Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 6 След.
RSS
Защита от своих
 
Цитата
Алексей Лукацкий пишет:
В качестве полемического задам вопрос, который сам автор задал в начале статьи. А как посчитать эффективность описанных мер защиты от инсайдеров?
Вопрос очень актуальный тем более, что с все более широким интересом к сертификации по международным стандартам, таким как ISO 27001, он выходит за рамки праздного интереса. Ведь необходимо будет считать т.н. "метрики" эффективности, т.е. сотношение снижения риска в стоимостном выражении к затратам. Стандарт нигде не разъясняет, каким образом это должно делаться. Поэтому просьба к автору, если есть у Вас соображения по этому поводу, поделитесь ими с нами.
Для меня лично очевидно одно, ROI и прочие коэффициенты к нашей реальной действительности к сожалению, не применимы.
В общем, будет действительно, очень интересно почитать на тему оценки эффективности.
 
Цитата
Ригель пишет:
И что дальше?
Извините, не вижу смысла дальше полемизировать с Вами на эту тему. Как происходит у нас в Компании, по-моему, из моего предыдущего поста понятно.
 
Цитата
chinga пишет:
Извините, не вижу смысла дальше полемизировать с Вами на эту тему.
Т.е. Вы не знаете, что дальше. Ладно, извинения приняты.
Цитата
chinga пишет:
Как происходит у нас в Компании, по-моему, из моего предыдущего поста понятно.
Тогда уж назовите ее, чтобы собравшиеся к Вам устраивались, писали по собственному и суды выигрывали.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Т.е. Вы не знаете, что дальше.
Дальше чего?
Напомню, речь идет о том, как своевременно уведомить системного администратора о том, что необходимо в связи с увольнением работника внести изменения в настройки сети (а заодно и все другие заинтересованные подразделения).
Компания у нас большая и, об этом говорилось ранее, фактически, это пока единственный способ снизить энтропию.
Думаю, если не впадать в крайности, что само по себе опасно, этот способ приемлем для большинства фирм.

Цитата
к Вам устраивались, писали по собственному и суды выигрывали.
Все, у меня конкретный мисандерстендинг. Вы уверены, что мы с Вами говорим об одном и том же? Я - нет. Именно поэтому я и не вижу смысла продолжать.
Мне кажется, из очевидных предпосылок, Вы делаете неочевидные выводы.
 
Я лишь хочу, чтобы Вы отдавали себе отчет, что этот "способ" работает только в случае наивного и безграмотного работника. Вам просто повезло, если Вы этого еще не выяснили.
Вот радио есть, а счастья нет. (с) Ильф
 
" Я лишь хочу, чтобы Вы отдавали себе отчет, что этот "способ" работает только в случае наивного и безграмотного работника. Вам просто повезло, если Вы этого еще не выяснили."

Ну что касается работника не "наивного", то в этом случае обязанности по заполнению обходного листа должны быть возложены на работника отдела кадров, так же в контракте должна быть закреплена процедура увольнения (хотя бы схематично) и если работник ее нарушил, то это уже задача юристов конторы устроить такому "грамотному" работнику писин праздник, вот такая процедура никак не будет противоречить ТК.

Что же касется оценки эффективности работы отдела ИБ, тут вполне может подойти оценка стоимости закрытой информации для компании владельца, в чем ее будут оценивать, в тугриках или процентах популярности это дело десятое, главное что ба руководство представляло во что выльется потеря этой инфы.
 
Цитата
avramov пишет:
что касается работника не "наивного", то в этом случае
Иногда не мешает сначала определиться, "шашечки или ехать". Вам нужна именно эта процедура сама по себе или достижение какой-то цели? Вероятно, хочется уменьшить возможность злоупотребления уходящим работником теми правами и активами, которыми он обладал. Сильно ли такая процедура ему в этом мешает? А не слишком.

Предположим, что каким-то немыслимым закручиванием гаек достигнуто ее 100%-ное выполнение работниками, но решает ли это проблему из-за которой все затевалось?
1. Работник получает Обходной лист при подаче заявления (т.е. за 2 недели) и должен сдать в день увольнения (в обмен на деньги или Трудовую). Замечательно: он 13 дней сливает все, что ему приглянется, и в 14-ый заходит к администратору, чтобы он его отключил от того, что ему уже и так не надо.
2. Решение об уходе принято гораздо раньше (договорились с руководителем, что доделывает проект, подыскивает другое место и к февралю чтоб уже ноги здесь не было). Чудесно: даже на момент получения Обходного (а заявление будет писаться в середине января, т.е. опять же за 2 недели) он уже 2 месяца, как все полезное забрал.
Ну и смысл? Процедура работает, а работник все равно все унес.

