@polarnik
Тестировщик

Какие руководства или курсы посоветуете администратору для усиления защиты облачного сервиса?

Есть сервис, использующий стек технологий Microsoft (Windows Server, SQL Server, IIS). Защита сервиса сделана грамотно. Знания и технологии о том, как эта защита устроена, и на сколько она полна, хранятся в головах нескольких специалистов.

Для расширения и закрепления знаний специалистов надо подумать, что бы порекомендовать для изучения, на что выделить больше ресурсов. В конечном итоге, они сами решат, но надо составить начальную рекомендацию.

Чтобы задать очерёдность изучения, а также порядок оформления знаний в виде технологий (небольших документов с основными принципами и настройками + ссылками на руководства конкретных продуктов), посмотрел на:
- список из 10-ти рисков для облачных приложений: https://www.owasp.org/index.php/Category:OWASP_Clo...
- некоторые курсы с www.microsoftvirtualacademy.com
- программы курсов по администрированию с https://www.microsoft.com/learning/ru-ru/windows-s...
- руководства и чек-листы к различных программным продуктам.

Возможно, этот список неполный. Если бы вас спросили, на какие курсы хочется сходить, какие книги надо бы купить, чтобы расширить знания и укрепить защиту доверенного сервиса? Что бы вы выбрали?

Или так.

У вас есть уже настроенный сервис. К вам приходит новый сотрудник. В каком порядке будете рассказывать ему о том, как поддерживать, контроллировать и усиливать защищённость?
Начнёте с резервного копирования, как выполняется, как шифруется/расшифровывается, и где хранится?
Или с архитектуры, изоляции, дублирования, резервирования?
...

Натолкните на мысль. Посоветуйте статью, подход, руководство, фреймворк или программу сертификации.
  • Вопрос задан
  • 2516 просмотров
Решения вопроса 1
@brutal_lobster
Вам нужно посмотреть на ISO 27001/27002 и Cobit. Может быть немножко NIST SP800-144 (и другие SP).

Или на курсы по обеспечению комплексной ИБ/мастер-класс консультанта какого-нибудь. Фреймворки и стандарты всё таки тяжело читать. Еще сложнее успешно адаптировать (или хоть как-то эффективно применить) под себя.

Документация текущего положения дел - это хорошо, но оно не даёт полной картины.
А грамотность защиты сервиса - это миф :) Особенно, если информация о ней сакральна и зависит от пары сотрудников.

Начните паралелльно работу на высоком уровне - установите цели, составьте политику безопасности, какие-нибудь базовые общие регламенты. Определите и улучшайте сам процесс управления/обеспечения безопасности вашего сервиса.

Сотрудника необходимо знакомить в первую очередь не с используемыми технологиями и конкретными мерами контроля - а с самим процессом.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы