Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Главная угроза безопасности банков - их сотрудники, заявляют в ЦБ РФ
 
Обсуждение статьи Главная угроза безопасности банков - их сотрудники, заявляют в ЦБ РФ
 
главная угроза автомобилям - их водители
 
Интересно, а о каких банках идет речь. В тех, о каких я знаю - отличная регламентирующая документация (все никак не выпрошу :-) ), драконья СБ и жесткий контроль юзеров. А ЦБ (насколько мне известно) уделил очень много внимание серверному сектору, тут они выше всяких похвал, а вот на юзерский забили, теперь огребают.
 
> Ожидается, что первый документ из этой серии появится летом 2004 года.

Ну что ж, будут теперь еще одни проверяющие шляться по банкам и мешать работать. А потом сразу возникает подозрение что это будет не стандарт, а очередная инструкция ... Причем все как обычно будет разрабатываться втихую, силами самых крутых спецов из ЦБ.
 
и опять у них ничего толкового не получится )))
 
ггг )) ЦБ начал ))

еще в начале 2003 года консорциум российских банков направил в ЦБ письмо ))) потому как этот вопрос волновал больше их. ЦБ как представитель гос-ва ессно заинтересованы в участии )) тут же приплетут гостехкоммисию которая и будет осуществлять лицензирование и тп )))

177992002 пока все-равно не собираются вводить ))) пока я только о BSI слышал в ряде банков...

а насчет внутренних сотрудников так это характерная ситуация для всех ИС

еще статистика 2001 года говорила что 80% взломов/инцидентов/нарушений политики ИБ шла со стороны внутренних пользователей ресурсов ИС
 
17799 планируется вводить в России достаточно скоро. Об этом уже не раз говорилось представителями Гостехкомиссии на разных конференциях.
Luka
 
Цитата
XAlone пишет:
А потом сразу возникает подозрение что это будет не стандарт, а очередная инструкция

Нет, речь идет именно о стандарте на банковскую безопасность.
Luka
 
> 17799 планируется вводить в России достаточно скоро. Об этом уже не раз говорилось представителями Гостехкомиссии на разных конференциях.

А "достаточно скоро" на сколько меньше по сроку чем "не раз говорилось" ? Когда реальные сроки не называются - это вызывает тихую грусть ... И потом очень интересно посмотреть на 17799 после его адаптации к местным российским условиям.

А про стандарт и инструкцию, может я не так сказал, но для меня стандарт - это шкала оценки объекта, соответствует он требованиям этого стандарта или нет (кстати интересно, что если не соответствует или соответствует не полностью ? и кто будет определять это соответствие ?). Как этот объект добъется этого соответствия - его внутреннее дело. А инструкция - это шаг влево, шаг вправо : расстрел на месте.
 
Инструкции зачастую пишутся до безобразия непродуманно, например:

1. Пользователь должен менять пароль на биос еженедельно и сообщать его системному администратору и никому более.
(Вроде логично)
2. При отсутствии пользователя на рабочем месте по причине болезни, отпуска, командировки назначается сотрудник, работающий на его компьютере со специфическими приложениями под своей учетной записью.
(Вроде тоже логично, взять тот же клиент-банк).

А теперь бяда, юзер заболел. Пароли по телефону запрещено передавать под страхом паяльника в Zопе! У кого есть пароль? Правильно, у админа. Кто пойдет перетачивать рабочку под нового юзера? Правильно, сервисный инженер. И вот сервисник приходит к админу и просит бивисный пароль. Два варианта:
1. Админ парольку отдал сразу. (вроде все быстро и замечательно, если сервисник не злодей)
2. Админ угробил полчаса на проверку инфы, убедился, что сервисник не злодей и дал парольку. Секурность соблюдена, но полчаса - это полчаса. И если сервисник придет на машину с клиент-банком в 14.01, то нахрен он кому там нужен...

Вроде бы оба пункта логичны, а в результате...

