18 октября, четверг 11:51
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Мобильный телефон - как инструмент инсайдера

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Мобильный телефон - как инструмент инсайдера

    Уважаемые коллеги.

    Прошу прощения за корявое название.

    Может уже тема такая была не искал, честно. Точнее может решение уже найдено и кто нибудь меня наведет на него.

    Рассматриваем такие каналы утечки как мобильные телефоны. В связи с уменьшением размеров самих телефонов и с увеличением объема памяти они становятся прекрасным инструментом для снятия защищаемой информации. Точнее давно стали. Рассматриваем их как устройства для съема аудио и визуальной информации.

    Имеют одно свойство - без них уже не обойтись. Запрет на использование не возможен ввиду этого свойства. По сравнению с таким инструментом инсайдера как мозг человека в котором можно сохранить ограниченную объемом какую нибудь ключевую информацию являются идеальным средством для шпиона.

    Какие передовые практики удобные в использовании в современном бизнесе существуют? (Практики спецслужб не всегда применимы)

    С уважением.

  • #2
    Сообщение от Void Z7 Посмотреть сообщение
    Имеют одно свойство - без них уже не обойтись.
    В Лукойле вроде обходятся.)
    Сдают на проходной.

    Комментарий


    • #3
      Не каждая организация готова к таким жертвам.

      Как воспринимают сотрудники такие меры?

      Комментарий


      • #4
        Void Z7
        Как воспринимают сотрудники такие меры?
        Понятное дело, что желающие "позвиздеть" всегда найдутся, но если человек дорожит местом - найдёт возможность приспособиться и к такому режиму, тем более если работодатель в некоторых вопросах пойдёт ему "навстречу"(см.ниже)...
        Лично я вижу только один вариант:
        - запрет на использование сотового телефона в рабочих помещениях (хочешь поговорить - на улицу или в курилку, комнату отдыха и т.п., плиз), но при этом у сотрудника д.б. возможность разумного использования стационарного телефона (т.е. совершения по необходимости звонков на мобильные, по "межгороду" и "международке", не "драконовские" ограничения по количеству времени на личные переговоры) + камеры наблюдения в помещениях + психологическое воздействие со стороны работодателя (предупреждение при приёме на работу, "рейды" сотрудников СБ по рабочим помещениям, "проф.беседы" с нарушителями)
        Кстати, что касаемо практик бизнеса и спецслужб - чёткую границу-то провести сложно.Например, проведение каких-либо мероприятий в специально оборудованных переговорных (бизнес-практика) - прямое наследие проведения "закрытых" совещаний в любой Системе...
        Всё в наших руках...(с)

        Комментарий


        • #5
          Void Z7 Какие передовые практики удобные в использовании в современном бизнесе существуют?

          Выдать сотрудникам смартфоны конкретной модели и управлять ими централизованно путем установки на них специального ПО.

          Комментарий


          • #6
            А нельзя запретить мобильным "контактировать" с информационной системой? То есть грубо говоря разговаривать можно, а "флешкой" пользоваться нельзя. По-моему хоть частично, но снимает проблему. Можно при необходимости и вопрос использования фотокамер документально обыграть...

            Комментарий


            • #7
              Сообщение от Алексей Лукацкий Посмотреть сообщение
              Void Z7 Какие передовые практики удобные в использовании в современном бизнесе существуют?

              Выдать сотрудникам смартфоны конкретной модели и управлять ими централизованно путем установки на них специального ПО.
              Уже есть решения?

              to Majestic вот как раз и интересно есть ли решения для управления смартфонами и конкретные модели смартфонов?

              Комментарий


              • #8
                Алексей Лукацкий
                Выдать сотрудникам смартфоны конкретной модели и управлять ими централизованно путем установки на них специального ПО.
                Достойный вариант решения, НО, пока, кмк, из-за цены вопроса - не для российского бизнеса, да и вопрос с запретом на использование сотрудниками собственных аппаратов всё равно остаётся открытым...
                Всё в наших руках...(с)

                Комментарий


                • #9
                  Void Z7 Уже есть решения?

                  Information Security Corporation, Credant, Ensure, ArticSoft, Mobile Armor, Asynchrony, Bluefire, Altiris (теперь Symantec)...

                  Пух575 да и вопрос с запретом на использование сотрудниками собственных аппаратов всё равно остаётся открытым

                  Если вам будут выдавать хороший аппарат и не запретят говорить по нему по личным вопросам, то смысл второго аппарата как бы и теряется. Точнее вероятность рисков снижается.

                  Комментарий


                  • #10
                    Если вам будут выдавать хороший аппарат и не запретят говорить по нему по личным вопросам, то смысл второго аппарата как бы и теряется. Точнее вероятность рисков снижается.

