 |
|
|
|
![[info]](http://l-stat.livejournal.com/img/userinfo.gif?v=92.1) infowatch | |
|
|
|
|
|
|
|
План эвакуации. Также см. по ссылке |
Сегодня у нас в доме проводили учебную пожарную тревогу. С настоящими пожарными, сиреной, дымовыми шашками и учебной эвакуацией из самого высокого корпуса. Идея очень правильная. Каждый должен "знать свой маневр", особенно когда требуемые действия не столь очевидны, как "ложись" или "беги". На взгляд вашего покорного слуги, отделы ИБ тоже должны раз в полгода устраивать пользователям учебные тревоги для отработки следующих действий: - заражение рабочей станции неизвестным вирусом;
- получение по электронной почте сообщения от фишера;
- получение сообщения о некорректном SSL-сертификате корпоративного сервера;
- социально-инженерный звонок с просьбой выполнить те или иные действия с компьютером;
- подозрительные действия соседа по офису, например, фотографирование экрана монитора;
- появление в офисе незнакомого лица, что-то подключающего к сети;
- получение от непосредственного начальника приказа, который противоречит политике безопасности.
Одно дело – прочесть указания в 101-й по счёту инструкции, и совсем другое – проделать те же действия "на местности". И самому понятнее, и запоминается куда как лучше. Кстати, создать сценарий проведения учебной тревоги по ИБ – дело не простое. Требуется, чтоб и моделируемая ситуация была типична, и процесс интересный, и отвлечение от основной работы минимально, и обстановка "максимально приближенная к". За хороший сценарий и денег заплатить не жалко. Tags: защита информации, обучение, политика безопасности
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сперва про пожарных. В банке сгорел один из офисов (конкретно сгорел, офис на 500 человек). Через полгода чувствую характерный запах плавящегося пвх. Звоню завхозу (ответственному за пожары). Он отвечает, что, типа того, не ссы, до утра не сгорим, а утром вызову электриков.
Один крупный оператор сотовой связи. Доступ у управлению услугами через интернет. Сертификат самовыпущенный.
Одна очень государственная финансовая структура. Гастарбайтеры строят кирпичные стены в серверной (стены - по делу). Под потолком болтался жгут пятой категории в полста штук. Замуровали в стенку. Что говорили работнички я не понял, а прораб говорил, что, эта, вот, не причем он, они сами так работают.
Еще один крупный банк. Купили систему интернет банкинга (довольно давно). Мастер ключ лежит в открытом виде в c:\. Поставщик: так еще никто не жаловался!
Чиста конкретный большой банк. Несколько раз лежал не менее суток от броадкастового шторма. Все отделения были в одном сегменте.
Один крупный процессинговый центр. Почти все банкоматы работали с ключом шифрования пина 0-F. Типа удобно так. Может и до сих пор работают ;-)
Другой крупный банк. Прибегает мелкий бабайчик к админу: запиши все пароли и отдай вот тому новому хмырю! Единственный положительный пример, ибо админ ответил: а не пошел бы ты на... в... бегом!
А вы говорите учения... Систему менять надо.
|
|
|
|
|
|
|
|
|
|
|
Обсуждение нас завело в известный этический тупик (на самом деле нифига не тупик, но это неважно).
Главнее понять, что надо делать, чтобы учения проводились регулярно. Я, например, такого способа не знаю.
Во всяком случае учения по событиям, угрожающим жизни и здоровью людей учения надо проводить обязательно. Даже если законодательство ничего не сделает в случае катастрофы.
Было у меня дважды провести учения по этой теме (оба раза связаны с пожаром). Один раз почти сработал датчик утечки газа на системе пожаротушения, а в серверную проходили через "стакан" (пускают по одному, по карте с кодом). Большая железная дверь с электромагнитным замком, который должен был выключиться при срабатывании тревоги, оказалась заперта на ключ, ключ у охраны семью этажами ниже.
Ну и второй раз после пожара в офисе. И после рассматривания разрухи после действий пожарных (хотя примерно половину оборудования удалось спасти - не от пожара, а от пожарников).
Что касается учений по информационной безопасности, то мысль эта хорошая. Но, на мой взгляд, установка (имитация) неизвестного вируса - абсолютно бессмысленное действие.
А вот проблемы с нарушением информационной безопасности в технологическим цикле - очень даже востребованные учения. Правда, эти учения не могут провести консультанты. А про качество собственных специалистов (в т.ч. и в информационной безопасности) в 80% компаний я лучше промолчу.
|
|
|
|
|
|
|
|
|
|
|
 |
From: slavka |
Date: December 14th, 2009 02:09 pm (UTC) |
| (Link) |
|
| Обсуждение нас завело в известный этический тупик |
в смысле "стучать западло"? я так не считаю. | Главнее понять, что надо делать, чтобы учения проводились регулярно. Я, например, такого способа не знаю. |
надо 1) установить правила по проведению учений 2) наказывать тех, кто правила не выполняет (и поощрять тех кто выполняет). | на мой взгляд, установка (имитация) неизвестного вируса – абсолютно бессмысленное действие |
а по мне так наоборот на компе главбуха появляется некое левое окошко и предлагает нажать "ОК" (реализуется элементарно силами своих же программистов) варианты поведения главбуха 1) нажимает ОК и никому не говорит (надавать по башке и оштрафовать) 2) звонит в службу ИТ и жалуется что у него вирус (дать премию) постепенно такими "павловскими" методами можно выдрессировать всех. | А вот проблемы с нарушением информационной безопасности в технологическим цикле – очень даже востребованные учения. Правда, эти учения не могут провести консультанты |
почему? Имхо, именно консультанты и должны этим заниматься |
|
|
|
|
|
|
|
|
|
|
> в смысле "стучать западло"? я так не считаю.
