Ригельз дыбр

Что запрещено?

noreply@blogger.com (Ригель) — Fri, 25 May 2012 02:40:00 +0000

В большинстве организаций что-то запрещено: у кого кейгены, у кого сниферы, у кого мультимедийные файлы кроме распространяемых кадрами и пресс-службой. Вот у Вас что-нибудь запрещено? Ах, паролеломалки! Ну, тоже нормально. А запрещено паролеломалки что? Чаще всего это вызывает недоумение: "Что – что? Паролеломалки запрещены. У нас!".

В одной конторе был запрет на использование анализаторов защищенности. Подразделениями, отличными от ответственных за патч-менеджмент и ИБ-аудит, конечно. А потом как-то устроили облаву. По причинам слегка экзотическим, но неважно. Ну и нашли, да. А трудно не найти, когда на всех ПК агенты software inventory из скрипта стартуют. Но нашли-то хранение, наличие на диске. А запрещено использование, заметили? А оно не зафиксировано. А люди тоже не дураки: "Да, поставил как-то из интереса, но поюзать так и не сподобился – руки не дошли". Ну что – всех отпустили, конечно. Кроме Штирлица.

А с удаленным управлением тоже было – если б своими глазами не видел, не поверил бы. Там, как потом оказалось, умудрились запретить ПО для удаленного управления ПК... скачивать из Интернета на жесткий диск. Сюжет! Однажды случайно нашли (в логах файрвола сайты, через которые такой трафик ходит), пришли, а люди и говорят: "Не, не нарушал – это то ли у меня сидюк с дистрибутивом был, то ли в ЛВС где-то надыбал". Доказать обратное невозможно, презумпцию невиновности никто не отменял – тоже все кроме Штирлица свободны.

А лечится просто. По горизонтали – немилое ПО, по вертикали – фазы жизненного цикла (создание, хранение, копирование, инсталляция, запуск, останов, внос, вынос, отправка и т.п.). Проставляете галочки, что запрещено, потом перегоняете в форму предложения. Получается наподобие изготовления, приобретения, хранения, перевозки или сбыта наркотических средств и приобретения, передачи, сбыта, хранения, перевозки или ношения оружия. Немелодично, но правильно.

Казенный инструмент

noreply@blogger.com (Ригель) — Fri, 04 May 2012 06:17:00 +0000

Организация всегда закупала авторучки, авторучки были обыденностью. Когда работник получал авторучку, никто не брал с него расписок, не доводил политики использования, а коллеги не поздравляли и не требовали проставиться. Так шли годы.
Потом на стол руководству начали ложиться отчеты:

Мардаилова, когда говорит по телефону, рисует цветочки, а чернила – ресурс организации;
Ларисенко часто забывает закрывать колпачок, что однажды приведет к порче;
больше всех роняла авторучку Калдан – 50 раз;
Форин носит авторучку в портфеле, в т.ч. домой, где может бесконтрольно воспользоваться;
Хмуряк посмел записать адрес кинотеатра - явно в личных целях;
Авгенфольц на корпоративном семинаре стрелялся жеваными бумажками;
Бдутов за месяц исписал 112 листов (электрик?!);
Ортопедов на совещаниях гадает кроссворды и строчит фривольные записочки Ортопедовой;
Вихлямов грызет оборудование организации;
Майнер пишет с излишним нажимом, а Растольев с завитушками, влекущими перепробег;
Скримин вообще разу не пользовался, что должно наводить на мысли.

Начальство морщило лоб и пыталось делать выводы, но в голову лезли лишь эмоциональные эпитеты в связке с информационной безопасностью.

Не, стоп, это я что-то попутал. Там был контроль использования Интернета, а не авторучек. Ну, неважно. В общем, собрался мониторить – мониторь что-нибудь значимое. Для информационной безопасности. А еще лучше сначала правила создай, чтобы их опытным путем не выясняли.

Преемники ПП-781 и приказа трёх

noreply@blogger.com (Ригель) — Sat, 28 Apr 2012 08:19:00 +0000

ФСБ выложила проекты постановлений об уровнях/требованиях – видимо, хочет услышать мнения.

