Информационная безопасность это объективная реальность или ...

Информационная безопасность это объективная реальность или хорошо раскручиваемая индустрия?

Основная суть работ выполняемых сегодня большинством руководителей в ИБ: спланировать и утвердить бюджет на ИБ, заполнив его, например, покупкой новой железки и продлением лицензий на ПО или на техобслуживание железки, приобретенной ранее. Ну может для особо продвинутых еще построение СУИБ или внедрение одного из стандартов на выбор ISO27001, PCI DSS, СТО БР, …
Спланировали, утвердили, успешно освоили, внедрили наконец… Все довольны, каждый по своему правда. Руководство довольно тем, что наконец то защититились, или прошли процедуру аудита на соответствие… Руководитель ИБ тем, что все успешно освоил и внедрил, грамотно отчитался руководству. Специалист ИБ, тем, что отправили поучиться, и теперь светится на стенке кабинета в рамочке новый сертификат… Но вот насколько все это реально способствует безопасности информации, нужно ли это для ИБ? Где гарантии, что купив и внедрив все и вся на современном рынке ИБ, компания будет в результате надежно защищена? Что внедренные решения будут способствовать бизнесу компании на деле, а не на словах и бумаге? Впрочем, последнее в случае со стандартами и сертификацией может действительно несколько поспособствует, например с компании не возьмут штраф или можно заявиться на международном рынке. Но по большому счету, где она та самая информационная безопасность, да и вообще понимаем ли мы, что она такое, не путаем ли зачастую ее с безопасностью данных?
В сети стали появляться первые признаки того, что все-таки нет не понимаем, т.е. думаем, что понимаем и искренне в это верим, но… Статистика упомянутая не так давно на некоторых сайтах явно свидетельствует об этом, около 85% людей работающих в ИБ неверно понимают сущность ИБ как таковую, свои задачи и роль в ней соответственно. Это подтверждается многолетними наблюдениями, мы год от года успешно наступаем на одни и те же грабли, а именно важная информация теряется так же часто, как это было к примеру лет 10 назад и что важно — по тем же самым причинам. Выводов из которых, к сожалению никто не делает, все в принципе идет по одному кругу. Предлагаю обсудить это, кто и что думает по данному поводу?

275
Комментарии (21)
  • 20 апреля 2009 в 18:20 • #
    Павел Зубков

    Da ne... est normalnye liudi. tak skazat uzkokvalificirovannye. Tam gde informaciya dejstvitelno cenna.

    Vopros ne v tom chto uslugu okazyvajut ploxo, vopros v tom chto ona ne vostrebovanna na rynke.

    Ne zabyvajte eshe osnovnoj moment: nafiga vkladyvat v IB 1000 000 esli kakoj-nit , izvinite, mudag, vozmet i uneset HDD domoj.

  • 20 апреля 2009 в 18:29 • #
    Олег Кузьмин

    В конце 90-х мы успешно обеспечивали информационную безопасность, как раз таки в основном организационными мерами, даже с инсайдерами успешно боролись, но в отличии от реалий сегодняшнего дня грамотно спланированными, своевременными и эффективными (больше нечего кроме антивирусов, да МЭ по большому счету и не было).
    В это время вынос жесткого диска по окончании рабочего дня практиковался достаточно часто, что мы имеем и сегодня.

  • 20 апреля 2009 в 18:32 • #
    Павел Зубков

    Ya nedavno byl s vizitom v kompanii - u nix voobshe net konmputerov kak takovyx. Vse sidiat na terminalax. Server - za sejfovoj dverju. No i to vynosili bazu klientov - tupo fotkali mnitor.

  • 20 апреля 2009 в 18:48 • #
    Олег Кузьмин

    :) да, такая тема по утечке известна.
    Я еще в шутку привожу иногда картинку, где изображено, как монитор наклоняют над ксероксом и делают копии с его экрана (это актуально там, где строго фотоаппарты и мобильные телефоны с камерами еще на проходной сдают). Условие только одно - близко стоящий большой или переносной копировальный аппарат.

  • 20 апреля 2009 в 21:03 • #
    Александр Токаренко

    Олег!

    Вспомни чему нас учили и что стало модным сейчас...

    Нас учили комплексности, ограничению секретоносителей (каждый должен знать лишь то, что действительно ему необходимо) и уязвимости "человеческого фактора" (потому основное: учет и контроль... учет и контроль...). Стандартная критическая система была: аппаратура - за ней работает/следит человек - его контролирует техника - за которой следит человек, желательно не пересекающийся с первым...

    Сейчас: поставил железку и считается, что обеспечил безопасность (все надежды на технику); "заплаточная" защита; узкоспециализированные спецы на всех уровнях; в лучшем случае один уровень контроля; вся информация известна всем.

