Ещё немного об информационной безопасности
Честно не знаю о чем писать т.к. объять необъятное не выйдет, а потому решил написать по принципу "что вижу о том и пою". А потому он будет вида ответы редакции на письма читателей. В прошлых постах я получил комментарии о том, что мол конспект из тетрадки сюда переписываю. Конечно ничего и ниоткуда я не переписывал, но в целом их правда - эту информацию действительно можно найти в любом учебнике или тетрадке с конспектами. И основной посыл читающих тоже ясен: мол что ты за муру нам тут рассказываешь: классификации, физические поля, космические корабли, бороздящие просторы вселенной? Ты нам конкретно скажи тут нажать, тут включить и вот ИБ достигнута. И методы мне предлагали в две группы свести: технические и организационные, а остальное усложнение ненужное. Как хочется, что бы все было просто.
Но начнем декомпозировать процесс ИБ. Интеграционной основой ИБ, как и других процессов - документация. Начинается она с политики информационной безопасности, в ней отражаются основы. Если мы продолжим декомпозицию, то у нас появятся различные политики более низких уровней, положения, приказы, инструкции, стандарты и т.д. Декомпозируя криптографические методы мы увидим симметричные и асимметричные шифры, хеш-функции. Антивирусные средства: антивирусы для рабочих станций, для почтовых серверов и т.д. И так для всего. И вот тут-то мы и видим, что использование только двух методов если и допустимо на самом вернем уровне (на уровне политики), то с переходом на более низкие уровни это будет неудобно и неэффективно. Конечно это все зависит от размера компании и для ларька с шаурмой и для крупной международной компании будет различное число этих уровней. Для ларька хватит и двух групп методов, для компании - нет.
"Хочешь выполнять требования государственных регуляторов? - это к безопасникам.
Хочешь применить такие же меры, только что бы реально работало? - тебе к админам.", - писали мне в комментариях.
И снова двадцать пять. Я пишу о разнообразии методов и о необходимости их комплексного использования, а в комментариях опять всё сводят к программно-аппаратным. Ведь именно этими методами занимаются системные администраторы. Что касается требований регуляторов, то для защиты коммерческой тайны их нет. Конечно любая компания все равно обрабатывает персональные данные, какие-то компании тесно сотрудничают с государством и потому на эту информацию тоже распространяются некие требования. Но все это распространяется только на некоторые уже частично обозначенные категории информации и то обозначают лишь нижнюю границу к требованиям.
Я нигде не видел нормальных безопасников, вот ни разу. Работал и в крупных госах и крупных коммерческих компаниях и банках. Везде одна и та же песня. Безопасники пишут много бумаг, только они далеки от действительности. Никто не понимает в информационной безопасности ничего (я только про нее сейчас, физическую не обсуждаю). Знания на уровне нескольких статеек с хабра. Действительно решать проблемы ИБ приходилось админам. И тут два подхода, кто-то спорил и говорил что это чушь и не будет работать, а только вызовет проблемы. А кто-то делал и потом всех слал к ИБ.
Автор, если пишите,пишите примеры из жизни. Или подавайте теорию как практику. Припустим- Иванов, администратор фирмы рога и копыта. В работе он использует закон об.... И внутренние положение написанное Петровым. В нем идеться о...
Политик и регламентов можно написать очень много, и даже очень красивых и правильных, но вот их исполнение это уже совсем другая история.)))
Безопасникам нашим и админам низкий поклон, что хорошо фильтруется всякий почтовый шлак, что своевременно ставятся обновления безопасности, что более или менее адекватно антивирь работает, но вот бухов и финансистов хрен отучишь на те же банк клиенты и криптографические ключи ставить слабые пароли.))) С утечками через всякие яндекс диски тоже очень сложно у нас бороться (постоянный файлообмен). Или хотя бы то, что я, мелочь из ИТ, имею полный доступ к СЭД, и могу посмотреть, скачать, сфотографировать любой договор и любой внутренний документ.) Да ещё и эти системы наружу смотрят))) Даже 1С.) С паролями в стиле Password5))
И вот хоть усрись, но ко всему этому ИБ не применить))) И решает тут человеческий фактор)
Можно, конечно, гайки закручивать, но работа в компании просто встанет.) Как говорится, нельзя объять необъятное))) Одним нужны СЭД с 1С наружу, а другим это практически не реально контролировать.) Так что вся ИБ разбивается в хлам о человеческий фактор и хотелки высшего руководства.)) Так что вумные мысли можно раздувать сколько угодно, но дыры в ИБ есть практически у всех, и всё начинается , с какой-нибудь тётки бухгалтера с паролем 12345 от банк клиента плевать ей на какие-то там регламенты, в которых она и не понимает ничего...)))