поисковик, но он мне ничего вразумительного не дал на ваш термин "топик-стартер". Поясните, что это такое и как оно относится к моему вопросу. А то жуть как боюсь пропустить что-нибудь полезное.

Спасибо.

Жду еще ответов и помощи. Может у кого-нибудь есть более конкретные предложения.

P.S. Что еще сделать молодой девушке чтобы добиться помощи от мужчин  :{}
 
Цитата
Migel пишет:



Цитата  


Наверно мне нужно поискать помощи на других форумах На новом форуме добавлю ссылку на эту тему. Напишу, что отказались помочь

Та пожалуста. Шантажистка  
Так все прям и кинулись помогать)))) На зов   -й бл   ндинки, которая рекламирует свой сайт.

Фу как не красиво и грубо. Да я блондинка, но хочу учится. А чем такое писать девушке, так лучше промолчать  :(.
 
Если открыть ISO 17799 то там черным по белому написано требование наличия системы управления узявимостями. Понятно что это еще не вся защита, а одна из систем. Так что почитайте например ISO 17799.

В систему управления уязвимостями входит сканер безопасности который надо запускать периодически по расписанию, система управления, в том числе система управления заявками (там контролируется выполнение задач для сотрудников на исправление уязвимостей), система отчетности. Все это сделано для того, чтоыб администраторы знали про проблемы в сети и мало того еще и их исправляли своевременно. Кроме того у некоторых вендоров туда входит система защиты непропатченных систем на время пока реальные заплатки не поставлены.

Как пример системы управления узявимостями: IBM Proventia SiteProtector + IBM Enterprise Scanner (или Internet Scanner).
 
Цитата
Денис Батранков пишет:
Если открыть ISO 17799 то там черным по белому написано требование наличия системы управления узявимостями. Понятно что это еще не вся защита, а одна из систем. Так что почитайте например ISO 17799.

Спасибо Денис  :{} . Обязательно поищу и почитаю ISO 17799. Нам пока не рассказывали про него на обучении. Спрошу у преподавателей. Может у них есть?
 
вот iso 17799
а вот и вики: http://ru.wikipedia.org/wiki/ISO/IEC_17799, http://ru.wikipedia.org/wiki/ISO/IEC_27002
 
Цитата
SAMBO пишет:
вот iso 17799
а вот и вики: http://ru.wikipedia.org/wiki/ISO/IEC_17799, http://ru.wikipedia.org/wiki/ISO/IEC_27002

SAMBO спасибо  :{} . Вы лучший. Я уже скопировала документ и теперь начну читать.

На аватаре такой милый малыш и курит (УЖАС  :o ).
 
Спасибо Денису - я просто ссылки дал ;)
 
Цитата
SAMBO пишет:
Спасибо Денису - я просто ссылки дал  

Я и вам и Денису дала по одному баллу (вы оба молодцы)  :oops:.
Страницы: 1
Читают тему (гостей: 2)