23 октября, вторник 06:57
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Статья: "О заблуждениях в безопасности, ставших классикой." // Алексей Лукацкий

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Статья: "О заблуждениях в безопасности, ставших классикой." // Алексей Лукацкий

    Вышла новая статья от Алексей Лукацкий !

    Ознакомится можно здесь: http://bankir.ru/analytics/infosec/480/124884 .

  • #2
    Статья: "О заблуждениях в безопасности, ставших классикой." // Алексей Лукацкий
    Вышла новая статья от Алексей Лукацкий !


    Там в названии статьи одно слово пропущено. Правильное название:
    "О заблуждениях Лукацкого в безопасности, ставших классикой."

    Комментарий


    • #3
      Очень хорошая статья, спасибо автору.
      Я впервые вижу материал, в которой предпринимается попытка честно и объективно взглянуть на "священных коров" безопасности.
      Полностью согласен с автором в сомнительности использования рисков ИБ, мне эти риски очень напоминают "проблему 2000", о которой много говорили, всех ей пугали, под которую выбили огромные деньги и которая в результате оказалсь просто мыльным пузырем. Только об этом уже не писали.

      Комментарий


      • #4
        PaulX Правильное название:
        "О заблуждениях Лукацкого в безопасности, ставших классикой."


        Просветите нас - напишите свою статью. Я думаю всем будет интересна иная ПРАКТИЧЕСКАЯ точка зрения. Да и я, возможно, поймку свои заблуждения.

        Комментарий


        • #5
          Прочитал статью, и что то не понял приведенные Алексеем примеры...:
          Угроза: Скачивание нелицензионного ПО - Риск: потеря ДОСТУПНОСТИ ресурсов в силу налоговой проверки
          Угроза: Работа неавторизованного пользователя с порталом - Риск: атака на портал, которая приведет к потере трех основных свойств информации на нем ЦЕЛОСТНОСТИ,КОНФИДЕНЦИАЛЬНОСТИБ ДОСТУПНОСТИ
          Угроза: Искажение в биллинговой системе - Риск потеря ЦЕЛОСТНОСТИ
          Вроде все нормально укладывается в модель триады.
          Вот оценить потери здесь я согласен что сложно будет, но про это в статье пишется в другом месте...

          Комментарий


          • #6
            Небольшие замечания:
            Интеграторы сертификацией не занимаются - этим занимается только BSI. Так что интеграторы тут не наварятся, только на подготовке.

            ISM3 - по нему официально сертификацию не проводят. А если и проводят - то пока это сертификация уровня - "мы посидели форумом банкир.ру придумали свой стандарт и предлагаем всем по нему сертифицироваться". Сравнивать 7 людей + 6 каких-то малоизвестных (мне) компаний с международной стандартизирующей организацией некорректно.

            По поводу триады - не встречал случаев когда нельзя было притащить к чему-то из этих трёх.

            Комментарий


            • #7
              Спору нет, Алексей Лукацкий гуру в системах ИБ. Но в данной статье он несколько непонятно высказался. Действительно существует много действующих стандартов по ИБ. Но:
              1. Стандарт ISO 27001 - это некие метрики для аудита ИБ, и сертификации систем построенной на основе рекомендаций ISO 27002 (бывший 17799).
              2. Стандарт гармонизирован с веткой стандартов 27000.
              3. Стандарт не отрицает и более того полностью сохраняет действие местных стандартов, нормативных документов и Законодательства.
              А вот на вопрос: "Стоит ли проводить сертификацию по данному стандарту или нет?" Могу посоветовать. Если зарубежный инвестор требует провести сертификацию, то - ДА. Если нет такого инвестора и такого требования - то сертификация приводит лишь к практическому удорожанию системы ИБ и не более того

              Комментарий


              • #8
                gvakiev По 27001 моя позиция достаточно очевидная - это не панацея, как его преподносят. Точка. Если люди это понимают - отлично.

