18 июня, вторник 19:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Обучение и повышение осведомленности сотрудников в области ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #31
    Сообщение от melifaroh Посмотреть сообщение
    Сотрудник должен чувствовать определенный контроль над собой, если это производство конечно, а не художественная мастерская.
    О чем, собственно и речь. Но, если это серьезное "производство", то, по определению, плох тот безопасник, что оставил возможность (техническую) юзеру воткнуть в USB свою флешку или иное устройство. Есть решения, стоимость которых копеечная, но от такой юзерской самодеятельности нас избавляющая. Начинаются они, прежде всего, с оргмер. А именно:
    1. локальным нормативным актом определяется, что в подразделении только начальник подраздления или лицо его замещающее имеет право работать со сторонними устройствами. То есть делается только одна (контролируемая) легальная точка входа.
    2. порты юзерских рабочих станций опечатываются (или выдираются с мясом) разовыми номерными наклейками.
    3. для страховки применяем некий "порт-логгер", программу, которая фиксирует любую активность на портах и стучит об ней куда следует.
    4. Ну и ограничиваем (если сочтем нужным) возможность подключения сторонних девайсов на юзерских портах и на портах начальника.

    И "обучение" - это тривиальное информирование юзерей о такой policy. Чтобы понимали эти правила правильно и не стремились их обойти. А чтобы не обходили - в должностной инструкции должно быть написано, что юзер обязан соблюдать правила информационной безопасности (как действующие, так и имеющие появиться в будущем) - раз. Два - что неисполнение этих правил есть в нашей организации грубое нарушение требований трудовой дисциплины (это обязательная фраза). А дальше - юзеру даем ознакомиться с соответствующей статьей Трудового Кодекса РФ, которая дает право работодателю за такое нарушение [трудовой дисциплины], если оно привело или _могло_ привести к тяжким последствиям, увольнять юзера на все четыре стороны с соответствующей записью в трудовой книжке.
    В результате имеем, что если юзер сорвал наклейку и наш логгер зафиксировал активность на порту, то от этого юзера можно избавляться образцово-показательно без каких либо нарушений трудового законодотельства. И волчий билет ему на ход ноги...

    Комментарий


    • #32
      имхо в вашей картине превалирует длительный опыт работы в некоммерческой структуре. я мало себе представляю скажем отдел развития бизнеса или рекламный отдел с подобными драконовскими методами. одна точка входа у начальника или у ответственного лица - это уже будет параноидальным решением для подобного подразделения. нельзя одинаковые требования применять для всех.

      а волчьи билеты) позвольте не согласиться с вами. наклейки это ведь не мера защиты, а мера контроля опять же, и грубо говоря сорвав наклейку пользователь не обошел защиту, а лишь получил доступ к порту, который, в случае высоких рисков был бы заблокирован совсем, а не просто заклеен? значит большой угрозы это "проникновение" пользователя не несет - соответственно и ответственность должна быть адекватной, а не увольнение.

      Комментарий


      • #33
        Сообщение от melifaroh Посмотреть сообщение
        имхо в вашей картине превалирует длительный опыт работы в некоммерческой структуре. я мало себе представляю скажем отдел развития бизнеса или рекламный отдел с подобными драконовскими методами. одна точка входа у начальника или у ответственного лица - это уже будет параноидальным решением для подобного подразделения. нельзя одинаковые требования применять для всех.
        Безусловно Вы правы и я не очень хорошо представляю себе специфику работы упомянутых Вами отделов. Но, я так же не представляю себе и необходимость работы с _произвольными_ флешками в этих же отделах. Этим отделам, по моему, нужен больше скоротной безпроблемный Интернет, чем флешка. Зачем она? Разве туда приходят посетители со своими носителями? Что они приносят? Что им отдается? Почему этот обмен невозможно осуществить через Инет (сохранив в темном чулане протоколы и содержимое обмена)?
        Но, безусловно, единых требований быть не может для всех. Однако есть определенные правила "хорошего тона". Одно из них говорит, что количество точек информационного обмена с внешним миром должно быть [разумно] минимизировано. Иначе оно расползется как тараканы.

        Сообщение от melifaroh Посмотреть сообщение
        а волчьи билеты) позвольте не согласиться с вами. наклейки это ведь не мера защиты, а мера контроля опять же, и грубо говоря сорвав наклейку пользователь не обошел защиту, а лишь получил доступ к порту, который, в случае высоких рисков был бы заблокирован совсем, а не просто заклеен? значит большой угрозы это "проникновение" пользователя не несет - соответственно и ответственность должна быть адекватной, а не увольнение.
        Порт может быть незаблокирован по ряду причин. Одна из причин - это обеспечение устойчивого функционирования информационного комплекса. Что если компьютер с заблокированным портом выходит из строя? Причем вечером, когда нет администратора, который имеет полномочия этот порт разблокировать, но есть только дежурный специалист от информатизации? Если на порту только наклейка, то он её срывает, грузится с LiveCD, диагностирует компьютер (если тот еще не совсем сдох) и, возможно, восстанавливает его работоспособность. А если порт заблокирован? Остановка техпроцесса? Остановка бизнеса? Или организовывать круглосуточное дежурство не только информатизаторов, но и безопасников, рулящими этими портами? И каков нужен под это дело штат?

        Безопасность - это ведь не только обеспечение "конфиденциальности". Это прежде всего обеспечение несминаемой работоспособности твоего комплекса. То есть обеспечение "доступности" его функционала.