Ну, так себе.

Безопасность ими рассматривается как защита от угроз НСД (пункт 2 в "Требованиях"), наступившее по любой другой причине превращение в неполные или неточные – не проблема.

Уровень защищенности персональных данных (пункт 2 в "Уровнях") – это не насколько они защищены, оказывается, а ссылка на набор предписанных мер. Поэтому уровень защищенности персональных данных возрастает не от создания защиты, а от выставления системы туда, где могут напасть нарушители с более высоким потенциалом, или от добавления сведений о половой жизни. Магия!

Типы Хпд (пункт 9 там же) написаны со своей колокольни – это ФСБ определяет субъекта персональных данных по ФИО, прописке и реквизитам паспорта. Остальная страна, обрабатывающая персональные данные владельца полиса № 73642-1357, Ларисы из третьего Б и бабки с первого этажа, должна увязнуть в догадках.

Налог на богатых в виде подписания более крупных операторов на более крупные траты (пункт 10 там же) естественно оставлен, а соскок разрешен только своим (пункт 17).

А в остальном ничего - весенние такие, гарнитура таймсовская.

Говорящее название

noreply@blogger.com (Ригель) — Fri, 27 Apr 2012 05:52:00 +0000

Однажды к нему пришли и спросили:
– Кого нам сделать ответственным за организацию обработки персональных данных? На него будут возлагаться: внутренний...
– Это примеры, - сказал он.
– Ну, да, наверно. Мы все никак не можем выбрать, у нас есть...
Были названы ответственный за осуществление обработки, ответственный за автоматизацию обработки, ответственный за защиту обрабатываемой информации, ответственный за юридическое сопровождение обработки.
– Назначьте ответственным за организацию обработки того, кто будет организовывать обработку, – произнес он с расстановкой.
– Но кого конкретно? Мы же Вам всех перечислили.
– Откуда мне знать, кто из них у вас сможет организовывать обработку. Может, вы такого еще не наняли – тогда ищите.

«Странно, - подумалось ему, когда они ушли. – Где-то я уже все это видел».
За обедом он вспомнил анекдот про Вовочку, мороженое и сексопатолога и засмеялся. Кадровики за соседним столом сочувственно переглянулись.

Кони, люди

noreply@blogger.com (Ригель) — Thu, 05 Apr 2012 02:50:00 +0000

Кто давно занимается ИБ, тот знает, что бывают несоответствия и инциденты. И даже, возможно, что инциденты бывают разной степени тяжести, а их названия обратны ИТ-шной практике. Но это нам во второй раз не интересно.

Несоответствие – это расхождение между писаным требованием и реализацией. Ходит себе внутренний аудитор с внутренними себе аудитами и записывает: "не стоят критические патчи за три месяца, а по регламенту можно за один – несоответствие", "не назначен ответственный за хранение резервных лент, а по закону нужно было еще в июле – несоответствие", "ограничительный гриф нанесен на сантиметр левее, чем в утвержденном образце – несоответствие". Кстати, многие для несоответствий тоже заводят шкалу: мажорное/минорное или крутое/реальное/галимое, добавляют также отдельную оценку для похвальных несоответствий, отклонений в лучшую сторону.

Инциденты – это происшествия, которые повлекли ущерб или чуть было не повлекли. Выплыл, например, какой-то прошлогодний бэкап на черном рынке. Они могут иметь под собой почвой несоответствие, а могут и не иметь: может, было какое-то требование, несоблюдение которого как раз привело (так и не назначили ответственного за ленты, который бы знал, что спросят конкретно с него), а может, реализовалась угроза, которую недооценили или не рассматривали (сказалось отсутствие охраны в ночное время).

Писавшие 152-ой ФЗ и 781-ое ПП оперируют только одной сущностью - нарушениями. Если так посмотреть, то и несоответствие – нарушение (установленных правил обработки и/или защиты), и инцидент – нарушение (как минимум, обязанности оператора принимать необходимые и достаточные меры). А для нарушений положена процедура разбирательства. По которой у Вас пойдут и всплытие прошлогоднего бэкапа на черном рынке, и смена пароля раз в 65 дней вместо 60, и нанесение ограничительного грифа на сантиметр левее, чем в утвержденном образце.

