.svg){kind=icon}
.webp "Новатика")
На самом фундаментальном уровне IT-безопасность — это защита вещей, представляющих ценность для организации. К ним обычно относятся люди, имущество и данные - другими словами, активы организации.
Средства контроля безопасности существуют для снижения или уменьшения риска для этих активов. Они включают в себя любой тип политики, процедуры, техники, метода, решения, плана, действия или устройства, разработанные для достижения этой цели. Узнаваемыми примерами являются брандмауэры, системы наблюдения и антивирусное программное обеспечение.
Средства контроля безопасности не выбираются и не внедряются произвольно. Они обычно вытекают из процесса управления рисками организации, который начинается с определения общей стратегии IT-безопасности, затем целей.
За этим следует определение конкретных целей контроля - заявлений о том, как организация планирует эффективно управлять риском. Например, "Наши средства контроля обеспечивают разумную уверенность в том, что физический и логический доступ к базам данных и записям данных ограничен авторизованными пользователями" — это цель контроля. "Наши средства контроля обеспечивают разумную уверенность в том, что критически важные системы и инфраструктура доступны и полностью функционируют в соответствии с графиком" — это другой пример.
После того как организация определит цели контроля, она может оценить риск для отдельных активов, а затем выбрать наиболее подходящие средства контроля безопасности. Одна из самых простых и понятных моделей классификации средств контроля - по типу: физические, технические или административные, и по функциям: превентивные, детективные и корректирующие.
Физические средства контроля описывают все материальные средства, которые используются для предотвращения или обнаружения несанкционированного доступа к физическим областям, системам или активам. Сюда входят такие вещи, как заборы, ворота, охранники, пропуска и карты доступа, биометрические средства контроля доступа, охранное освещение, системы видеонаблюдения, камеры наблюдения, датчики движения, средства пожаротушения, а также средства контроля окружающей среды, такие как системы отопления, вентиляции и кондиционирования воздуха и контроля влажности.
Технические средства контроля (также известные как логические средства контроля) включают аппаратные или программные механизмы, используемые для защиты активов. Некоторые распространенные примеры - решения для аутентификации, межсетевые экраны, антивирусное программное обеспечение, системы обнаружения вторжений (IDS), системы защиты от вторжений (IPS), ограниченные интерфейсы, а также списки контроля доступа (ACL) и меры шифрования.
Административный контроль относится к политике, процедурам или руководствам, которые определяют персонал или деловую практику в соответствии с целями безопасности организации. Они могут применяться к найму и увольнению сотрудников, использованию оборудования и Интернета, физическому доступу к объектам, разделению обязанностей, классификации данных и аудиту. Обучение сотрудников навыкам безопасности также относится к административным средствам контроля.
Превентивные средства контроля описывают любые меры безопасности, направленные на предотвращение нежелательных или несанкционированных действий. Примеры включают физические меры контроля, такие как заборы, замки и системы сигнализации; технические меры контроля, такие как антивирусное программное обеспечение, брандмауэры и IPS; административные меры контроля, такие как разделение обязанностей, классификация данных и аудит.
Средства контроля обнаружения описывают любые меры безопасности или решения, применяемые для обнаружения и оповещения о нежелательных или несанкционированных действиях в процессе или после их совершения. Физические примеры включают сигналы тревоги или уведомления от физических датчиков (дверные сигнализации, пожарные сигнализации), которые оповещают охранников, полицию или системных администраторов. Honeypots и IDS являются примерами технических средств контроля.
Корректирующие средства контроля включают любые меры, принимаемые для устранения ущерба или восстановления ресурсов и возможностей до их прежнего состояния после несанкционированной или нежелательной деятельности. Примерами технических корректирующих средств являются исправление системы, помещение вируса в карантин, завершение процесса или перезагрузка системы. Введение в действие плана реагирования на инциденты является примером административного корректирующего контроля.
Специалисты по безопасности внедряют комбинацию средств контроля безопасности на основе заявленных целей контроля с учетом потребностей организации и нормативных требований. В итоге, целью средств контроля является поддержание трех основополагающих принципов безопасности: конфиденциальности, целостности и доступности.
