В январе я написал заметку про революцию в деятельности корпоративных служб ИБ; потом из нее выросла целая статья для февральского номера журнала "IT Manager". В ней я писал о том, что очень много потребительских технологий (BYOD, Dropbox, Google.Docs, соцсети и т.п.) приходит в корпоративную среду и это надо учитывать службам информационной безопасности. Но ведь существует и обратное движение.
Достаточно вспомнить, что лет десять назад у многих дома был только один компьютер и больше никаких иных IP-устройств не присутствовало. Время шло, благосостояние росло, число устройств увеличивалось. Свой компьютер, компьютер супруга (супруги), компьютер детей, планшетник (а то и на каждого члена семьи), смартфон (и тоже на каждого члена семьи), хранилище файлов, видео, музыки, мультимедиа-центр, игровые приставки... Кто-то идет дальше и обустраивает дома систему видеонаблюдения (CCTV), подключает к Интернет холодильник, кофеварку, пианино (для скачивания новых мелодий и прошивок). Устройство много и все они разные. Как и разная на них информация хранится, доступ к которой имеют разные категории пользователей для решениях различных задач.
Я попробовал набросать простейшую матрицу доступа с указанием информационных активов и субъектов доступа. Получилась такая картина (желтый означает открытый доступ, зеленый - есть материалы как в открытом, так и в закрытом доступе, синий - доступ ограничен):
Разумеется, у вас может получиться иная картина. Например, отсутствующие соседи (а иногда, в дружных домах, на этаж шарится какое-нибудь файловое хранилище с музыкой и фильмами). Или запрет подключения к внутренним ресурсам всех, кроме членов семьи, подразумевающий отсутствие друзей в качестве субъектов доступа. Интернет в качестве субъекта доступа выделен неслучайно - нередко организуется доступ к каким-либо внутренним ресурсам извне (например, в рамках пирингового взаимодействия). Ну и категоризация информационных активов тоже может быть иной.
Но вышеприведенная матрица достаточно высокоуровнева - ее надо транслировать на имеющиеся в квартире/на даче устройства и прописать между ними информационные потоки. Получается вот такая картина (черный означает полный запрет взаимодействия, зеленый - взаимодействие может быть ограниченным, желтый - взаимодействие разрешено).
Очевидно, что тут не полный перечень объектов доступа. Не хватает сетевого оборудования (маршрутизаторы, коммутаторы, а также точки беспроводного доступа), игровых приставок, принтера, сканера, да много ли еще чего. Например, в загородном доме может быть интерфейс для управления системой жизнеобеспечения дома через Интернет. А у продвинутых пользователей и бытовая техника может быть привязана к Интернет. Например, у Cisco есть такая штука как Home Energy Controller, который позволяет управляет "домашней АСУ ТП" и отслеживать все ключевые показатели деятельности домашних потребителей энергии; в т.ч. и через Интернет.
И вот тут возникает вопрос с защитой и самих информационных активов и обрабатывающих их объектов и с контролем доступа всех возможных субъектов. Ведь по сути наша квартира - это мини-версия корпоративной сети - разные устройства, разные пользователи, разные задачи, разные сегменты... А угрозы те же! Значит и методы защиты должны быть те же. Денег на дорогостоящие средства ИБ для дома обычно нет и приходится выкручиваться за счет правильно выстроенного дизайна домашней сети, настройки сетевого оборудования, активного задействования встроенных механизмов защиты. Очень интересный опыт, полезный.
ЗЫ. Хотя у многих безопасников ничего такого дома нет ;-) Сапожники без сапог ;-(
Достаточно вспомнить, что лет десять назад у многих дома был только один компьютер и больше никаких иных IP-устройств не присутствовало. Время шло, благосостояние росло, число устройств увеличивалось. Свой компьютер, компьютер супруга (супруги), компьютер детей, планшетник (а то и на каждого члена семьи), смартфон (и тоже на каждого члена семьи), хранилище файлов, видео, музыки, мультимедиа-центр, игровые приставки... Кто-то идет дальше и обустраивает дома систему видеонаблюдения (CCTV), подключает к Интернет холодильник, кофеварку, пианино (для скачивания новых мелодий и прошивок). Устройство много и все они разные. Как и разная на них информация хранится, доступ к которой имеют разные категории пользователей для решениях различных задач.
Я попробовал набросать простейшую матрицу доступа с указанием информационных активов и субъектов доступа. Получилась такая картина (желтый означает открытый доступ, зеленый - есть материалы как в открытом, так и в закрытом доступе, синий - доступ ограничен):
 |
| Информационные активы и субъекты доступа |
Но вышеприведенная матрица достаточно высокоуровнева - ее надо транслировать на имеющиеся в квартире/на даче устройства и прописать между ними информационные потоки. Получается вот такая картина (черный означает полный запрет взаимодействия, зеленый - взаимодействие может быть ограниченным, желтый - взаимодействие разрешено).
 |
| Объекты доступа |
Очевидно, что тут не полный перечень объектов доступа. Не хватает сетевого оборудования (маршрутизаторы, коммутаторы, а также точки беспроводного доступа), игровых приставок, принтера, сканера, да много ли еще чего. Например, в загородном доме может быть интерфейс для управления системой жизнеобеспечения дома через Интернет. А у продвинутых пользователей и бытовая техника может быть привязана к Интернет. Например, у Cisco есть такая штука как Home Energy Controller, который позволяет управляет "домашней АСУ ТП" и отслеживать все ключевые показатели деятельности домашних потребителей энергии; в т.ч. и через Интернет.
И вот тут возникает вопрос с защитой и самих информационных активов и обрабатывающих их объектов и с контролем доступа всех возможных субъектов. Ведь по сути наша квартира - это мини-версия корпоративной сети - разные устройства, разные пользователи, разные задачи, разные сегменты... А угрозы те же! Значит и методы защиты должны быть те же. Денег на дорогостоящие средства ИБ для дома обычно нет и приходится выкручиваться за счет правильно выстроенного дизайна домашней сети, настройки сетевого оборудования, активного задействования встроенных механизмов защиты. Очень интересный опыт, полезный.
ЗЫ. Хотя у многих безопасников ничего такого дома нет ;-) Сапожники без сапог ;-(