Нет нет. Совсем другой. Настучишь - испортишь себе жизнь.
> 1) установить правила по проведению учений
Легко
> 2) наказывать тех, кто правила не выполняет (и поощрять тех кто выполняет).
Топы. Кто их накажет? Акционерам до лампочки - их волнует, чтобы воровство не превышало разумных пределов. А пинать рядовых сотрудников без согласия топов - глупо и опасно.
>на компе главбуха появляется некое левое окошко и предлагает нажать "ОК" (реализуется элементарно силами своих же программистов)
варианты поведения главбуха
> 1) нажимает ОК и никому не говорит (надавать по башке и оштрафовать)
> 2) звонит в службу ИТ и жалуется что у него вирус (дать премию)
Вау. Это разводка со стороны безопасников чистейшей воды. Башку оторвут именно безопасникам.
А вот перехватить конфиденциальный документ, открыто посланный по мэйлу и провести разъяснительную беседу с бухами вместе с главбухом - очень полезно (условно, обычно есть бесконечно более разгильдяйские подразделения, чем бухгалтерия, которые пилят реальное бабло).
Подменить циферки в файле, который грузится в бухгалтерскую систему и настучать по башке тем, кто не выявил расхождения - чрезвычайно актуально (только подменять ничего не надо - таких ошибок ежедневно в большой конторе куча).
И т.п. Т.е. работа по безопасности, но как бы со стороны технологий. Поверьте, как минимум в нескольких отраслях это основа. А компрометация информации и новые вирусы - это мелкая неприятность по сравнению с текущими ошибками.
|
|
|
|
|
|
|
|
|
|
|
|
From: slavka |
Date: December 14th, 2009 02:28 pm (UTC) |
| (Link) |
|
| Настучишь – испортишь себе жизнь. |
каким образом анонимное письмо в пожарную инспекцию может испортить "стукачу" жизнь? | > 2) наказывать тех, кто правила не выполняет (и поощрять тех кто выполняет).
Топы. Кто их накажет? |
государство. | Вау. Это разводка со стороны безопасников чистейшей воды. Башку оторвут именно безопасникам. |
за что?  за то что они выяснили, что главбух – безответственный идиот и не умеет соблюдать правила безопасности? | А вот перехватить конфиденциальный документ, открыто посланный по мэйлу и провести разъяснительную беседу с бухами вместе с главбухом – очень полезно |
без соотв. стимулов (по башке) – бесполезно. У них, панимаэш, важная работа а вы тут в бирюльки компутерные играетесь. | Подменить циферки в файле, который грузится в бухгалтерскую систему и настучать по башке тем, кто не выявил расхождения – чрезвычайно актуально |
а это типа не разводка? | компрометация информации и новые вирусы – это мелкая неприятность по сравнению с текущими ошибками. |
одно другому не мешает. Если топы тупо запускают все аттачменты, которые приходят им на мыло, то веселье будет то еще |
|
|
|
|
|
|
|
|
|
|
> каким образом анонимное письмо в пожарную инспекцию может испортить "стукачу" жизнь?
Все вскроется. И совсем за недорого.
>>Топы. Кто их накажет?
>государство.
Ну прикроют бизнес. Кто в выигрыше? Не в этом смысл.
>>Вау. Это разводка со стороны безопасников чистейшей воды. Башку оторвут именно безопасникам.
>>за что? за то что они выяснили, что главбух – безответственный идиот и не умеет соблюдать правила безопасности?
Главбух нормальной работающей организации: отбивается от проверок, выводит деньги акционерам с минимальными потерями, покрывает воровство топов. Если он при этом клинический идиот - это не проблема всех перечисленных, их то все устраивает.
> без соотв. стимулов (по башке) – бесполезно. У них, панимаэш, важная работа а вы тут в бирюльки компутерные играетесь.
Обычно такая угроза успешно работает до первого применения. Поэтому гораздо выгоднее убедить начальника выполнять какие-то действия самому и
полечить сотрудников. Обычное давление легко прекращается увольнением (или подставой) давящего.
>>Подменить циферки в файле, который грузится в бухгалтерскую систему и настучать по башке тем, кто не выявил расхождения – чрезвычайно актуально
>а это типа не разводка?
Во-первых я говорил ранее, что это обычные ежедневные ошибки. А во-вторых имитация обычной ошибки - имеет право на жизнь, а имитация невероятного случая - нет.
> Если топы тупо запускают все аттачменты, которые приходят им на мыло, то веселье будет то еще
Будет веселье для эникейщика ночью даже без спасиба переустанавливать винды на ноуте топа. И всё. Плавали. Знаем ;-)
|
|
|
|
|
|
| |
|
|
|
в прошлое