                    Таким образом останется одна проблема защита критической информации которую можно передать с помощью речи. Но доступа к такой информации в коммерческой структуре, как я считаю, не должно быть даже у отдела безопасности. Это уровень шпионских игр.

                    Комментарий


                    • #11
                      Сообщение от Void Z7 Посмотреть сообщение
                      Как воспринимают сотрудники такие меры?
                      Сотрудники включают переадресацию на казенные DECTы и особо не страдают.

                      Комментарий


                      • #12
                        Алексей Лукацкий
                        Если вам будут выдавать хороший аппарат и не запретят говорить по нему по личным вопросам, то смысл второго аппарата как бы и теряется. Точнее вероятность рисков снижается.

                        Вопрос, достаточно ли она снижается, т.к. всегда найдутся те, кто хочет более крутой и т.п.
                        Тогда нужно разрешать только корпоративные аппараты.
                        Алексей, у вас в организации скорее всего нет запрета на некорпоративные трубки?

                        Если рассматривать только защиту от флешек, фотоаппаратов и модемов: как вариант, можно разрешить устаревшие модели, лишенные всех этих прелестей.

                        Комментарий


                        • #13
                          griboff Алексей, у вас в организации скорее всего нет запрета на некорпоративные трубки?

                          У нас выдают достаточно продвинутые аппараты ;-)

                          Комментарий


                          • #14
                            Алексей Лукацкий
                            У нас выдают достаточно продвинутые аппараты ;-)

                            Алексей, я знаю нескольких ваших коллег, которые предпочитают не пользоваться корпоративными аппаратами Nokia E61i (не знаю точно, по какой причине).
                            Просто было интересно, они что-нибудь нарушают или нет. Получается что нет.

                            Комментарий


                            • #15
                              Секундочку. В корпоративный коммун зашит запрет фотосъемки документов и аудиозаписи совещаний, или он не все актуальные риски снимает, а толику?

                              Комментарий


                              • #16
                                griboff они что-нибудь нарушают или нет. Получается что нет

                                У нас не только Nokia разрешена, но и Samsung, а также iPhone ;-)

                                Ригель он не все актуальные риски снимает, а толику

                                Вопрос только в том, какие риски мы принимаем при работе с мобильными устройствами ;-)

                                Комментарий


                                • #17
                                  Алексей ЛукацкийВопрос только в том, какие риски мы принимаем при работе с мобильными устройствами ;-)

                                  Тогда вопрос, какие риски вы принимаете, а какие нет?

                                  Void Z7 Рассматриваем такие каналы утечки как мобильные телефоны. В связи с уменьшением размеров самих телефонов и с увеличением объема памяти они становятся прекрасным инструментом для снятия защищаемой информации. Точнее давно стали. Рассматриваем их как устройства для съема аудио и визуальной информации.

                                  Алексей, мне кажется у вас эти риски обрабатываются принципиально другими методами (осведомленность, повышение лояльности и т.п. - вы об этом неоднократно говорили). Поэтому использования корпоративных мобильников по вашему варианту, это не метод для коллеги Void Z7.
                                  Раздачу хороших мобильников можно рассматривать как малую часть мер по повышению лояльности работников (если есть и другие меры).

                                  Комментарий


                                  • #18
                                    griboff

                                    Боюсь если затронуть тему повышения лояльности, я честно говоря, в условиях Российской действительности не вижу особой возможности снижения рисков с этой стороны.

                                    Этот вопрос затрагивает человеческую сущность, а здесь теория вероятности плывет всмысле практического применения. Даже если человек "хороший" к нему почти всегда можно найти подходы (криминал - основной) все зависит от ценности информации.

                                    Поэтому в качестве методов снижения рисков необходимо искать полностью подконтрольные и независящие от ненадежных компонентов (к которым я отношу и людей).

                                    С уважением.

                                    Комментарий


                                    • #19
                                      думаю, что для начала все-таки стоит провести классификацию каналов утечки информации, которые образуют в настоящее время мобильные (именно мобильные, выходя за рамки одного стандарта беспроводной связи) аппараты, в силу примененных в их составе технических средств (технологий, решений).
                                      Когда эти каналы будут расписаны, то, думаю, будет проще оценить какие из этих каналов могут быть критичны (по способу воздействия на информационный актив) и которые нужно обязательно перекрывать и которые могут быть критичны только при определенных условиях и не критичны в остальное время.

                                      Хотя в целом [мое личное мнение], в настоящее время мобильные аппараты - бич информационной безопасности, тк постоянно растущая функциональность и миниатюризация делает любой аппарат практически основным и наиболее эффективным техническим средством инсайдера. Моя б воля, вообще бы наложил запрет на их использование в рабочее время под страхом смертной казни
                                      Да пребудет с тобой Сила!