Уж лучше нормальный стандарт... Недавно присутствовал при совершенно тупейшей ситуации: весьма грамотного админа вышибли в пинки, потому что в логах на серваке (Вин2к) было более двух красных значков!
 
to koras>
Ну не всегда доходит до той ситуации, которую вы описали. Допустим, если сервер сконфигурирован правильно и все пользователи там прописаны, правда с разными правами, то это не проблема, добавить прав на уже существующего пользователя. Все проведенные операции логируются за тем, кто сидит за компом. Информация о юзверах на сервере. А если человек не прописан на сервере, то зачем его вобще на клиентскую машину пускать. У нас в корпорации так было. Я мог с любого компа зайти под своим именем. Весь и-нет трафик пишется на меня и почта автоматически на меня настраивается. Ничего сложного, просто сконфигурировать нужно правильно.
 
2 koras - ты человек неглупый, но суждение у тебя немножко делитанское (сорри, недеюсь не обидел). ту ситуацию, которую ты описал, разруливают горазду проще и не надо никаких 30 минут. все описано в нормативных документах а разрабатывают их отньть неглупые люди... вся беда только (это и к статье) что возможно и разработают гос. стандарт (на самом деле разрабатывать ничего не будут а видимо речь идет об ассимиляции основных регламентов наиболее крупных банков. но учтити небольшую деталь, что к этому регламенту будет так же прилагатся и внутренний регламент, который будет являтся дополнением к основному документу, отражающий оссобенность пременения основного документа. и это, поверьте, нормальная практика.

2 Moonsoft - в общем нечто подобное предпринемается у нас, сейчас завершается тестирование и через пару годков система будет внедрена. и будет представлять консольную систему.

сотрудник Сбербанка.
 
Цитата
Moonsoft пишет:
to koras>
Ну не всегда доходит до той ситуации, которую вы описали. Допустим, если сервер сконфигурирован правильно и все пользователи там прописаны, правда с разными правами, то это не проблема, добавить прав на уже существующего пользователя. Все проведенные операции логируются за тем, кто сидит за компом. Информация о юзверах на сервере. А если человек не прописан на сервере, то зачем его вобще на клиентскую машину пускать. У нас в корпорации так было. Я мог с любого компа зайти под своим именем. Весь и-нет трафик пишется на меня и почта автоматически на меня настраивается. Ничего сложного, просто сконфигурировать нужно правильно.
Ты внимательно читал мой пост? Я писал про пароль на БИОС. Так что до входа в сеть дело не дойдет :-)
 
>2 koras - ты человек неглупый, но суждение у тебя немножко делитанское (сорри, недеюсь не обидел).

Не надейся, кина не будет :-)

>ту ситуацию, которую ты описал, разруливают горазду проще и не надо никаких 30 минут. все описано в нормативных документах а разрабатывают их отньть неглупые люди...

Рецепт, выдержку из нормативного документа, хоть чо-нить... Не люблю голословных утверждений. А про "неглупых людей", так раз на раз не приходится... :-)

>но учтити небольшую деталь, что к этому регламенту будет так же прилагатся и внутренний регламент, который будет являтся дополнением к основному документу, отражающий оссобенность пременения основного документа. и это, поверьте, нормальная практика.

Я знаю что такое "Корпоративный стандарт" не понаслышке. И знаю что такое "Реестр региональных поправок к корпоративному стандарту" тоже не понаслышке. И знаю какую гору бамаги надо придумать, что бы эти поправки просто согласились передать наверх. И, к сожалению, знаю, что случается, когда весьма специфическую региональную поправку какой-нить мYдак решает директивно включить в стандарт :-(. Посему я и высказался об общем уровне "специалистов" брошюрующих регламентирующую документацию.
 
> Рецепт, выдержку из нормативного документа, хоть чо-
> нить... Не люблю голословных утверждений. А
> про "неглупых людей", так раз на раз не
> приходится... :-)
извени, не могу... лучше быть голословным, чем уволенныем :(

Я знаю что такое "Корпоративный стандарт" не понаслышке. И знаю что такое "Реестр региональных поправок к корпоративному стандарту" тоже не понаслышке. И знаю какую гору бамаги надо придумать, что бы эти поправки просто согласились передать наверх. И, к сожалению, знаю, что случается, когда весьма специфическую региональную поправку какой-нить мYдак решает директивно включить в стандарт :-(. Посему я и высказался об общем уровне "специалистов" брошюрующих регламентирующую документацию.
^^^^
ты прав, но ты меня немножко не так понял...
ты говоришь об изменениях регламентов/порядков, т.е. после выхода регламента в первой редакции, сначало к нему выходят изменения/дополнения, потом по мере накопления этих изменений, регламент переиздается и называется <такой-то регламент> <редакция N>
ты я так понимаю этот процесс имел в виду...