        Безусловно, надо считать, сколько мы _сможем_ потерять, если такая ситуация произойдет и соотнести эти потенциальные затраты с затратами реальными, на кормление, на денежное удовольствие, людей, выходящих в три смены на предмет абы чего не случилось... А оно может и не случиться :-)

        А сама наклейка - да, мера контроля, не более. Но лишить контролируемый АРМ этой меры контроля, то есть поразить состояние ИБ, это и есть нарушение трудовой дисциплины. А уж подверстать под это дело _возможные_ тяжкие последствия - не надо для этого быть гением.

        Комментарий


        • #34
          Сообщение от Евстафьев Алексей Посмотреть сообщение
          Что если компьютер с заблокированным портом выходит из строя? Причем вечером, когда нет администратора, который имеет полномочия этот порт разблокировать, но есть только дежурный специалист от информатизации? Если на порту только наклейка, то он её срывает, грузится с LiveCD, диагностирует компьютер (если тот еще не совсем сдох) и, возможно, восстанавливает его работоспособность. А если порт заблокирован? Остановка техпроцесса? Остановка бизнеса? Или организовывать круглосуточное дежурство не только информатизаторов, но и безопасников, рулящими этими портами? И каков нужен под это дело штат?
          мы немного отдалились от темы) конечно, дежурство безопасников это абсурд.
          в любом случае, если уж разбирать подобную ситуацию, то тут вариантов масса: заливка образа системы через сеть, резервный ПЭВМ на случай выхода основного и очень важного. есть ведь филиалы, операционные офисы, РКЦ вообще без программистов в штате и уж тем более без безопасников. и для осуществления непрерывности бизнеса надо изначально строить простую и красивую систему, например терминальные режимы работы, а не такие варианты где есть наклейки и различные условности.

          Да даже если все так, как в вашем примере - рулить портами все-равно должны как раз информатизаторы, а не безы. Я лично склоняюсь к такому мнению что сотрудники подразделений информационной безопасности не должны вообще участвовать непосредственно в процессе установки, настройки и сопровождения, даже систем защиты от вредоносного кода, сзи от нсд и подобных. наша роль - это выработка политики иб, регламенты, мониторинг и аудит.

          Комментарий


          • #35
            Сообщение от melifaroh Посмотреть сообщение
            Я лично склоняюсь к такому мнению что сотрудники подразделений информационной безопасности не должны вообще участвовать непосредственно в процессе установки, настройки и сопровождения, даже систем защиты от вредоносного кода, сзи от нсд и подобных. наша роль - это выработка политики иб, регламенты, мониторинг и аудит.
            Отдаляться, так отдаляться. Любой безик должен отдавать себе отчет, что его родная рубашка гораздо ближе к его телу, чем все остальные. Для меня это аксиома. Следствие же из этой аксиомы такое, что безик так должен построить рабочую систему, так в неё встроиться, чтобы были выполнены два основополагающих принципа:
            1. Безик не должен сильно себя утруждать, он не мальчик на побегушках;
            2. Убрать безика из системы должно быть невозможно без серьезных последствий для этой системы.
            Отсюда вывод - если ты будешь заниматься только "идеологией", разрабатывать документы, то ты имеешь шанс стать ненужным. Ну сколько раз в году нужно разрабатывать "политику парольной защиты". Наверное, она, как и большинство остальных регламентов делается раз и надолго. А вот встроить себя в эту политику, причем не контролером, без которого система не рухнет - вот истинная задача настоящего безопасника.

            Я как то давно видел то ли фильм, то ли байку слышал про то, как один перец на деревне очень долго хорошо и неплохо кормился. Деревня любила вечерами музыку слушать, граммофон имела, а только у этого перца была ручка заводная от этого граммофона и он умел её крутить. А отдай он эту ручку с "инструкцией по применению"? Выжил бы?

            Комментарий


            • #36
              Сообщение от Евстафьев Алексей Посмотреть сообщение
              А вот встроить себя в эту политику, причем не контроллером, без которого система не рухнет - вот истинная задача настоящего безопасника.
              да, очень скользкая тема. как не стать паразитом. но не будем рубить сук на котором сидим.

              Комментарий


              • #37
                Сообщение от melifaroh Посмотреть сообщение
                да, очень скользкая тема. как не стать паразитом. но не будем рубить сук на котором сидим.
                Вот как раз для этого (и не только) введено понятие "разделение полномочий", принцип 4х глаз. И это даже в СТО ИББС прописано, что ни одна критическая транзакция (в общем смысле, не commit в СУБД), в том числе и по управлению системой, не должна быть завершена без её независимой проверки.
                Таким образом, если этот принцип умный безопасник реализует в своей системе, то он и оттянет на себя ряд полномочий, без которых в системе ну никак. Естественно, проверять каждую платежку (как это предусматривала приснопамятная телеграмма Банка России №9210К, безопасники БР её помнят прекрасно) не барское дело, но есть ряд вещей в части поддержки комплекса, в которые безопасники просто обязаны влезть с ногами. Чтобы у информатизаторов не скопились излишние полномочия, которыми они смогут злоумышленно воспользоваться. Они, например, могут управлять комплексом, но допустить их до управления - дело безопасников.