                                      Комментарий


                                      • #20
                                        griboff какие риски вы принимаете

                                        Это вопрос скорее к нашему ERM-управлению

                                        Поэтому использования корпоративных мобильников по вашему варианту, это не метод для коллеги Void Z7.

                                        Он Best Practices просил ;-)

                                        Даже если человек "хороший" к нему почти всегда можно найти подходы

                                        И Россия в этом ничем от всего остального мира не отличается ;-)

                                        Поэтому в качестве методов снижения рисков необходимо искать полностью подконтрольные и независящие от ненадежных компонентов (к которым я отношу и людей)

                                        Тупиковое направление ;-(

                                        Turkish для начала все-таки стоит провести классификацию каналов утечки информации, которые образуют в настоящее время мобильные (именно мобильные, выходя за рамки одного стандарта беспроводной связи) аппараты

                                        Заумно слишком. Там всего 5 каналов - чего их классифицировать? И все они имеют одинаковый приоритет и все они неотъемлемая часть аппарата.

                                        Моя б воля, вообще бы наложил запрет на их использование в рабочее время под страхом смертной казни

                                        Классика ;-) Пусть бизнес встанет, но зато безопасность будет на высоте ;-)

                                        Комментарий


                                        • #21
                                          Тупиковое направление ;-(

                                          Алексей

                                          Можно раскрыть тему? Я это все еще на интуитиве прохожу, а у вас есть большой опыт.

                                          Вы считаете, что такие риски как "человеческий фактор" необходимо принимать, т.е. сотрудники компании должны быть неотъемлемой частью процесса обеспечения информационной безопасности?

                                          Вы же согласились что человек как часть процесса ненадежный элемент и сделать его надежным даже в мировой практике не получается. Повышение осведомленности, лояльности снижает в сущности своей инициативу самого сотрудника сливать информацию во вне. Но если инициатива исходит извне то эти методы не помогут в силу вышесказанного в предыдущем моем сообщении.

                                          Не выглядит ли ваше направление сделать всех сотрудников с крылышками которые под страхом смерти даже не сдадут свою компанию - утопией? (К которой без сомнения стоит стремится, но вот вопрос достижения такой цели спорный)

                                          Turkish выводить надо человеческий фактор из рисков, ИБ должна быть незаметна и эффективна - как добиться не знаю =))

                                          Даже себя безопасники должны относить к угрозе и соответственно защищать должны и от себя.

                                          С уважением.

                                          Комментарий


                                          • #22
                                            Насчет 5 каналов:
                                            1. Наличие флешпамяти - копирование документов
                                            2. Наличие диктофона - офлайн передача акустической речевой информации (совещаний, переговоров)
                                            3. Фотокамера - скриншоты документов (бумажных и экранок с монитора)
                                            4. Фотокамера (видеокамера) - размещение технических средств защиты информации, средств обработки информации в организации
                                            5. Функционал смартфона - возможность подключения к информационным ресурсам (файл-серверам) организации
                                            6. Непосредственно телефон - онлайн передача акустической информации ограниченного распространения.

                                            Так что навскидку у меня получилось уже шесть. Если еще вспомнить о том, что далеко не каждый владелец мобильного аппарата является единственным и неповторимым его пользователем (при небольшой модернизации аппарата или его ПО владелец сам может стать субъектом НСД, сам того не подозревая), этот список еще расширяется...

                                            по второму утверждению - не думаю, что бизнес встанет, когда наличие мобильных аппаратов будет у ограниченного количества людей (со всеми вытекающими последствиями - персональная ответственность, корпоративные трубы с корпоративными же предустановками). Иными словами - зачем какой то девочке-клерку мобильная трубка на рабочем месте, если в ее обязанности не входит постоянное перемещение, ведение/сопровождение клиентов, оказание информационных услуг в онлайн режиме и тому подобное?
                                            Да пребудет с тобой Сила!

                                            Комментарий


                                            • #23
                                              Алексей Лукацкий Это вопрос скорее к нашему ERM-управлению

                                              Сможете спросить? ;-) Интересно какие именно риски...

                                              Алексей Лукацкий У нас не только Nokia разрешена, но и Samsung, а также iPhone ;-)

                                              Правда работники пользуются HTC. Зачем что-то разрешать, если остальное не запрещено?

