Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 6 След.
RSS
Защита от своих
 
много тут умного сказано, только почему-то наблюдается реальная подмена понятий. Инсайдер - это сотрудник, а не злоумышленник. А автору стоит поучиться рисовать схемы покрасивше и обращать внимание, когда его Средство Рисования Схем самопроизвольно заглавные буквы где не надо ставит.
 
Цитата
avramov пишет:
ну вот в качестве примера подскажите мне как можно подсчитать ТСО для кондиционера установленного в кабинете у какого либо специалиста или в серверной, согласитесь что то же самой и с информацией и ее цыркулированием по всему "телу" владельца. Поэтому лично я считаю что для правильного планирования ИБ необходимо все таки оценить во что обходится эта информация, а именно четко осознавать в какую сумму обойдется ее утечка и в какую сумму обойдется ее уничтожение по каким либо причинам, согласитесь что иногда информацию дешевле уничтожить сразу или по какому либо событию что бы не произошло утечки. Вот почему народ упирается в ТСО непонятно, непонятно так же как они вычисляют ТСО для сейфа в котором хранят денежку
Наполовину согласен, только что сам хотел привести пример с эффективностью ремонта офиса. Скрытый экономический эффект там, конечно, есть (от повышения производительности работников и серьезности в глазах потенциальных партнеров), но расчет очень нетривиальный  :)   :)
Не согласен, что панацея в оценке стоимости утечки, т.е. опять же денежном эквиваленте. Многие вещи вообще в деньгах не оценишь. Вернее, оценишь, но с такой достоверностью, что "мама, не горюй". Ну и зачем оно тогда надо?

Возьмите любую "незакупочную" меру. Ну, например, решили Вы по всем помещениям рядом с бумажками "При пожаре звонить 01-01" повесить "При инциденте звонить 02-02". Ну и как считать эффект? А просто считать его надо не в долларах, а в тех единицах, которыми измерялась цель, для которой Вы это печатали и вешали.
Скорее всего в данном случае ожидалось увеличение осведомленности работников, кого им информировать об инциденте, и, в конечном счете, сокращение среднего времени между происшествием и реагированием, а также увеличение (парадокс!) количества обрабатываемых инцидентов.
Это и есть Ваши метрики. Опросить 20 человек до и после на предмет %-та, знающего, куда обращаться в случае чего. Посчитать, как выросло число региструемых случаев. Посчитать, как изменилось время между происшествием и подключением к нему безопасников.
Ну, или вот можно взять пример с обходным листом chinga (отдача от которого ей нравится, а мне нет), который она не может легко оценить в долларах, поэтому не оценивает вообще...

Ненаучно? А и наплевать, если это гораздо адекватнее характеризует степень достижения ожидаемого эффекта, чем откровенное очковтирательство с "научным" вариантом.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Гость пишет:
Инсайдер - это сотрудник, а не злоумышленник

Не злоумышленник - а нарушитель. Не путайте термины.
 
Цитата
Олег Кузьмин (Alkor) пишет:
Мы говорим о превентивных мерах, предупреждающих саму возможность для человека показать себя "скотиной".

Вы не совсем правильно меня поняли.
Когда я говорю что надо с людьми по людски, это значит не более чем не показывать им , что они быдло, то есть не начинать "охоту на ведьм", типа "Вы все козлы которые только и думают как бы украсть , а вот мы сотрудники СБ за Вами следим и если что Вас по стенке размажем, а васче мы тут главные"
И когда я говорил "пока ... " то имелось ввиду что меры должны быть приняты.
И Ваши тезисы о борьбе с инсайдерсовм считаю абсолбютно верными, как и статью которая ИМХО написана более чем грамотно.

Цитата
Олег Кузьмин (Alkor) пишет:
Не знаю о каком вы написали, но больше чем уверен, и там наверняка есть инциденты недоступные пока для СБ этого банка.

В приватной беседе  могу рассказать какой банк я имею ввиду.
Что до утечек .... возможно Вы правы, я там к счастью не работаю, просто по служ. деятельности приходится контактировать с ними.
 