    М.б. старею... А раньше "и трава была зеленее (с)"... LOL

  • 21 апреля 2009 в 08:54 • #
    Михаил Семёнов

    Добрый день коллеги!
    Почитал Ваши сообщения и прямо слеза навернулась))))) Я бы с привеликим удовольствием последовал вашим примерам и с терминалами и с ограничением. Вот у меня систем разных около 30, планируется ещё ок десятка, все на разных платформах. Вот и реализуем комплексный подход, контроль и разные технические мероприятия. А что действительно делать с человеческим фактором, тем более, что охраной и прочими подобными организационными мероприятиями занимаются люди, которым глубоко наплевать на твои информационные ресурсы?......Обидно.

  • 21 апреля 2009 в 18:01 • #
    Олег Кузьмин

    Человеческий фактор может держаться в рамках благодаря организационным мерам и политики проводимой компанией в отношении своих работников. Вот материал, написанный мной 3 года назад http://www.securitylab.ru/contest/277502.php, там есть несколько советов из практики. Но можно конечно болеее подробно разобрать вашу ситуацию. И думаю, реальную помощь может принести эксплуатация у вас PasketSentry, просто будете держать руку на пульсе каждого пользователя, при необходимости отбирая у них объяснительные и если нужно, то и в приказ о наказании. Лечится иногда только так, на личном примере с одними, и на страхе подобного у других.

  • 21 апреля 2009 в 12:34 • #
    Олег Бурков

    Добрый день коллеги!
    На самом деле область ИБ по моему сугубому мнению достаточно специфична. Очень часто ИБ занимаются люди IT, из безопасности понимающие только поддержание связи, да и среди режимников достаточно людей знающих о сетевой безопасности только виртуально (когда то читали). А раскручивается эта система только благодаря тому, что в мире ПОДРОСЛО ПОКОЛЕНИЕ "специалистов" АНТИ-ИБ. Ес-но что ни один ХОЗЯИН не смирится с тем, что благодаря чьим то действиям из его кармана утекают деньги. И ес-но он готов платить за безопасность своих инфоресурсов. А критичность тех или иных ресурсов становится понятной только после их "слива".
    Обеспечение ИБ очень кропотливый процесс, а специалист, обеспечивающий этот комплекс мероприятий, должен быть очень разноплановым. Ес-но в этом необходим баланс цены вопроса. Ну и самое главное, в ИБ необходимо сначала доказать хозяину целесообразность вложений, ведь сама по себе система ИБ прибыли не дает. Суть внедрения системы ИБ - обеспечить отсутствие конфликтов ИБ, которые могут привести к прекращению деятельности организации на временной промежуток, цена которого не приемлема для хозяина.
    А по поводу оргмероприятий - они также важны. "Слив" осуществляют люди! И тут очень важно как с людьми будут работать специалисты по персоналу и заместители по безопасности. Только лояльность людей может обеспечить надежность человеческого фактора.
    Так что это многофакторный процесс. Причем он должен быть выделен напрямую к VIP персоналу.

  • 21 апреля 2009 в 22:52 • #
    Олег Кузьмин

    Олег, добрый день!
    Не совсем понятно, кого вы имеете ввиду под поколением специалистов "АНТИ-ИБ". Но если я вас правильно понял, то читая, например, сегодняшний выпуск газеты "IT news" посвященный информационной безопасности я насчитал там больше половины таких специалистов, выступивших в роли авторов или комментаторов размещенных в выпуске материалов. Что касается критичности ит-ресурсов после их слива, то на мой взгляд - это эффективный метод воспитания зрелости в вопросах ИБ у руководителей компании на минимально необходимом для качественной работы СБ компании уровне. Кстати, однажды моему знакомому удалось доказать руководству его компании, что принимаемая в компании автоматизированная система не обеспечивает сохранности конфиденциальной информации только в результате проведенного им эксперемента с реальной инсайдерской деятельностью. В результате чего конф. информация в течении нескольких минут была образцово-показательно извлечена из системы, сертифицированными средствами защиты которой данный факт оказался не выявлен. А 12 человек службы безопасности не зафиксировали данный инцидент. АС в итоге разобрали на небольшие локальные сети.
    По поводу специалистов, возрастающая сложность применяемых решений уже давно порождает развитие узко специализированных специалистов ИБ. Такие люди очень хорошо знают свой вопрос, но с трудом могут представить систему защиты информации в целом. Тем более определить в ней самое слабое звено или что либо спланировать в ИБ выходящее за рамки его компетенции. Для того чтобы понять ИБ мало технической подготовки и знаний РД, нужно понять все процессы в данной организации, понять, как они функционируют, кто и что для этого делает, как взаимодействует между собой при этом. Но это только половина, далее, необходимо также научиться думать не только как безопасник, но и как представитель коммерческого направления или, например экономист. Далее, это нужно свести все в месте в сложную систему функционирования всего "организма" компании. Понять где, когда и отчего он может "заболеть", принять предупредительные меры. Извиняюсь за приведенные аллегории, но в общем виде представить это можно примерно так. К сожалению таких специалистов очень мало, наверное, из каждых 1000 человек занимающихся ИБ - таких, наберется не более 2 -3 чел. Ну, а VIP персонал, это вообще отдельная тема :).