Можно ли лучше? Можно. Если перестать держаться за саму эту схему.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
Можно ли лучше?

ИМХО - проблема уволенных решенается автоматизацией производства.
При современном уровне автоматизации можно вообще сделать так что-бы админ практически вообще не вмешивался в данный процесс.
При примеме - девочка из отдела кадров нажала кнопочку завести по некому шаблону (например приняли нового программера, или бухгалтера), и все выдается в т.ч. права, пароли etc.
Для повышения секурности можно добавить шаблон - стажер бухлтерии, стажер программеров.
Если есть проблемы - решется админом.
Тоже самое с увольнением - нажала кнопочку уволить - выполняется некие действие , все относяещеся к пользователю блокируется, ии если админ или директор или некто уполномоченный в течении NN дней заявку не удалит, то все относяеся к пользователю выносится нафиг.
пишется инструкция для девочек из отдела кадров, за неисполнение - фин. ответветвеннсть.
Есст. пободные решения требуют повышенного винимания со стороны секурности и грамотной раздачи прав, но геммора она сильно снизит
 
Цитата
edwin пишет:
ИМХО - проблема решается автоматизацией
Обознатушки: блокирование все равно будет происходить в тот же день, что и при обходном листе (т.е. в последний), и сотрудник опять уже 2 недели или месяца, как все украл.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
Обознатушки: блокирование все равно будет происходить в тот же день, что и при обходном листе (т.е. в последний), и сотрудник опять уже 2 недели или месяца, как все украл.

Я написал - проблема _уволенных_ решается автоматизацией.
Давайте цитированить верно, Ok ?
Проблема инсайдерства - это частично проблема другой плоскости (хотя сакраментальный принцип минимальных прав не отменяли).
тут больше вопрос грамотного управления персонал, а в нашей стране где большисво людей для работтодалеля и топ-менеджера  (хотя есть и исключения) не более чем мусор такого скоро не будет.

Я вот тут вспомнил про один банк(хотя я думаю все поймут кого я имею ввиду), который работает по очень интересной схеме:
- набираем вагон молодежи , заставляем их работать как волов за гроши годик, потом выгоняем  ,   набираем новых.
Однако утечек не происходит .. а знаете почему ?
Потому как за стадом этих сотрудников следит мощшая СБ, которая каждый шаг регистрирует и если кто-то попытается украсть что-то ..... достают из под земли
Это тоже метод .. причем на удивление эфеективный .....

Но приемлем ли он ?
 
Если позволите я продолжу мысль .
Тут кто-то довольне неплохо озвучил общий принцин - "не держиет людей за скотов"
Принцип неплох, однако я бы добавил:
"пока человек не показал себя скотиной(увы, бывает и такое)" .
А рас человек себя покал скотиной .... пусь на себя пеняет.
 
Прежде всего необходимо согласиться с тем, что на 100% проблему инсайдеров не решишь. Вообще, экономическое значение слова "инсайдер" абсолютно другое. Это, грубо говоря, человек, имеющий долю в компании (например, банке). Обычный сотрудник такого банка инсайдером не является. К чему это? А к тому, что лучший способ внушить сотруднику, что подрывать компанию нехорошо - поставить его в зависимость от успешности компании и от реального результата его работы. Идею о "маленькой" з.п. здесь, похоже, не поняли. А все очень просто - вместо экономии на текучке - подкармливать "инсайдера" так, чтобы ему и в голову не пришло делать западло. Это психологический аспект - о нем часто забывают, полагаясь на юридические и технические меры. Последние, безусловно, важны, но панацеей не являются. Практику сокрытия з.п., премий и факторов, на них влияющих, считаю изначально порочной. Это тупая попытка сэкономить - а, в частности, в России вообще антикультурная. Наоборот, подобную информацию нужно делать абсолютно прозрачной. Админ X (условно) поднял в прошлом месяце "горячий" резервный сервер - вот ему за это $N. Заодно и проблема "откатов" снижается.

Что касается чисто технических вопросов, админами, имхо, движет элементарная лень. Это - неотъемлемая особенность админской культуры, идеологии и философии. Поэтому во многих случаях нужен еще и "безопасник" либо кто-то, выполняющий его роль - утверждение стандартов внутреннего инфооборота и защиты (и слежение за админами). В таком случае админ может вообще приходить со стороны - доступа к незашифрованным данным он не получит, а пароли раздает не root.
 