2 Ригель

Немного выше я и говорил что главное что бы руководство компании понимало ценность информации цыркулирующей внутри, а в чем она будет оценена (тугрики, зайчики или там процент ВВП) дело самое последнее, при этом разная информация может наносить различный ущерб, что то принесет чисто экономические убытки, а что то нанесет исключительно моральный ущерб руководству или отдельно взятому сотруднику.
 
avramov,
Ваш эффект опять в денежных единицах. Ну-ка оцените этим путем ту табличку "02-02".
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
2. Решение об уходе принято гораздо раньше (договорились с руководителем, что доделывает проект, подыскивает другое место и к февралю чтоб уже ноги здесь не было). Чудесно: даже на момент получения Обходного (а заявление будет писаться в середине января, т.е. опять же за 2 недели) он уже 2 месяца, как все полезное забрал.Ну и смысл? Процедура работает, а работник все равно все унес.
В принципе, можно усилить маразм.
Что помешает сотруднику все, что он делает, сливать на флешку, к примеру. Так, на всякий случай - вдруг пригодится? Это притом, что он даже не планирует увольняться вообще?
Уважаемый, давайте так. Мухи отдельно, котлеты - отдельно.
Слив информации и своевременное управление правами - это две разные вещи. Решаются они разными мерами.
Если Вам это все еще непонятно - не завидую Вашему работодателю.
Цитата
edwin пишет:
ИМХО - проблема уволенных решенается автоматизацией производства.
С господином edwinом трудно несогласиться. Только несколько маленьких ремарок, если позволите. Данное средство автоматизации, по всей видимости, окажется достаточно дорогостоящим. То есть применимо оно в достаточно крупных компаниях с неплохим ИТ-бюджетом. А во-вторых, скорее всего, в большинстве компаний стоит вопрос не автоматизации, а интеграции уже существующей системы кадрового учета с системой управления правами. Часто такая задача может быть достаточно нетривиальной (как, например, в нашем случае).
В чистом виде данный вариант идеально подходит для вновь создаваемых фирм, с хорошим ИТ-бюджетом и компетентным руководством, понимающим что, как и для чего долно быть сделано, чтобы все было поуму.
 
Цитата
Олег Кузьмин (Alkor) пишет:
ффициент возврата инвестиций ROI, как же он будет работать правильно если мы не сможем заложить в него все необходимые составляющие. Мы заложим туда возможные инциденты, расчетное их чило в пересчете на год? Конечно нет, я и пишу в статье, что о большинстве инцидентов обычно не бывает известно ни ИБ, ни кому-нибудь другому, следовательно этот показатель - величина крайне условная.
Абсолютно согласна.
На ум приходит чисто филослфская ремарка :)
Небезызвестная всем и дико дорогая, на мой взгляд, программа, которая обещает со всем этим справиться, Risk Watch. Методика, ее сопроводжающая, предлагает использовать для оценки статистику инцидентов по отрасли, по региону или даже по городу!
Сколько думаю над этим, столько удивляюсь, неужели у них это все жизнеспособно!? Еще большее удивление и уважение вызывает осознание ненулевой вероятности того, что эта статистика собирается и используется!

Если это так, то мы вынуждены признать, что проблема-то гораздо шире. Не в инсайдерах дело, не в обхдоных листах даже :)
Дело, во-первых, в отсутствии индустрии. Нет у нас индустрии информационной безопасности. Ладно, фиг с ней со статистикой, сбор которой должен являться составной и обеспечавающей частью.  Фиг с необходимостью раскрытия информации об инцидентах, которое вроде как, с точки зрения лучших практик, должно выполняться всеми участниками рынка, чтоб опять-таки поддерживать индустрию иформационной безопасности, но никем никогда у нас не делавшееся.

Во-вторых, вопрос вот еще в чем. Вот мы хотим защититься от инсайдеров, да? А кто-нибудь из уважаемых читателей предпринимал попытки внедрить у себя в компании режим коммерческой тайны в соответствии с действующим законодательством? Без комментариев. Кто пытался, тот понял.