                Комментарий


                • #38
                  Сообщение от Евстафьев Алексей Посмотреть сообщение
                  Безусловно Вы правы и я не очень хорошо представляю себе специфику работы упомянутых Вами отделов. Но, я так же не представляю себе и необходимость работы с _произвольными_ флешками в этих же отделах.
                  Как организовано кредитование юр. лиц представляете? Когда потенциальный заемщик обращается за кредитом, он предоставляет самую разную информацию ло себе: выгрузки данных годовой финансовой отчетности, информацию об объектах, которые станут предметом залога, бизнес-планы и т.п. Все это передается менеджеру, который ведет его кредитное дело. На основании собранной информации готовится предложение, которое выносится на кредитный комитет. У нас в банке это предложение оформлялось в виде презентации, и отдел кредитования собирал все эти документы только в электронном виде: так удобнее и им, и клиенту. Естественно, клиент предпочитает приносить все это на своей флешке.

                  Точно так же на флешках при носятся макеты рекламной продукции, видеоролики для рекламщиков, чертежи с планами перестраиваемых помещений для АХУ и т.д и т.п. В общем, необходимость во влешках может возникнуть у многих сотрудников.

                  Сообщение от Евстафьев Алексей Посмотреть сообщение
                  Этим отделам, по моему, нужен больше скоротной безпроблемный Интернет, чем флешка. Зачем она? Разве туда приходят посетители со своими носителями? Что они приносят? Что им отдается? Почему этот обмен невозможно осуществить через Инет (сохранив в темном чулане протоколы и содержимое обмена)?
                  Наверное, потому, что:
                  а) Перелавать большие объемы данных через скоростной интернет - дорого.
                  б) Клиенту гораздо удобнее принести эти данные на флешке.

                  Сообщение от Евстафьев Алексей Посмотреть сообщение
                  Порт может быть незаблокирован по ряду причин. Одна из причин - это обеспечение устойчивого функционирования информационного комплекса. Что если компьютер с заблокированным портом выходит из строя? Причем вечером, когда нет администратора, который имеет полномочия этот порт разблокировать, но есть только дежурный специалист от информатизации? Если на порту только наклейка, то он её срывает, грузится с LiveCD, диагностирует компьютер (если тот еще не совсем сдох) и, возможно, восстанавливает его работоспособность. А если порт заблокирован? Остановка техпроцесса? Остановка бизнеса? Или организовывать круглосуточное дежурство не только информатизаторов, но и безопасников, рулящими этими портами? И каков нужен под это дело штат?
                  Вы противоречите сами себе Из этого абзаца следует что:
                  а) вечером у вас выполняются операции, сбой которых может привести к "остановке техпроцесса" и "остановке бизнеса"
                  б) и в это время у вас отсутствует человек, обеспечивающий техническую поддержку этих операций.

                  Плохой пример, из которого совсем не очевидна опасность блокировки портов. А наклейка без блокировки - филькина грамота. Давайте смоделируем ситуацию: вы увидели. что на компе у пользователя сорвана наклейка. И что? Вы попытаетесь его наказать? За что? За то, что кто-то (и вы не знаете, кто именно) сорвал наклейку? И тольку тогда от ваших наклеек?

                  Что касается "рулящих портами" безопасников: а почему, собственно, этим должны заниматься безопасники?
                  Последний раз редактировалось malotavr; 08.01.2010, 18:42.

                  Комментарий


                  • #39
                    Сообщение от Евстафьев Алексей Посмотреть сообщение
                    Отдаляться, так отдаляться. Любой безик должен отдавать себе отчет, что его родная рубашка гораздо ближе к его телу, чем все остальные. Для меня это аксиома. Следствие же из этой аксиомы такое, что безик так должен построить рабочую систему, так в неё встроиться, чтобы были выполнены два основополагающих принципа:
                    1. Безик не должен сильно себя утруждать, он не мальчик на побегушках;
                    2. Убрать безика из системы должно быть невозможно без серьезных последствий для этой системы.
                    Отсюда вывод - если ты будешь заниматься только "идеологией", разрабатывать документы, то ты имеешь шанс стать ненужным. Ну сколько раз в году нужно разрабатывать "политику парольной защиты". Наверное, она, как и большинство остальных регламентов делается раз и надолго. А вот встроить себя в эту политику, причем не контролером, без которого система не рухнет - вот истинная задача настоящего безопасника.

                    Я как то давно видел то ли фильм, то ли байку слышал про то, как один перец на деревне очень долго хорошо и неплохо кормился. Деревня любила вечерами музыку слушать, граммофон имела, а только у этого перца была ручка заводная от этого граммофона и он умел её крутить. А отдай он эту ручку с "инструкцией по применению"? Выжил бы?
                    Знаете, любой "безик", как вы выражаетесь не должен забывать, что он - всего лишь обслуживающий персонал. Причем отдача от этого обслуживающего персонала значительно менее заметна, чем, скажем, отдача от эникейщика. Так что при том подходе, который вы декларируете, он может оказаться еще и никому не нужным обслуживающим персоналом: в какой-то момент работодатель вполне может догадаться, что ему не нужен отдельный человек для хранения ручки от граммофона.

                    З.Ы. Извините, не имел в виду лично вас, но суть, надеюсь, понятна. Просто слишком во многих банках приходится наблюдать ситуацию, когда безопасники занимаются именно придумыванием оправданий для собственного существования - вместо того, чтобы заниматься делом.
                    Последний раз редактировалось malotavr; 08.01.2010, 18:54.

                    Комментарий


                    • #40
                      Сообщение от malotavr Посмотреть сообщение
                      Как организовано кредитование юр. лиц представляете?
                      Упомянут был не отдел кредитования, которому безусловно нужно общение с внешним миром, а другие отделы. Которым такое общение, на мой взгляд не очень то и нужно.

