|
|
@@ -4,7 +4,7 @@
|
|
|
Создание защищенной рабочей области:Предоставление доступа к ресурсам только через защищенные виртуальные среды или удаленные рабочие столы (VDI).
|
|
|
Проверка устройства и предоставление ограниченного доступа:Промежуточный вариант. Устройство проверяется на соответствие политикам безопасности (наличие антивируса, обновлений), после чего ему предоставляется доступ только к определенным, не самым критичным ресурсам.
|
|
|
|
|
|
-2.Насколько безопасно использование публичных сервисов (например, облачных хранилищ) для бизнес-процессов?
|
|
|
+2. Насколько безопасно использование публичных сервисов (например, облачных хранилищ) для бизнес-процессов?
|
|
|
Безопасность сервиса, который компания не контролирует напрямую, всегда является вопросом доверия. В этом случае необходимо исходить из худших предположений. Важно:
|
|
|
Четко регламентировать, какую информацию можно размещать в таких сервисах.
|
|
|
Использовать шифрование для конфиденциальных данных перед их загрузкой.
|
|
|
@@ -19,7 +19,7 @@
|
|
|
Стоимость исправления уязвимости, найденной в ходе планового тестирования, на порядки ниже стоимости ликвидации последствий успешной кибератаки.
|
|
|
Периодичность: Договориться о регулярности (например, внешний тест — ежегодно или после значительных изменений на периметре; внутренний — раз в 1-2 года). Внешнее тестирование часто проводят чаще из-за постоянных изменений периметра защиты.
|
|
|
|
|
|
-4.В чем основная сложность использования базы угроз ФСТЭК для построения модели?
|
|
|
+4. В чем основная сложность использования базы угроз ФСТЭК для построения модели?
|
|
|
Основная сложность заключается в том, что в данной базе угрозы и техники их реализации часто смешаны и плохо структурированы. Это затрудняет их практическое применение для сопоставления с активами и построения четких сценариев атак. Для более детального и современного анализа рекомендуется использовать матрицу MITRE ATT&CK как более наглядный и структурированный инструмент.
|
|
|
|
|
|
|
