Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 6 След.
RSS
Защита от своих
 
Ну все, пошел разговор ни о чем.

А "работник, разгласивший информацию" это называется "поздно пить Боржоми".
Не так уж важно, по этой статье Вы его уйдете или выберете более надежную, или еще как счеты сведете, т.к. даже если за решетку посадите это не сделает разглашенную информацию обратно тайной. И про возмещение ущерба забудьте, т.к. это 3000 лет % с его зарплаты. Разве что другим в назидание. То есть наказывать его, конечно, все равно надо, но это уже роспись в провале.
Вот радио есть, а счастья нет. (с) Ильф
 
Олег, не увидел вывода в статье.
Также не увидел ответа по оценке эффективности служб и систем ИБ.
Было бы хорошо показать шаги по сокращению количества инсайдеров и инцидентов в организации.
 
Цитата
Сергей Кильдюшев пишет:
Олег, не увидел вывода в статье.

Сергей, вывод в статье все же есть, посмотрите самый конец статьи (перед диаграммой)
Цитата
Гость пишет:
Также не увидел ответа по оценке эффективности служб и систем ИБ.

Это отдельная и очень серьезная тема. В форуме уже поднимался этот вопрос посмотрите предыдущие ответы

Цитата
Сергей Кильдюшев пишет:
Было бы хорошо показать шаги по сокращению количества инсайдеров и инцидентов в организации

Основные шаги во второй части статьи также перечислены
 
Цитата
Ригель пишет:
То есть наказывать его, конечно, все равно надо, но это уже роспись в провале.

Вот, вот именно такую цель я ставил на мероприятие упомянутое в статье. Это было в 2000 году. К тому времени, уже просто надоело бить по пяткам, разматывать клубки инцидентов с утратой информации, которые произошли 2 - 3, а то и больше месяцев назад. Их были сотни, выявлялись десятки, а при недостаточной компетенции и вовсе единицы. Изобретательность нарушителей, пусть даже и невольных границ не знает...Однако, надоело. Хотелось продемонстрировать руководству, как информация утекает прямо в онлайне, показать над чем нужно работать. И не бить по пяткам, а реально пресекать утечку. Показать то,  это я показал.  Но дальше что? Красиво, эффективно все, работает результативно. Но единого  понимания в нужном масштабе все равно нет. Так, к сожалению и не смогли на других флотах повторить данное мероприятие. А оно (мероприятие) не должно быть разовым, сиюминутным, устрашающим. Оно в принципе должно быть для рядового пользователя и вовсе незаметно, должно  входить составной частью в систему, в процесс защиты информации...
Но реально в отдельно взятой организации включая все ее филиалы построить такую систему можно, причем на 70% она будет из организационных мероприятий и только на 30% технических.
 
В современных источниках информации нет материалов, которые охватывают
весь комплекс проблем ИБ. Это обусловлено тем, что многие авторы
ставят перед собой цель не показать сообществу инструмент решения
проблем, а прорекламировать себя. Мы все знаем и умеем, обращайтесь с нами,
за деньги любые прихоти… В современном обществе нет одного единственного и
правильного решения, нет единой концепции корпоративной безопасности.
В связи с этим каждая служба ИБ видит и понимает это по своему, опираясь на
собственный опыт и открытые источники. Кроме того, нет одинаковых организаций. Разная
культура, миссия, цели и ценности. В связи с этим, я предлагаю не
останавливаться на достигнутом. Предлагаю обсудить с автором возможные
материальные и нематериальные составляющие по оценке эффективности.
Поговорить о том, на что нам нужно обратить внимание для большей
вовлеченности и мотивации персонала. Олег, я предлагаю подготовить
тезисы по следующим тематикам и обозначить коллегам возможность обсуждения
по данным проблемам вне форума. Готов оказать любую помощь и
содействие в пределах СПБ.
 
Цитата
chinga пишет:
Мне кажется, это "пока" надолго затянется

 Насколько я помню, третью часть стандарта как раз по метрикам должны принять в 2007 году.

Цитата
chinga пишет:
Хоть стандарт и не панацея, но внедрять-то его надо (если Родина ,говорит, надо

 А кто говорить надо? ФСТЭК его перевел, но пока не сделал ГОСТом. К тому же ГОСТы у нас уже не являются обязательными. Особенно в области безопасности.