                      Сообщение от malotavr Посмотреть сообщение
                      Точно так же на флешках приносятся макеты рекламной продукции, видеоролики для рекламщиков, чертежи с планами перестраиваемых помещений для АХУ и т.д и т.п.
                      Стоп. Откуда и на каком основании приносятся со стороны какие-то макеты и видеоролики? Почему эту продукцию несут рядовым исполнителям непосредственно? Вся эта работа, если её исполняют на строне, должна делаться официально, по договору. И тогда далеко не каждый день возникает необходимость работы юзера с флешкой. Так как официальные работы должны сдаваться и приниматься "установленным" порядком. И здесь уже приемщик работ, читай руководитель, принимает эти материалы и вполне может их (по внутренней сети) адресовать уже конкретному исполнителю. И чертежи с перестройками тоже не просто так появляются. Если же каждый исполнитель тащит свою "продукцию" к рядовому исполнителю, да по десять раз на дню, то в таком случае можно сказать, что в этой конторе незнакомы с основами документооброта и делопроизводства. Следовательно в ней - бардак творится. Следовательно - держаться от такой конторы надо подальше. Но, как только начинаешь приводить делопризводство в порядок, сразу же и отпадает необходимость неограниченное связи с внешним миром рядовых сотрудников.

                      Сообщение от malotavr Посмотреть сообщение
                      Вы противоречите сами себе Из этого абзаца следует что:
                      а) вечером у вас выполняются операции, сбой которых может привести к "остановке техпроцесса" и "остановке бизнеса"
                      б) и в это время у вас отсутствует человек, обеспечивающий техническую поддержку этих операций.
                      Нисколько. Приведу аналогию - в медицине, как и в футболе разбираются все. Итак, как построена служба оказания медицинской помощи? К пациенту приезжает "скорая помощь". Разве кто требует, чтобы врач с фельдшером скорой помощи мог оказывать абсолютно любую помощь? Их задача иная - диагностировать пациента, оказать, по возможности, первую помощь и, при необходимости, доставить пациента в стационар, где ему окажут более квалифицированную помощь. Но весь личный состав стационара на вызовы скорой не ездит. А если личного состава недостаточно, то вызывают спецов из дому, из соседних больниц, регионов (если катастрофа какая)...

                      Так и в приведенном примере - дежурный специалист от информатизации эквивалентен врачу (если не фельдшеру) скорой помощи. Он может чем то помочь, но его задача - провести первичную диагностику и определить, что делать и кто для этого нужен. А дальше включается "схема оповещения". И если ты, как специалист, нужен для проведения конкретной операции, то тебя найдут и в лавку доставят. Но организовывать дежурство полного состава, необходмого для разрешения абсолютно любой нештатной ситуации - неправильно. Во первых это неоправданные затраты на персонал, а во вторых - чем этот персонал в ночное занимать будем. А если персонал не занят, начальства рядом нет, и персонала уже три души, то чем русский человек заниматься начнет? Правильно, пойдет тихая пьянка на рабочем месте.

                      Сообщение от malotavr Посмотреть сообщение
                      Что касается "рулящих портами" безопасников: а почему, собственно, этим должны заниматься безопасники?
                      А почему этим должны заниматься информатизаторы? Или кто иной? Можно, например, в каждом отделе завести такую сущность, как администратор информационной безопасности, и на эту сущность возложить полномочия приоткрывать доступ. И регистрировать эти открытия. При всем моем уважении к информатизации, я все таки полагаю, что недопустимо сосредоточивать все рычаги по управлению системой в одних руках, что распределение полномочий есть определенный элемент контроля за действиями информатизации. Иначе они становятся полностью бесконтрольными. А это может привести к печальным последствиям. Примеры мне, как бывшему сотруднику БР, хорошо известны.

                      Комментарий


                      • #41
                        Сообщение от malotavr Посмотреть сообщение
                        Так что при том подходе, который вы декларируете, он может оказаться еще и никому не нужным обслуживающим персоналом: в какой-то момент работодатель вполне может догадаться, что ему не нужен отдельный человек для хранения ручки от граммофона.
                        Что то мне подсказывает, что Вы не совсем внимательно прочитали то, что я написал. Или мне не удалось предельно доходчиво изложить свою мысль. Я крайне далек от мысли придумывать хранение ручки от граммофона. Я говорил про другое - в системе, которую мы обслуживаем, должно быть реализовано разделение полномочий. Чтобы ни один _администратор_, будь он от информатизации или от безопасности, не мог в одиночку совершить критические операции по управлению системой.

                        Сообщение от malotavr Посмотреть сообщение
                        З.Ы. Извините, не имел в виду лично вас,
                        Мой случай иной. Я, сам того не ожидая, разворошил осиное гнездо, которое среагировало единственно возможным для себя, для своего сохранения в системе их кормящей, способом.

                        Сообщение от malotavr Посмотреть сообщение
                        Просто слишком во многих банках приходится наблюдать ситуацию, когда безопасники занимаются именно придумыванием оправданий для собственного существования - вместо того, чтобы заниматься делом.
                        Вот это и есть плохо - придумывание оправдание собственного существования. Основная работа современного безопасника - это работа аналитическая, анализ рисков информационной безопасности, прогнозирование развития ситуации. Но эту работу мало кто видит, и еще меньше, кто оценить сможет. Поэтому, для широкой публики, надо показывать, что ты тоже при деле, что только ты "ручку крутить можешь".

