Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3
RSS
Инсайдеры – ночной кошмар крупного бизнеса
 
Цитата
Ригель пишет:
Если бы Вы сообщили, что имеете в виду под таковыми технологиями, диалог был бы продуктивнее.
Хорошо, давайте попробуем.

Как вариант примера такой технологии - это централизованная система хранения корпоративных документов, которая дополнительно осуществляет и контроль доступа к этим самым документам.

И отсюда следует моё ЧАСТИЧНОЕ несогласие с:

Цитата
Вы опять ищете проникновение, только теперь внутреннее.
Первая загвоздка с инсайдерами в том, что это как раз легальные, правильные пользователи. Инсайдер - лицо, ИМЕЮЩЕЕ доступ к защищаемой информации в силу своих должностных обязанностей. Он инсайдером зовется не оттого, что находится внутри периметра, а внутри процесса.

На мой взгляд, Ва даёте определение только одного из видов инсайдеров (Если хотите - самого коварного их вида). Действительно, эффективность законной борьбы с такими инсайдерами является очень сомнительной. Но общее понятие термина 'инсайдер' IMHО шире.

Под руку попался Information Security Manager Handbook vol.1
В нём приводится, на мой взгляд, более удачное определение.

Вот его вольный перевод:
Инсайдеры. Их официальное присутсвие в организации даёт им потенциально неограниченный доступ к любой информации, в том числе и к ресурсам, доступ к которым по сути должен быть для них закрыт.

Если следовать вышеприведённому определению, то инсайдер - это уже не только лицо, непосредственно учавствующее в данном конкретном процессе/проекте и напрямую работающее над каким-либо секретным документом или с какой-либо важной информацией. Это ещё и лицо, которое, в силу своего служебного положения способно получать доступ к такой информации.

В примере с уборщицей всё ясно. Её иерархическое положение не даёт ей доступ к информации. И попытка получения такого доступа с её стороны будет выглядеть как явное внутреннее проникновение. Но как быть например с менеджером из соседнего отдела или сетевым администратором, если отсуствует чёткая упорядоченная и контролируемая система документооборота? Они официально работают с сетью и оба 'вхожи' в информационную систему компании. Как для них провести и контролировать грань между 'можно' и 'нельзя'? В конце концов, как приучить работников бережно относиться к информации, с которой они непосредственно работают? Внутренние правила  несомненно вещь важная и необходимая. Но если их исполнение невозможно контролировать, то и  эффективность их начнёт стремительно таять.
 
Инсайдеры. Их официальное присутсвие в организации даёт им потенциально неограниченный доступ к любой информации, в том числе и к ресурсам, доступ к которым по сути должен быть для них закрыт.
Зачем нам вольные трактовки. Напомню, что инсайдеры - это первые лица организации: директор, главбух, их замы, руководители крупных подразделений, внутренний аудит. Плюс их родственники. Т.е. лица, которые имеют доступ ко всем секретам организации. Так вот тут и возникает вопрос, а к каким это ресурсам им должен быть закрыт доступ? Неужели Вы полагаете, что ИТ и информбезопасность вправе это делать?
 
Жму руку человеку с ником Ригель. Надеюсь, работодатель адекватно компенсирует его труд. Если нет, то можем обсудить новое трудоустройство. Кроме шуток.
 
Извиняюсь, не успел закончить мысль :)

Продолжаю.

Вышеупомянутые решения, регламентирующие доступ к корпорационным информационным ресурсам, по крайней мере способны устранить всю эту 'размытость' и информационный хаос,  установливая чёткие рамки. В результате попытку получения несанкционированного доступа (например к какому-либо документу) со стороны того же менеджера из соседнего отдела уже можно будет явно трактовать как внутреннее проникновение (как и в случае с уборщицей) со всеми вытекающими для него последствиями.

Ещё раз повторюсь, речь не идёт об абсолютной защите. Никогда такое решение неспособно избавить от всех 'инсайдерских' проблем. И само-собой, если Вас кто-то пытается убедить в обратном, то в лучшем случае он лукавит.

Да, останется ещё множество по сути неподконтрольных рисков (которые Вы подробно описали в предыдущих сообщениях). Но согласитесь, устранение общего хаоса это большой плюс.

Естественно, все эти вопросы индивидуальны. Это не "MUST HAVE". Каждый призван решать сам, сколько на это тратить средств (и стоит ли вообще их тратить).

Удачи.
 
2Sandy
Цитата
Sandy пишет:
Зачем нам вольные трактовки. Напомню, что инсайдеры - это первые лица организации: директор, главбух, их замы, руководители крупных подразделений, внутренний аудит. Плюс их родственники. Т.е. лица, которые имеют доступ ко всем секретам организации. Так вот тут и возникает вопрос, а к каким это ресурсам им должен быть закрыт доступ? Неужели Вы полагаете, что ИТ и информбезопасность вправе это делать?
первые лица организации должны быть сами заинтересованы в процветании конторы
как только он перестаёт быть заинтересованным, ему там не место
и все возможности навредить должны быть пресечены
если же человек загодя подготовился к увольнению, значит HR-служба подкачала
 
Цитата
ClosedGL пишет:
...
Понятно. Сейчас объясню по-другому.

Здесь существует 2 уровня проблем или 2 уровня зрелости ИБ - называйте, как хотите. Но давайте их четко разделим, раз это оказалось неочевидным.

1. Это все то, о чем Вы говорили. Доступ (физический, логический - не суть) должен санкционироваться, контролироваться, предоставляться только тем, чье участие необходимо, протоколироваться, регулярно пересматриваться, разделение полномочий, минимизация привилегий, устранение бардака, упорядочение процессов, допущение нужных, недопущение лишних и бла-бла-бла. Не подумайте плохого: это не просто полезная, но и абсолютно необходимая вещь. Даже основополагающая. И чем лучше Вы сможете это реализовать - тем лучше. Только не приплетайте сюда инсайдеров, т.к. Вы решаете проблему управления доступом в самом ее классическом виде.