а я имел в виду другое... понимаешь, когда разрабатываются настолько Глобальные вещи, то как правило самим этим регламентом предусмотрено, разработка на местах, дополнений к этому регламенту, которые не отменяют его моментов, а лишь отражают специфику того места где он применяется и называется он: "<номер регламента>, <редакция N> внутренний" (это все конечно примерная схема)

ну и по поводу качества... конечно оценка качества вещь, субъективная, но лично я для себя считаю, что основные регламенты по информационной безопасности, являют собой достаточно качественные и проработанный материал, по которому можно работать и ничего не будет сыпатся из рук.
меня все таки немного настораживает идея разработки общебанковского регламента, так как тут важен подход, и кто будет этим заниматся.. так как на нынешний момент, технологии по инф. безопасности являют собой оформившийся вид, и кардинальных вмешательств не требуют, а в данном случае, трудно предсказать результат.
т.е. унификация, вещь, безусловно полезная, да вот только зависит от очень многих обсоятельств...
 
><редакция N>
ты я так понимаю этот процесс имел в виду...

Нет, имелось ввиду, что выпускается обкончательный и бесповоВротный регламент корпорации. Сваливается на головы в регионы, а там к нему вносятся поправки "под себя". Эти поправки со скрипом утверждают, но обязательно найдется мYдак, к-рый чужую поправку "под себя" всунет еще и под тебя:-( Животрепещущий пример:
OWA (Outlook Web Access), надобен ли он?
 
Нет, имелось ввиду, что выпускается обкончательный и бесповоВротный регламент корпорации. Сваливается на головы в регионы, а там к нему вносятся поправки "под себя". Эти поправки со скрипом утверждают, но обязательно найдется мYдак, к-рый чужую поправку "под себя" всунет еще и под тебя:-( Животрепещущий пример:
OWA (Outlook Web Access), надобен ли он?

-----------
хмм я вообщем понял тебя, но ты описываешь IMO принцип воздействия без обратного механизма регулирования, мол вот упала перед Моисеем на песок доска с заповедями и все, никакой самодеятельности... но в банковской системе это не так. ибо эта бесхребетная и неманевренная махина не выжела бы в данных услоиях. существуют куча контролирующих и информирующих рычагов, как то сборы (обучения) когда центральное руководство прислушивается к мнениям и вопросам подчиненных и делают выводы (и это действительно так) либо как более жесткий вариант - ревизии, ну и естественно отчеты... и т.д. и т.п. т.е. фокус, что мол кто то там решил да и сделал поправку которая удовлетворяет интересы какого-то меньшинства сумевшего повлиять на верхушку, но обсалютно не отражающие интересы большинства - не пройдет. так как отлаженный механизм тут же начнет давать сбой. но стоит оговорится, что примерно такой механизм действует в государственных, либо окологосударственных банках, в коммерческих банках, мне известно, информационной безопасности уделяется куда меньше времени и сил, соответственно и уровень ее намного ниже, и вот у них то действительно будут проблемы при переходе, на гос. стандарт (если конечно от них это потребуется), но тут уже возникает вопрос контроля, кто этим будет заниматся и насколько качественно...
вообщем ясности по прежнему нет.
лично мне эта статья (по крайней мере представленной форме кажется полным бредом, так как та кроха информации в ней предоставленной, являет собой образец антирекламы, ибо что собственно будет предпринято, осталось за кадром.

а вообще от себя добавлю, что существующее положение действительно сложилось нелицеприятное, когда часть обязанностей по поддержанию информационной безопасности возлагается на обсалютно не компетентный персонал, и сделать с этим ничего нельзя, так как при приеме на работу нового человена, к примеру на должность бухгалтера от него будут требовать знание экономики, а не досканального знания компьютера... и пока существующее положение не изменится, информационная безопасность в банках, и оссобенно в отделениях, будет "слегка" прихрамывать
 
2 Mike: А зачем бухгалтеру досканально знать компьютер? Ему надо только уметь работать в своей бухгалтерской программе, а за безопасностью пускай админы следят - им за это бабки платят. Каждый должен заниматься своим делом, а иначе черти-что получится...
 
