Ещё немного об информационной безопасности
Честно не знаю о чем писать т.к. объять необъятное не выйдет, а потому решил написать по принципу "что вижу о том и пою". А потому он будет вида ответы редакции на письма читателей. В прошлых постах я получил комментарии о том, что мол конспект из тетрадки сюда переписываю. Конечно ничего и ниоткуда я не переписывал, но в целом их правда - эту информацию действительно можно найти в любом учебнике или тетрадке с конспектами. И основной посыл читающих тоже ясен: мол что ты за муру нам тут рассказываешь: классификации, физические поля, космические корабли, бороздящие просторы вселенной? Ты нам конкретно скажи тут нажать, тут включить и вот ИБ достигнута. И методы мне предлагали в две группы свести: технические и организационные, а остальное усложнение ненужное. Как хочется, что бы все было просто.
Но начнем декомпозировать процесс ИБ. Интеграционной основой ИБ, как и других процессов - документация. Начинается она с политики информационной безопасности, в ней отражаются основы. Если мы продолжим декомпозицию, то у нас появятся различные политики более низких уровней, положения, приказы, инструкции, стандарты и т.д. Декомпозируя криптографические методы мы увидим симметричные и асимметричные шифры, хеш-функции. Антивирусные средства: антивирусы для рабочих станций, для почтовых серверов и т.д. И так для всего. И вот тут-то мы и видим, что использование только двух методов если и допустимо на самом вернем уровне (на уровне политики), то с переходом на более низкие уровни это будет неудобно и неэффективно. Конечно это все зависит от размера компании и для ларька с шаурмой и для крупной международной компании будет различное число этих уровней. Для ларька хватит и двух групп методов, для компании - нет.
"Хочешь выполнять требования государственных регуляторов? - это к безопасникам.
Хочешь применить такие же меры, только что бы реально работало? - тебе к админам.", - писали мне в комментариях.
И снова двадцать пять. Я пишу о разнообразии методов и о необходимости их комплексного использования, а в комментариях опять всё сводят к программно-аппаратным. Ведь именно этими методами занимаются системные администраторы. Что касается требований регуляторов, то для защиты коммерческой тайны их нет. Конечно любая компания все равно обрабатывает персональные данные, какие-то компании тесно сотрудничают с государством и потому на эту информацию тоже распространяются некие требования. Но все это распространяется только на некоторые уже частично обозначенные категории информации и то обозначают лишь нижнюю границу к требованиям.
Информационная безопасность IT
1.4K постов25.5K подписчика
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.