2. Но после того, как навели порядок с доступом, вырисовывается проблема с выжившими, т.е. легальными участниками своих процессов. Необязательно, что эти стадии наступают одна за другой: кто-то вообще так и не обнаруживает проблем второго уровня, а кто-то догадывается об их существовании еще на первом этапе или даже до его начала. Так или иначе, но есть второй слой проблем - ненадежность персонала участвующего в бизнес-процессе, причастного к нему на полных основаниях. Это инсайдеры. С ними действительно очень сложно, т.к. дальше надо управлять не мышкой, а людьми, их поведением, мотивами, взаимоотношениями... чуть ли не восприятием.

Чтобы Вы не думали, что Вам до этого еще далеко, представьте любой процесс, где этой "мышечной" стадии не было и не будет.
Кладовщик, который всегда знает, что в этом месяце организация получала на склад.
Секретарь, которая знает, с кем встречался начальник и куда какие факсы поручал отослать.
Водитель, который знает, куда шефа возил.
Юрист, который все заключаемые договора вычитывал.
Кассир, которая знает, кому и сколько выдавала.
И т.д.

И полный список приближается в к полному колическтву работников Вашей организации, т.к. каждый из них в каких-либо процессах участвует, иначе бы не работал. Говорю "приближается", потому что теоретически могут быть люди, которые ничего такого, что при определенных обстоятельствах могло бы повредить, по роду своей службы не видят и не слышат. Вашу организацию я не знаю и голословно утверждать не буду.

Все они совершенно легально обладают ценной информацией, они неизбежные участники своей цепочки. Именно этих неустранимых участников и повелось называть инсайдерами.  Для более зрелых "безопасностей" - проблема №1, для менее - нет.
Вот радио есть, а счастья нет. (с) Ильф
 
to Ригель:

Благодарю за интересный ответ.

Цитата
Ригель писал:
С ними действительно очень сложно, т.к. дальше надо управлять не мышкой, а людьми, их поведением, мотивами, взаимоотношениями... чуть ли не восприятием.
.....
Все они совершенно легально обладают ценной информацией, они неизбежные участники своей цепочки. Именно этих неустранимых участников и повелось называть инсайдерами. Для более зрелых "безопасностей" - проблема №1, для менее - нет.

Это действительно проблема несколько иного уровня. В таком случае мы неспешно подобрались к самому интересному. Скажите, а кто на Ваш взгляд призван решать (или пытаться решать) этот круг проблем (если риски заслуживают внимания) и какими законными методами? Лежит ли эта задача перед отделом ИБ? Если да, то какого рода специалисты могут/должны этим заниматься? Интересно услышать Ваше мнение.

Спасибо.
 
Ага, понял. Вы считаете инсайдерами всех работников вплоть до кладовщика или кассира. Тогда согласен, действительно кошмар. Работники - это вообще угроза для предприятия, без них было бы лучше ...
Я же приводил свое определение для случая, например, банков. Где законодательно-нормативными документами определено, кто является инсайдерами и как с ними надо работать (строгая отчетность об операциях с инсайдерами, ряд ограничений, не позволяющих им иметь условия, лучше, чем для других вкладчиков банка, и т.д.) В банках кассиры не могут быть инсайдерами хотя бы потому, что не обладают тем количеством акций (например, 10%), чтобы принимать существенные для банка решения. Кроме того по должности им недоступна та информация, которая доступна инсайдерам. Поэтому-то в банках инсайдерами считают топ-менеджмент и внутренний аудит (эти тоже все могут знать). Соответственно методы борьбы с угрозами, которые несет их осведомленность с конфиденциальной информацией банка (подчеркиваю, существенной, а не всей подряд), выходят далеко за пределы компетенции информационной безопасности. О чем здесь уже, в принципе, и говорилось.
Думаю, что и по другим организациям следует определиться, кто у них является инсайдерами. П.что, если это все работники, а не только те, кто обладает существенно важной информацией, раскрытие которой способно кардинально повлиять на работу организации, то тогда и статью нужно было бы назвать иначе, поставив на первое место слово "Работники".
 
Исправляюсь, поскольку в предыдущем посте не назвался. ИМХО, методами информационной безопасности вышеозначенная проблема с инсайдерами вообще никак не решается. Во всяком случае, не менее и не более, чем с другими пользователями. Поэтому непонятно, чего к ним прицепились. Слово красивое что-ли? Или просто нужно было найти очередную угрозу?
 
Цитата
Sandy:
определение для случая, например, банков. Где законодательно-нормативными
Если заглянете в первоисточник (в pdf), то он оперирует термином "staff misuse" и говорит о вреде со стороны персонала в широком смысле. Тараканы переводчика - это тараканы переводчика.

Остальным и на остальное постараюсь завтра ответить.
Вот радио есть, а счастья нет. (с) Ильф
 
Ну дык это ж другое дело. Ошибки (злоупотребления) персонала - фича давно известная. А то на уважаемых людей накинулись. Вроде раньше было по-другому, а в 2006 году самой большой угрозой для организаций почему-то инсайдеры оказались.
 
ИТ-Безопасность бесполезна против инсайдеров!
Не думаю что можно отказать испольнительному директору.
А вот грамотный подбор кадров, чёткое распределение обязанностей и достойная оплата за труд - верный способ борьбы с инсайдерами ;-)
Страницы: Пред. 1 2 3
Читают тему