Культура. Хороший такой стандарт Банка России (там и приснопамятная СММ даже есть, правда, весьма фрагментарно) говорит нам, что соблюдение принципов информационной безопасности в значительной степени является элементом корпоративной этики, поэтому на уровень информационной безопасности в компании серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником. Поэтому этими отношениями необходимо управлять. Кто-нибудь управляет? Вот у господина Ригеля, например, все сотрудники или дураки или враги. То ли пожалеть его (в таких тяжелых условиях человек работает), то ли задуматься, о какой корпоративной культуре при таком отношении может идти речь?

Может быть, мы пытаеся лечить симптомы, не видя причин? А причины в отсутствии нормальных законов, индустрии и культуры.

P.S. Понимаю сейчас, что ничего нового не сказала, просто захотелось выступить и подытожить всех предыдущих ораторов.
Складывается впечатление, что мы огромную дыру в трубе пытаемся заткнуть пальцем. Не решить проблему инсайдеров одними только техническими и организационными (читай - запрещающими) мерами. Разруха, она в головах. А с головами как-то по-другому работать надо. Нежнее, что ли.
 
2 Ригель
"Ваш эффект опять в денежных единицах. Ну-ка оцените этим путем ту табличку "02-02"."

Читайте пожалуйста внимательнее:
"главное что бы руководство компании _понимало ценность информации_ цыркулирующей внутри, _а в чем она будет оценена (тугрики, зайчики или там процент ВВП) дело самое последнее_"

для удобства оценки ценности информации можно применять любой эвивалент, _в том числе и денежный_ (просто быстрее доходит до разного рода менеджеров), а вот посчитать ТСО от развешивания таблички "02-02" действительно не реально. Именно это я и хотел сказать.
 
Цитата
chinga пишет:
Уважаемый, давайте так. Мухи отдельно, котлеты - отдельно.
Слив информации и своевременное управление правами - это две разные вещи. Решаются они разными мерами.
Если Вам это все еще непонятно - не завидую Вашему работодателю.
"Вещи" это категория мышления... (не скажу, кого). Есть цели, и есть средства. Цели, достигаемые средством А и средством Б, могут перекрываться.

Какие цели, по-моему мнению, должен преследовать своевременный отъем прав, я указал. Раз Вы этого не сделали, то будем исходить из моих.
Относительно этих целей более эффективным, нежели обходной лист, является вовлечение в этот процесс непосредственного руководителя работника, т.к. отъем должен производиться не в последнюю секунду, а по мере выхода работника из бизнес-процессов. Руководители должны быть обязаны постоянно критически оценивать права работника прямо с того момента, когда ему стало известно о будущем уходе, и заявлять о необходимости ликвидации лишних по мере их появления (т.е. передачи дел).
Как этого от них добиться - дело десятое (как обычно, весьма действенны проверки и удары рублем).
Но только руководитель знает функции подразделения и задачи, остающиеся у работника. И об уходе знает намного раньше кадров. И еще он более чувствителен к получению по голове, чем увольняемый, т.к. еще расчитывал поработать.
А окончательная ликвидация всего в последний день (автоматизированная или нет - не суть) это уже просто "контрольный выстрел в голову". Всего лишь.

Зы: на язык котлет можете перевести сами, я не владею.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
avramov пишет:
посчитать ТСО от развешивания таблички "02-02" действительно не реально
Наверно имелся в виду ROI, но ответ мне нравится.

Я даже могу объяснить, почему Вы его получили. Стоимость сохраненной информации это результирующий вектор всех мер ИБ, их совокупный вклад в дело. По этой цифре (даже если Вы ее смогли более или менее правдоподобно измерить) действительно нельзя сказать, что какая-то из мер суперэффективна, малоэффективна, бесполезна или даже вредит. Поэтому отдельную меру Ваша мега-метрика не берет.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
chinga пишет:
"метрики" эффективности, т.е. сотношение снижения риска в стоимостном выражении к затратам

Ну вообще-то метрика эффективности - это не только снижение риска...  Если, например, после внедрения системы управления паролями и токенами число звонков в Help Desk сократилось с 100 до 20 в день, то вот тебе прямой эффект. Метрика тут - число звонков в HelpDesk. Ни к каким рискам отношения не имеет.