Цитата
Антон пишет:
Автору респект за огромный опыт и интересное изложение, жду продолжения публикации с более практическими аспектами. Еще хотелось бы ссылок и литературы..

Спасибо за столь высокую оценку. Продолжение, думаю скоро будет, я работаю сейчас над этим. Что касается ссылок по данной тематике, то здесь несколько сложнее. Тема достаточно новая, причем не только в нашей стране, но и за рубежом. В сети периодически появляются некоторые материалы на эту тему, однако в большинстве своем они преподносятся с позиций продавца технических решений или не достаточно полно выражают саму проблему.  Если повезет, найду в скором времени издательство, которое выпустит мою книгу, об этой и других актуальных, но не избитых еще темах в области ИБ, да и  безопасности компании в целом, то надеюсь вы станете одним из первых ее читателей. Попробую в ней также изложить свои методы работы, проведенные эксперименты и их результаты. Возможно,  это поможет в работе. Если интересны ссылки вообще по теме ИБ, на которые я обращаю внимание и работаю, то конечно могу их выложить.
 
Извиняюсь опять гостем в своем предыдущем ответе зашел, пора уже зарегистрироваться :)
 
Цитата
chinga пишет:
Ведь необходимо будет считать т.н. "метрики" эффективности, т.е. сотношение снижения риска в стоимостном выражении к затратам. Стандарт нигде не разъясняет, каким образом это должно делаться. Поэтому просьба к автору, если есть у Вас соображения по этому поводу, поделитесь ими с нами.
Для меня лично очевидно одно, ROI и прочие коэффициенты к нашей реальной действительности к сожалению, не применимы.
В общем, будет действительно, очень интересно почитать на тему оценки эффективности.

Вы совершенно справедливо заметили - стандарт не разъясняет как это должно делаться, а предлагаемые обычно коэффициенты расчета эффективности к реальной действительности имеют очень отдаленное отношение. Однако, вопрос этот достаточно серьезен и объемен, что-бы ответить на него прямо сейчас. Давайте для начала попробуем прояснить стартовую ситуацию. Вот к примеру, упомянутый вами коэффициент возврата инвестиций ROI, как же он будет работать правильно если мы не сможем заложить в него все необходимые составляющие. Мы заложим туда возможные инциденты, расчетное их чило в пересчете на год? Конечно нет, я и пишу в статье, что о большинстве инцидентов обычно не бывает известно ни ИБ, ни кому-нибудь другому, следовательно этот показатель - величина крайне условная. Другой момент в этом вопросе. Предположим, руководство компании инвестировало достаточно большую сумму денег в построение некой системы защиты сети (установлены mimeswiper for WEB и SNTP, межсетевой эран и пр.). Фирма-интегратор, все это установила, настроила, вы проверили - работает, далее подписан акт приема-сдачи выполненных работ. Все! Довольны все, и заказчик и и исполнитель. Знаете, что произойдет дальше? В большинстве случаев, месяца через 1,5 - 2 часть устройств будет втихоря отключена администраторами  (мешают работать, ресурсов жрут немеренно, и пр.), те что останутся будут в лучшем случае работать на настройках выполненных по умолчанию, в худшем - на минимально допустимых производителем. Это наша действительность. Хотя директор, например, компании заказчика по прежнему будет считать, что он теперь защищен, ИБ где-то закроет глаза на происходящее, а где-то и не узнает вовсе (в силу недостаточной компетенции). А безопасность выстроенной системой защиты в это время обеспечивается всего лишь процентов на 25 - 30 от реально запланированной. Т.е. я считаю, что в большинстве случаев на выходе попыток произвести расчеты оценки эффективности затрат на ИБ, в том числе и с помощью методик ТСО - величина совершенна абстрактная, слишком многого мы сегодня не учитываем. Повторюсь, это только мое мнение. Более подробно я попытаюсь все же показать возможные расчеты окупаемости в своей книге, над которой работаю сейчас. Думаю, что надо принимать во внимание при этих расчетах несколько иные индексные показатели от закладываемых в настоящее время.
 
Цитата
edwin пишет:
"пока человек не показал себя скотиной(увы, бывает и такое)" .
А рас человек себя покал скотиной .... пусь на себя пеняет.