                        Комментарий


                        • #42
                          Сообщение от Евстафьев Алексей Посмотреть сообщение
                          Основная работа современного безопасника - это работа аналитическая, анализ рисков информационной безопасности, прогнозирование развития ситуации. Но эту работу мало кто видит, и еще меньше, кто оценить сможет. Поэтому, для широкой публики, надо показывать, что ты тоже при деле, что только ты "ручку крутить можешь".
                          на аналитику как правило остается слишком мало времени.

                          Комментарий


                          • #43
                            Сообщение от Евстафьев Алексей Посмотреть сообщение
                            Стоп. Откуда и на каком основании приносятся со стороны какие-то макеты и видеоролики? Почему эту продукцию несут рядовым исполнителям непосредственно? Вся эта работа, если её исполняют на строне, должна делаться официально, по договору. И тогда далеко не каждый день возникает необходимость работы юзера с флешкой. Так как официальные работы должны сдаваться и приниматься "установленным" порядком. И здесь уже приемщик работ, читай руководитель, принимает эти материалы и вполне может их (по внутренней сети) адресовать уже конкретному исполнителю. И чертежи с перестройками тоже не просто так появляются. Если же каждый исполнитель тащит свою "продукцию" к рядовому исполнителю, да по десять раз на дню, то в таком случае можно сказать, что в этой конторе незнакомы с основами документооброта и делопроизводства. Следовательно в ней - бардак творится. Следовательно - держаться от такой конторы надо подальше. Но, как только начинаешь приводить делопризводство в порядок, сразу же и отпадает необходимость неограниченное связи с внешним миром рядовых сотрудников.
                            Алексей, ты видимо не очень хорошо знаком с работой современного коммерческого предприятия. Там идет регулярное и активное общение с внешним миром именно рядовых сотрудников. Руководитель утверждает то, что прошло уже кучу итераций. Приведу пример из жизни. Идет утверждение макета выставочного стенда. Как всегда в авральном порядке. Подрядчик привозит диски/флешки с вариантами макета. Они обсуждаются, подрядчик увозит к себе в офис, вносит изменения, привозит на следующий день. И так в течение нескольких дней. И обсуждаются эти вопросы не с руководителем, а с ответственным - рядовым сотрудником. И таких ситуаций не счесть - и не только в одном маркетинге. У бухгалтеров, у юристов и т.д. Все что-то привозят на флешках.

                            Комментарий


                            • #44
                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                              Стоп. Откуда и на каком основании приносятся со стороны какие-то макеты и видеоролики? Почему эту продукцию несут рядовым исполнителям непосредственно? Вся эта работа, если её исполняют на строне, должна делаться официально, по договору... дальше поскипано>
                              Ну, собственно Алексей привел хороший пример. Добавлю, что подобные примеры можно привести почти для любого отдела.

                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                              А почему этим должны заниматься информатизаторы? Или кто иной? Можно, например, в каждом отделе завести такую сущность, как администратор информационной безопасности, и на эту сущность возложить полномочия приоткрывать доступ. И регистрировать эти открытия. При всем моем уважении к информатизации, я все таки полагаю, что недопустимо сосредоточивать все рычаги по управлению системой в одних руках, что распределение полномочий есть определенный элемент контроля за действиями информатизации. Иначе они становятся полностью бесконтрольными. А это может привести к печальным последствиям. Примеры мне, как бывшему сотруднику БР, хорошо известны.
                              Но все рычаги управления системой по факту сосредоточены в одних руках. Грубо говоря, администратор домена обладает неограниченными возможностями в пределах домена, и отделять от его возможностей одну незначительную функцию... Идея разделения функций - это сферический конь в ваккууме: ну не позволяют современные операционные системы реализовать подобное разделение эффективным образом. Во всяком случае, до сих пор я не видел ни одной организации, которой удалось бы это сделать. Как правило, такое разделение приводит лишь к тому, что у безопасников и руководства существует лишь иллюзия того, что они что-то защищают.

                              Вы правильно написали, что все критические операции нужно контролировать. Но вынесение отдельных функций администрирования в отдельное подразделение - это ни разу не контроль: это всего лишь создание еще одной области, которую саму нужно контролировать.

                              Комментарий


                              • #45
                                Сообщение от SAndreyV Посмотреть сообщение
                                Может быть, тут был бы более уместен в качестве метрики тест на проникновение с использованием социальной инженерии - откройте это затрояненное письмо, сообщите этот root'овый пароль, ...
                                Соотношение плюх до и после будет показателем эффективности обучения.
                                Мы проводим такие исследования. Как показывает практика, в среднем в любой компании на хорошо составленные спамовые письма покупается 30-40% сотрудников. Более того, меры по повышению осведомленности дают лишь временный и довольно краткосрочный эффект. Как-то проводился многократный тест на социалку для оценки эффективности тренингов: до, сразу после и через некоторое время после тренинга. Точных цифр не помню, но расклад примерно такой: до тренинга на социалку купилось 30% фокус-групы, после тренига этот уровень упал до 10% и через некоторое сравнительно небольшое время вырос обратно до 30%.

                                Я согласен с Алексеем Лукацким в том, что многие меры безопасности (и user awareness - в первую очередь) неэффективны именно потому, что не органичны для пользователя, заставляют его заниматься не свойственным ему (и не нужным лично ему) делом, задумываться над далекими от его интересов вещами, создают определенные неудобства. На мой взгляд, те усилия, котрые тратятся на user awareness, можно потратить с большей пользой.