Не надо воспринимать 27001, как истину в последней инстанции. У него своя область применения, которая очень ограничена. И уж тем более ни один из этих стандартов не описывает метрики оценки эффективности (пока не описывает).
Luka
 
Цитата
пример с отправкой содержимого музыкального диска).
Вобще не в кассу. Что значит сотрудник не знал? Это недочёт администратора. Странно, что у него вообще сервак не упал, а "только замедллилась работа на два дня". если он никаких лимитов на размер аттачей не поставил.
 
Цитата
avramov пишет:
ну вот в качестве примера подскажите мне как можно подсчитать ТСО для кондиционера

Господа, вы ничего не путаете? Подсчитать ТСО можно даже для моих ботинков. В эту стоимость входит:
 - лицензионная цена ботинков
 - стоимость поездки из магазина до дома (и поездка от дома до магазина)
 - стоимость обувного крема на протяжении жизненного цикла ботинков
 - стоимость шнурков
 - стоимость "ложки" для обуви
 - стоимость времени, котороя я трачу на чистку и т.д.

Задача, в которой встречается ТСО - это ее снижение. В случае с ботинками я могу ее снизить за счет:
 - получения скидки на ботинки или участия в акции
 - заказа ботинков через Интернет с доставкой
 - использования тросиков вместо шнурков
 - использование специальных чистящих обувь машин, установленных в отелях и бизнес-центрах (бесплатно)
 - передача чистки на аутсорсинг и т.д.

Все просто. И для кондиционера тоже можно посчитать ТСО. Основная суть этой методики - показать снижение OpEx и CapEx. ВСЕ!!! Не надо навешивать на нее того, для чего она не предназначена. И в отличие от всяких ROI, ROSI и т.д. TCO как раз понятна и применима в реальной жизни.
Luka
 
Цитата
Алексей Лукацкий пишет:
Ну вообще-то метрика эффективности - это не только снижение риска... Если, например, после внедрения системы управления паролями и токенами число звонков в Help Desk сократилось с 100 до 20 в день, то вот тебе прямой эффект. Метрика тут - число звонков в HelpDesk. Ни к каким рискам отношения не имеет.

Не надо воспринимать 27001, как истину в последней инстанции. У него своя область применения, которая очень ограничена. И уж тем более ни один из этих стандартов не описывает метрики оценки эффективности (пока не описывает).
Мне кажется, это "пока" надолго затянется, т.к. не везде взаимосвязь так очевидна, как в примере с токенами.

Можно ведь и дальше расширять. Хоть стандарт и не панацея, но внедрять-то его надо (если Родина ,говорит, надо:)). И оценивать тоже надо, т.к. без этого внедрение не завершить :)
Штуки и количество звонков это, хорошо, конечно, но стандарт все-таки оперирует своими понятиями, одно из ключевых - это риск. Причем оценивать допускается не только количественно (про сложность этого варианта я уже говорила), но и качественно. На первый взгляд, проще, да?
Но! Если, к примеру, риск изначально, до внедрения какой-либо контрмеры был оценен как "средний", и если после внедрения он оценивается как "низкий", то какова будет эффективность? Низкосредняя или средненизкая? :)
В общем, на самом деле - вопрос оценки эффективности очень сложный и больной. Честно говоря, у меня, например, пока нету устоявшегося мнения, как эе это должно делаться правильно. То, что здесь пишут, а именно, понимание руководителем, что внедрение тех или иных мер помогло бизнесу (за дословность не ручаюсь, но примерно так), это, безусловно, хорошо, но малоформализуемо и вряд ли может считаться сколь-нибудь серьезным аргументом для аудитора. Нельзя же в метрике писать "ну о чем речь, ребята, это же очевидно!"

Кто-нибудь здесь уже имеет какой-то практический опыт по данному вопросу?
 