                Andrey2222 А причем тут налоговая и нелицензионное ПО? К доступности никакого отношения. Работая за порталом, неавторизованный пользователь может и не делать никаких действий по нарушению доступности, целостности или конфиденциальности. Но это не значит, что я не должен его контролировать его действия. Про биллинг я написал, что можно "натянуть", но зачем? Не надо загонять себя в узкие рамки, придуманные кем-то в немного отличной от сегодняшнего дня ситуации.

                nremezov Сравнивать 7 людей + 6 каких-то малоизвестных (мне) компаний с международной стандартизирующей организацией некорректно.

                Почему? Только из-за размера и наличия официального статуса? Но это не повод не сравнивать. Мы же говорим о том, ради чего все это делается. А не ради того, КАК.

                Комментарий


                • #9
                  Спасибо, Алексей, за интересную статью.
                  На мой взгляд, Вы затронули достаточно важную тему, касающуюся оценки рисков ИБ. И что же тогда предлагаете делать? Ведь, насколько всем известно, оценка рисков - тот базис на котором строится комплексная система обеспечения ИБ. И если мы откажемся от этого базиса, то как решить, сколько средств выделять на обеспечение ИБ, что защищать и как защищать? Согласен, что оценка рисков в существующей интерпретации - процесс теоретический, нежели практический.
                  Вопрос: что Вы предложите взамен оценке рисков? Ведь нам же нужно экономическое обоснование для внедрения систем защиты.

                  Комментарий


                  • #10
                    Я согласен с тем, что 27001 не панацея. И что сертифицироваться надо только если имеются политико-экономические причины.
                    Но с другой стороны все эти стандарты, это наборы "лучших практик". И именно это наша работа, используя опыт и "революционное правосознание" выбрать из этих практик действительно нужное и стоящее для обеспечения ИБ и постараться сделать у себя в организации "все хорошо".
                    Насчет "триады безопасности", этот раздел в статье не понял. Никто (наверное) из ИБ-безопасников не "тупит" на тему, мол в "триаде" нет, значит не мое. Все все прекрасно понимают. И уже достаточно давно в публикациях идет речь о том, что понятие ИБ давно расширилось. А "триаду" можно воспринимать как лозунг: "МИР-ТРУД-МАЙ" и все.
                    Оценка рисков - естественно нужна, только на ней зацикливаться не надо. Но в любом случае, принимае какое то нестандартное решение (бизнесу как всегда нужно все срочно и не хватает времени все оценить и протестировать) мы все равно смотрим на риски и уж если совсем чуствуем что плохо, начинаем упираться и доказывать что так нельзя.
                    Процесс обеспечения безопасности - творческий процесс и поэтому он не всегда может четко следовать каким либо канонам.

                    Комментарий


                    • #11
                      Kastusik Ведь нам же нужно экономическое обоснование для внедрения систем защиты.

                      Интересный вопрос ;-) А как обосновывают все остальные? У безопасников есть отличный инструмент, которого нет у других - риски. Не дадите денег, будет вам очень плохо. Замечательно! Но что делать тем же ИТшникам. У них нет столь явных рисков и угроз (Disater Recovery - это небольшая часть в ИТ). Как они обосновывают инвестиции в свои проекты? А как обосновывают покупку канцтоваров, кофе и др.?

                      Мы привыкли к рискам и пытаемся все описать с точки зрения рисков. Но это только одна сторона медали - защита от потерь. А вот ИТ-проекты защищаются с точки зрения "что даст проект бизнесу". Там используются иные подходы - управление инвестициями, управление портфолио и т.п. Правда это требует совершенно иного образования ;-(

                      Комментарий


                      • #12
                        Лукацкому - адназначный респект за "провокационность" темы статьи
                        IMHO, основная идея статьи - попытка показать, что пора прекращать нездоровый фетишизм вокруг ISO 27001, который последние год-два имеет место быть...и правильно пишет камрад gvakiev: "Стоит ли проводить сертификацию по данному стандарту или нет?"...Если зарубежный инвестор требует провести сертификацию, то - ДА. Если нет такого инвестора и такого требования - то сертификация приводит лишь к практическому удорожанию системы ИБ и не более того
                        Всё в наших руках...(с)

                        Комментарий


                        • #13
                          Айтишникам может чем то и попроще. Бизнес говорит - надо, ай-ти отвечает есть (при наличии выделения от бизнеса соответвующего финансирования).
                          Можно и инициативно выступить, "а хотите чтобы это "крутилось" у вас быстре?". Бизнес отвечает - ОК, класс. Так дайте денег и все будет хорошо.

