Предлагаю сделать возможность указывать причину и дату добавления в игнор-лист. Даже с возможностью указывать ссылку на комментарий, из-за которого это и произошло. А то зашел тут к кому-то в пост, а я оказывается в игнор-листе у этого человека. И прям так грустно стало, а главное не понятно за что и когда меня в него добавили. Аж кушать расхотелось.
Я вдруг задумался: а какую высокотехнологичную продукцию производит наш российский бизнес? У нас же сейчас вроде капитализм, а значит основным "драйвером" должен быть бизнес. Я не говорю о государственных корпорациях т.к. в моём понимании они все же государственные с долей бизнеса, а не бизнес с долей государства. А потому в зачет не идет АвтоВАЗ, Роскосмос, авиационные предприятия, Росатом, военно-промышленный комплекс. Вот что высокотехнологичного разрабатывает и производит наш бизнес? А что из этого поставляется за границу? На память приходят разве что Антивирус Касперского, 1С, да штучные экземпляры компьютерных комплектующих МЦСТ.
Кратенько о рисках
Методов оценки рисков множество множеств, а потому рассматривать все их я разумеется не буду. Но рассмотрю метод, который прекрасно укладывается в мою стройную картину видения ИБ - метод контрольных листов. Если помните, то пилоты перед взлетом читают контрольную карту. Ну вот что-то вроде. Документация предприятия, как я уже отмечал, имеет функции интегрирования ИБ, представление множества процессов в виде целого и непротиворечивого. Регламентирует действия сотрудников, предъявляет требования к средствам защиты информации и т.д. Но помимо этого она так же выполняет функцию накопления знания в виде отчетов, аналитических материалов по проектам, извлеченных уроках, которые учитываются и вносятся в документацию предприятия. Организация накапливает опыт, знания, аккумулирует их в базах данных или знаний. Учитывая, что наибольшие информационные риски присущи проектным процессам ввиду плохой прогнозируемости и значительной доли неизвестности, то в первую очередь опыт должен накапливаться за счет них. Проект должен заканчиваться не в момент достижения поставленной цели, а в момент сдачи документации по проекту и отчетов участвовавших руководителей в архив. Если Вася Пупкин за время проекта постоянно косячил и срывал сроки, то это будет подшито в папочку и в следующий раз его или не привлекут к проекту, или за ним будет строгий надзор. Это зрелый подход, обеспечивающий совершенствование процессов ИБ, позволяющий накапливать СОБСТВЕННЫЙ опыт и знания. Если следовать стандартам (когда они не являются обязательными), то мы попадем в каменный век. Да, если говорить о стандартах, то это лучший опыт, но это лучший опыт почти двадцатилетней давности. Взять для примера стандарт "ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности", который издан был в 2008 (в 2010 переведен на русский) или "ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности". Получается, что изданы они были 10 лет назад. Но опыт, который был в них использован должен был быть получен из компаний, проанализирован, утвержден и т.д. Можно прибавить еще лет 10. Если компания будет опираться на стандарты, то в лидеры она никогда не выбьется. Для лидерства стандарты надо писать самим, а для этого нужен свой опыт и свои знания.
Ну и конечно хочу отметить совсем простые вещи, как наличие риска явки аудиторов для проверки документации и снижение рисков вследствие наличия грамотной документации и её соблюдения.
Эх, раз уж начал про сферических коней, то гулять так гулять.
Закон что дышло... А потому основная правовая нагрузка по защите информации ложится на плечи компании. Писали мне про ФЗ-98 "О коммерческой тайне" мол вот закон и там все написано. Но все меры в этом законе уместили в 5 пунктов и почти все отдано на откуп компаний. Есть проблемы и в образовании, и в законодательстве. Но мне кажется, что такие проблемы есть везде и ИБ не исключение. Есть проблема обеспечения исполнения документации. Но тут важно понять, что совсем исключить риск нарушения регламентов и инструкций полностью довольно проблематично, а вот снизить до приемлемого уровня можно. Конечно приемлемый уровень у каждого свой, но не будем отвлекаться) Ну штрафы это само собой, еще можно внедрять разделение обязанностей (один делает, другой контролирует), внедрять какие-то технические средства контроля, облегчать выполнение требований, проводить тренинги. Ну для примера о паролях: можно внедрить SSO (сложно и не всегда возможно), можно рекомендовать использовать не пароли, а парольные фразы вроде "синийконьнакухнесзеленымиобоямиипаркетом", можно внедрить средства аутентификации по ключу, ну и разумеется поставить галочку на запрет слабых паролей)
Еще есть такой принцип необходимости знания. Если необходимости нет, то и знать ты этого не должен. Реализуется как правило через руководителей отделов, которые указывают для каких должностей какой доступ должен быть предоставлен.Отдел ИБ здесь выступает в качестве надзорно-утверждающего.
