Как вы считаете — достаточно ли безопасны инфо-системы и что можно улучшить в этом?

Главный философский принцип построения безопасности — разделение людей на хороших и плохих. По умолчанию человек плохой, нужно исходить из этого.

Однако же без веры в существование хороших людей тоже нельзя ничего построить. Аксиоматически хорошие:

1. Производители железа.
2. Производители ОС.
3. Производители антивирусов и средств обеспечения безопасности.
4. Издатели SSL-сертификатов.
5. Издатели нужного вам софта.

Все это вы не можете проконтролировать, ввиду непомерного объема работы по постоянному контролю — по этому нужно просто верить. Без этой базовой веры далее ничего нельзя выстроить.

Далее, все-же нужно расширять список:

6. Ваши домашние.
7. Ваши непосредственные коллеги (тут можно внести градацию доверия, конечно).

Но все мы понимаем, что среди этих категорий людей тоже есть плохие люди. По этому некоторым производителям железа доверия больше а некоторым нет совсем Так же и о слежение ОС за вами мы прекрасно знаем, хотя не до конца осознаем как эти данные будут использоваться (вроде бы там достаточно солидные люди и просто деньги тырить им не интересно).

Но самая заноза и неприятность вот в чем: вы сам можете быть не достаточно "хорошим" (надежным) человеком и иногда в спешке сделать некую глупость. Но как же защититься от самого себя?

S>Главный философский принцип построения безопасности — разделение людей на хороших и плохих.

Нет, главный принцип безопасности — определение возможных опасностей. Если в число возможных опасностей входит закладка в железе, значит надо работать с железом в хорошо изолированном помещении, где закладку невозможно включить. Или вообще работать без железа (секретные документы строго на бумаге).

S>Но как же защититься от самого себя?

При помощи кого-то (начальника, коллеги, друга, жены), кто будет хотя бы немного следить за тобой.

Ну и, конечно, при помощи технических средств. Скажем, напольные весы помогают следить за весом. Гиря в углу помогает следить на развитием мышц ("я смог выполнить упражнение с таким-то весом, значит у меня такое-то состояние").

Здравствуйте, Shmj, Вы писали:

S>Главный философский принцип построения безопасности — разделение людей на хороших и плохих.

Нет. Ремень безопасности в машине делит людей на плохих и хороших?

Шмж, хорошо же начал, всё описал, а под конец задаёшь самый тупой вопрос, который можно было придумать. Ну как так-то??

Моё видение ИТ: всё дырявое, кривое и разной степени отполированности. Твоя задача в этом тухлом мире — принять максимально разумные (т.е. без паранойи) меры для сохранения своей работы/данных.
И да, никогда не доверять бесплатному сыру. Никто вам не желает добра, все хотят только объегорить. Соотв. пока не выяснишь, в чём выгода данайцев, дары приносящих — ни шага в их сторону. (к примеру, добрых раздавателей эккаунтов в облаках)

Здравствуйте, Нomunculus, Вы писали:

Н>Здравствуйте, Shmj, Вы писали:

S>>Главный философский принцип построения безопасности — разделение людей на хороших и плохих.

Н>Нет. Ремень безопасности в машине делит людей на плохих и хороших?

Намного проще — бензопила!

Здравствуйте, L.K., Вы писали:

S>>Главный философский принцип построения безопасности — разделение людей на хороших и плохих.

LK>Нет, главный принцип безопасности — определение возможных опасностей.

Тут все просто — опасности исходят от плохих людей. Нужно обозначить плохих людей.

LK>Если в число возможных опасностей входит закладка в железе, значит надо работать с железом в хорошо изолированном помещении, где закладку невозможно включить. Или вообще работать без железа (секретные документы строго на бумаге).

Запись на бумаге — всего лишь вера в том, что плохие люди не смогут получить доступ к вашей бумажке.

Вот у меня — пароли были в сейфе на бумаге. Плохие люди взломали сейф и вытащили эти записи. Как вам?

