для начала напоминаю про фэйли гигантов веба.
_R_>>похоже на русский подход — пока петух не кллюнул K>Моё ИМХО в том, что тут у бизнеса есть куда больше опыта в оценке рисков...
вот тут показательно. можно в буквах? ну там в формулах или как, я не знаю. что бы коэфицент россии присутствовал?
_R_>>а он обязан присутствовать! как! ну как вы выпускаете систему с кучей пользователей без специалиста по безопасности? да, я помню твои слова о "старшем сисадмине", но, согласись — не то K>Зачем? Специалист по ИБ нас консультирует, не принимая прямого участия в процессе. А "старший сисадмин" отвечает за другую сферу. За приложение отвечаем мы, разработчики.
1. Специалист не на полной ставке -> человек его задействующий должен обладать квалификацией (подозреваю, что и интуицией)
2. Как! Специалист по безопасноти не может консультировать просто так. Он должен знать вашу систему. Или она у вас статична?
3. Ради КСВ — какда это за приложение отвечали разработчики?
Здравствуйте, koandrew, Вы писали:
K>Нет. "Думать о безопасности системы" — это наша обязанность. А задача ИБшника — направлять наши мысли в правильное русло
Здравствуйте, _Raz_, Вы писали:
_R_>вот тут показательно. можно в буквах? ну там в формулах или как, я не знаю. что бы коэфицент россии присутствовал?
Хз, это моё субъективное ИМХО
_R_>1. Специалист не на полной ставке -> человек его задействующий должен обладать квалификацией (подозреваю, что и интуицией)
Для "появления" интуиции у нас были соответствующие тренинги, чтобы дать общее представление о предмете. Ну и прошлый опыт тоже имеется. _R_>2. Как! Специалист по безопасноти не может консультировать просто так. Он должен знать вашу систему. Или она у вас статична?
Нет, его задача — доводить до разработчика best practices, проводить тесты на проникновение и выдавать рекомендации к исправлению выявленных недочётов.
_R_>3. Ради КСВ — какда это за приложение отвечали разработчики?
Всегда. Тоже ради КСВ
Здравствуйте, koandrew, Вы писали:
K>Для "появления" интуиции у нас были соответствующие тренинги, чтобы дать общее представление о предмете. Ну и прошлый опыт тоже имеется.
Общее представление о предмете, конечно, хорошо, но смешно. Спроси у Кочеткова сколько он аббревиатур знает.
И, я так понял, на основе этих знаний вы пошли строить свою большую систему?
Здравствуйте, _Raz_, Вы писали:
K>> "информационная безопасность" _R_>и ключевое слово — безопасность, а не информационная. безопасность бизнеса.
Безопасность бизнеса для многих российских конторок — это организация мигалок для проезда начальства. Ну а что, дядя спешит на рейс подписывать договор — чем не безопасность обеспечить ему проезд про встречке? Будете заниматься?
Здравствуйте, DOOM, Вы писали:
HL>>В России понятие термина "безопасность" — это не безопасность (отсутствие опасности), как во всём цивилизованном мире, а силовые показательные мероприятия. DOO>Это твои странные фантазии
Да какие такие фантазии, как будто я не работал в российских конторах. Цирк да и только, особенно по части ИБ.
AB>Смотри, есть офисная сетка с одним IP. Есть почтовый сервер организации с другим IP (а есть еще backup mx с третьим). MTA, который использует DNSBL, анализирует IP соединившегося (в нашем случае внешний офисный) и отклоняет его. А наш почтовый сервер как работал, так и продолжает спокойно работать (и его на всякий случай страхует backup mx).
Так. Из контекста ты выпал. Мы говорим сейчас про гипотетический small business, которому забить на безопасность — потому что, типа, ничего ему не страшно. Как следствие — IP будет вообще один (ты бы еще сказал, что должна быть своя автономная система ). И сервер, естественно, тоже один.
То, что даже в такой ситуации, можно придумать несложные способы защиты я, естественно, не спорю.
Просто демонстрирую, что актуальные угрозы ИБ можно даже для столь малого бизнеса обнаружить.
DOO>> P.S. Естественно, это относится к случаю организации с собственной почтовой системой (например, это покупатели SBS'а). AB>Эм. А что это? Или имеется ввиду Small Business Server с какой-нибудь приблудой на борту?
Ну да, там же на борту и Exchange есть.
AB>З.Ы. Будучи активным поставщиком "свежего мяса" для spamcop мне иногда очень жалко, что IP банят всего на сутки (не так уж и страшно попадать в BL).
Очень многие попадают в эти листы за счет отсутствия защиты от некорректных bounce messages — пожалел бы таких
AB>Так, например, меня достала спамом компания "Айдеко", которая по иронии судьбы занимается решениями по защите от электронных угроз (в т.ч. и антиспамом).
Дак они тебя своей рекламой достали или именно с их сегмента спам валит?
_R_>>ну а кто может определить необходимость, как не "специалист по ИБ"? K>Необходимость в нашей сфере (разработке софта) указана в ТЗ. Специалист по ИБ тут ни при чём.
Да. А с орг. мерами-то как?