                                Обратите внимание на вторую диаграмму, которую приводит Дима Евтеев. Проблема не в том, что 30-40% пользолвателей перейдут по ссылке в спамовом письме, а в том, что на компе каждого третьемго из них еть уязвимость, позволяющая нарушителю выполнять произвольный код. И бороться нужно не с пользователем, которй все равно пойдет по присланной ему ссылке, что бы вы с ним ни делали, а с айтишниками, которые не ставят на его комп нужные патчи.

                                Комментарий


                                • #46
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  Алексей, ты видимо не очень хорошо знаком с работой современного коммерческого предприятия.
                                  Ты прав. В этой сфере у меня мало опыта.

                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  Там идет регулярное и активное общение с внешним миром именно рядовых сотрудников.
                                  А вот здесь и зарыта собака. Если мы не можем избежать такого общения с внешним миром, то надо откровенно сказать, что рабочие места таких пользователей являются частью внешнего мира. А задача безопасников - обеспечить устойчивость мира внутреннего. То есть надо по умному провести границу, где какие правила применяем, где в какие игры играем, где какую информацию обрабатываем. Вряд ли разумно хранить и обрабатывать конфиденциальную информацию на рабочих станциях "внешнего" мира. А вот сделать контролируемый вход с этих станций в мир "внутренний", защищаемый, (например, используя технологии терминальных служб) можно и нужно.
                                  А "внешние" станции - защищать по минимуму, парольная защита с блокировкой экрана да антивирус. Плюс патчи регулярные. На них важнее работоспособность обеспечить. А защищаемую информацию - в замкнутую песочницу. Тут и овцы сыты и волки целы будут.

                                  Комментарий


                                  • #47
                                    Сообщение от Евстафьев Алексей Посмотреть сообщение
                                    А вот здесь и зарыта собака. Если мы не можем избежать такого общения с внешним миром, то надо откровенно сказать, что рабочие места таких пользователей являются частью внешнего мира. А задача безопасников - обеспечить устойчивость мира внутреннего. То есть надо по умному провести границу, где какие правила применяем, где в какие игры играем, где какую информацию обрабатываем. Вряд ли разумно хранить и обрабатывать конфиденциальную информацию на рабочих станциях "внешнего" мира. А вот сделать контролируемый вход с этих станций в мир "внутренний", защищаемый, (например, используя технологии терминальных служб) можно и нужно.
                                    А "внешние" станции - защищать по минимуму, парольная защита с блокировкой экрана да антивирус. Плюс патчи регулярные. На них важнее работоспособность обеспечить. А защищаемую информацию - в замкнутую песочницу. Тут и овцы сыты и волки целы будут.
                                    Это всего лишь одно из возможных решений. Причем не самое удачное, если честно. Понимаете, это вам только кажется, что есть какой-то "внутренний" мир и мир "внешний".

                                    Давайте рассмотрим ваш же пример: есть "внешние" рабочие места, защищенные "по минимуму". Те, кому нужно, ходят во "внутреннюю" сеть терминальным клиентом. Считаете, что вы тем самым защитили "внутреннюю" сеть? А вот ни фига подобного.

                                    Получить контроль над "внешними" рабочими местами не проблема: благодаря "по-минимуму" вы их просто отдали на растерзание. Если мы получили контроль над рабочим местом пользователя, мы получили доступ по RDP во внутреннюю сеть. Правда, нужна учетка пользователя. Но для получения учетки есть много путей:
                                    • Процентов 20 ваших пользователей используют словарные пароли (типа "111" или "Qazwsx!").
                                    • У большинства ваших пользователей пароли локальной и терминальной учеток будут совпадать (потому что самим пользователям так удобно), а локальный пароль легко выдергивается.
                                    • Контролируя рабочее место, можно просто поснифить нажатия клавиш.


                                    Это если навскидку и только в части подбора учеток. А еще ваши "внешние" и "внутренние" сегменты связаны единой сетевой инфраструктурой, и админы делают вполне типичные ошибки в настройках сетевого оборудования. И много чего еще есть.

                                    Поэтому правильнее делить сегменты не на "внешние" и "внутренние", а на "этот" и "соседние". И каждый сегмент нужно защищать так, как будто в соседнем нарушитель уже сидит.

                                    Комментарий


                                    • #48
                                      Сообщение от Евстафьев Алексей Посмотреть сообщение
                                      А вот здесь и зарыта собака. Если мы не можем избежать такого общения с внешним миром, то надо откровенно сказать, что рабочие места таких пользователей являются частью внешнего мира.
                                      И это нормально в современном мире. Я даже сотрудников ЦБ знаю, которые работают из дома в т.ч. ;-) А в коммерческой компании работа не изнутри периметра - нормальное явление. У нас (в Cisco) с год назад специально для описания этого явления появилась концепция borderless network.

                                      Сообщение от Евстафьев Алексей Посмотреть сообщение
                                      А задача безопасников - обеспечить устойчивость мира внутреннего. То есть надо по умному провести границу, где какие правила применяем, где в какие игры играем, где какую информацию обрабатываем.
                                      Задача безопасников - защищать бизнес, а не перестраивать их по своему разумению ;-) Ты предлагаешь сделать так, как удобно безопаснику. А бизнесу так неудобно.