Теоретически, ничто не мешает иметь хоть десять процедур для разных типов нарушений. Но если в законе явно не написано, у всех будет одна.

О школах

noreply@blogger.com (Ригель) — Sun, 01 Apr 2012 04:35:00 +0000

Немножко дурацкая ситуация, поэтому специально придержал до календарного повода.

Еще до Нового года попали в руки два варианта одного сборника. Не знаю, та ли это еще инициатива, когда народ опрашивали на iso27000.ru (кстати, продолжают распространять мой любимый дайджест!), или аналогичная, но смысл следующий: профессионалам от ИБ предлагалось назвать свои музыкальные ассоциации с теми или иными понятиями и явлениями из области информационной безопасности.

Вся фигня в том, что я уже не помню (или не знаю, если это другой похожий опрос), какие шли темы и в какой последовательности, а в буклете этого нет. Но и без этого налицо фантастическое расхождение не только вкусов, а вообще мировосприятия отечественных ИБ-мастеров и их империалистических, если про них можно так выразиться, коллег.

Насладиться ковриками вы, к сожалению, не сможете: хотел отсканировать и выложить, но потом что-то напрягся на счет копирайта. Однако, кто хочет, тот нагуглит.

Cопоставление составов - это песня. Я, конечно, предполагал крайне умеренное влияние Пахмутовой на западные умы и легкую старомодность наших, но как-то оно уж совсем круто.

Тем не менее, столь любимого рунетчиками однозначного вердикта у меня нет. Местами симпатии на стороне соотечественников, в чем-то больше импонирует зарубежная точка зрения, в ряде случаев вообще все очень зависит от канувшего в Лету контекста: если пара "Iron Fist" / "Доброте предела нет" повествует про внутренний аудит - это один расклад, а если про защиту извне - другой. Как говорится, остается только догадываться.

Любопытно увидеть ваши варианты обратных преобразований. Учитывая дату, можно даже шуточные.

Собственно треклист.

Психология обоснования

noreply@blogger.com (Ригель) — Mon, 26 Mar 2012 02:50:00 +0000

Положительная мотивация заинтересовывает получением профита (если постараешься, получишь новую игрушку, назначат начальником отдела, украсится резюме), отрицательная сулит неполучение ущерба (не отнимут еду, не оштрафуют, не выгонят из школы), и вторая плохо работает в случае свободных существ.

Вы с чем к директору за ресурсами ходите - "в целях недопущщения"? Попробуйте какой-то позитив. Вместо "а давайте купим DLP для предотвращения утечек" - "давайте купим DLP для перманентного оздоровления нашего коллектива", например ;)

Словно полужесткие крепления

noreply@blogger.com (Ригель) — Wed, 14 Mar 2012 02:26:00 +0000

Трудолюбиво затушевываемый кризис конференций и выставок ИБ-тематики – это кризис формы.

Когда-то информация стоила дороже, а время дешевле. Через полстраны на ВДНХ, чтобы узнать, что ты не один придавлен проблемой профилактики пневмонии у откормочного поголовья, и лучшие умы уже бьются – это в порядке вещей. Две недели караулить песню по радио, чтобы записать – норма. Фраза "Я целый день потратил, разыскивая по библиотекам такую-то цифирь" вообще невозможна: один день – это только подбор карточек в каталоге, еще три на ожидание доставки книг из архива, потом месяц ходи в читальный зал изучать. Это изменилось. Интернет приучил, что информация достается легко, инфляциировал ее фантастически. Время, которое было нечем заполнять, стало предметом нехватки.

Жадные до минутки люди, практикующие тайм-менеджмент и поворот из третьего ряда, и пара интересных слайдов за всю конференцию – явления из разных миров. Поэтому те, кто что-то решает, приходят на подобные сборища перекинуться со знакомыми и уходят, а основное мероприятие отбывает не та публика, которая интересует фирмы-участники. В соответствии с анекдотом про пьяницу, искавшего ключи где светлее, за удержание правильного посетителя борются содержанием (доведем количество ценных слайдов до трех!), местом (удаление от транспортных узлов затрудняет бегство), пряниками по окончании.