Цитата
chinga пишет:
стандарт все-таки оперирует своими понятиями, одно из ключевых - это риск

 А зачем к нему привязываться, к этому стандарту? Он что, панацея? И почему все так с риском носятся? В безопасности эта маркетинг и не более, который к реальной жизни мало применим. Вот например, читаю статью вчера про управление рисками. Там написано системы управления рисками очень важны, т.к. собирают статистику от разных средств защиты и на основе этого можно сделать вывод, какие ресурсы надо защищать в первую очередь, а какие - во вторую. А после этого уже можно экономить на безопасности. Класс!!! Только вот чтобы начать экономить, надо закупить кучу систем защиты, с которых собрать статистику.
 Или другая рекомендация. Соберитесь с руководителями бизнес-единиц и оцените риски и стоимость потенциального ущерба. На словах легко, а на деле кто-то это делал? А руководитель бизнес-единицы может оценить потенциальный ущерб? А почему вообще кто-то считает, что потенциальный ущерб может перейти в реальный? А может не перейдет? А зачем тогда тратить деньги?

Цитата
chinga пишет:
безусловно, хорошо, но малоформализуемо и вряд ли может считаться сколь-нибудь серьезным аргументом для аудитора

 А зачем это формализовать? Основная задача - доказать руководству важность процесса управления безопасностью (рисками) и заставить его задуматься насчет инвестиций в него. Все! Для этого все честные средства хороши.
Luka
 
Цитата
Олег Кузьмин (Alkor) пишет:
Послужив старшим офицером по ИБ Северного флота, а потом ведущим инженером ИБ, главным администратором ИБ в крупных и средних компаниях

Олег, можно вопрос? До 2002 года вы были кадровым офицером ВМФ. А сколько мест работы вы сменили после этого?
Luka
 