                                      Сообщение от Евстафьев Алексей Посмотреть сообщение
                                      Вряд ли разумно хранить и обрабатывать конфиденциальную информацию на рабочих станциях "внешнего" мира.
                                      Ну cloud computing - это реалии сегодняшнего дня.

                                      Комментарий


                                      • #49
                                        Сообщение от malotavr Посмотреть сообщение

                                        Я согласен с Алексеем Лукацким в том, что многие меры безопасности (и user awareness - в первую очередь) неэффективны именно потому, что не органичны для пользователя, заставляют его заниматься не свойственным ему (и не нужным лично ему) делом, задумываться над далекими от его интересов вещами, создают определенные неудобства. На мой взгляд, те усилия, которые тратятся на user awareness, можно потратить с большей пользой.
                                        то есть нет смысла в обучении и повышении осведомленности сотрудников? достаточно дать понять что это делать придется и все?

                                        Комментарий


                                        • #50
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Подрядчик привозит диски/флешки с вариантами макета.
                                          Хорошо если привозят, а не закачивают с открытого всем ftp
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Все что-то привозят на флешках.
                                          И "буря возмущений" если привезенный файл удален или заблокирован (например антивирусом) по причине заражения или чего-то подобного
                                          Сообщение от melifaroh
                                          то есть нет смысла в обучении и повышении осведомленности сотрудников? достаточно дать понять что это делать придется и все?
                                          Обучать и повышать осведомленность все равно требуется - это хоть на какое-то время и хоть как-то уменьшит количество инцидентов.
                                          А делать придется. И продумывать политику исходя из того, чтоб не мешала бизнесу и при этом юзверь мог совершить минимальное количество непредусмотренных действий (хоть умышленно, хоть не умышленно)... Плюс система локализации последствий.

                                          Комментарий


                                          • #51
                                            Сообщение от melifaroh Посмотреть сообщение
                                            то есть нет смысла в обучении и повышении осведомленности сотрудников? достаточно дать понять что это делать придется и все?
                                            Смотря какую цель вы перед себой ставите Если вы ожидаете, чо пользователи перестанут делать ошибки, то смысла нет.

                                            Мы проводили обучение (интеграционный тренинг при приеме человека на работу и преиодические рассылки информационных писем) для двух целей:

                                            1. Объяснить пользователям, какие ограничения введены в банки, почему они введены и что делать, если эти ограничения мешают работе.

                                            2. Рассказать (или еще раз напомнить) какие механизмы безопасности могут использоваться самими пользователями (тот же бэкап документов и электронной почты, например).

                                            Комментарий


                                            • #52
                                              Сообщение от malotavr Посмотреть сообщение

                                              1. Объяснить пользователям, какие ограничения введены в банки, почему они введены и что делать, если эти ограничения мешают работе.

                                              2. Рассказать (или еще раз напомнить) какие механизмы безопасности могут использоваться самими пользователями (тот же бэкап документов и электронной почты, например).
                                              по пункту 2 интересно - в каком виде этоподготовлено - лекция, инструкция в электронном виде или что? это по собственной инициативе было подготовлено?

                                              Комментарий


                                              • #53
                                                Сообщение от melifaroh Посмотреть сообщение
                                                по пункту 2 интересно - в каком виде этоподготовлено - лекция, инструкция в электронном виде или что? это по собственной инициативе было подготовлено?
                                                Лекция - самый бестолковый инструмент для awareness ;-( Сами вспомните, ходили ли вы на лекции в институте? Академический стиль изложения, подразумеваемый лекциями, не воспринимается пользователями. Поэтому любые т.е. дистанционные программы повышения осведомленности, предлагаемые многими отечественными компаниями, обречены на провал. Разработчики не понимают психологии рядового пользователя и пытаются ему всучить многочасовой видеокурс, где первый час отведен на введению в терминологию ИБ и т.п. Нафига рядовому пользователю знать термин "информационная безопасность" и чем он отличается от "защита информации"? А когда это преподносится еще в виде видеозаписи обрезанного по колени лектора, стоящего у флипчарта, и говорядщего нудным преподским голосом...

                                                Мы в конторе специально заказывали анимационные ролики на 3-4 минуты каждый. Никакой нудятины, никакого обучения. В простой и понятной форме за 3-4 минуты акцентируется внимание на ключевых (для нас) вопросах безопасности. Анимация и видеоряд профессиональные (с привлечением психологов). Озвучка тоже профессиональными актерами. Мы эти ролики транслируем на плазмах в офисах и они выложены на сайте службы ИБ.

                                                Комментарий


                                                • #54
                                                  Сообщение от melifaroh Посмотреть сообщение
                                                  по пункту 2 интересно - в каком виде этоподготовлено - лекция, инструкция в электронном виде или что? это по собственной инициативе было подготовлено?
                                                  Почтовая рассылка.

                                                  Примерно раз в квартал или раз в полгода айтишники, отвечающие за бэкап, за почту и т.п. рассылают письмо с презентацией или с инструкцией - например, что бэкапится и что нет, почему доки нельзя хранить на локальных дисках (бэкапятся только сетевые папки), к кому обращаться, если случайно удалили файл, почему обратиться нужно не позже, чем через 30 дней после удаления и т.п. Т.е. описывается ровно то, что нужно знать пользователю: как пользоваться предоставляемыми ему механизмами и почему ими нужно пользоваться именно так.

                                                  Кому интересно - читают. Кто не читает - сам дурак. Но обычно рядом с таким человеком обязательно найдется коллега, который такую инструкцию все-таки читал, так что сарафанное радио тоже работает.