Этого мало. Сохранить такой устаревший способ коммуникации знаний, как выставки/конференции, можно только убрав альтернативные каналы. Женевский Salon International de l'Auto или барселонский Mobile World Congress живы благодаря премьерам ранее не показывавшихся моделей. Или индустрия ИБ идет на сокрытие новых продуктов и исследований до конференций, или те отмирают.

Весенние постановления о персданных: 1.1 или 2.0?

noreply@blogger.com (Ригель) — Mon, 27 Feb 2012 07:52:00 +0000

Пока есть возможность пофантазировать о хорошем, пофантазирую о хорошем.

В обеспечение закона "О персональных данных" 2006 года в 2007-2008 были приняты 781-ое и 687-ое постановления, а также т.н. приказ трех, который № 55/86/20. Под обновленный в прошлом году закон "О персональных данных" сейчас будут изданы новые постановления, 781-ое, 687-ое и приказ трех заменяющие.

Как могло бы быть у нормальных парней: постановления 2012 обслуживают закон 2011. Как иногда бывает у других: постановления 2012 прокидывают мостик между законом 2011 и приказами/постановлениями 2007-2008.

Пример. Что объем персональных данных – это количество субъектов, персданные которых обрабатываются, говорил приказ трех. Ничто сейчас не мешало перейти к другому пониманию, положим, что объем – это то, что в прошлый раз было содержанием (т.е. категории). Потом пойти еще дальше и сказать, что вред субъекту тоже определяется бывшим содержанием, и поэтому в качестве еще одной переменной его не вводить. А зато содержание теперь – это не то, что раньше было содержанием (а стало объемом и вредом), а нечто иное. В результате формула классификации систем персональных данных могла быть доступной каждому фермеру и выглядеть вельми экстравагантно:

Но вдруг как-то так и будет? А почему нет? Ведь никакой необходимости решать уравнения 18ой–19ой статей нового закона, пользуясь подстановками из приказов/постановлений первой блинной генерации, не было.

Эффект Домодедово

noreply@blogger.com (Ригель) — Tue, 14 Feb 2012 02:00:00 +0000

Один из моих любимых аэропортов имеет интересный обычай: досмотреть все технологические отверстия авиапассажира для недопущения проноса пилочки для ногтей и через минуту предоставить ему самый широкий выбор колющих и режущих – от готовых (стальные ножи и вилки в кафе) до всевозможных "сделай сам" (пивные кружки и некоторые виды тарелок в тех же кафе, стеклотара в дьюти якобы фри и т.п.).

Борьба с попаданием потенциально проблемного контента в периметр, но не с присутствием, встречается и в ИБ. Иная офисная сетка даст фору районной локалке по количеству вареза, кейгенов и хактулов, при этом извне работнику не скачать даже фонограмму (или скачать только один раз, как в старом анекдоте про съедобные грибы). А это ИТ-шники натащили, злоупотребляя правом подключать usb-устройства и особыми правилами на веб-фильтрах или технической возможностью их обойти. Прелюбопытный феномен, заслуживающий отдельного разбора, но админ чего бы то ни было не чувствет себя админом, пока не расшарит фотошоп, radmin и ip-сканер. Затянуло – пошло коллекционирование, потом количество переходит в качество, и запасы полезняшек, начавшиеся как общая папка, выходят на другой уровень.

Надевать портки или сымать крест - а это уж какова политика в этом вопросе. Если в локальном нормативном акте подобный контент запрещен, надо душить и внутренний оборот. Если разрешен - скрепя сердце, ослаблять фильтры. Если ничего не сказано, то немедленно инициировать вписание. И только если политика так и гласит: "кроме занесенного админами" - повезло, можно оправиться и закурить. Но ведь не гласит же.