Цитата
chinga пишет:
Если это так, то мы вынуждены признать, что проблема-то гораздо шире. Не в инсайдерах дело, не в обхдоных листах даже  
Дело, во-первых, в отсутствии индустрии. Нет у нас индустрии информационной безопасности. Ладно, фиг с ней со статистикой, сбор которой должен являться составной и обеспечавающей частью. Фиг с необходимостью раскрытия информации об инцидентах, которое вроде как, с точки зрения лучших практик, должно выполняться всеми участниками рынка, чтоб опять-таки поддерживать индустрию иформационной безопасности, но никем никогда у нас не делавшееся.

Да, проблема стоит гораздо шире, я бы да же сказал необъятно шире. Индустрия информационной безопасности в общепринятом понятии у нас, думаю все же есть. Другое дело, что она не отвечает на мой взгляд современным требованиям рынка. Поясню, на сегодняшний день 9 из 10 менеджеров, продающих ИБ (обобщаю все) продают (навязывают вам покупку) железа или готового стандартного решения. В результате одна железка заменяется другой, безопасность от этого серьезно не повышается (тот же PIX надо настроить должным образом, да и дальше им заниматься) вы платите деньги, потом снова платите, пытаетесь избавиться (пристроить куда-нибудь) старую железку ... и так по кругу. Кто-то в это время пишет за очень большие деньги для вас инструкции и планы по ИБ, которые сразу же отправятся пылиться на полку. Вот так представляется наша индустрия ИБ. Для заказчика кроме самоуспокоенности ничего из того, что бы ему в итоге хотелось получить на выходе нет. Утрирую конечно, но по сути примерно так все и есть. Почему это происходит? Очевидно потому, что сами менеджеры обычно никогда на практике в окопах ИБ не сидели, а принцип "Продал и забыл" очень удобен. Послужив  старшим офицером  по ИБ Северного флота, а потом ведущим инженером ИБ, главным администратором ИБ в крупных и   средних компаниях, прочувствовав всю поднаготную этой работы, а потом и взглянув на нее с позиций начальника отдела организации продаж - реальность проблем и нераскрытых вопросов начинаешь ощущать совершенно по другому. Поэтому я сейчас занимаюсь разработкой и внедрением решений ИБ совершенно иного плана. Безопасностью нужно управлять, квалификация персонала ИБ не должна влиять на общий уровень защищенности сети, на безопасность в той или иной мере  должны работать практически все активные сетевые устройства, а их настройки по ИБ должны фиксироваться в формуляре ИБ. Из имеющегося сетевого оборудования, установленного на рабочих станциях и серверах ПО - выстраивается единая система ИБ организации. Причем отказ какой-либо программы, выполняющей функции ИБ не должен быть критичен, решаемые ею задачи будут временно выполняться другим ПО почти в той же или основной функциональности. Пример, на почтовом сервере перестало работать специализированное ПО Mimesweeper for SNTP, тогда его функции переходят на абсолютно бесплатный Е-модуль антивирусного ПО TrendMicro (для почтовых серверов). Отказ МЭ, тоже не будет критичным (даже двух МЭ сразу) , если его функции возмет на себя сетевой сенсор RealSecure ISS. В общем надо изучать уже установленное ПО и оборудование и использовать из возможности максимально эффективно, а не тратить деньги на новую разрекламированную разработчиками универсальную "игрушку". Вот,  наверное так можно сформулировать мою позицию по поводу индустрии ИБ. Причем, это очень обобщенно, я не затрагиваю сейчас работу по приведению к стандартам безоасности - это отдельная тема.
 
Цитата
chinga пишет:
Кто-нибудь здесь уже имеет какой-то практический опыт по данному вопросу?
27001 certified  ;)
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
chinga пишет:
Во-вторых, вопрос вот еще в чем. Вот мы хотим защититься от инсайдеров, да? А кто-нибудь из уважаемых читателей предпринимал попытки внедрить у себя в компании режим коммерческой тайны в соответствии с действующим законодательством? Без комментариев. Кто пытался, тот понял.