                                                  Такие рассылки (и повышение осведомленности в целом) заложены в политику бензопасности банковской группы. Следить за ее исполнением было моей обязанностью, хотя на практике либо IT-директор пинал своих сотрудников, либо COO - его или меня. То, что такие рассылки делались, проверялось при самооценке и внутреннем аудите со стороны штаб-квартиры.

                                                  Комментарий


                                                  • #55
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    Мы в конторе специально заказывали анимационные ролики на 3-4 минуты каждый. Никакой нудятины, никакого обучения. В простой и понятной форме за 3-4 минуты акцентируется внимание на ключевых (для нас) вопросах безопасности. Анимация и видеоряд профессиональные (с привлечением психологов). Озвучка тоже профессиональными актерами. Мы эти ролики транслируем на плазмах в офисах и они выложены на сайте службы ИБ.
                                                    да, это хороший вариант, жаль только не многие могут позволить себе потратить серьезные средства (психологи, актеры, аниматоры и тд.) на создание пары "развлекательных" мультиков. а в регионах это просто невозможно сделать. видели когда-нибудь местные рекламные ролики по тв в уездных городах? есть даже блоги в интернете где собирают особо смешные из них.

                                                    а самое обидное что такими роликами даже не поделиться особо ни с кем - потому как у всех разные требования по ИБ.

                                                    а вообще видел что-то подобное - про лишение премии у тетки, а потом еще и у мужика. это не ваши случайно? смешные ролики, да.

                                                    Комментарий


                                                    • #56
                                                      Сообщение от melifaroh Посмотреть сообщение
                                                      да, это хороший вариант, жаль только не многие могут позволить себе потратить серьезные средства (психологи, актеры, аниматоры и тд.) на создание пары "развлекательных" мультиков.
                                                      Ну у нас не развлекательные, а познавательные ;-)

                                                      Сообщение от melifaroh Посмотреть сообщение
                                                      а вообще видел что-то подобное - про лишение премии у тетки, а потом еще и у мужика. это не ваши случайно? смешные ролики, да.
                                                      Не, не наши.

                                                      Комментарий


                                                      • #57
                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        Задача безопасников - защищать бизнес, а не перестраивать их по своему разумению ;-)
                                                        Я рад, что Вы согласились с необходимостью защищать бизнес. Уж очень странным было Ваше заявление о "трансляции требований бизнеса в ИБ".
                                                        Евстафьев Алексей как раз и попытался стать на позицию "трансляции".
                                                        При объеденении позиций malotavr-а и Евстафьева Алексея - получится очень даже хорошо.
                                                        Вот только как быть с обучением?

                                                        Комментарий


                                                        • #58
                                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                          И это нормально в современном мире. Я даже сотрудников ЦБ знаю, которые работают из дома в т.ч. ;-) А в коммерческой компании работа не изнутри периметра - нормальное явление.
                                                          ...
                                                          Ты предлагаешь сделать так, как удобно безопаснику. А бизнесу так неудобно.
                                                          ...
                                                          Если о бизнесе, то ему никак не удобно. Потому что за деньги клиентов еще что-то надо делать. А делать чего-нибудь очень не охота.
                                                          Попытайтесь доказать, что рекламщику очень необходим доступ к данным о счетах клиентов (остатки, движение и т.д.). К примеру проект визитки начальника отдела коротношений не может утверждаться без знания рекламщиком среднедневных оборотов по всем корсчетам и просмотра всех документов, проходящих через них.
                                                          А по сути - он предлагал разграничить для начала доступ на уровне физического разделения сетей с точки зрения обеспечения работоспособности отдельных сегментов.

                                                          Комментарий


                                                          • #59
                                                            Сообщение от Идущий Посмотреть сообщение
                                                            А по сути - он предлагал разграничить для начала доступ на уровне физического разделения сетей с точки зрения обеспечения работоспособности отдельных сегментов.
                                                            Вот я сейчас пишу этот пост из дома. Завтра буду отвечать на новые поста с iPhone из такси в аэропорт. Потом через hotspot в аэропорту с рабочего лэптопа. Потом в гостинице посмотрю. Вернусь в офис в четверг. И как в такой ситуации физически разделить сети?

                                                            И это только я. А есть еще полный ИТ-аутсорсинг, доступ к нашей логистической системе сотен поставщиков и контрагентов по всему миру, контрактники, colocation ряда Интернет-проектов и т.п.
                                                            Последний раз редактировалось Алексей Лукацкий; 11.01.2010, 19:37.

                                                            Комментарий


                                                            • #60
                                                              Сообщение от Идущий Посмотреть сообщение
                                                              Я рад, что Вы согласились с необходимостью защищать бизнес.
                                                              А я этого никогда и не отрицал. Только говорил о том, что надо это желать с позиции бизнеса. Потому что он первичен.

                                                              Сообщение от Идущий Посмотреть сообщение
                                                              Уж очень странным было Ваше заявление о "трансляции требований бизнеса в ИБ".
                                                              Евстафьев Алексей как раз и попытался стать на позицию "трансляции".
                                                              Не-а. Алексей пытался транслировать безопасность в бизнес, а не наоборот. Он имел ввиду, что надо все делать под защитой периметра. А я и malotavr говорим, что бизнес уже давно не сидит в периметре - он вышел за его границы. И впихнуть его в удобные безопасникам рамки уже не получится.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X