18 Сентября, 2013

Следуйте рекомендациям!

СёрчИнформ
Существуют тысячи рекомендаций по информационной безопасности, выпущенных разными организациями. Понятно, что следовать каждой из них просто физически невозможно, но можно хотя бы постараться выбрать те из них, которые позволяют избежать максимально возможного числа ИБ-проблем и при этом сэкономить силы и деньги.
По моему глубокому убеждению, хороший безопасник всегда находится в поиске подобных рекомендаций, чтобы почерпнуть в них какие-то свежие идеи, которые могут пригодиться ему для расширения собственных требований к ИБ в компании, ну, или, во всяком случае, позволят узнать, что требуют от системы обеспечения ИБ его коллеги в других компаниях и даже странах.
К чему это я? К тому, что моя личная копилка подобных документов пополнилась новыми рекомендациями, что называется, Made in France:
Газета L'Express опубликовала меморандум, поступивший якобы от Кристофа Шонпи (Christophe Chantepy), руководителя аппарата премьер-министра Франции Жана-Марка Айро (Jean-Marc Ayrault), в котором приведены рекомендации членам правительства страны о безопасности использования мобильных телефонов.
Подробнее: http://www.securitylab.ru/news/444607.php
Сами рекомендации выглядят так:
• Пользоваться личными устройствами в корпоративных целях (BYOD) запрещено
• Вместо мобильных телефонов для голосовой связи нужно использовать стационарные, которые защищены технологией Thales' TEOREM
• Перед использованием смартфонов для чего либо, их необходимо защитить с технологиями ANSSI
• В ANSSI позаботятся о том, чтобы все данные были зашифрованы
• От TXT документов необходимо отказаться
• Данные даже низших уровней секретности необходимо передавать по безопасной электронной почте
• При поездке министра заграницу, его компьютер и телефон должны всегда находиться в одной комнате с ним
• Пароли должны состоять из 12-ти символов, среди которых буквы и цифры. Каждые 6 месяцев пароль нужно менять, на личных и рабочих устройствах должны использоваться различные комбинации
• Не нужно открывать вложения, если в их безопасности есть сомнения
Что могу сказать по их поводу? На мой взгляд, рекомендации вполне себе здравые. Особенно мне нравится запрет BYOD, который почему-то боятся вводить большое количество компаний и госорганизаций во всем мире, чтобы, не дай Бог, не обидеть ненароком "инициативных" работников, главная инициатива которых как раз и заключается в принесенном на рабочее место собственном устройстве.
Впрочем, среди хороших рекомендаций есть одна, которая мне не очень нравится. Она касается паролей. Посмотрие: если у них есть защищённые телефоны (а об этом нам говорят пп. 3 и 4 списка), топочему бы не организовывать двухфакторную аутентификацию? Почему бы кроме пароля (который меняется почему-то всего лишь раз в 6 месяцев) не обязать их использовать аппаратный токен и подтверждение по СМС? Хочешь работать - вставь токен, потом сможешь ввести пароль, после которого введёшь код из СМС. Думаю, что никто здесь не станет возражать, что такая схема будет куда эффективнее и безопаснее, чем так, которую предлагают сами французы.
Напоследок предлагаю немного пофантазировать. Давайте предположим, какие пункты будет включать список для наших министров? Жду ваших мнений в комментариях.
comments powered by Disqus