                          Комментарий


                          • #14
                            Пух575 основная идея статьи - попытка показать, что пора прекращать нездоровый фетишизм вокруг ISO 27001

                            Ура! Меня поняли!

                            Stnslav Бизнес говорит - надо, ай-ти отвечает есть Не бывает такого ;-) Или очень редко. У бизнеса есть цели. Все подразделения (и ИТ, и ИБ, и HR) должны делать все для достижения этих целей. Все! Ничего другого быть не может. Поэтому, когда бизнес говорит "надо", мы должны найти способы реализовать это "надо".

                            Можно и инициативно выступить, "а хотите чтобы это "крутилось" у вас быстре?". Бизнес отвечает - ОК, класс. Так дайте денег и все будет хорошо

                            Вы хотите геогафическую экспансию? Дайте денег на VPN. Вы хотите сдвиг PoS/PoD ближе к клиенту? Дайте денег на защиту КПК/лэптопов. Вы хотите повысить продуктивность сотрудников? Дайте денег на защищенный удаленный доступ. Вы хотите ускорить цикл выпуска продуктов или оптимизировать складские запасы? Дайте денег на защищенный портал? Хотите снизить издержки от СКС? Дайте денег на защищенный Wi-Fi. Хотите обеспечить получение оперативной и достоверной информации для принятия управленческих решений? Дайте денег на обеспечение защиты от DDoS и контроль целостности информации. Все "просто". Надо только понимать, как транслировать бизнес-потребности в конкретные решения по ИБ.

                            Никто не говорит, что ИБ - самая главная. Она реализуется в рамках общего проекта по достижению той или иной бизнес-цели. В рамках, а не отдельно от всех.

                            Комментарий


                            • #15
                              Эх, ни убавить, ни прибавить.
                              А как вы относитесь к CobIT?
                              Согласно ему критериев у информации целых семь. Вот уж есть где разгуляться.
                              По сути критерии те же + Compliance, Reliability, Effectiveness, Efficiency.
                              И общий смысл в том же о чем вы говорили, если я правильно понял - главное в работе ИБ, ИТ и прочих - помощь в достижении целей бизнеса, со своей стороны, в своих областях.
                              Понимаю, что предназначен он все же в первую очередь для аудиторов, но идеи там высказаны, с моей точки зрения, вполне жизнеспособные. Тем более, переживает документ уже четвертую с лишним редакцию. Вполне зрелый возраст.

                              ЗЫ А для безопасников там придется выбирать Как минимум DS5 точно им "принадлежит", остальное не помню.

                              Комментарий


                              • #16
                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                Просветите нас - напишите свою статью. Я думаю всем будет интересна иная ПРАКТИЧЕСКАЯ точка зрения. Да и я, возможно, поймку свои заблуждения.
                                Если бы я писал опровержения на все публикуемые на русском и английском языках заблуждения относительно ИБ, то мне некогда было бы заниматься делом. На данный материал и не имеет смысла писать опровержения, поскольку он носит исключительно популистский характер и не предполагает какого-либо анализа или дискуссии.

                                Вы пишите что ISO 27001 не является панацеей и что есть еще и другие заслуживающие внимания стандарты. Так это итак всем известно. В безопасности вообще не бывает панацеи. Получается пустая констатация всем известных фактов. Вот если бы вы вместо перечисления некоторых стандартов взяли хотя бы один из них, например, ISM3, и сопоставили его с ISO 27001, произвели бы анализ, показали бы сильные и слабые стороны обоих стандартов или бы рассмотрели пример практического внедрения ISM3, тогда и читать было бы интересно и польза бы была, да и было бы что обсуждать.