Здравствуйте, Нomunculus, Вы писали:

Н>Нет. Ремень безопасности в машине делит людей на плохих и хороших?

А какая параллель с инфо-безопасностью? Это системная безопасность, типа как предохранитель, который защищает от скачков напряжения. Инфо безопасность несколько на иных парадигмах.

Здравствуйте, Baiker, Вы писали:

B>Моё видение ИТ: всё дырявое, кривое и разной степени отполированности. Твоя задача в этом тухлом мире — принять максимально разумные (т.е. без паранойи) меры для сохранения своей работы/данных.

Ну что значит дырявое? Вот ты сидишь за компом. Отойдешь налить кофе — ставишь ли блокировку доступа? Вряд ли — ведь веришь что плохие люди не смогут получить доступ к экрану. А вдруг я через окно пролезу и успею запустить вредоносный скрипт?

Т.е. ты веришь что твоя комната — безопасная среда и плохих людей там быть не может. Так?

Чуть дальше — доверяешь что обновления безопасности от MS — без вредоносных включений, ведь там добрые люди. Так?

B>И да, никогда не доверять бесплатному сыру. Никто вам не желает добра, все хотят только объегорить. Соотв. пока не выяснишь, в чём выгода данайцев, дары приносящих — ни шага в их сторону. (к примеру, добрых раздавателей эккаунтов в облаках)

А жена ваша? Тоже не доверяете? А мама? Тоже зла желает?

Ок. А Микрософту веришь? А банку? Вдруг банк кинет? Или государство защитит? А государству веришь?

LK>>определение возможных опасностей.
S>Тут все просто — опасности исходят от плохих людей.

Определение опасностей. А не того, откуда они исходят: от людей, от животных, от плесени, от стихийных сил...

S>Вот у меня — пароли были в сейфе на бумаге. Плохие люди взломали сейф и вытащили эти записи.

Это не плохие люди взломали сейф. Это владелец сейфа не учёл опасность утраты паролей из сейфа.

Здравствуйте, L.K., Вы писали:

LK>>>определение возможных опасностей.
S>>Тут все просто — опасности исходят от плохих людей.
LK>Определение опасностей. А не того, откуда они исходят: от людей, от животных, от плесени, от стихийных сил...

Все-же плесень, грибы, животные поломка железа — это системная безопасность.

Про инфо — это когда намеренно вас хотят взломать.

S>>Вот у меня — пароли были в сейфе на бумаге. Плохие люди взломали сейф и вытащили эти записи.
LK>Это не плохие люди взломали сейф. Это владелец сейфа не учёл опасность утраты паролей из сейфа.

А вот и предусмотрел. Я подумал что плохие люди специализируются либо на оффлайн кражах либо на онлайн — но редко когда и то и другое вместе. Пароли то они украли, а вот вторичную аутентификацию — нет.

Не могут существовать одновременно удобство использования и защищённость. Если защищённость будет везде, то защищаемыми вещами негде будет пользоваться. Как в хрестоматийном примере про хакера в столовой. Задача решается только через понятие защитного периметра, который создаёт защищённость от внешней среды, а внутри него никакой защищённости и сплошное удобство, но внутрь пускают только тех, кто ничего не испортит.
S>Главный философский принцип построения безопасности — разделение людей на хороших и плохих. По умолчанию человек плохой, нужно исходить из этого.
Категорически неверно.
Есть — люди, для которых PvP изподтишка внутри как бы своего коллектива — недопустимо, даже если очень выгодно, а материальные блага надлежит добывать из окружающей природы.
И есть — человекообразные жлобы (злыдни), внешне неотличимые от людей, для которых перерабатывать сородичей на материальные блага (людоедство) — "ачётакова", норма жизни и вообще ратный подвиг.
Никакая инфобезопасность и никакие заборы не спасут, если изобретательные жлобы-людоеды свободно шастают внутри защитного периметра и имеют полные человеческие права. Они могут очень долго изображать приличных людей и имитировать культурную человеческую речь, но при этом вынашивать долгосрочные коварные планы и в любой момент разить из тьмы зазевавшихся жертв.
S>Но самая заноза и неприятность вот в чем: вы сам можете быть не достаточно "хорошим" (надежным) человеком и иногда в спешке сделать некую глупость. Но как же защититься от самого себя?
Разрешение или запрет на людоедство — прихотипическая характеристика очень глубокого залегания. Обусловлена (сильно или слабо) генетически. Если генетически слабо, то может быть подкорректирована правильным воспитанием с раннего детства, но не до 100%, и давать слабину в критических жизненных ситуациях (когда человекообразное ставится перед выбором — проиграть(умереть) или стать людоедом). Таким образом, чтобы защитить самого себя от скатывания на путь людоедства (признания допустимости перерабатывания сородичей на "еду") — нужно позаботиться о своём правильном воспиитании: Находиться в коллективах, где людоедство неприемлемо. Где про разделение "человечества" на 2 вида знают, и жлобов выбраковывают, невзирая на то какой жлоб ценный специалист. Чтобы со всех сторон окружающие поддерживали тебе правильные привычки поведения, и чтобы держаться вдалеке от соблазнов ко греховному образу мыслей.