Существует риск

noreply@blogger.com (Ригель) — Mon, 23 Jan 2012 08:44:00 +0000

Примерно в половине случаев идиоты-начальники, спуская безопасника с лестницы, безраздельно и неосторожно неправы. А в половине этой половины они его просто не так поняли. Но он, правда, и сам недостаточно постарался выразиться.
Нам, однако, интересна не первая половина, и не вторая, которая первая половина первой, и даже не третья половина, которая вторая половина первой, а вторая первая половина.

Среди тех случаев, когда спуск с лестницы глубоко и бесспорно заслужен, к явным лидерам относится использование потерпевшим аргумента "потому что существует риск". Ибо обосновывать что-либо сообщением, что вероятность некоторого события с ненулевым ущербом отлична от нуля, способен либо идиот, либо мошенник.

Представьте, звонит врач из прогимназии и говорит: "У Вашего ребенка температура, нужно подавать Суперантитемпературин". Ведь возникают же вопросы:
а) насколько она отлична от нормальной - на плюс 4 или на минус 0.1?
б) насколько она изменится после приема Суперантитемпературина?
Потому что, например, если температура повышена на 0.3, то переживем, пусть Суперантитемпературин еще попылится. А если повышена на 5, и он снимет 0.5, так тоже на фиг его, только время терять. Во.

Поэтому когда безопасник приходит с фразой "Необходимо внедрить средство защиты от утечек, т.к. есть опасность утечки", у него есть несколько минут, чтобы обозначить три цифры. Одну он знает – это стоимость, две другие можно назвать даже в каких-нибудь попугаях, но... Начальство ждет, тянет время, а потом: "Курить-то не бросил? Ну, все равно давай до лестницы прогуляемся".

"Не повезло с начальником", - думает безопасник, потирая ушибленное место. Да нет, ребят, просто когда вы говорите, что существует риск, и больше ничего не говорите, риск действительно существует.

Вундервульф

noreply@blogger.com (Ригель) — Thu, 29 Dec 2011 02:50:00 +0000

В "Криминальном чтиве" есть такой персонаж – мистер Вульф, которого Марселас посылает выручать Винса и Джулса в ситуации с Бонни. Джулс не верит своим ушам – дали самого Вульфа! Тот разруливает их проблему, и двое бывших крутых в строгих костюмах, уподобленные теперь пляжным бездельникам, выражают ему свое неподдельное восхищение.
А ведь он, казалось бы, не сделал ничего невозможного, чего ребята принципиально не могли бы: выяснил то, что у нас называют RTO, стрельнул у Джимми тряпки и моющие средства, да расплатился машиной за утилизацию содержимого багажника. Ну, наверно, им самим аргумент для Джимми пришлось бы найти какой-то другой (посул, дружба, угроза), но схема все-таки совершенно посильная. И да, в довершение еще отказался их обратно подбросить в таком позорном прикиде.
За что же его благодарят? Он принимал решения, когда нужно было именно принимать решения. В этом его дорогостоящий талант.

Идеально, если в Вашей организации на роли руководителя группы реагирования на инциденты окажется мистер Вульф. Но идеальные случаи в этом блоге не рассматриваются – я не настолько отъявленный консультант, поэтому Вульфа у вас не будет или будет, но очень маленький. Чаще всего не из-за отсутствия подходящего человека (в среднего размера фирме подходящих - десяток, пусть и без харизмы Харви Кейтеля), а из-за неделегирования ему полномочий босса - руководство не может выпустить из рук власть, оно привыкло к сложившейся системе принятия решений, не зря так долго ее выстраивало.

В случае инцидента (в значении, используемом ИБ/НБ, а не ИТ) штатная система принятия решений обычно не работает. Нижнее звено не может принять решение, оно не в его компетенции: нет таких полномочий, нет менеджерского опыта подняться над ситуацией и увидеть более бизнесовый ход, нет согласия с другими подразделениями - оно так и будет до упора пытаться починить что поломалось. И сигналить вверх по иерархии. А время уходит: еще полчаса и клиент нас засудит потом.
Зачастую даже и выбора нет – решение возможно только одно, но оно в этой фирме только с санкции директора, а он сейчас в Альпах и, видимо, труба не ловит, или в парилку с собой не взял, или необычно крепко спит. Потом удалось наконец через жену передать, но только в общих чертах, что сама уловила, поэтому теперь уже он будет пробиваться вниз за подробностями, нужными для принятия решения.

