Стандарты безопасности, лучшие практики мировых сообществ,
рекомендации Вендора и множество других ресурсов общедоступно для использования
при формировании системы информационной безопасности. Но часто доводится видеть
ситуацию описанную поговоркой – «заставь дурака Богу молится, он лоб разобьет».
При внедрении всевозможных требований не стоит забывать о главном – любая мер
защиты направлена на закрытие определенного риска. Осознав риск закрываемый
требование гораздо легче и эффективней применять защитную меру, чем просто
выполнять «по написанному».
Простой пример, требования парольной политики. Параметры
длинны и состава символов вводимого пароля по сути служат одной цели –
повышения сложности вводимого значения, увеличение количества возможных
вариантов. Поэтому пароль состоящий из 7 цифр по сложности перебора будет того
же порядка что и пароль состоящий из 5 цифр и строчных букв латинского
алфавита. При отсутствии технической возможности задания состава символов
входящих в пароль, всегда можно повысить его сложность, увеличив длину.
Конечно, не стоит забывать и о дополнительных рисках,
которые возможно могут возникать при альтернативной реализации, но как правило
они не возникают при адекватном выборе мер закрывающих исходное требование.
Понимание смысла требования полезно так же и при прямой его
реализации. Так например известный «обход» требований стандарта PCI DSS версии
1.2, когда при формальном соблюдении требований по хранения номеров карт,
допускалось совместное хранение их одновременно в маскированном и хешированном
виде. Очевидно что изначальной цели – обеспечения безопасности данных, такой
способ хранения не отвечал, исходные номера карт по хранимым значениям
высчитать за секунды.
В моей практике проведения аудитов информационной безопасности часто встречаются подобные случаи при выполнении требований без понимания их изначальной задачи. К сожалению такие меры лишь дают ощущение ложной защищенности. Реальную же пользу в снижении рисков информационной безопасности несут меры, назначение которых осознано, а использование обоснованно.
То же самое после редактуры на сайте Информзащиты
Комментариев нет:
Отправить комментарий