Архив

Архив Ноябрь 2010

Об информационной безопасности в paranoid-режиме

9 ноября 2010

В догонку статьям Об информационной безопасности в нормальных компаниях и Об информационной безопасности в говноконторах кратенько опишу увиденные или опробованные способы обеспечения ИБ в компаниях, где включен режим параноика по умолчанию.

В случаях, когда приходится работать с информацией, составляющей государственную тайну или незапатентованные ноу-хау, в ход пускаются реально экстремальные средства обеспечения информационной безопасности: мониторы со специальной частотой мерцания пикселей, изображение с которых не захватывается фотоаппаратами или видеокамерами, внутренние сотовые сети, работающие на мощностях предприятия, а не сотового оператора, корпоративные мобильные телефоны, изготовляемые под заказ, рамки металлодетекторов и рентгена (!!!) на входе и выходе из здания, тонкие клиенты или терминалы, не имеющие никаких незанятых интерфейсов и прямого выхода в Интернет, клавиатуры и мыши с экранированными кабелями для исключения перехвата через них вводимой информации, почтовые серверы с белыми (БЕЛЫМИ!!! Это когда письмо нельзя отправить никуда, кроме разрешенных ПОШТУЧНО адресов, даже внутри одного домена) списками допустимых адресатов, круглосуточное видеонаблюдение везде, даже в туалете, а также полный запрет на вынос бумажных носителей за пределы стен предприятия (помним про рентген!). Также окна в здании могут быть затонированы (или заложены изнутри кирпичом) и покрыты специальным веществом, гасящим вибрации (чтобы было невозможно восстанавливать звуковую информацию из помещения с помощью лазера, интерпретирующего эти вибрации в звук). А, ну и вряд ли в такую компанию реально устроиться без прохождения тестирования на полиграфе и собеседования с психоаналитиком.

Default , ,

Об информационной безопасности в нормальных компаниях

8 ноября 2010

В компаниях с вменяемым управлением информационной безопасностью занимается не один самодур с группой шестерок-подчиненных, а полноценный отдел, состоящий из специалистов различных компетенций и обладающих различными навыками, в сумме с топ-менеджментом образующие комитет по сокращению или полному избеганию рисков для бизнеса.

Состав службы безопасности в ситуации, приближенной к идеальной, обычно выглядит примерно следующим образом:
1. Разработчик политик. Отвечает за написание корпоративных политик. Должен иметь связи с ключевыми подразделениями компании и входить в функциональные группы, чтобы обсуждать политики с руководителями, юридическим и кадровым отделами. Должен уметь определять, какие политики требуются компании, и обеспечивать их поддержку, особенно на уровне высшего руководства.
2. Архитектор безопасности. На основании требований и нужд бизнеса, проектирует систему безопасности. Должен заниматься связями с поставщиками, отслеживать технологии, продукты и перспективы, принимать решения, когда компания должна переходить на новые технологии обеспечения безопасности, и должна ли вообще.
3. Оператор. Обеспечивает работу инфраструктуры безопасности. Имеет дело с повседневными задачами, например с потерянными или сломанными картами доступа, новыми сотрудниками или подрядчиками, увольнениями из компании. По возможности помогает архитектору в построении инфраструктуры.
4. Аудитор. Может быть членом сторонней консалтинговой группы. Аудитор строит систему проектов и служб проверки безопасности компании на предмет ее соответствия требованиям. В программу тестирования может входить социальная инженерия.
5. Менеджер рисков. Осуществляет техническое руководство со стороны бизнеса. Оценивает технические требования с целью подсчета рисков для компании, связанных с отклонением от стандартов политики.
6. Группа реагирования на происшествия. В большинстве случаев состоит из системных администраторов и сотрудников отдела информационной безопасности. Вступает в дело, когда происходит реальное вторжение или есть подозрение на него. Периодически собирается для обсуждения процедур реагирования на происшествия.

Силами такого СБ устанавливается необходимый предприятию режим информационной безопасности, не препятствующий ведению бизнеса, а способствующий ему. В компаниях такого уровня договоры не лежат на согласовании месяцами, финансовые потоки идут короткими путями с нужной скоростью, а сотрудники не затюканы постоянными допросами и подозрениями в порочных связях, и необходимостью за каждый чих писать служебные записки и объяснительные.

