Сегодня хочу немного поговорить о "черных" и "белых" списках (касательно, конечно же, нашей любимой тематики - ИБ), и обсудить их эффективность в нежно любимой всеми нами отрасли. О распространенности этого решения ничего говорить не буду - о ней вы и сами не меньше моего можете рассказать. А вот эффективность обсудить всё-таки хотелось бы.
Вначале о "черных" списках. Суть их применения двояка: с одной стороны, она заключается в том, что однажды попавший в них за какую-либо оплошность сотрудник лишается возможности снова эту оплошность совершить. И это работает не только в рамках одной компании или организации, а в целом во всей отрасли. То есть, человек, вынесший какие-то секретные документы из банка, больше в банках работать не сможет. С другой стороны, это черные списки, например, сайтов, к которым нельзя получать доступ с рабочего места. Ну и других подобных вещей, в зависимости от компании.
Обе эти ипостаси чрезвычайно, на мой взгляд, эффективны при борьбе практически со всеми видами информационных угроз. Человек, оказавшийся инсайдером, больше не получит доступа к каким бы то ни было корпоративным или, тем паче, государственным секретам, а вредные сайты на работе просматривать вообще чревато увольнением.
Совсем другая ситуация с "белыми" списками. Это обычно относится к руководству организации. За ними нельзя следить с помощью DLP-системы, им доступны все документы и сайты... Белые списки сайтов тоже есть, в них значатся сайты, которые заведомо не могут содержать ничего плохого (но, как правило, при неблагоприятном раскладе всё равно могут нанести вред тем или иным способом).
"Белые" списки, в отличие от "черных", вредны. Они вредны как самой идеей о том, что кто-то может быть безопасен и безвреден, так и внедрением этой идеи в неокрепшие головы тех, кто от ИБ достаточно далёк (руководства организации, к примеру). Поэтому я считаю, что при первой же возможности необходимо исключать "белые" списки из практики службы безопасности, и максимально внедрять "черные".
Р. Идов,
аналитик компании SearchInform