При уволнении АДМИНИСТРАТОРА.
1. МОЛИТЬСЯ И НАДЕЯТЬСЯ НА ПОРЯДОЧНОСТЬ УВОЛЬНЯЕМОГО
2. Сервер шифрования финансовых документов(ШФД)
2.1 немедленно изъять ТМ и передать второму администратору
2.2 дискеты и дистрибутивы передать второму администратору
2.3 в течение суток назначить нового администратора
2.4 в течение суток сменить идентификатор и пароль
2.5 Документация Сервера ШФД – передать под роспись второму администратору, в том числе проверить журнал экспл.
3. Системы «Банк-Клиент»
3.1 Изъять ТМ и передать замещающему
3.2 Сменить ВСЕ пароли, в том числе операторов
3.3 Рекомендовать клиентам сменить свои пароли
3.4 Изъять и проверить документацию
3.5 Изъять и проверить дистрибутивные пакеты
3.6 Изъять и проверить журналы эксплуатации
4. ЭЦП
4.1 СМЕНИТЬ ВСЕ ЭЦП ПЕРВЫХ ЛИЦ – в первоочередном порядке
4.2 Если есть личные ЭЦП, все немедленно изъять, составить акт уничтожения
4.3 Сменить пароли всех офисных (нефинансовых) ЭЦП
5. По журналу средств учета инф. защиты – установить наличие и актуальность всего, что перечислено. Оформить акты об изъятии-передаче. Сменить ВСЕ пароли доступа к этим средствам.
5.1 Особенно касается дискет ключевания финансовых документов
5.2 Особенно касается ЭЦП
5.3 Особенно касается систем защиты (Сервер ШФД и системы Банк-Клиент)
6. Идентификаторы и пароли
6.1 Установить, администратором чего являлся – перечень всех систем.
Особенно касается:
6.1.1 Сервер ШФД
6.1.2 Системы «Банк-Клиент»
6.1.3 идентификаторы и пароли средст систем доступа,
6.1.4 идентификаторы и пароли администраторов и пользователей базы данных
6.1.5 пароль Root и администратора NT
6.1.6 Сменить все пароли всех систем во всех РКО
6.1.7 Идентификаторы и пароли администраторов Сети
6.1.8 Системы обмена фин. данными с отделениями, обслуживающими юрлиц – сменить все пароли
все это сменить в течение суток
6.2 Для всех этих систем назначить новых администраторов в течение суток
6.3 В течение суток сменить пароли и, по возможности, идентификаторы
6.4 Изъять и вскрыть резервировные пароли. Новые ответственные резервируют новые пароли.
7. Электронные данные
7.1 Пересчитать контрольные значения хэш-функций всего ПО, включая отделения, по журналу учета ПО.
7.2 Сотрудник, принимающий дела, должен убедиться, что важные электронные данные на серверах, отделений и персональных компьютерах отдела в целости и сохранности. Это касается баз данных, систем архивации и архивов, служебной информации, особенно учетной информации. Особенно базы данных. Особенно баз данных в РКО.
7.3 Все начальники подразделений обязаны убедиться в абсолютной ЦЕЛОСТНОСТИ и ДОСТУПНОСТИ информации на своих компьютерах. Не должно быть неизвестных и «ничьих» паролей.
7.4 Проверить ВСЕ компьютеры в отделении на предмет наличия несанкционированного ПО.
7.5 ПРОВЕСТИ ГЛОБАЛЬНУЮ АНТИВИРУСНУЮ ПРОВЕРКУ БАНКА
7.5.1 ВСЕ персональные компьютеры.
7.5.2 Все дистрибутивные пакеты ПО
7.5.3 Все носители архивной (резервной) информации, а также ВСЕ используемые съемные носители
8. Уничтожить все личные идентификаторы (сеть, АБС, системы защиты и т.п.).
9. Убедиться, что в системе регистрации в сети, на важных АБС, в том числе в филиалах, особенно в РКО, не появилось «левых» идентификаторов.
10. Убедиться, что на серверах и компьютерах отдела ИТ, других отделов не стала вдруг включенной система удаленного доступа (RAS)
11. Архивы.
11.1 Изменить пароли доступа к местам хранения всех электронных архивов
12. Документация
12.1 Изъять (передать под роспись) конфиденциальные документы
12.2 Информационная схема – бумажные копии и электронные данные.
12.3 Подшивка заявок на выделение инф. ресурсов.
12.4 Журналы (инструктажа, учета средств инф. защиты и т.п.)
12.5 Все прочие документы и журналы
13. Инсталляционные пакеты программ
13.1 Установить полный список по журналу учета ПО, проверить целостность всех дистрибутивов.
13.2 Передать по акту дистрибутивы, особенно дистрибутивы Сервера ФШД и дистрибутивы Банк-Клиент

Шо ты орешь! Ты - молись! © Жванецкий.
 
Все изложенное в предыдущем посте необходимо прозвести не по окончании двух недель отработки, а сразу, как только стало известно о намерении уволиться...

Увольняемый пусть ходит на работу и сидит в холле, смотрит телевизор. Можно и вообще его не пускать на работу. Через две недели или сразу выдать расчет и трудовую. Все.
 
Цитата
Сергей Кильдюшев пишет:
В современных источниках информации нет материалов, которые охватывают весь комплекс проблем ИБ

Только их перечесление выйдет за формат стандартной статьй (8-16 КБайт). Соотсветсвенно - а нужно ли это?
Вообще сомневаюсь, что один человек в состоянии _адекватно_ разобраться в этой петрушке. Если только на ооочень высоком уровне абстракиции.

Л
Цитата
Алексей Лукацкий пишет:
ФСТЭК его перевел, но пока не сделал ГОСТом.

Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 года N 447-ст утвержден и вводится в действие с 1 января 2007 года ГОСТ Р ИСО/МЭК 17799-2005.
 
Цитата
Алексей Лукацкий пишет:
Олег, можно вопрос? До 2002 года вы были кадровым офицером ВМФ. А сколько мест работы вы сменили после этого?

Алексей, это не секрет. С декабря 2001 года, в данный момент я работаю в третьей компании, начиная с должности ведущего инженера ИБ и выше. Однако, в связи с имеющимися в некоторых организациях проблемами в области ИБ, помогал их решать без отрыва от основной деятельности по просьбе  руководства этих компаний (это, кстати было и в последние годы службы). В предлагаемой статье примеры нарушений ИБ из третьих компаний,  а также компаний, являвшихся официальными клиентами по ИБ мною не приводятся. Вместе с тем, сделанные мною выводы учитывают в своей основе ситуацию в области ИБ в данных компаниях.  Кроме того, я занимался расследованиями по поводу возникших проблемных ситуаций  и с  пользователями домашних ПК (по просьбе их владельцев).
Алексей, я много читал написанных вами материалов и глубоко уважаю вас как профессионала, хотелось бы по возможности пообщаться лично.
 