А кто проанализирует, что ты обязан в своем продукте реализовать ПОИБ? А ведь в некоторых сферах это обязательное требование — я же не просто так тот же HIPAA поминал. А еще PCI DSS есть (для тебя PDA DSS ближе). Есть законы, например, у нас это 152-й, 98-й, 395-й — а еще куча подзаконных актов.
ТЗ — не защитит тебя от нарушения законодательства или отраслевых требований по ИБ.
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, _Raz_, Вы писали:
_R_>>Чему? Две строчки выше перечитай
K>Нет. "Думать о безопасности системы" — это наша обязанность.
Кесарю — кесарево. У вас, извините, и знаний-то соответствующих нет.
Здравствуйте, DOOM, Вы писали:
DOO> Так. Из контекста ты выпал. Мы говорим сейчас про гипотетический small business, которому забить на безопасность — потому что, типа, ничего ему не страшно. Как следствие — IP будет вообще один (ты бы еще сказал, что должна быть своя автономная система ). И сервер, естественно, тоже один.
Так на сколько я понял, офисный IP сидит за NAT/прокси и ни о каком почтовом сервере на этом же IP речи быть не должно. Или я не понял и почтовый "сервер" стоит тут же у директора под столом а весь трафик хитророутится (но это же сообще шаражка какая-то получается)?
AB>> Так, например, меня достала спамом компания "Айдеко", которая по иронии судьбы занимается решениями по защите от электронных угроз (в т.ч. и антиспамом). DOO> Дак они тебя своей рекламой достали или именно с их сегмента спам валит?
Своей рекламой. Наверняка со своего же сегмента (хотя я не проверял). Это я написал к тому, что spamcop их банит на очень маленькое время и все очень быстро возвращается на круги своя.
Здравствуйте, _Raz_, Вы писали:
_R_>Общее представление о предмете, конечно, хорошо, но смешно. Спроси у Кочеткова сколько он аббревиатур знает.
Общее представление о предмете позволяет задать правильные вопросы специалистам. А аббривеатур я тоже много знаю
_R_>И, я так понял, на основе этих знаний вы пошли строить свою большую систему?
Ну да, и даже более того — сходу прошли аудит и тесты на проникновение
Здравствуйте, DOOM, Вы писали:
DOO>А причем тут техника-то? Я вот достаточно неплохо разбираюсь в определенных разделах законодательства, например — без этого в нашем деле никак. DOO>Ты опять путаешь безопасность компьютерную с безопасностью информационной.
Нет, не путаю. Информационная безопасность — риск технический.
DOO>Так не бывает. Все падает, сыпется и т.п. Только за счет незримой работы итшников сохраняется видимость того, что все работает как часы.
Бывает K>>Всеми этими задачами должны заниматься (и занимаются, по крайней мере в тех конторах, где мне довелось работать тут) админы. DOO>Есть люди, которые озвучивают требования — это в нашем случае ИБшники DOO>Есть люди, которые исполняют требования — это в нашем случае ИТшники. DOO>Есть люди, которые контролируют выполнение требований — это опять ИБшники или внешние проверяющие. DOO>1-е и 3-е — личности заинтересованные. DOO>2-е, теоретически, нет. Поэтому рассчитывать на то, что они сами себе соответствующие задачи поставят — неразумно. С тем же успехом можно ждать, что ИТшники, вдруг, начнут какие-то задачи бухгалтеров выполнять.
Почему же тут обходятся без ИБшников?
K>>Ещё раз — задача спецов ИБ ИМХО чисто консультативная DOO>Ну можно это и так назвать. Но это не консультирование, а выдвижение требований — заказ услуг у соседних подразделений.
DOO>Поверь мне, ИБшникам свое существование оправдывать не надо.
А что же тогда вы тут делаете?
Здравствуйте, DOOM, Вы писали:
DOO>Да. А с орг. мерами-то как? DOO>А кто проанализирует, что ты обязан в своем продукте реализовать ПОИБ? А ведь в некоторых сферах это обязательное требование — я же не просто так тот же HIPAA поминал. А еще PCI DSS есть (для тебя PDA DSS ближе). Есть законы, например, у нас это 152-й, 98-й, 395-й — а еще куча подзаконных актов. DOO>ТЗ — не защитит тебя от нарушения законодательства или отраслевых требований по ИБ.
Всё это — прописано аналитиками в ТЗ — это их задача поставить задачу таким образом, чтобы все законы были выполнены.
Здравствуйте, DOOM, Вы писали:
DOO>Кесарю — кесарево. У вас, извините, и знаний-то соответствующих нет.
Всё у нас есть. Не стоит считать себя самым умным, а всех остальных — идиотами...
Здравствуйте, koandrew, Вы писали: K>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>имеет, т.к. эксплуатация этого типа ПО несет больше рисков, нежели просто нестандартного. K>Объяснишь?
Там где варез, там малварь. В гораздо больших количествах, нежели при использовании нестандартного, но легального ПО. Да, примерно 2/3 срабатываний антивирусов на кейгены и кряки — false positives, но даже оставшейся трети хватает за глаза. Это я тебе говорю как человек, начинающий каждый свой рабочий день с чтения сводок корелляций, IDS и AV. Это риск ИБ в лучшем виде.
