18 Сентября, 2013

Следуйте рекомендациям!

Роман Идов
Существуют тысячи рекомендаций по информационной безопасности, выпущенных разными организациями. Понятно, что следовать каждой из них просто физически невозможно, но можно хотя бы постараться выбрать те из них, которые позволяют избежать максимально возможного числа ИБ-проблем и при этом сэкономить силы и деньги.
По моему глубокому убеждению, хороший безопасник всегда находится в поиске подобных рекомендаций, чтобы почерпнуть в них какие-то свежие идеи, которые могут пригодиться ему для расширения собственных требований к ИБ в компании, ну, или, во всяком случае, позволят узнать, что требуют от системы обеспечения ИБ его коллеги в других компаниях и даже странах.
К чему это я? К тому, что моя личная копилка подобных документов пополнилась новыми рекомендациями, что называется, Made in France:
Газета L'Express опубликовала меморандум, поступивший якобы от Кристофа Шонпи (Christophe Chantepy), руководителя аппарата премьер-министра Франции Жана-Марка Айро (Jean-Marc Ayrault), в котором приведены рекомендации членам правительства страны о безопасности использования мобильных телефонов.
Подробнее: http://www.securitylab.ru/news/444607.php
Сами рекомендации выглядят так:
• Пользоваться личными устройствами в корпоративных целях (BYOD) запрещено
• Вместо мобильных телефонов для голосовой связи нужно использовать стационарные, которые защищены технологией Thales' TEOREM
• Перед использованием смартфонов для чего либо, их необходимо защитить с технологиями ANSSI
• В ANSSI позаботятся о том, чтобы все данные были зашифрованы
• От TXT документов необходимо отказаться
• Данные даже низших уровней секретности необходимо передавать по безопасной электронной почте
• При поездке министра заграницу, его компьютер и телефон должны всегда находиться в одной комнате с ним
• Пароли должны состоять из 12-ти символов, среди которых буквы и цифры. Каждые 6 месяцев пароль нужно менять, на личных и рабочих устройствах должны использоваться различные комбинации
• Не нужно открывать вложения, если в их безопасности есть сомнения
Что могу сказать по их поводу? На мой взгляд, рекомендации вполне себе здравые. Особенно мне нравится запрет BYOD, который почему-то боятся вводить большое количество компаний и госорганизаций во всем мире, чтобы, не дай Бог, не обидеть ненароком "инициативных" работников, главная инициатива которых как раз и заключается в принесенном на рабочее место собственном устройстве.
Впрочем, среди хороших рекомендаций есть одна, которая мне не очень нравится. Она касается паролей. Посмотрие: если у них есть защищённые телефоны (а об этом нам говорят пп. 3 и 4 списка), топочему бы не организовывать двухфакторную аутентификацию? Почему бы кроме пароля (который меняется почему-то всего лишь раз в 6 месяцев) не обязать их использовать аппаратный токен и подтверждение по СМС? Хочешь работать - вставь токен, потом сможешь ввести пароль, после которого введёшь код из СМС. Думаю, что никто здесь не станет возражать, что такая схема будет куда эффективнее и безопаснее, чем так, которую предлагают сами французы.
Напоследок предлагаю немного пофантазировать. Давайте предположим, какие пункты будет включать список для наших министров? Жду ваших мнений в комментариях.
или введите имя

CAPTCHA
Voroshek
18 Сентября, 2013
Ну первый пункт любой дурак угадает: "Использовать устройства только отечественного производителя"
0 |
  • Поделиться
  • Ссылка
Местный
18 Сентября, 2013
Угу, причем потом окажется, что производитель один, каждое устройство - как автомобиль, а по возможностям - хуже первого айфона.
0 |
Сергей
19 Сентября, 2013
Не факт, Код безопасности выпустил защищенный планшет с Android, вроде работает. Заплатят им по больше и будет им мобилка с поддержкой шифрования гост
0 |
Captain Obvious
19 Сентября, 2013
Причем не просто один, а при ближайшем рассмотрении еще и китайский
0 |
Gloria
19 Сентября, 2013
Пароль
Лично меня всегда смущала рекомендация о смене пароля. Если он надежный, то зачем его менять? Если его украли, то бессмысленно менять его через 6 месяцев (через 1 месяц), ибо вор воспользуется им через 5 минут. А вот часто меняя пароли, можно запутаться. С другой стороны, недавно была удивлена, обнаружив, что та же Яндекс.почта не дает задать пароль длинее 20 символов.
0 |
  • Поделиться
  • Ссылка
Местный
19 Сентября, 2013
Вот и пользуйтесь гуглом, а не яндексом. Там двухфакторная аутентификация есть.
0 |
Gloria
19 Сентября, 2013
Да какая разница, хоть трехфакторная. Даже псевдослучайный пароль из 20 символов обычный противник не сломает, а спецслужбы и заморачиваются не будут, так как им и без паролей отдадут переписку хоть Гугл, хоть Яндекс. Если уж Вы хотите полностью обезопасить себя, шифруйте почту стойкими алгоритмами на своем собственном компьютере и затем посылайте. Но уверены ли Вы в своем корреспонденте?
0 |
чепчерицо
19 Сентября, 2013
Была волна на тему плагинов и прочих аддонов, чтобы иметь возможность через gmail слать зашифрованную почту. Думаю, до поры-до времени это будет работать. Но как только что-либо выйдет в массы, те же АНБ этим заинтересуются. Достаточно вспомнить всплывшую свежую историю про BitLocker.
0 |
Gloria
19 Сентября, 2013
Что касается BitLocker, то с ним было все ясно с самого начала, разве нет? Слишком большое количество аддонов и прочих плагинов тоже наводит на определенные размышления. Дело может быть даже не в закладке, а в непредумышленной ошибке при реализации. На многочисленные программы квалифицированных проверяльщиков кода не хватит. Я бы рекомендовала пользоваться консервативным решением PGP (а еще лучше gpg. Дешево и сердито).
0 |
Владимир
20 Сентября, 2013
рекомендации рекомендациии... Эх... термо-ректальный криптоанализ еще никто не отменял... и Вы как тру безопасники должны это знать....
0 |
  • Поделиться
  • Ссылка
Ололо
20 Сентября, 2013
О да! как же мы могли забыть основу основ профильного обучения по ИБ!
0 |
mattgrow
20 Сентября, 2013
Второй пункт заставляет задуматься - вместо мобильных телефонов нужно использовать стационарные! - не рекомендуется, А НУЖНО! собственно, зачем им тогда телефон то нужен, если они саму функцию переговоров по нему искореняют. Раздать всем французам по ноутбуку.
0 |
  • Поделиться
  • Ссылка