Это вообще очень сложно сделать без профессиональной подготовки и соответствующей практики. Данная работа выполняется,  скажем так не в соответствии с законодательством, а в непротиворечии ему. Здесь может быть некая свобода творчества, главное, чтобы хуже не стало (работа достаточно тонкая). А вот при защите го. тайны нужно делать все только и в соответствии с законодательством. Разница очевидна: коммерческие секреты - это ваши секреты и как их защищать - выбирать вам. Гос. секреты - это государственные секреты и как их защищать определяет государство. Поверьте мне на слово (высшее образование по этому профилю плюс 20 летний опыт практической работы) сделать можно и что интересно - это будет работать, так как вы этого хотите - коммерческая тайна не уйдет (закладываем конечно те же 98%).
 
Цитата
Олег Кузьмин (Alkor) пишет:
Разница очевидна: коммерческие секреты - это ваши секреты и как их защищать - выбирать вам.
Защищать-то нам... А вот когда мы в суд общей юрисдикции придем (тьху-тьху-тьху), он будет просто читать закон, в которм черным по белому написано, что если на предприяти не соблюдается режим коммерческой тайны, то вина работника (или бывашего работника), разгласившего информацию, не считается доказанной. А режим коммерческой тайны, кроме прочего, это еще 4 основных пункта, прописанных в законе явно. Среди которых - проставление грифа "коммерческая тайна" на всех документах. Не всегда это физически возможно. По крайней мере, без хирургического вмешательства в тело компании.
Мы-то вот тоже выкрутились, или думаем, что выкрутились, но как знать, что не найдется умник, который еще умнее...
К тому же, насколько мне известно, еще ни одного суда в нашей стране не было по такого рода делам... Что неудивительно.

Пока вопросы решаются по-другому. У нас есть шутка в отделе, которая вовсе не шутка, а правда, о том, что служба безопасности одно из комбанков внесла в смету паяльник :) Она и правда внесла зачем-то :) Но получилось смешно.
 
Цитата
chinga пишет:
что если на предприяти не соблюдается режим коммерческой тайны, то вина работника (или бывашего работника), разгласившего информацию, не считается доказанной.

Для этого и нужны профессиональные действия по созданию системы защиты коммерческой тайны. Никто не расставляет ни накого никакие сети, просто создаваемая система защиты секретов позволяет работодателю отстоять свои интересы в суде, если до него дойдет дело. По поводу паяльника, смешно конечно, но подобных случаев много. В перечень сведений, составляющих  коммерческую тайну можно внести все, что угодно (кроме некоторых сведений ,попадающих под указ Президента РФ) , но подумайте, кто-то ведь у вас этот перечень подписал, а другой человек утвердил, значит даже не читали его! Допустим, моя квалификация позволяет давать заключения о степени секретности того или иного документа, отнесенного к различным видам тайн, но это целая наука и выработанный профессиональный подход. Причем, встретившись с человеком такой же квалификации, не факт что мы сойдемся с ним в однозначности мнений о грифе документа или как его защищать, при этом мы оба докажем свою правоту в соответствии с принятыми  руководящими документами (законодательство). И вот еще, если например, паяльник имеет встроенную систему питания от солнечных батарей, позволяет автоматически дозировать усилие при пайке и ее продолжительность, держит температуру нагрева жала и при этом экономит расходные материалы (припой, канифоль), то может оказаться, что он не зря был включен в перечень  :) .

Ладно, вот еще реальная шутка из жизни. В мою бытность работы в ИБ телекоммуникационной компании, один из наших сотрудников (заглядывающий иногда и на данный  сайт) создал в отделе ИБ учетную запись: "Максим Максимович Исаев" (персонаж фильма "17 мгновений весны"),   она нужна была для некоторых технических действий с криптографическим ПО. Так вот, на эту учетную запись стали приходить письма от сотрудников компании с просьбами, служебными записками и прочими обычными текущими  делами. Люди, даже не знали его в лицо, никогда не слышали голос, тем более, что его никто и никому не представлял, и вместе с тем они доверяли ему решение важных вопросов, связанных в том числе и с коммерческой тайной. Иногда,  еще и возмущались потом: "У вас этим Исаев занимался, с него и спрашивайте!" Учетная запись просушествовала полгода...  :)
Страницы: Пред. 1 2 3 4 5 6 След.
Читают тему