Мы говорим о превентивных мерах, предупреждающих саму возможность для человека показать себя "скотиной". В обычной ситуации человек в обществе связан нормами морали, этики, позиции окружающих, но как он поведет себя в сутуации, когда вокруг ничего этого не будет, например, посмотрите "Титаник" вначале все были галантны и обходительны, потом многие стали другими... Это просто пример, так зачем же давать соблазн сделать то, чего в обычной ситуации человек бы не сделал? Не работая в этом направлении, руководство компании само подталкивает сотрудников к этой черте.
Кстати, про ваш  пример с банком. Не знаю о каком вы написали, но больше чем уверен, и там наверняка есть инциденты недоступные пока  для СБ этого банка.
 
Цитата
Гость пишет:
Прежде всего необходимо согласиться с тем, что на 100% проблему инсайдеров не решишь. Вообще, экономическое значение слова "инсайдер" абсолютно другое
Да, слово инсайдер и пришло к нам из банковской среды, просто теперь им стали называть внутренних наружителей. Соглашусь, что на 100% проблему инсайдеров не решить, но все же можно решить ее скажем на 98%, впрочем это же относится и к проблеме ИБ в целом.
 
Цитата
Олег Кузьмин (Alkor) пишет:
Вы совершенно справедливо заметили - стандарт не разъясняет
Не усложняйте (и не запутывайте chinga): там задача решаема, если tqm понимать.

Надо перестать видеть отдельные слова и посмотреть на весь 27001 сразу, в-целом.
Постарайтесь узреть в нем одно большое колесо pdca размером с весь документ. И оценивание эффективности это check руководством всей isms, которую организация планировала и внедряет. Это "по гамбургскому счету", а не в части какой-то отдельной защитной меры. И поэтому оцениваться деятельность в области иб должна не относительно денег, а относительно тех целей, которые менеджмент перед собой ставил. Причем деятельность организации в деле иб, а не деятельность отдела иб. Открывайте свое заявление руководства и смотрите, что в нем написано про то, зачем оно решило безопасностью заниматься - это и есть ваши глобальные метрики всея смиба. Например, "повышение доверия клиентов". Отлично: надо смотреть, стало ли их больше или стали ли они больше денег доверять. "Повышение конкурентоспособности наших сервисов" - стало ли меньше претензий на этой почве, переметываются ли из-за этого к Вам от конкурентов. И т.п. Если оценить не получается - пущай сначала commitment по-человечески напишут.

Это просто наводка.
Я не знаю, что конкретно у Вас провозглашено (и думал ли менеджмент, что говорит), но оцениваться должно приближение вон к тем мега-целям безопасности. Бизнесовым, а не бухгалтерским.
Поймите самое главное: review там завязан на establish. И то, что описано в качестве входов ривю, это не то, что оценивать, а то, с помощью чего оценивать. Материалы, как-то свидетельствующие о правильной динамике. Что надо оценивать - см. коммитмент.

з.ы. Ответ, конечно, более предназачается chinga. Статью Вы и так напишете.
Вот радио есть, а счастья нет. (с) Ильф
 
" Т.е. я считаю, что в большинстве случаев на выходе попыток произвести расчеты оценки эффективности затрат на ИБ, в том числе и с помощью методик ТСО - величина совершенна абстрактная, слишком многого мы сегодня не учитываем. "

Совершенно с этим согласен, это я про ТСО, ну вот в качестве примера подскажите мне как можно подсчитать ТСО для кондиционера установленного в кабинете у какого либо специалиста или в серверной, согласитесь что то же самой и с информацией и ее цыркулированием по всему "телу" владельца. Поэтому лично я считаю что для правильного планирования ИБ необходимо все таки оценить во что обходится эта информация, а именно четко осознавать в какую сумму обойдется ее утечка и в какую сумму обойдется ее уничтожение по каким либо причинам, согласитесь что иногда информацию дешевле уничтожить сразу или по какому либо событию что бы не произошло утечки. Вот почему народ упирается в ТСО непонятно, непонятно так же как они вычисляют ТСО для сейфа в котором хранят денежку ;)
 
Почитал все посты. Странно - автор, почему Вы в своих схемах забыли самых главных воров информации - руководители различных подразделений в компаниях? Попробуй его ограничь, проанализируй, проверь на входе. Во всей статье о методах борьбы с высокопоставленными ворами ни слова. Вот о чем бы хотелось узнать.
Страницы: Пред. 1 2 3 4 5 6 След.
Читают тему