«…и если в нашем доме вдруг завоняло серой, мы просто обязаны предположить, что где-то рядом объявился чёрт с рогами, и принять соответствующие меры, вплоть до организации производства святой воды в промышленных масштабах».
А. и Б. Стругацкие «Волны гасят ветер»
Какую информацию защищаем?
|
…за 10 лет работы в Банке я знаю только одну страшную тайну, за разглашение которой можно пострадать – сколько мы получаем и местонахождение штопора. … информацию по клиентам, по кассе, по перевозкам, по сделкам, по прямых убыткам., по условиям предоставления услуг VIP клиентам, по «хитрым» операциям клиентов, по стратегии банка о выводе новых продуктов/услуг. |
А что будет, если секретная информация всё же уплывёт?
|
… секретные сведения не хранятся в информационных системах и в комнате переговоров не обсуждаются, а вся остальная информация никому не нужна! … одни разговоры и запугивания, всё равно уплывёт при желании, но она не уплывает, поскольку все и так всё знают и ни у кого руки не доходят снимать информацию в банках. …самый большой ущерб, это когда уборщица ставит цветок на сервер и начинает его поливать, несмотря на то что доступ в серверную по карточке и имеется аж три камеры слежения. …это можно использовать для шантажа руководителей и клиентов, в результате чего клиенты уйдут из банка. |
Задачи безопасности вообще и ИТ-безопасности в частности.
… на вахте людей проверять, чтобы враг не прополз и потом не пришлось жучки искать во всех туалетах. … обеспечивать работу банка, а не препятствовать ей, все случаи прогнозировать и пресекать ещё на стадии подготовки, заниматься экономической разведкой, т.е. проверкой надежности и платежеспособности клиентов, а не защитой от невидимых и выдуманных врагов. …защищать информационные системы, проводить аудит информационной безопасности, охранять сотрудников и инкассацию. … выявлять резидентов внедрённых или купленных, являющихся носителями информации и могущих повлиять на продвижение или торможение вопросов. … обеспечивать целостность, доступность и подтверждение авторства электронных документов, вести список разрешенного ПО, делить его между сотрудниками с перекрытиями и дублежом, запасными админами и пр. … роль IT-безопасности не нужно преувеличивать, 98-й год показал, что банки заваливают не хакеры, а безответственные и/или нечистоплотные менеджеры.
Применение технических средств съёма информации.
…эра беспардонного впаривания дорогой спецтехники, которая ничего, как правило, не находила, закончилась в столице приблизительно 8 лет назад. На территории страны эта бодяга с переменным успехом каталась еще пару лет. …зачем внедрять жучок, если по стояку отопления можно всё и так прослушать, а убедить начальство проверить и защитить хотя бы одно помещение - безнадежное дело, более того, через неделю там будет проведен ремонт - проверено. … из 100 жучков 99 находится с помощью глаз, рук и отвёртки, а последний жучок умирает сам из-за отсутствия питания.
…жучки ставят те, кто их потом ищет, об этом банкиры прекрасно осведомлены и хорошему жучку элементы питания будет менять тот, кому его поставили.
Но если жучки и прослушки никому не нужны, так почему их находят? Значит всё таки нужны, но одно другому не мешает и все согласны, что
Главная угроза - от собственного персонала.
…руководители СБ банков, особенно из КГБ, говорят, что у них в каждом банке по агенту и даже больше. …от персонала получить инфу легче и дешевле, а если этот персонал и ещё является агентом влияния, то вообще золотое дно. …в девяти случаях из десяти - экономическая разведка, это кража сведений через знакомых работников, какая бы служба и аппаратура для защиты ни была бы.
…сотрудник может просто продать информацию (вынести документы) , при этом снимать информацию с окна при помощи лазера нет никакой необходимости, дешевле и проще раскрутить операциониста.
Большой-маленький банк.
…по Сеньке и шапка! Огромному банку, да еще завязанному с политэлитой, нужна и внешняя и внутренняя разведка и все остальное. Среднему нужна охрана и подразделение, которое проверяет клиентов, контрагентов, "решает" вопросы с МВД и т.п. Мелкому - только охрана офисов. …особенно остро проблема стоит в небольших банках и филиалах. 2-3 человека должны знать телекоммуникации, весь софт для поддержки, учить все отделы, какие им кнопки нажимать, т.е. мы знаем и умеем ВСЁ! …примерно так же появляется и отдельная СБ по ИТ, до определенного уровня развития банка эту службу просто не выгодно создавать, а начиная с определенного уровня – не выгодно её не иметь.
