Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Информационная безопасность: мифология

Информационная безопасность: мифология

Несмотря на стихающую проблему "2006-2011" (152-ФЗ) и спадающий интерес к ИБ, активное продвижение оной апологетами продолжается. Обычно с помощью не объективных аргументов, а с помощью широко распространенных суеверий. Рассмотрим некоторые из них.

Общее количество вирусов увеличивается и значит, вирусная угроза растет. И если вы не купите новейший антивирус...

Вообще-то в посыле пропущенно слово "известных". То есть как энтропия, число известных вирусов растет, но угроза не увеличивается. Вирусы под MS-DOS не запустятся под 32-64-й разрядной системой. Они писаны под 16-и разрядные. То есть общая угроза от вирусов находится на относительно постоянном уровне. Так как часть вирусов просто становятся неработоспособными, оставаясь известными. Вообще в правильно настроенной системе вирусы маловероятны, если не считать "дырок" от производителей ПО.

Проблема проникновения в корпоративную сеть из интернета становится все болеее и более серьезной. И если вы не купите новейший файрвол...

Особая песня. Вообще даже самую плотную защиту можно обойти. Но в мире таких людей единицы и они у всех на виду. Им незачем куда-то проникать. Опасность представляют так называемые "script kiddy", школота по нашему. Это просто измученные комплексами сетевые хулиганы. Среднего уровня брандмауэр и набор политик они не преодолеют.

Самый страшный враг ваш сотрудник. Если систему нельзя вскрыть снаружи, то ее можно вскрыть изнутри (несмотря на антивирус и фаейрвол). Поэтому если вы не купите систему слежения за персоналом...

Вообще-то, разумный контроль нужен. Но когда под видом мер по "Информационной безопасности" вводится тотальная слежка, прослушивание и подглядывание, это скорее приступ какой-то болезни, нежели мера по соблюдению ИБ.

Вообще, как говорит очень уважаемый мною человек : "Нужно либо заниматься только ИБ, либо вообще ею не заниматься"

Дополнительные материалы

Комментарии (5)

  • Аватар

    Бычков Валерий [vbychkov], 08 декабря 2011, 15:56

    0
    Любые технические меры в любом случае упираются в человеческий фактор. Самая защищенная система не выдержит столкновения админа с УК и паяльником, ну или заноса денег кому-надо. Отсюда разумно-достаточный уровень безопасности - как раз защита от школоты. 
    • Аватар

      Головатый Артем Юрьевич [Головатый А.Ю.], 08 декабря 2011, 17:04

      0
      +1.
      Массовая тотальная слежка + контроль - большие затраты, которые, как правило, не возвращаются.
      Обоснованная тотальная слежка за конкретным сотрудником - вот он средний вариант. Здесь ИТ должно инструментарием максимально помочь организовать такую слежку.

      А, вообще, глупо выглядят затраты на "слежку", запреты на разного вида инстант-мессенджеры, почту и т.д., со ссылкой на "слив" инфы и тут же никаких запретов к мобильным устройствам а-ля смартфон/коммуникатор со встроенным фото/видео и 3G/4G-сетями. :)

      • Аватар

        Яковлев Андрей Михайлович [swtws], 08 декабря 2011, 17:57

        0
        С одним сотрудником у клиента получился цирк с конями. В общем, обвиняли до проверки ИБ, на основании рассказов той самой одной тетки. После проверки дыры нашлись, а "виновный" оказался  не при чем.
    • Аватар

      Яковлев Андрей Михайлович [swtws], 08 декабря 2011, 17:26

      0
      А собственно коммерческие стандарты построены на таком принципе: нечего тратить на защиту актива больше, чем он сам стоит.
  • Аватар

    Чижиков Владимир [Skif Swarogich], 08 декабря 2011, 21:20

    1
    Коснусь последнего пункта.
    Проблема не в тотальной слежке. Да можно разрешить пользоваться ВСЕМ. и флешками, аськами, скай пами и т.д. и при этом дать нужный уровень ИТ безопасности от утечек. Можно. но тут возникает две проблемы:
    а) Стоимость ПО+Железо. а потребуется именно такая связка, так как контекстные фильтры и т.д жрут ресурсы - мама не горюй
    б) компании не готовы классифицировать конфиденциальную информацию. То есть нет чётких  критериев, по которым происходит определение, что тот или иной документ содержит конфиденциальную информацию. Критерий, это не желание клиента сказать, что вот тот документ и тот документ - секретны. Нет. если мы говорим о нормальных системах, нужно определять по контесту, по содержимому. И здесь снова проблема. не ко всем документам вас допустят. Как классифицировать? Потом, после внедрения необходимо поддержание. а это требует отдельных спецов, а не просто "того мальчика админа". Вот и получается, что нормальные решения внедрить на малом-среднем предприятии анриал. то есть проблема не в покупке софта, а корректной настройке и поддержании фильтров. А то ежедневная работа по мониторингу и и новым настройкам.
    Ну и конечно "слежка" практически никакой связи не имеет с защитой от утечек. слежка последний рубеж, когда нужно набрать какой-то фактологический материал. Хотя много можно собрать и без слежки. просто отслеживая факты отправки конфиденциальной информации за пределы защённого периметра. и при необходимости бокируя эти попытки. ну а со "смутьянами" нужно вести беседы. причина может быть не в злонамеренности, а в отмутствии четкого понимания, что секретно, а что нет, что мо можно тем или иным способом передавать, а что нет. кому можн,а кому... ну вы поняли :)
    так что слежка - это перегиб, а вот разумная защита - разумна. Только она окупается на крупных предприятиях. иначе это зарывание денег.