Default , ,

Об информационной безопасности в говноконторах

7 ноября 2010

Итак, в один прекрасный день в вашу компанию ООО «Финанс Консалтинг Евро Энтерпрайз Корпорейтед» входит походкой ХОЗЯИНА зрелый мужчина лет 40-50, которого представляют Начальником Службы Безопасности (именно так, с Больших Букв). Секретарша с ресепшн бежит делать ему кофе, а кадровик пропадает в его кабинете на пару часов. Выходит оттуда постаревшим и помятым, а секретарша начинает вызывать к НСБ поочередно разных лиц, волею-неволей имеющих доступ к разного рода конфиденциальной информации и финансовым потокам. К несчастью, среди них будете и вы, ИТ-персонал.

НСБ даже при росте в метр-сорок смотрит на всех, кроме генерального, свысока. ЕГО глаза сверлят черепную коробку, пытаясь проникнуть прямо в мозг, чтобы извлечь оттуда наружу все ваши греховные мысли и коварные планы. ОН знает все, что касается жидо-массонских заговоров, и умеет их пресекать. ОН знает все, что касается корпоративной безопасности, особенно информационной. ОН пришел сюда затем, чтобы ликвидировать ВСЕ пробелы и проблемы. ОН знает, что самое главное — это установить тарификатор на офисную АТС (чтобы быть в курсе, кто куда звонил и сколько денег таким образом выговорил), счетчик трафика на шлюз (чтобы быть в курсе, кто куда в Интернете ходил, какую порнуху смотрел и какими коммерческими тайнами делился с ВРАГОМ), закрыть доступ в Одноклассники, запретить пользоваться аськой и скайпом и заблокировать USB-порты, чтобы никто вдруг не посмел вынести на флешке ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ, которая кормит генерального, топ-менеджмент, ЕГО, всю-бесполезную-кодлу-других-сотрудников, да и Родину в целом. Он наверняка найдет в Интернете примеры положений об ИБ, слегка их модифицирует и адаптирует (возможно, забыв исправить титульный лист, на котором черным по белому будет указано название другой компании) и заставит всех подписать. ОН обязательно возьмется за трудовую дисциплину и внедрит систему контроля доступа за пару десятков тысяч долларов, чтобы наказывать опозданцев и пресечь попытки выносить ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ из офиса в нерабочее (неподконтрольное ЕМУ) время. ОН непременно потребует от вас расставить шпионилки (в лучшем случае — RAdmin для режима просмотра, в худшем — кей-логгеры или вообще Camtasia) на компьютеры сотрудников, а заодно попросит доступ к почтовым ящикам их же. ОН точно внедрит (за пару десятков тысяч долларов, помните?) в ваши 40 квадратных метров оупен-спейса видеонаблюдение с 25 ракурсов. ОН однозначно будет проверять историю звонков с корпоративных мобильных телефонов, «пробивать» номера и проводить разъяснительные беседы с теми, кто переговорил лимит на 100 рублей, в том числе требовать объяснительные в письменном виде. ОН стопроцентно будет скрупулезно просматривать вообще любые счета: на ластики и скрепки, на средства производства, на технику, на любого рода услуги от подрядчиков, на корпоративный кофе в общую кухню с целью найти несоответствие цен среднерыночному уровню (который определяется по двум верхним позициям на прайс.ру) и предложить своего «нормального» поставщика («Вася с моего взвода!»). ОН, кстати, совершенно точно при отказе внедрять видеонаблюдение или СКД собственными силами, сочтет и назовет вас некомпетентным (на степени CCNP и MCSE — похуй). И обязательно должит «куда надо».

ОН даже в офисе на 30 рыл умудрится разрастить свой отдел человек до 5-ти (ну а хуле, САМ что-ли делать все будет?… Тут, в первую очередь, компетенций не хватит, во вторую — времени). ОН точно заебет всех и вся своей навязчивостью и дотошностью даже в самых малых вопросах, согласно собственным симпатиям, добьется увольнения нескольких полезных сотрудников.

У НЕГО короткая стрижка и неплохая осанка. ОН однозначно служил в армии или ментовке, причем, лет 10-20.

ОН, кстати, долбоеб.

Навеяно парой проектов, многочисленными повествованиями коллег и собственным давним опытом.

Default , , , , ,