                                Вас раздражает что об ISO 27001 слишком много говорят и используют его в своих коммерческих интересах? Ну наверное у вас могло сложиться такое впечатление, хотя по статистике, которой я располагаю, примерно 25% специалистов по ИБ в России еще даже не знают что такое ISO 27001, половина знают об ISO 27001, но не читали, а в числе авторов активно пишущих об этом стандарте Лукацкий стоит на одном из почетных первых мест. Так что вас раздражает? Интеграторы делают на этом стандарте деньги, вы делаете себе имя на его критике, а заказчике хоть что-то узнают о передовом опыте управления ИБ. Никто в накладе не остается

                                Насчет оценки рисков вы пишите: Мы не можем сегодня оценивать риски информационной безопасности в принципе. Поэтому ... раз мы не можем оценивать риски, то стоит от них отказаться, чтобы не вводить в заблуждение заказчиков. Здесь я с вами полностью согласен. Если вы не можете оценивать риски, то вам лучше не вводить никого в заблуждение, пока вы не научитесь их оценивать. К сожалению отказаться от рисков не получиться, т.к. они объективно существуют независимо от нашего восприятия. Поэтому оценке рисков все же придется обучаться, по крайней мере тем, кто занимается практикой управлению ИБ.

                                Насчет триады ИБ. Непонятно чьи заблуждения вы рассеиваете. Уже дано во всех учебниках и стандартах цели и задачи ИБ трактуются значительно шире.

                                Комментарий


                                • #17
                                  Не согласен с мнением автора по поводу "третьей коровы". Все таки К, Ц, Д - это базовые свойства информации (на которые направлены угрозы ИБ), а не системы (Интернет-БАНК), процесса (скачивание ПО и др.). Скорее мысль автора заключается в следующем - используя принципы К, Ц, Д сложно "продавать" (~подавать) ИБ как руководству, так и заказчикам.

                                  Комментарий


                                  • #18
                                    ISO 27001 завершается сертификацией компании-заказчика (без сертификации внедрение данного стандарта является в общем-то бессмысленным)
                                    Смотря какая цель приследуеться.
                                    Например, банкам по большому счету неважен сертификат, но некоторые банки приводят систему безопаности в соответсвии с
                                    ISO 27001, потому что этот стандарт отлично проецируеться на стандарт Банка России. Бессмысленным внедрение ISO 27001, без сертификации - назвать трудно.


                                    Поэтому неслучайно некоторые специалисты на Западе стали говорить о том, что раз мы не можем оценивать риски, то стоит от них отказаться, чтобы не вводить в заблуждение заказчиков.
                                    Алексей, если мы хотим от чего-либо отказаться, то необходимо предоставить достойную альтернативу.
                                    На самом деле управление рисками - не так ужасно как вам кажеться...




                                    Начнем с вероятности осуществления угрозы? Как ее определить? Существует три основных метода:
                                    · воспользоваться услугами предсказателей;
                                    · сделать вывод на основе собранных своими руками данных;
                                    · воспользоваться собранной кем-то статистикой
                                    Существует еще математическое моделирование.

                                    Первый метод достаточно интересен, но я не видел предложения таких услуг со стороны экстрасенсов.
                                    Подобные услуги присутствуют у интеграторов и консалтинговых конторах.


                                    PaulX писал:
                                    взяли хотя бы один из них, например, ISM3, и сопоставили его с ISO 27001, произвели бы анализ, показали бы сильные и слабые стороны обоих стандартов или бы рассмотрели пример практического внедрения ISM3
                                    Алексей, я ЗА, такую статью!