                                              Алексей Лукацкий Он Best Practices просил ;-)

                                              Согласен. Только ваша best practice не для этого случая (пока вы не доказали обратного списком рисков, от которых защищаетесь и которые принимаете).
                                              Хотя, если вы прочитали заголовок "Мобильный телефон - как инструмент инсайдера" и последнее предложение "Какие передовые практики удобные в использовании в современном бизнесе существуют?" начального поста, то, действительно, не может быть практики лучше, чем раздавать собственным работникам обновляемые и поддерживаемые инструменты инсайдера

                                              Алексей Лукацкий Классика ;-) Пусть бизнес встанет, но зато безопасность будет на высоте ;-)

                                              Почему ж сразу "встанет"? Мобильник в ячейке на входе с включенной переадресацией на рабочий, к рабочему выдается dect, работающий во всех помещениях офиса...

                                              Комментарий


                                              • #24
                                                если выводить человеческий фактор - то способ один - блокиратор мобильной связи.
                                                НО:
                                                1. это не решает вопросы с офлайн выносом полезной информации
                                                2. в таком э/м поле (от блокиратора) работать будет просто опасно для здоровья
                                                Да пребудет с тобой Сила!

                                                Комментарий


                                                • #25
                                                  если выводить человеческий фактор - то способ один - блокиратор мобильной связи

                                                  Нет. См. свой же список каналов утечки: из 6 только один (не самый лучший для инсайдера: если случайно поймают с установленным телефонным соединением на совещании, замаешься оправдываться) зависит от наличия gsm-сигнала
                                                  /kiv

                                                  Комментарий


                                                  • #26
                                                    Илюха, а Вы пробовали ловить установленное телефонное соединение gsm связи (да еще и с однозначной локализацией объекта)?
                                                    и второй момент - кто будет заниматься радиомониторингом в период проведения совещания и чем он это будет делать?
                                                    тк с точки зрения технической защиты информации - для аттестованного по требованиям ФСТЭК помещения такая процедура не предусматривается, даже для гостайны
                                                    Да пребудет с тобой Сила!

                                                    Комментарий


                                                    • #27
                                                      Илюха, а Вы пробовали ловить установленное телефонное соединение
                                                      Ключевое слово - "случайно". Например, телефон скажет что-нибудь человеческим голосом в гробовой тишине. Динамик-то не выпаян
                                                      /kiv

                                                      Комментарий


                                                      • #28
                                                        griboff Сможете спросить? ;-)

                                                        Боюсь, что это не публичная информация уже.

                                                        Зачем что-то разрешать, если остальное не запрещено?

                                                        Разрешено, значит официально саппортится нашим ИТ.

                                                        Мобильник в ячейке на входе с включенной переадресацией на рабочий, к рабочему выдается dect, работающий во всех помещениях офиса...

                                                        А вы уверены, что ЭТО решение будет дешевле моего?

                                                        Комментарий


                                                        • #29
                                                          Void Z7 Вы считаете, что такие риски как "человеческий фактор" необходимо принимать, т.е. сотрудники компании должны быть неотъемлемой частью процесса обеспечения информационной безопасности?

                                                          Не принимать, а управлять путем их снижения.

                                                          Но если инициатива исходит извне то эти методы не помогут в силу вышесказанного в предыдущем моем сообщении

                                                          Извне? Вы много можете случаев назвать, когда мобильный телефон корпоративного сотрудника атаковался извне и с него крали информацию?

                                                          выводить надо человеческий фактор из рисков, ИБ должна быть незаметна и эффективна

                                                          ИБ должна пронизывать компанию так, чтобы служба ИБ не была ее бутылочным горлышком. ИБ не должна замыкаться только на одноименную службу.

                                                          Turkish при небольшой модернизации аппарата или его ПО владелец сам может стать субъектом НСД, сам того не подозревая

                                                          Много примеров знаете из реальной жизни?

                                                          не думаю, что бизнес встанет, когда наличие мобильных аппаратов будет у ограниченного количества людей

                                                          А кто определяет этот ограниченный круг людей? И почему вы считаете, что у этих людей проблем не будет? Наоборот. По статистике именно руководящие работники чаще всего является источниками основных утечек.

                                                          зачем какой то девочке-клерку мобильная трубка на рабочем месте

                                                          А как вы запретите с точки зрения закона? Сие нереализуемо, имхо. Но это уже другая тема ;-) Я же говорю о другом - не стоит забывать про психологический климат в коллективе. запреты всего и вся на продуктивности сотрудников позитивно никогда не сказывался и не скажется.

                                                          Комментарий


                                                          • #30
                                                            Turkish а Вы пробовали ловить установленное телефонное соединение gsm связи (да еще и с однозначной локализацией объекта)?

                                                            А вы в банке работаете? Или на стороне лицензиата ФСТЭК ;-) Судя по вашим сообщениям для вас на первом месте находится безопасность, а все остальное вторично ;-)

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X