Если своего Вульфа Вы не создали, то выход – это заранее составленные аварийные планы с условием активации (при пожаре, при невозможности отключить питание, при отсутствии связи с центром в течение получаса и т.п.) и подписью лица, полномочного на соответствующее решение.
И даже если Вульф у Вас есть, Вам все равно не помешают аварийные планы.
Начинающиеся со слов "если через 10 минут не приехал мистер Вульф".

Контрольный в голову

noreply@blogger.com (Ригель) — Wed, 07 Dec 2011 02:50:00 +0000

Куплено три зажигалки:
образец 1 – Zippo;
образец 2 – Cricket (если читателю лучше знаком BiC – пусть будет BiC);
образец 3 – китайская "стекляшка" noname.
Вопрос: что из этого качественная зажигалка?
Опрос не провожу.
Правильный ответ: мы не знаем. В задаче недостаточно данных для ответа.

И вовсе не потому, что нет сведений об исправности – допустим, что все три новенькие и рабочие. А просто качество зажигалки не определяется свойствами зажигалки. Поэтому будет ошибкой сказать, что качественна та, в которой дороже материалы, или та, которая дольше прослужит. Трехгодовалый ребенок с обалденным ответом "Красная!" ничуть не дальше от истины, между прочим.

Качество – это степень соответствия требованиям. Не свойства зажигалки, а разница между ними и неизвестными нам требованиями не указанного в задаче лица.

Пусть это производитель. И пусть производитель Zippo хотел создать свежий инновационный продукт, который вернет молодежную аудиторию, Cricket требовалось сохранить свои 2500 вспышек при одновременном понижении себестоимости на 2 цента, а китайское изделие должно работать у среднего курильщика месяц и вдвое отстоять по цене от брендов вроде Cricket, иначе не купят. Чей продукт справился с задачей? Наверно, последние два справились. А чей лучше справился? Так нельзя ответить, ибо задачи разные.
А если требования смотреть потребительские? У одного они студенческие: как можно больше прикуриваний на рубль. Другой – трубочник, ему только газ и большая высота пламени. У третьего тремор, зажигалка должна гаснуть при падении. Четвертому подай максимальную прочность корпуса при открывании пива, пятому ремонтопригодность в условиях техасской степи, шестому нужна зажигалка под костюм, среди названных моделей их нет.
А если для продавца оценивать? У него, скорее всего, качественная определяется через спрос, маржу, процент возврата и что-нибудь неожиданное типа штабелируемости и крепости коробок.

Стоят три сервера, какой безопасен? Правильный ответ: смотря для кого, смотря какие угрозы тому страшны. Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет. "Гоги, ты помидоры любишь?".

Снова о главном

noreply@blogger.com (Ригель) — Thu, 24 Nov 2011 09:07:00 +0000

Сколько существует этот блог, столько в нем повторяется тема ИБ!=ЗИ. Буду считать, что периодически облекаю ее в новые краски.

Позапритча.
Хотя старое название стоматолога – дантист ("зубник"), задача стоматологии не в том, чтобы помогать зубам. Она в том, чтобы помогать пациентам. В проблемах, связанных с зубами. Во-первых, это ведь не всегда сохранение/восстановление свойств собственно зубов – лечить могут десну или прикус. Но главное: зубу могут сделать и хуже – его могут подпилить, лишить нерва, вообще удалить. Для того чтобы пациенту стало лучше – отпустила боль, не пошла киста, остеомиелит, восстановился прикус опять же. Стоматология – это медицина в интересах пациента, а не зубов. У зубов их тупо нет.

Притча.
Безопасное транспортное средство (дальше подразумеваю автомобиль, его пример мне ближе) – это не защищенное транспортное средство, а защищающее – безопасное для кого-то или чего-то. Это и шкурные интересы собственника, страдающие при угоне, поломках, повреждениях; и собственников того имущества, в которых это имущество въехало; и жизнь-здоровье водителя/пассажиров этого ТС; и водителя/пассажиров встречных ТС; и пешеходов; и мера ответственности водителя, зависящая от ущерба, причиненного жизни, здоровью, имуществу; и чистота легких горожан еще сюда ж.
Только в одном случае (в первом) чем целее автомобиль, тем целее интересы соответствующего субъекта, в остальных его защищенность для безопасности субъектов не важна. А порой и наоборот: он должен как можно больше пострадать сам, чтобы как можно меньше навредить.

