четверг, 14 апреля 2011 г.

Работы по защите ПДн (часть 5)

Возвращаясь к вопросу о проведении работ по защите ПДн, остановлюсь на втором этапе - проектирование СЗПДн.
Как я уже говорил: "не надо бросаться и изучать ГОСТы РФ". И это действительно так. Вполне достаточно аналитического обоснования, но перед тем как его сформировать, нужно плотно поработать с моделью актуальных угроз и существующими на рынке средствами защиты информации (СЗИ).
Процесс определения СЗИ для перекрытия актуальных угроз является не таким простым, как кажется на первый взгляд, за исключением тех случаев, когда Ваш бюджет на ИБ не ограничен ;).
Самая первая сложность возникает в выборе СЗИ из всего огромного выбора таких средств на рынке. Ведь стоимость СЗИ и их функционал примерно одинаковы. Как же быть в этом случае?! Я предлагаю использовать два критерия при выборе таких средств (естественно, что их гораздо больше): 1. Совокупная стоимость владения СЗИ и 2. Удобство работы. Второй критерий не люблю использовать, но в данном случае он подходит как ни что лучше.
Совокупная стоимость владения СЗИ - это не только стоимость самого комплекта СЗИ (ПО, железо), но и стоимость внедрения (новые технические средства по ПО, модернизация технических средств под ПО, изменение инфраструктуры), стоимость поддержки СЗИ (зп нового специалиста, повышение квалификации "старого" специалиста, техническая поддержка СЗИ производителем, стоимость обновлений). Дополнительная нагрузка по администрированию новой СЗИ на "старого" специалиста может привести к тому, что он станет меньше времени уделять другим вопросам ИБ, например, уменьшится контроль за действием пользователей в сети интернет и/или электронной почты. К чему я виду, есть такое понятие "упущенная выгода", которое можно применить к данной ситуации и стоимость "упущенной выгоды" включить в совокупную стоимость владения СЗИ.
Удобство администрирования и работы. Не буду философствовать, а приведу простой, и на мой взгляд, яркий пример. Есть сертифицированная по требованиям безопасности ОС и есть сертифицированное прикладное ПО. Администратор ИБ ведет работы по разграничению прав доступа, по мониторингу действий средствами ОС. Возникает вопрос: "Если стоимость владения сертифицированной ОС и сертифицированным прикладным ПО одинакова, какой выбор лучше?". На мой взгляд лучше выбрать вариант сертифицированной ОС так как все функции зашиты в ней известны и человек с ней уже работал, следовательно ему не придется разбираться с механизмами обеспечения ИБ и он сможет довольно оперативно их настроить. В случае выбора сертифицированного прикладного ПО надо учитывать тот факт, что эта "нахлобучка" будет утяжелять работу системы и потребует дополнительных навыков, времени и обучения специалиста для настройки корректной работы.
По критериям все. Теперь поговорим о том, что должно содержать аналитическое обоснование СЗПДн. В первую очередь обосновывается выбор конкретного средства СЗИ из всего множества. Основным аргументом для топ-менеджмента будет стоимость владения такого СЗИ. Первый критерий Вам в помощь. Далее необходимо нарисовать топологию ИСПДн и определить какие компоненты СЗПДн и где должны быть установлены. В заключении необходимо прописать какие функции СЗПДн должны быть сконфигурированы. Не надо настраивать СЗПДн на избыточное функционирование, помните, у Вас есть актуальные угрозы и вы должны снизить риск их возникновения.
В итоге у Вас должен получиться документ размером 10-15 стр. который будет понятен и топ-менеджменту и директору ИТ и директору ИБ. 

Комментариев нет: