Учусь на 2-м курсе на компьютерную безопасность. Мне предложили писать курсовой проект по теме управление уязвимостями. Сказали, что есть даже системы управления уязвимостями.
Подскажите, как мне раздобыть информацию и правильно ли я думаю?
Для написания курсовой мне наверно нужно этот стандарт по управлению уязвимостями почитать Nist sp800-40v2? На сайте ссылка на английский вариант стандарта, а есть у кого-нибудь аналогичный стандарт на русском языке? Действительно ли на сайте честно написано, что можно устраняя уязвимости снизить риски?
Может у кого-нибудь есть курсовая на эту тему? Поделитесь, пожалуйста, пишите мне личное сообщение.
Может, кто-то просто даст хороший и полезный совет?
Сомневаюсь что адекватный человек примет "системы управления уязвимостями" как решение всех проблем. Да и врядли данные системы превышает по качеству "общий инструктаж персонала". Имхо данное решение не даёт никакой практической пользы кроме как наличие бумажки "у нас всё хорошо" (в банках имеется много степеней защиты а всеравно как то в попу уходят периодически)
[mad]Mega пишет: Сомневаюсь что адекватный человек примет "системы управления уязвимостями" как решение всех проблем. Да и врядли данные системы превышает по качеству "общий инструктаж персонала". Имхо данное решение не даёт никакой практической пользы кроме как наличие бумажки "у нас всё хорошо" (в банках имеется много степеней защиты а всеравно как то в попу уходят периодически)
Спасибо хоть за какую-то реакцию . [mad]Mega у меня нет опыта работы в организациях. Я учусь. Так что я не знаю можно ли решить все проблемы с помощью "системы управления уязвимостями". Думаю, нет. К тому же я такого не писала, точно!
[mad]Mega Вы навели меня на интересную мысль, а нельзя ли рассматривать обучение пользователей и их инструктаж как устранение уязвимостей в персонале. Нам рассказывали на обучении, что есть понятие "дырки в головах". Может обучение (общий инструктаж) устраняет уязвимости в персонале?
По поводу "наличия бумажки" и пользы решения ничего сказать не могу. Мне как раз и нужно написать в курсовой работе и наверно ответить на этот вопрос.
В любом случае спасибо за ответ.
Цитата
Migel пишет: Что-то у меня большие сомнения в адекватности топик-стартера.
Migel я не знаю, что вам написать в ответ на ваше сообщение. Я пошла в поисковик, но он мне ничего вразумительного не дал на ваш термин "топик-стартер". Поясните, что это такое и как оно относится к моему вопросу. А то жуть как боюсь пропустить что-нибудь полезное.
Спасибо.
Жду еще ответов и помощи. Может у кого-нибудь есть более конкретные предложения.
P.S. Что еще сделать молодой девушке чтобы добиться помощи от мужчин
Если открыть ISO 17799 то там черным по белому написано требование наличия системы управления узявимостями. Понятно что это еще не вся защита, а одна из систем. Так что почитайте например ISO 17799.
В систему управления уязвимостями входит сканер безопасности который надо запускать периодически по расписанию, система управления, в том числе система управления заявками (там контролируется выполнение задач для сотрудников на исправление уязвимостей), система отчетности. Все это сделано для того, чтоыб администраторы знали про проблемы в сети и мало того еще и их исправляли своевременно. Кроме того у некоторых вендоров туда входит система защиты непропатченных систем на время пока реальные заплатки не поставлены.
Как пример системы управления узявимостями: IBM Proventia SiteProtector + IBM Enterprise Scanner (или Internet Scanner).
Денис Батранков пишет: Если открыть ISO 17799 то там черным по белому написано требование наличия системы управления узявимостями. Понятно что это еще не вся защита, а одна из систем. Так что почитайте например ISO 17799.
Спасибо Денис . Обязательно поищу и почитаю ISO 17799. Нам пока не рассказывали про него на обучении. Спрошу у преподавателей. Может у них есть?