  • 22 апреля 2009 в 07:28 • #
    Олег Бурков

    Знание "пруда в котором плаваешь" в нашем деле немаловажный аспект и я полностью с вами согласен. Ну а сложность технологий - ну не настолько же ведь, чтобы "пытливый" ум не смог разобраться. А всю систему в общем конкретный спец по ИБ и не должен знать - это прерогатива его начальника и руководителя отдела, департамента IT. Потом польза в узком специалисте, да еще и не желающем развиваться - никакая.
    Потом иногда супер пупер системы ломают часто ломают далеко не самые продвинутые парни. Дыра может быть простой как три рубля. Я например видел в Инете выложенный ход на фтп ресурс одного крупного холдинга. Знаете кому принадлежал логин пароль? Уволившемуся руководителю IT департамента, который и в Америке работал в крупнейшем Софтовом гиганте, как руководитель отдела IT безопасности. И толку? А просто всего лишь сотрудник IT не закрыл учетку......
    Насчет инцидента - смею вас заверить сам несколько раз таким образом поступал. Но когда сам ты это делаешь для того чтобы размазать по столу "ОООООО каких специалистов CISCO" - это аудит. И очень полезное действие, кстати. Первое - IT специалисты понимают что не все в их руках, второе - закрывается дырища.
    Считаю, что спец по ИБ должен раз в неделю проверять тем или иным способом периметр, пытаясь прорваться как снаружи, а также осуществляя скрытый мониторинг внутри периметра. Интересное наблюдение - большинство случаев это обыкновенная русская привычка "авось".
    Потом у специалиста по ИБ глаз не "замыленный", как у IT шника, который постоянно возится с системой.
    Более того у спеца по ИБ должно мышление "плохого парня", хакера (АНТИ - ИБ). Без этого никуда. А лояльность к работодателю - это профессиональное требование к любому такому спецу.

  • 21 апреля 2009 в 17:30 • #
    Евгений Мирошниченко

    Доброго времени суток!

    Отвечая на вопрос темы "Информационная безопасность это объективная реальность или хорошо раскручиваемая индустрия?" ... думаю все относительно того, кто его ставит?? ведь не надо забывать что для любой организации - все непрофильные ее "органы" (структуры), те, которые не приносят прибыль, - балласт! НО!.. необходимость. Необходимость тогда, когда Организация процветает, необходимая прибыльность есть, - и главное не растерять ее! Но, когда наступает тот момент, когда приходится экономить (как сейчас), нормальное явление - избавление от балласта... т.к. нельзя избавиться от того, что непосредственно связано с доходностью Организации...
    Возможно это и правильно, но надо также понимать, что наша главная задача в данной ситуации - это правильная работа с руководством Организации, направленная на их достаточной информированности (и как главная задача - заинтересованности) в нужности и НЕОБХОДИМОСТИ нашего вида деятельности в их Организации!

    P.S. В гос. структурах думаю полегче с этим - ведь есть руководящие документы - обязательные для выполнения всеми, в том числе и руководителями! Но все же есть поле для деятельности, в том числе и для правильного общения с Руководством...

  • 2 июня 2009 в 08:43 • #
    Михаил Назаров

    Всем доброго дня !

    ИБ, на мой взгляд, никогда не будет работать как самодостаточная единица только на основе "железа" и ПО. Самый важный фактор утечки информации - люди, то есть персонал. Мы можем обвешать компанию кучей СТС, защищающих от прослушки, можем понатыкать в компа кучу следящих программ, но всем этим опять же будут управлять люди....
    Персонал, и в первую очередь именно он является основным источником утечки информации из компании. Достаточно только грамотно пустить слух или преподнести кусочек информации там где нужно и так как нужно и вся системы ИБ, которая строилась годами, полетит в один миг, так как не смогла защитить компанию от краха....

  • 2 июня 2009 в 12:47 • #
    Олег Кузьмин

    Все правильно, процесс, кроме того, может пройти и по управляеммому сценарию. Жаль, только что сегодня еще многие специалисты ИБ не хотят этого понимать и даже принимать во внимание такую вероятность.

  • 2 июня 2009 в 21:07 • #
    Александр Токаренко

    Инфовойны, лоялизация секретоносителей, управление формальными и неформальными информационными потоками, ЗИ в СМИ - это все аспекты ИБ, которые за технической безопасностью забывают.

