Ключевой особенностью данного проекта стало то, что модель угроз разрабатывалась для СХД компании BAUM во время разработки самой системы. Несмотря на то, что сегодня разработчики программных решений уделяют все больше внимания безопасности данных, забота о закрытии уязвимостей не является их приоритетной задачей. Вместе с тем, значительная часть проблем с защитой информации связана именно с наличием слабостей и недостатков в применяемом ПО.
“До недавнего времени разработчики программных и аппаратных решений очень неохотно занимались вопросами безопасности, минимизируя свои затраты на производство. Мы рады видеть на примере компании BAUM, что отношение компаний к проблеме меняется, становится более зрелым. Данный подход позволит пользователям системы из госструктур увеличить уровень защищенности данных”, - отметил Павел Кириллов, генеральный директор “Элефус”.
В рамках данного проекта специалисты “Элефус” в соответствии с нормативными документами ФСТЭК и ФСБ России, провели комплекс работ, включающий в себя определение исходного уровня защищенности систем хранения данных, расчет показателей защищенности, построение модели нарушителя и предварительного перечня угроз безопасности ПДн, а также определение вероятности реализации угроз, их опасности, возможных способов реализации и последствий. Кроме того, были учтены и описаны меры, которые заказчик может предпринять для снижения рисков возникновения инцидентов в области информационной безопасности.
Андрей Гантимуров:
Наши СХД предназначены для обеспечения критичных бизнес-процессов крупных организаций, включая органы власти и силовые структуры. Им одинаково важна производительность, отказоустойчивость и безопасность. Поэтому еще проектируя архитектуру системы мы уже думали об этом. Помимо ставших стандартом де-факто доступе на основе ролей и детальному журналированию действий как администраторов системы, так и операций с файловыми ресурсами мы добавили независимость всех сервисов друг от друга, монитор их состояния и перезапуска. Наши процедуры контроля качества исходного кода и конвейер сквозного тестирования дополнительно проверяют все компоненты системы на наличие потенциальных уязвимостей. А для заказчика важно, что все это мы смогли реализовать без ущерба для функционала и производительности наших систем.