Цитата
satana пишет:
2 Mike: А зачем бухгалтеру досканально знать компьютер? Ему надо только уметь работать в своей бухгалтерской программе, а за безопасностью пускай админы следят - им за это бабки платят. Каждый должен заниматься своим делом, а иначе черти-что получится...

ИМХО
Если бухгалтер "сольет" по ошибке ли или по умыслу все деньги со счета организации, то секурити админ тут вряд-ли что-то сделать сумеет, потому как это не входит в его компетенцию.

Тоже самое и с контрактами, админ ни-при-чем если в контракте есть "щель", которая образовалась после ошибки ворда, которую не заметили, и через которую поимели всю организацию с треском.

ИМХО
Ни одним, ни несколькими регламентным документом нельзя на 100% перекрыть "стыки" между отделами организации. Примеров, я думаю каждый может привести массу. А для того, чтобы это работало на 99,9 необходимо:
1) В первую очередь здравомыслящее профессиональное руководство
2) Команда(коллектив), что подразумевает в любой ситуации решение вопроса "Что делать?", а не "Кто виноват?(поиск стрелочника)".
3) Регламентная документация.
Однако это все-равно будет 99,9, а из всех бед случиться именно та, о которой забыли, и которая принесет максимальный ущерб =) (с) Законы Мерфи.
Хотелось бы, чтобы было как лучше. Однако боюсь, что получиться как всегда. =)
 
да, ваши разглагольствования по поводу бухгалтеров, весьма занятны... но вы хоть и выделили разделение обязанностей, но так и не сказали главного.
то что вы описали, достаточно простой пример, на котором можно иллюстрировать дейтельность организаций.
во первых. описанная Вами ошибка не принадлежит к "информационной", так как это несколько разные вещи...
кстати, нужно отметить, что пример с вордом - неудачный, так как если ошибка в Ворд документе, при составлении договора, это значит, что юрись просмотрел и он понесет ответственность. а вообще ms-word не фигурирует в средствах по оброботке платежной информации, а играет лишь роль инструмента по редактированию, при осуществлении деловой переписке, инструктирующей документации.

во вторых сама должность бухгалтера существует уже достаточно давно, и за то время, вся наиболее слабые стороны были обнаружены и укрепленны соответствующими мерами, как то, проверки, дополнительные формы, и т.д.

остальную информацию, по этому поводу, оставлю за кадром.
---
по поводу регламентов...
безспорно, регламентировать ВСЕ, не только невозможно, но и бесполезно, реальность нестоит на месте. но и люди пишущие регламенты, тоже недураки, так как при написании регламента, всегда "между строк" оставляется место для фактора - Х, и которая, позволяет немного маневрировать, в указанных рамках.
---

и в завершение, поделюсь своим выводом, касательно возможности или невозможности ограбить банк "изнутри"

конечно, как было оговорено в статье, случаи эти нет-нет да и происходят, но они настолько единичны, что слухи о реальной опасности (imho) сильно преувеличены.
ведь такая организация, как Сбербанк, состоит не из  управления, а из региональных представительств (филиалов) и именно они разбросанные по всей России, являются 99% Сбербанка. А как мне подсказывают наблюдения, что большая часть людей работающая в отделениях себрбанка является компьютерно-неграмотной. и угрозы информационной безопасности собой не представляет, по крайней мере "злого" умысла нет, остается только "по незнанию". Да, остается конечно угроза со стороны, наиболее просвященной в части компьютеров должностей, програмистов и инф. безопасности, но и тут не все так просто... во первых, на эти должности не легко попасть, ведт как известно, за "хакерство" уже есть определенные статьи, и лица злоупотребляющие этим делом, наерняка уже засвечены, а от "начинающих" хакеров, много вреда не будет, так как они быстро выдадут свои истенные намерения, своими неумелыми "опытами". ну а во вторых, внимание этим службам, со стороны управления уделяется немалое, и вывести на чистую воду - не составит труда.
Страницы: 1 2 След.
Читают тему (гостей: 1)