  • 3 июня 2009 в 09:35 • #
    Михаил Назаров

    И позволю себе дополнить мое мнение еще одним замечанием - понятие специалиста по ИБ на настоящий момент отождествляют, как это не прискорбно, только со специалистом по защите локальных сетей в компании и самих компьютеров. Основываясь на этом часто руководители и владельцы компаний набирают в штат к себе на информационную безопасность системных администраторов. Это наглядно видно в требованиях к кандидату на направление ИБ. Почитайте запросы работодателей....
    Иногда смешно становится, но чаще обидно и жалко подобных работодателей... Можно представить, что они получат на выходе.

  • 3 июня 2009 в 20:31 • #
    Александр Токаренко

    Здесь сказывается как общий информационный фон, так и уровень зрелости компании.

    Подчас практика других вопросов бывает нужна только во времена кризисных ситуаций. При том приходится действовать без предварительной подготовки т.к. до тех пор "пока жареный петух не клюнет" руководство отмахивается когда об этом им говоришь...

  • 4 июня 2009 в 10:10 • #
    Михаил Назаров

    К сожалению Вы правы. Мне приходилось порой сталкиваться и с тем, что выделялись деньги на создание структуры, она развивалась, набиралась сил, информации и т.п. Но руководитеь компании не прислушивался абсолютно к рекомендациям службы, а пользовался "советами друзей" со стороны, основной задачей которых являлась цель "выкачать" как можно больше денег на свои нужды и поддержание своего именно бизнеса. А когда ситуация перевалила за критическую черту, то они просто разбежались. И компании уже как таковой нет.....

  • 3 июня 2009 в 09:35 • #
    Олег Кузьмин

    Наверное даже не забывают, а вполне сознательно не берут в расчет. Т.к. обучены только технической безопасности. Соответственно на практике только ей и занимаются. Это сплошь и рядом наблюдается. Вероятно, это не вина специалистов, по большому счету, это огромные пробелы самой школы подготовки кадров для ИБ в РФ.
    Нет единой идеалогии, описываются лишь технические подходы, а возникающие в организациях проблемы по ИБ, зачастую вообще могут не иметь технического решения как такового и вполне решаются т.н. орг.мерами. Самое главное - нет понимания ИБ как разностороннего процесса, есть лишь технические задачи (закрыть периметр, защититься от спама и вирусов, защитить приложения, и пр.). Это наверное уже тема для нового поста.

  • 3 июня 2009 в 09:48 • #
    Михаил Назаров

    А вообще, если вернуться к началу темы, то информационная безопасность это ОБЪЕКТИВНАЯ РЕАЛЬНОСТЬ и реагирование на этот факт в России "слегка затянулось"... Когда у компании все хорошо, то на защиту своих интересов, в том числе и информации, она не обращает часто внимания. "У меня деньги есть, прибыль растет и мне все нравится". Это мнение нашего "среднего" бизнесмена. Тогда существует какая-никакая СБ, которая в рамках закона "О коммерческой тайне" занимается, в том числе и защитой информации (иногда просто делает вид, что занимается на те деньги, которые ей выделяют и в рамках той компетенции, которой обладают сотрудники и руководителя СБ). Но когда прибыль компании падает по тем или иным причинам (иногда напрямую связанным и с утечкой информации по разработкам, ноу-хау, планам, контрактам и т.п.), то одними из первых сокращают СБ (физическую охрану держат до последнего - она на виду "и вроде что-то делает"). И тогда процесс падения может стать неуправляемым, фактически лавинообразным.

  • 3 июня 2009 в 09:53 • #
    Михаил Назаров

    Мне в свое время удалось получить второе высшее образование именно в Институте Безопасности Бизнеса. Это был его первый выпуск в Москве. И спасибо всему преподавательскому составу именно за то, что они пытаются научить людей именно комплексному подходу к обеспечению безопасности.
    Сейчас у меня там сын уже учится. Это перспективное направление и ни в коем случае не раздутый миф. Специалисты это понимают, мудрые поймут со временем. Лишь бы поздно не было.

  • 4 июня 2009 в 00:49 • #
    Денис Пукинов

    День добрый!
    Вопрос интересный, подобные мысли не раз посещали. Ценность информации, которая приносит прибыль, неоспорима, и вполне очевидно, что ее нужно защищать - вопрос как? Есть разработанные меры и они совершенствуются и развиваются, но думаю здесь главное не это. ИБ необходимо рассматривать, как инструмент получения прибыли и, естественно, система ИБ должна быть "встроена" в саму стратегию развития бизнеса. А, соответственно, если есть заказ на подобные решения, то появляются и сами решения. Конечно, необходимо признать, что есть тенеденция эксплуатировать тему ИБ на предмет "заработать денег и уйти", подобные вещи необходимо искоренять, по вполне очевидным причинам. Кроме того, проблема не только в самой ИБ, а в отношении к бизнесу в целом.