Честно не знаю о чем писать т.к. объять необъятное не выйдет, а потому решил написать по принципу "что вижу о том и пою". А потому он будет вида ответы редакции на письма читателей. В прошлых постах я получил комментарии о том, что мол конспект из тетрадки сюда переписываю. Конечно ничего и ниоткуда я не переписывал, но в целом их правда - эту информацию действительно можно найти в любом учебнике или тетрадке с конспектами. И основной посыл читающих тоже ясен: мол что ты за муру нам тут рассказываешь: классификации, физические поля, космические корабли, бороздящие просторы вселенной? Ты нам конкретно скажи тут нажать, тут включить и вот ИБ достигнута. И методы мне предлагали в две группы свести: технические и организационные, а остальное усложнение ненужное. Как хочется, что бы все было просто.
Но начнем декомпозировать процесс ИБ. Интеграционной основой ИБ, как и других процессов - документация. Начинается она с политики информационной безопасности, в ней отражаются основы. Если мы продолжим декомпозицию, то у нас появятся различные политики более низких уровней, положения, приказы, инструкции, стандарты и т.д. Декомпозируя криптографические методы мы увидим симметричные и асимметричные шифры, хеш-функции. Антивирусные средства: антивирусы для рабочих станций, для почтовых серверов и т.д. И так для всего. И вот тут-то мы и видим, что использование только двух методов если и допустимо на самом вернем уровне (на уровне политики), то с переходом на более низкие уровни это будет неудобно и неэффективно. Конечно это все зависит от размера компании и для ларька с шаурмой и для крупной международной компании будет различное число этих уровней. Для ларька хватит и двух групп методов, для компании - нет.
"Хочешь выполнять требования государственных регуляторов? - это к безопасникам.
Хочешь применить такие же меры, только что бы реально работало? - тебе к админам.", - писали мне в комментариях.
И снова двадцать пять. Я пишу о разнообразии методов и о необходимости их комплексного использования, а в комментариях опять всё сводят к программно-аппаратным. Ведь именно этими методами занимаются системные администраторы. Что касается требований регуляторов, то для защиты коммерческой тайны их нет. Конечно любая компания все равно обрабатывает персональные данные, какие-то компании тесно сотрудничают с государством и потому на эту информацию тоже распространяются некие требования. Но все это распространяется только на некоторые уже частично обозначенные категории информации и то обозначают лишь нижнюю границу к требованиям.
Я обратил внимание, что об информационной безопасности сложилось весьма однобокое мнение. В основном её воспринимают как "науку об антивирусах", в лучшем случае как "науку об антивирусах и персональных данных".
Так что такое информационная безопасность?
В основе информационной безопасности лежит обеспечение трех свойств: конфиденциальности, целостности и доступности информации. И обеспечивается это следующими методами:
1. Программно-аппаратными - сюда входят антивирусы, межсетевые экраны, средства предотвращения утечек информации (DLP-системы), системы обнаружения вторжений, системы управления информацией и событиями в безопасности (SIEM), системы защиты от несанкционированного доступа и т.д.
2. Организационно-правовыми - все что касается законодательства, нормативной базы и организации работы с информацией.
3. Техническими - сюда относится зашумление (акустическое и электромагнитное), экранирование, преобразование одних сигналов в другие и иные вещи, тесно связанные с физикой.
4. Физическими - сюда входят технические средства охраны (видеокамеры, сигнализация) и физические средства защиты (замки, двери, стены)
5. Криптографические и стеганографические - криптография скрывает смысл сообщения, стеганография скрывает факт передачи сообщения (как Ленин молоком писал). Сюда же относится электронная подпись.
Именно комплексное использование этих методов обеспечивает информационную безопасность.
Если смотреть шире, то сюда же относятся и оперативно-разыскные (управление "К" МВД, ЦИБ ФСБ), и экономические (страхование, финансовое обеспечение деятельности ИБ), и многие другие методы.
Прочитал я тут пост http://pikabu.ru/story/esli_vyi_ne_paranoik_yeto_eshche_ne_z..., который посвящен DLP-системам и понял, что у большинства прочитавших так и не сложилось целостной картины о методах и способах защиты информации. Всех замучил вопрос:"А если я..., то сможет ли работодатель меня прослушать/вычислить?" А потому решил я написать свой пост, а заодно увести у автора подписчиков и получить побольше плюсов.