Гносеология менталитета людей из СБ и ИТ.
Соображения общие.
…что немцу смерть, то у казаха на огороде само растет. Менталитет айтишника и безопасника - это две большие разницы, говорю, как айтишник, имеющий тестя-гэбэшника. …а преподы кто? Именно не совсем адекватное образование сотрудников СБ приводит к их неприятию со стороны спецов из ИТ и наоборот. …ИТ смотрит на программу с точки зрения функциональности, а СБ с точки зрения доступности. …ИТ и СБ чаще всего не стараются задачи повышения надежности и эффективности работы банка решать совместно, а решают свои частные задачи, да еще и возмущаясь друг другом и вставляя палки в колеса. … цели ИТ и СБ совершенно различны. СБ стремится как можно больше ограничить доступ к информационным ресурсам, причем всем и внутри банка, и снаружи, а ИТ стремится как можно шире предоставить эти самые ресурсы, причем именно наружу, потому что при этом часть работы банка можно переложить на могучие плечи клиентов.
Накат и самонакат на СБ.
…одно дело бывший полковник с опытом «заплечных дел мастера», другое дело грамотный специалист с глубокими знаниями современных технологий. Принимать на работу в ИТ-безопасность только потому, что он из ФСБ, нельзя. …начальник СБ и должен быть из ФСБ, МВД и т.д., обладать связями и информацией, но в работу ИТ пусть не лезет. С кровью, но я добился, чтобы меня оставили в покое, всё просто - или доверяй начальнику ИТ или увольняй его. …не отрицаю возможностей спецов ИТ руководить ИТ-безопасностью. Полёт их мысли и широта образа не укладывается в наших застарелых и испорченных системой погон МВДэшных головах. Вы правы, ранг полковника далёк от ИТ- систем, разве что бумажку написать и распечатать. …увы, когда ты всю свою жизнь получал от государства невеликий должностной оклад, а на пенсии занял место руководителя СБ банка с зарплатой в месяц соизмеримой с годовым доходом на прежней работе, то держишься за кресло 4 руками и 32 зубами и не перечишь и не надоедаешь управляющему. Хочется верить, что где-то не так. …любой, хочу повторить, любой айтишник, при минимальном добавочном тренинге, а зачастую и без него, сможет с успехом исполнять роль информ. безопасника, но не один информ. безопасник никогда не сможет заменить любого айтишника. …как в анекдоте: стоматолог с бормашинкой подходит к пациентке, та берет его за гениталии и говорит: "Доктор, мы же не сделаем друг другу больно?". В подобной ситуации ИТ всегда идет на компромисс, иначе будет больно. На осознанный компромисс идёт и вменяемая СБ, но очень часто там попадаются люди закостенелые и, мягко говоря, туповатые. Они абсолютно не хотят думать, а все свои доводы обосновывают различными нормативными документами позапрошлого века. …где Вы найдёте нормального автоматизатора, которого будет "строить" какой-нибудь майор (полковник) МВД (ФСБ)?
Накат на ИТ.
…из айтишника безопасника без навыков не сделать, это как в анекдоте про Ивана и Изю, вроде голова есть у обоих, а Изя живет лучше, почему? Потому, что мышление другое. Офицер СБ должен быть умный, хитрый и находчивый, как еврей, а ИТ-специалисты - это Иваны, извините если задел кого-то. …обсуждать с большинством айтишников проблемы обеспечения инф. безопасности, абсолютно неблагодарное дело.
…далеко не любой айтишник может быть ИТ-безопасником, нужна некоторая склонность, без тренинга - в сад, однозначно, я сам пришел в ИТ-безопасность из ИТ, посему знаю, что без нормально вложенной идеологии - одни пальцы и пузыри.
Кто есть кто, кто с кем, кто в ком и кто под кем.
Подразделения раздельные.