                                    Комментарий


                                    • #19
                                      Допустим сотрудник какой-либо компании пошел в Интернет и скачал к себе на компьютер нелицензионное ПО. Угроза эта для компании? Да. Может она нанести ущерб? Да. Должны ли мы предотвращать такие действия? Да. Подпадает ли она под какой-либо элемент классической триады? Нет.
                                      Для начала надо понять что подразумеваеться под нелицензионным ПО.
                                      Скорее всего это взломанный программный продукт, с прилагающимся хаком или серийным номером.
                                      Берем худший вариант - ПО с хаком.
                                      Берем худший расклад который может произойти из-за запуска вредноносного ПО на рабочей станции.
                                      Это может быть вирусная эпидемия червя(Доступность), может быть троян(Конфиденциальность), может быть форматирование жесткого диска или удаление файлов(Целостность).



                                      Другой пример. Компания предоставляет услуги через Интернет (например, Интернет-магазин или Интернет-банк). Должны ли мы аутентифицировать пользователя, подключающегося к Интернет-площадке? Обязательно. Задача ли это специалистов по ИБ? Да. Подпадает ли эта задача под классическую триаду? Опять нет.
                                      Изначально имеем незащищенную систему в которой любой пользователь интернета может найти информацию про любого человека обслуживающегося в банке АБС(рассмотрим вариант с банкингом)
                                      Актив в данной ситуации Персональные Данные клиента и Банковская тайна(в случае банкинга) или проводки клиента(инет-магазин)
                                      Оцениваем данные по Ц,К,Д.
                                      Конфиденциальность - Однозначно высокий уровень риска, объяснений не требуеться. Последствия нарушения конфиденциальности понятны.
                                      Доступность и Целостность - не будем рассматривать, за ненадобностью.
                                      Аутентификация пользователя - контрмера.


                                      Оператор связи ведет биллинговую систему, которая содержит в себе большое количество важной информации, и среди нее тарифы связи для конкретных групп пользователей. Если недобросовестный сотрудник оператора изменит тарифы для своего друга или внесет его в группу привилегированных пользователей, то налицо нарушение информационной безопасности. Относится ли оно к триаде? Ответ будет неоднозначный. Нарушения доступности точно нет, как и нарушения конфиденциальности. С целостностью ситуация спорная, но учитывая традиционное понимание термина «целостность», триада и тут находится в стороне.
                                      В чистом виде нарушение целостности.



                                      Триада безопасности
                                      Однако это устравшее восприятие, которое зачастую мешает активному продвижению новых технологий и подходов в области безопасности.
                                      "Триада" - звучит угрожающе как китайская мафия
                                      На самом деле Ц,К,Д -это основные характеристики активов, все остальное - расширение.
                                      Никто не запрещает использовать расширенные характеристики, В некоторых методиках заложены дополнительные характеристики, но триада присутсвует везде.
                                      Поэтому
                                      триада расширена быть не может
                                      я честно говоря не наблюдал подобного мифа.
                                      Последний раз редактировалось barmalei; 11.04.2008, 13:26.

                                      Комментарий


                                      • #20
                                        XistСогласно ему критериев у информации целых семь. Вот уж есть где разгуляться. По сути критерии те же + Compliance, Reliability, Effectiveness, Efficiency.

                                        Только не у информации, а у информационной системы или технологии.

                                        Комментарий


                                        • #21
                                          Xist А как вы относитесь к CobIT?

                                          Отлично. Как и к ITIL (но не третьей версии).

                                          А для безопасников там придется выбирать Как минимум DS5 точно им "принадлежит", остальное не помню.

                                          Не только. Из голой безопасности там также подходят DS 1.5, 2.4, 9.1-9.3, 10.2, 11.6 и т.д.

                                          Комментарий


                                          • #22
                                            barmalei взяли хотя бы один из них, например, ISM3, и сопоставили его с ISO 27001, произвели бы анализ, показали бы сильные и слабые стороны обоих стандартов.

                                            Алексей, я ЗА, такую статью!