Для начала о целесообразности защиты информации. Всё зависит от того что мы охраняем и от кого. Уже исходя из этого мы определяем как мы будем это охранять. Подход к защите персональных данных в интернет-магазине и защите гос тайны будет совершенно разным. Так же разными возможностями будет обладать школьник-вандал, планомерно закакивающий википедию, и группа хакеров. Смысл защиты информации в том, что бы злоумышленник затратил больше средств, чем получит в результате своей атаки. Но и вы тоже не хотите потратить на защиту информации больше, чем она стоит. Поэтому важно оценить целесообразность тех или иных методов. Нижняя планка находится на уровне требований законодательства, верхняя - это около 15% от ценности защищаемой информации. Помимо этого стоит не забывать об устаревании информации. Если вы можете гарантированно защитить информацию от разглашения на 2 дня (например, заперли всех сотрудников в подвале. как раз хватит, что бы не умерли от обезвоживания), но знаете, что информация будет уже неактуальна через день (завтра будет проведена сделка), то защиту информации в данном случае можно считать достаточной.
Еще важный момент - это, что в общественном сознании сложилось мнение о защите информации, как о методах направленных исключительно на препятствование её разглашению (конфиденциальность). В действительности она обеспечивает три свойства - конфиденциальность, целостность и доступность. Приведу аналогию. У вас есть сейф и в нем документ. Если ключ от сейфа получит шпион, то это нарушение конфиденциальности. Если бумага в сейфе истлеет или в результате пожара сгорит (сейф не огнестойкий), то это будет нарушение целостности. Если на сейфе сломается замок, то это будет нарушение доступности. Бывает целостность и доступность становятся даже важнее конфиденциальности. Это может быть и сайт-визитка, и официальная публичная информация (результаты ЦИК, например), и википедия.
Теперь собственно тот самый вопрос, который был задан в начале поста:"А если я..., то сможет ли работодатель меня прослушать/вычислить?"
Чаще всего используется схема "человек посередине", так же известный как MitM. Смысл в том, что узнаете вы о том, что ВК - это действительно ВК с помощью цифрового сертификата. У вас на компьютере есть перечень доверенных сертификатов, ВК присылает вам сертификат, подписанный одним из этих доверенных сертификатов и вы удостоверяетесь, что это действительно ВК. Работодатель же может в этот перечень доверенных сертификатов добавить свой, собой сгенерированным. Таким образом информационный обмен будет выглядеть таким образом.
Т.е. работодатель общается с ВК, а вы общаетесь с работодателем. Вот такая вот загогулина. Помимо этого есть конечно же и способы снятия нажатий с клавиатуры, снимки экрана и т.д. В общем все то, что описано в статье выше.
А смогут ли меня прослушать, если я буду сидеть через корпоративный вайфай со своего телефона? Незашифрованный трафик смогут. А с зашифрованным смогут попробовать провернуть схему выше, но в данном случае на вашем телефоне не установлен сертификат работодателя (вы же его туда не ставили, правда?) и поэтому телефон вам сообщит, что сертификат недоверенный. Тогда вы можете отказаться от соединения или позволить прослушивать трафик. Часть пользователей писали про использование VPN, прокси, tor и т.д. Если вам попался работодатель-параноик, то все эти каналы перекрыть труда не составит. Блокировка идет и по порту, и по типу протокола (по заголовку), и стеганографические каналы могут определяться с помощью IDS (система обнаружения вторжений) и много всяких других пакостей.
А теперь допустим, что за вами следит КГБ Белоруссии. Тогда ваше дело - шляпа. Дело в том, что вся электроника излучает. Это излучение от подмагничиваний/размагничиваний жестких дисков, от центральных процессоров, от мониторов, от клавиатуры, от видеокарты, от различных контроллеров с высокими частотами, коих в компьютере множество. Особенно сильно излучают незаземленные устройства (а есть два типа заземления - силовое и информационное, а информационное делится на для сигналов с частотой до 1Мгц и после): смартфоны, ноутбуки. Но если вдруг что-то не излучает, то можно это облучить, перехватить отраженный сигнал и уже его проанализировать должным образом. Вообще способов похищения информации очень много, а еще важно, что они могут комбинироваться. Например, в жесткий диск может быть встроена программка, которая время от времени перезаписывает хранящиеся на нем данные, а излучение от него перехватывается соответствующими товарищами и анализируется. Это называется программный ПЭМИН. Не забываем и про акустику, виброакустику, электроакустические утечки, наводки, заземление, силовые линии и многое другое :)