…в Сбербанке существует отдельный «отдел безопасности и защиты информации» и работают они прекрасно. Тут же комментарий коллег. …не могёт эта служба быть на высоте, достаточно посмотреть, сколько документов Сбера гуляет на этом форуме. …наличие выделенной службы ИТ-безопасности очень полезно и если службы не могут наладить совместную работу, начальника одной из служб нужно увольнять. …про неразумность подчинения СБ ИТ-начальнику уже говорилось неоднократно, да, такой вариант теоретически возможен (при очень грамотном и справедливом начальнике), но он создает значительные проблемы, плохо масштабируем и дает потенциальную возможность для злоупотреблений, гораздо перспективнее разделять руководство этими принципиально различными службами. …я вот админ банка, отвечающий за информационную безопасность и очень жалею, что я не в отдельном подразделении. Почему? Потому, что у программистов по другому стоят мозги. Они всё делают быстро и зачастую не думают, как это можно использовать по другому. Какой самый простой способ заставить работать скрипт? Правильно, под системным админом базы данных, запустил и никаких проблем. Объяснить им, что так делать нельзя, тяжело. Один департамент, а вроде как я им палки в колеса ставлю. Говоришь, нельзя IIS наружу ставить, показывают рекламки Майкрософт и начинают рассуждать о том, о чем не имеют понятия. У них другая задача - сделать. …каждый должен заниматься своим делом, хотя бы для того, чтобы свести к минимуму риски на персонале. Другой вопрос, что в составе СБ должно быть отдельное подразделение, отвечающее за информационную безопасность, укомплектованное профессиональными кадрами, что на данный момент действительно редкость.
СБ под ИТ.
…вообще автоматизаторы, они и являются безопасниками на самом то деле! …а задумывался ли кто-нибудь, что при образовании нового банка служба ИТ (в лице 1-2 программеров/администраторов) возникает сразу. А вот информационной СБ не возникает. А вопросы этой безопасности все равно присутствуют и решаются. Я к чему клоню. Вопросы безопасности можно с успехом решать и на уровне департамента ИТ, например, начальнику ИТ иметь зама по этим вопросам. Это, естно, безопасникам не особо ндравится, вот они тут и пучатся, какие они крутые.
ИТ под СБ.
… администратор безопасности - да, уместен в штате ИТ, но не более, умное руководство никогда не поставит его в штат ИТ, ибо это тоже самое, что включить СВК в штат бухгалтерии. …отдавать функции контроля за безопасностью ИТ самим айтишникам по меньшей мере глупо. Это приведёт к тому, что по каналам день и ночь будет качаться порнуха и mpeg4, на firewall'е будет с десяток "дырок" для админа и его друзей, а в сети будут привольно пастись хакеры. …у нас ИТ подчиняется строго СБ и никак иначе, и вопросы доступа к ресурсам программисты не определяют. …ИТ-безопасность должна быть либо в составе СБ, если руководитель понимающий, либо отдельно, но не под ИТ.
Давайте жить дружно и разное.
…сотрудничество СБ и ИТ обязательно, без визы офицера СБ никакое ПО не должно внедряться. Этот человек зачастую дает грамотные советы, он может не знать языков программирования, но это не значит, что он не понимает как должна двигаться информация. …офицер СБ, имеющий привилегии как у системных админов - это паучёк, куда стекаются логи и протоколы. Не забывайте, что информационная безопасность включает в себя: физическую безопасность оборудования и каналов связи, наличие резервов по питанию, копиям информации и технике. Ведь очень часто с уходом программиста все его наработки теряются. Программисты не любят делать документацию и не хотят хранить алгоритмы, а это нарушение правил информационной безопасности. …я общался с людьми из банка, в котором перекос был в сторону СБ, очень грустное зрелище, практическое отсутствие развития ИТ вообще и новых услуг клиентам в частности. В другом случае, когда перекос был в сторону прогрессивно настроенного ИТ, модификация и ПО и структур данных выполнялась программистами из дома по модемам, и это тоже не есть правильно. … мы с полковником просто вместе делали дело, я учился у него "здоровой паранойе", он у меня - вещам техническим. …интересно, как бы Вы отнеслись к идее, что в ИТ надо оставить только программистов-разработчиков, а админов и сопровождальщиков перевести в бухгалтерию (?!), потому как они собственно на бухгалетров и работают?
Разделённый доступ.