S>Про инфо — это когда намеренно вас хотят взломать.

Лично я понимаю "информационную безопасность" как безопасность производства, хранения, обработки, передачи и уничтожения информации. Вот и всё.

Остальное (злоумышленники взломали комп, тракторист случайно оборвал подземный кабель или землетрясение разрушило ЦОД) — это уже частности.

Здравствуйте, L.K., Вы писали:

LK>Нет, главный принцип безопасности — определение возможных опасностей. Если в число возможных опасностей входит закладка в железе

Кстати говоря, не обязательно закладка, может быть и просто баг в железе. Навскидку вспоминается баг в процессоре nvidia, на котором были сделаны первые версии Nintendo Switch, и прочие Spectre/Meltdown

Здравствуйте, wl., Вы писали:

wl.>Кстати говоря, не обязательно закладка, может быть и просто баг в железе. Навскидку вспоминается баг в процессоре nvidia, на котором были сделаны первые версии Nintendo Switch, и прочие Spectre/Meltdown

Баг сам по себе не важен, если ей не будут пользоваться плохие люди.

Закладка же заведомо делается плохими людьми, чтобы ее использовать против вас.

Здравствуйте, Shmj, Вы писали:

S>Как вы считаете — достаточно ли безопасны инфо-системы

Достаточно.

S>и что можно улучшить в этом?

Много чего можно улучшить, вопрос слишком абстрактный.

S>Но самая заноза и неприятность вот в чем: вы сам можете быть не достаточно "хорошим" (надежным) человеком и иногда в спешке сделать некую глупость. Но как же защититься от самого себя?

Непонятно, о чём речь. Если о том, что запушил API ключ в гит, для этого тоже есть инструменты, сканирующие github и отзывающие скомпрометированные ключи, к примеру. То бишь для популярных ошибок пишутся инструменты, предотворащающие их. Туда же linter-ы, WAF-ы и подобные решения.

S>Закладка же заведомо делается плохими людьми, чтобы ее использовать против вас.
Или хорошими, чтобы использовать против плохих. Одно из двух.

Здравствуйте, Muxa, Вы писали:

S>>Закладка же заведомо делается плохими людьми, чтобы ее использовать против вас.
M>Или хорошими, чтобы использовать против плохих. Одно из двух.

Каждый чел. со своей точки отсчета — считает себя хорошим человеком.

Здравствуйте, Baiker, Вы писали:

B>Намного проще — бензопила!

Бензопила отрезает от хороших людей плохую половину

S>Каждый чел. со своей точки отсчета — считает себя хорошим человеком.

Кто кем себя считает вообще неважно в данном топике. Я так понял хорошими или плохими все выглядят в глазах общественности.

Здравствуйте, andyp, Вы писали:

B>>Намного проще — бензопила!
A>Бензопила отрезает от хороших людей плохую половину
Конечно. После бензопилы даже хорошие люди не смогут сделать ничего плохого.