Цитата
Сергей Кильдюшев пишет:
Поговорить о том, на что нам нужно обратить внимание для большей
вовлеченности и мотивации персонала. Олег, я предлагаю подготовить
тезисы по следующим тематикам и обозначить коллегам возможность обсуждения
по данным проблемам вне форума.
Прошу откликнуться, всех, кому это тоже было бы интересно. Можно на мой E-mail или в форуме.
 
Цитата
Гость пишет:
Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 года N 447-ст утвержден и вводится в действие с 1 января 2007 года ГОСТ Р ИСО/МЭК 17799-2005.

Забавно, учитывая, что мы только летом этого года давали на него заключение. А оказывается уже в прошлом году его утвердили. Но все равно, спасибо за информацию.
Luka
 
Цитата
Гость пишет:
Увольняемый пусть ходит на работу и сидит в холле, смотрит телевизор. Можно и вообще его не пускать на работу. Через две недели или сразу выдать расчет и трудовую. Все.
Думаю, это будет правильно, только в том случае, если человека увольняют внезапно по инициативе руководства. В остальных случаях, подготовка к увольнению у любого человека наблюдается заранее (скажем месяца за два), времени взять все, что еще может пригодиться предостаточно. "Профессиональный" инсайдер вообще регулярно выносит все доступное (и нужное на его взгляд) ему для сохранения на домашний компьютер, примерно как резервное копирование, это выглядит. Так, что в случае, когда никуда не пускать его не будут, он в принципе не получит только самой последней информации.
 
Цитата
Гость пишет:
Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 года N 447-ст утвержден и вводится в действие с 1 января 2007 года ГОСТ Р ИСО/МЭК 17799-2005.

А 27001? Его переводили примерно в тоже время.
Luka
 
Цитата
Алексей Лукацкий пишет:
А 27001? Его переводили примерно в тоже время.
Обознатушки-перепрятушки! 27001 пытались переводить одновременно с ISO 17799:2005, а принятый ГОСТ Р ИСО/МЭК это ISO 17799:2000.
Вот радио есть, а счастья нет. (с) Ильф
 
По поводу оценки эффетивности работы отдела ИБ и, соответственно, влияния системы ИБ на бизнес. Ведь никто не отменял финансовые показатели (ROI, ROR, ROA, KPI, BSC и т.д.), вполне формализованные по расчету, количественные. Опять таки, при оценке использовать опыт по внедрению средств защиты других компаний, адаптируя его к своему бизнесу.
 
пробовали?
 
Цитата
Ригель пишет:
27001 пытались переводить одновременно с ISO 17799:2005, а принятый ГОСТ Р ИСО/МЭК это ISO 17799:2000.

Ах вот оно что... Меня смутило число 2005 в ГОСТ Р ИСО/МЭК 17799:2005. Теперь все встало на свои места.
Luka
 
Цитата
Онанимус пишет:
> Простой вариант, придуманный давно и не нами, - обходной лист.
> Только подписанный всеми инстанциями обходной лист дает
> основание отделу кадров выдать сотруднику трудовую книжку.

обходной лист можно использовать в сортире по назначению,
трудовую - подарить на память РАБотодателю (новый бланк стоит 100 руб.),
а расчет получить через суд (или некоторые досудебные процедуры).
любители трудовой дисциплины - вешайтесь.

Каменный век какой-то...
В нормальной конторе как только сотрудник принес заяву на подпись своему руководителю непосредственному, тот сразу же может заблокировать ему доступ к критичным ресурсам (через внутренний электронный документооборот - заявка администратору на изменение прав доступа). Ну а уж проставление в системе учета персонала признака "уволен" автоматически блокирует ВСЕ учетные записи индивида во всех системах.
Да, чтобы это реализовать, нужно лапами пошевелить и извилинами. Но один раз. А потом жить относительно спокойно...
Страницы: Пред. 1 2 3 4 5 6 След.
Читают тему (гостей: 1)