                                            Я на Cisco Security Summit делал презентацию на эту тему. Она лежит в свободном доступе (ссылка есть в топике соответствующем). Писать статьи у меня получается медленнее, чем презентации. На них уходит часа два, а на статью часа четыре ;-(

                                            Комментарий


                                            • #23
                                              barmalei Берем худший расклад который может произойти из-за запуска вредноносного ПО на рабочей станции. Т.е. факт скачки такого софта нам неинтересен и мы им не занимаемся? Тогда не имеет смысла контролировать, ходят сотрудники по порносайтам или нет ;-) Т.к. сам факт хождения на КДЦ не влияет.

                                              Комментарий


                                              • #24
                                                barmalei На самом деле Ц,К,Д -это основные характеристики активов, все остальное - расширение.

                                                Каких активов? Если речь идет об информации, то у информации нет свойства "доступность". Это свойство информационной системы, которая обрабатывает, передает или хранит информацию.

                                                Если речь идет о каких либо иных активах (та же ИС), то им например, не присуща конфиденциальность. А некоторые свойства (тот же контроль использования) гораздо более важен.

                                                Комментарий


                                                • #25
                                                  Или вот еще ситуация - расследование инцидента. К триаде в принципе не привязать.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    barmalei Берем худший расклад который может произойти из-за запуска вредноносного ПО на рабочей станции. Т.е. факт скачки такого софта нам неинтересен и мы им не занимаемся? Тогда не имеет смысла контролировать, ходят сотрудники по порносайтам или нет ;-) Т.к. сам факт хождения на КДЦ не влияет.
                                                    Аналогично и сайты одноклассников, знакомств и чатов))), контроль (ограничение) этих ресурсов происходит только по "желанию" руководства, с целью ограничить нецелевое использование рабочего времени сотрудниками))
                                                    Мы продолжаем делать то, что мы уже много наделали

                                                    Комментарий


                                                    • #27
                                                      И все-таки хочется услышать мнение Алексея по поводу достойной альтернативы, достойной замене оценки рисков. Если, как было сказано, Вы предлагаете от нее отказаться, то что можете предложить взамен?

                                                      Комментарий


                                                      • #28
                                                        Т.е. факт скачки такого софта нам неинтересен и мы им не занимаемся? Тогда не имеет смысла контролировать, ходят сотрудники по порносайтам или нет ;-) Т.к. сам факт хождения на КДЦ не влияет.
                                                        2Алексей Лукацкий почему не интересно? мы просто перепрыгиваем с темы на тему. Мы изначально говорили про нашу триаду и как она проецируеться на инциденты которые вы привели. Я прокомментировал этот момент. Процес управления рисками заключаеться в оптимальном выборе контрмер. Фильтрация сайтов - это контрмера.

                                                        Каких активов? Если речь идет об информации, то у информации нет свойства "доступность". Это свойство информационной системы, которая обрабатывает, передает или хранит информацию.

                                                        Если речь идет о каких либо иных активах (та же ИС), то им например, не присуща конфиденциальность. А некоторые свойства (тот же контроль использования) гораздо более важен.
                                                        Я смотрю на это, немного под другим углом.
                                                        Но суть от этого не меняеться. Ц,К,Д -это основные характеристики, все остальное - расширение

                                                        Или вот еще ситуация - расследование инцидента.
                                                        Что конкретно Алексей хотите привезать?


                                                        Очень интересны статьи на тему о сравнении стандартов, например, ISM3 и ISO 27001 и т.д. И на тему альтернатив управлению рисками

                                                        Комментарий


                                                        • #29
                                                          Сообщение от barmalei Посмотреть сообщение
                                                          Очень интересны статьи на тему о сравнении стандартов, например, ISM3 и ISO 27001 и т.д.
                                                          Вот здесь можно почитать, например, сравнение банковского стандарта и ISO 27001:
                                                          http://www.iso27000.ru/chitalnyi-zai...chast-pervaya/

                                                          Комментарий


                                                          • #30
                                                            George-on-Don контроль (ограничение) этих ресурсов происходит только по "желанию" руководства

                                                            Как уже было написано в одном из топиков, это часто делается службами ИБ по собственной инициативе

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X