infowatch (infowatch) wrote,
infowatch
infowatch

Categories:

Обновляемая инструкция

Тут один знакомый пишет по заказу инструкцию о реагировании на инциденты безопасности (информационной, понятное дело). Сначала ваш покорный слуга терзался смутными сомнениями: дело, казалось бы, нужное; но что-то чувствуется неправильное, что-то корявое... Затем понял.

Угрозы – изменчивы. Как чисто технические (типа руткитов или глюков в firmware), так и организационные (типа мошеннического звонка или засады в правилах бухучёта НМА). Инструкция же утверждается приказом Гендиректора и согласуется Двенадцатью Заместителями по древнему сложному ритуалу. Понятно, что отразить новые угрозы такая статичная инструкция не может. А старые, скорее всего, уже не актуальны.

Сравним с антивирусами. База сигнатур месячной давности – это всё равно как нет сигнатур. Старые вирусы уже успели передохнуть, а в Сети шалят почти исключительно новые. Примерно 99,91% всех детектирований приходится на вредоносы моложе 1 месяца. Таким образом, быстрое пополнение и частые обновления базы сигнатур для антивируса необычайно важны. Устаревшая база – это даже хуже, чем полное отсутствие антивируса, поскольку создаёт иллюзию защиты при полном отсутствии таковой.

Но антивирусы как-то ухитряются сертифицировать. Хотя процедура сертификации – ещё та бюрократия. Для обычного софта за время оформления бумаг на первую версию успевает выйти вторая или хотя бы парочка патчей. Однако накатывать патчи (обновления) нельзя, поскольку при изменении хотя бы одного байта кода сертификат теряет силу. Обновления антивирусов как раз и содержат модификации кода, новые алгоритмы. Но сертифицированным антивирусам обновляться разрешили. Поняли чинуши, что если упрутся рогом в свои параграфы, все останутся без сертифицированной защиты. Необходимость победила бюрократию.


Жить захочешь – и не так раскорячишься.
С реагированием на инциденты, похоже, предстоит такая же история.

Практика требует, чтобы процедуры и инструкции о реагировании пересматривались по мере появления новых угроз, то есть, как минимум, ежеквартально. А то и ежемесячно. Но для каждой версии проходить заново девять кругов бюрократического ада – немыслимо. Придётся что-то придумать.

Обновления для Политики безопасности предприятия должен выпускать компетентный орган типа CERTа или Совета ИБ-старейшин. Единые обновления для разных политик разных предприятий. И эти апдейты должны как-то накатываться на корпоративные приказы и инструкции "через голову" местной бюрократической пирамиды, не ломая при этом грифов "Утверждено" и "Согласовано".

Не знаю, как реализовать этот трюк... Но надо. Надо!

Tags: защита информации, политика безопасности, сертификация
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 18 comments