Варез, в отличии от нестандартного ПО, также становится крайне опасен в том случае, если на его использование начинают завязывать бизнес-процессы. Потому что в этом случае, рано или поздно, придется его либо покупать (финансовые потери), либо сносить (читай — ломать бизнес-процессы). И это тоже риск по ИБ. Потому что имеет место угроза прерывания бизнеса из-за эксплуатируемой информационной системы. Что есть показатель "непрерывности бизнеса" и к какой сфере деятельности относится его обеспечение по части эксплуатации информационных систем — нагугли сам, плс.
При обычной плановой проверке со стороны всевозможных органов, весьма высока вероятность того, что из-за вареза будет изъят весь парк компьютерной техники. И это также риск по ИБ, т.к. восстановление инфраструктуры после такой проверки — есть ни что иное, как реализация плана disaster recovery (также рекомендовано к самостоятельному гуглению на предмет того, к какой области относится это понятие).
И наконец последнее. В большнинстве своем, варез представляет собой проприетарный код с закрытыми исходниками. В случае его легального приобретения, с поставщиком существует договоренность об ответственности за реализацию угроз ИБ в результате экплуатации данного софта, о поддержке, возможно о предоставлении некоторой внутренней документации и т.п. В случае вареза этого нет. Но нет и исходников, документации и вообще чего-либо, на основании чего можно было бы оценить, насколько безопасно можно использовать данное ПО в нашей инфраструктуре. У нас в 2003м году был случай, почти 1-в-1 тот, что сегодня рассказал мыщъх в КУ. Сотрудник бизнес-подразделения (не технического), с подачи поставщика одного e-commerce решения, развернул у себя VMWare Workstation для запуска демо-версии продукта (они распространяли их в виде виртуальной машины). Разумеется, ни ИТ, ни ИБ в курсе не было. Что-то там у него не заработало, представитель поставщика (сам в ИТ дуб-дубом) связался с их админами и шаманил в виртуалке до тех пор, пока их решение не заработало. Уж не знаю каким хреном, но он включил на ней DHCP. А сетевуха компа сотрудника шарилась с сетевухами виртуалки (т.е. никакого NAT'а, все по-честному). А IPшник в виртуалке был старательно вбит ручками...
На следующий день, когда большая часть счастливчиков, оказавшихся в одной подсети с этим орлом начала буквально штурмовать helpdesk было очень весело. И ИТшникам и ИБшникам.
Рисков по ИБ в чистом виде не существует. Точнее, они конечно есть, но никому неинтересны. Что компании с нарушения конфиденциальности какой-либо информации, если это не создает компании никаких проблем? А если реализация угрозы конфиденциальности информации в ИС влечет за собой потерю пары миллионов — это финансовый риск или технический? А если помимо пары миллионов внезапно появляется риск множественных судебных преследований — это финансовый, юридический или все же технический риск? А если риск связан с тем, что сотрудник запомнит конфиденциальную информацию и вечером с потрохами, по памяти, воспроизведет ее конкурентам — это уже не риск ИБ? Видимо это "психологический" риск, если следовать твоей логике
Допускаю, что это тяжело понять, но еще раз: безопасность информации и безопасность информационных систем — это разные вещи, хотя и пересекающиеся. Мы — говорим о первом, вы — о втором.
KV>>Вот мы и подбираемся к самому главному. У нас — тоже K>Тогда повторяю свой вопрос — при чём тут ИБ?
Мне действительно искренне жаль, что ты и iHateLogins явно имели "честь" наблюдать ту ИБ, которая выросла после того, как сокращенные сотрудники бывшего КГБ не знали куда себя приткнуть. Ту ИБ, работники которой считают, что они не в состоянии обеспечивать безопасность того, чем они не владеют, и которые стремились взять под тотальный контроль всю информацию, циркулирующую в компании.
Но это неправильный подход к обеспечению ИБ и ни я, ни DOOM, не относимся к таким компаниям. Обеспечивать безопасность информации должны ее владельцы, реальные владельцы из бизнес-подразделений. Мы лишь даем им политики и регламенты, адаптированные к их бизнес-процессам, чтобы они, не будучи профессионалами в нашей области, смогли обеспечивать эту самую безопасность. Обеспечивать безопасность информационных систем должны те, кто обеспечивает их экплуатацию, потому что никто лучше них, этого сделать просто не сможет. Мы лишь даем им НФТ, чеклисты и технические регламенты, адаптированные под их системы, чтобы они, также не будучи профессионалами в области БИС, могли ее обеспечивать. Мы лишь контролируем то, что они ее обеспечивают, отслеживаем события безопасности в инфраструктуре и расследуем инциденты, связанные с тем, что "не обеспечили" для исключения вероятности повторения подобного в будущем. С разработчиками еще проще: НФТ от нас на входе процесса разработки и аудит соответствия продукта нашим требованиям на выходе. Плюс обучение всех вышеперечисленных групп сотрудников, если это необходимо. Вот, ИБ, примерно "при этом".