…разделённый он для того, чтобы сократить список подозреваемых, тут бывшие ФСБшники работают головой. При возникновении подозрений их задача определить по косвенным уликам (они разные) виновного или в крайнем случае снизить их количество до 2-3 человек. … обычно делают так: функции админа действительно у ИТ, но полномочия прав на тот или иной доступ подписывается у СБ. Любой новый человек приносит ИТ бумажку на доступ, подписанную у СБ, т.е. ИТ только раздает права, а сколько их и кому давать, решает СБ.
А что будет, если чересчур сильно зарегулировать админа?
|
…во-первых, он скорей всего наплюёт на значительную часть регулирующих указаний, во-вторых, на проверку этих указаний потребуется слишком много усилий, и на это наплюет тот, на кого возложен контроль. Тут же комментарий коллег. …да ничего подобного, не так много усилий на это потребуется, не обольщайтесь, админу сложно будет наплевать и с этим придётся смириться. …не надо обрубать инициативу админа на корню, просто всё должно фиксироваться и согласовываться, вот и весь контроль. Тут же комментарий коллег. …а бесконечные согласования, это и есть - обрубать инициативу админа на корню. …настоящий грамотный админ и сам стремится упорядочить свою деятельность: он ленив и не хочет вспоминать одно и то же, поэтому сам записывает все свои действия; он не хочет делать лишней работы "после того как", если можно сделать немножко "до того"; он любит отдыхать и чтобы никто его из отпуска на работу не дергал; он любит работу и деньги, поэтому старается сделать так, чтобы при переходе на новое место работы его по-доброму вспоминали на старом. …скорее утеряется пароль, записанный сотрудником на бумаге и прилепленный к монитору, чем подведет админ, а решается всё просто - разделение обязанностей между админами и их позитивная мотивация по схеме "не плюй в колодец, вылетит не поймаешь". |
Кто сказал, что ИТ и СБ - затратные службы?
|
Про ИТ. … банк-клиент у нас собственной разработки и плату за эту услугу можно отнести на заработанное, и АБС у нас своя, банк же платит нам за её сопровождение, но меньше, чем за АБС в исполнении фирмы Диасофт, разница – доход. Про СБ. …точно просчитать сложно, но оценить можно, это выбитые безнадёжные кредиты, и услуги инкассации в доходы идут. |
Позиция первого лица
…а что все надувают щеки, преувеличивая свою значимость, так это просто борьба за кусок пирога, всем хочется есть и адекватный менеджмент адекватно это понимает.
…надо искать какую-то золотую середину, а уж решать вопросы доступа к ресурсам должны в первую очередь руководители, и исходя вовсе не из интересов ИТ и СБ, а из интересов развития бизнеса.
…на практике позиция управляющего - делай как я сказал, но будешь стрелочником.
… всё идеально просто, нормальный руководитель банка сам должен определить, в каком объёме нужна СБ и ёе полномочия зависят только от руководства банка и его позиции.
… руководитель быстро в ИТ начинает разбираться, если банк хотя бы день простаивает из-за сбоя сервера или нашествия вирусов. И виноватые есть и наказать есть кого, и даже на дверь, при желании, указать. Это из его хозяйского кармана деньги улетают, поэтому он вполне компетентен в вопросах, какие службы и в каком количестве иметь в банке.
|
…а что все надувают щеки, преувеличивая свою значимость, так это просто борьба за кусок пирога, всем хочется есть и адекватный менеджмент адекватно это понимает. …надо искать какую-то золотую середину, а уж решать вопросы доступа к ресурсам должны в первую очередь руководители, и исходя вовсе не из интересов ИТ и СБ, а из интересов развития бизнеса. …на практике позиция управляющего - делай как я сказал, но будешь стрелочником. … всё идеально просто, нормальный руководитель банка сам должен определить, в каком объёме нужна СБ и ёе полномочия зависят только от руководства банка и его позиции. … руководитель быстро в ИТ начинает разбираться, если банк хотя бы день простаивает из-за сбоя сервера или нашествия вирусов. И виноватые есть и наказать есть кого, и даже на дверь, при желании, указать. Это из его хозяйского кармана деньги улетают, поэтому он вполне компетентен в вопросах, какие службы и в каком количестве иметь в банке. |
На этом обзор заканчиваю, так как в итоге всё вроде бы встало на свои места. Или не встало?!