Тча.
Если стоматолог сосредоточится на зубах, ему скоро станет некого лечить. А производителю автомобилей, максимально сохраняющих самое себя, скоро станет некому их продавать. От того, что этот бред, будто информационная безопасность должна защищать информацию или какие-то ее свойства, написан на первых страницах современных учебников, он не перестает быть бредом. Это временно: просто пострадавших от идиотов-ИБшников пока меньше, чем от идиотов-врачей.

Затча.
Перестаньте читать (и писать) эти чертовы книжки, займитесь оценкой рисков в реальности. На третий или пятый раз Вы заметите, что рассматриваете ущербы не самим цифрам, программам или устройствам, а кому-то. На тридцать пятый Вы задумаетесь, а на сто тридцать пятый сформулируете то же, что здесь написано. Но, вероятно, в других словах и выражениях.

Послезатча.
Из вредности и чтобы два раза не вставать. Самый худший случай – это сфокусированный ИБшник. "Я – герой: каждый день хожу на работу и навариваю там на бампер всё новые и новые стальные листы!". Вот лучше бы он ничего не делал. Для безопасности лучше. Безопасности людей. Но он-то автомобиль защищает. Который уйдет с траектории, и пешеходов похоронят, а водителя посадят, а детей в интернат. А могли жить. А автомобилю хоть бы фиг.

Triple predictable threat

noreply@blogger.com (Ригель) — Thu, 10 Nov 2011 02:02:00 +0000

В английском слов больше, ибо соответствующий супостат что-то новое и называл по-новому, а не искал подходящее слово меж имеющихся. Поэтому у них key, spring и wrench, а у нас ключ, ключ и ключ, чтоб никто не догадался.

Американцы дальше пошли - определяют новое в известных терминах и преобразуют определение в аббревиатуру. Кабы англичане в свое время не подсуетились, инструмент для закручивания болтов звался бы сейчас T.F.M.B.S. (tool for a manual bolt screwing), уж будьте уверены. Порой, кстати, эта тяга к аббревиатурам побуждает их махинировать - добавляют в определение лишние слова, чтобы аббревиатура была весомее, или даже портят его, подгоняя под лже-бэкроним (типа S.M.A.R.T., K.I.S.S. и т.д.), ну да ладно.

Угрозы, связанные с проверками соответствия гостребованиям по обработке персданных, необычны.

Во-первых, проверяющие трудятся не покладая рук, пока не найдут у проверяемого три нарушения, а найдя, теряют всякий интерес. По видимому, количество нарушений не является важным отчетным показателем, а заветная формула какая-то такая: «за период проведено N проверок, по результатам которых выдано M предписаний», и чем больше N - тем лучше, а насколько М больше N - не принципиально, лишь бы не меньше. Ну, тогда действительно - зачем зря перетруждаться.
Поэтому и одного нарушения хватило бы, но ненадежно: вдруг проверяемый как-то вывернется, или проверяющие ошиблись, два - уже лучше, три - верняк. Да и проверяемый на третьем сникает - лапки кверху, спорить расхотелось. Вдобавок, это такое число, что можно и о множественных отрапортовать, если повезет, что, конечно, всегда смотрится. Разумеется, три - это в среднем: в каком-то случае могут и пять набабахать, если оно уж прям вот так само сразу подвернулось, а то и не солоно хлебавши уйти.
Этим можно пользоваться. Например, так: помогаете проверяющим найти несколько легко устранимых нарушений - они пишут их в протокол, Вы его подписываете и до конца срока проверки госинспекторов больше не видите. По истечении они присылают акт проверки и просят подписать его тоже, а Вы демонстрируете, что нарушения устранены. И вот тут им некуда деваться: проверку не продлишь, приходится вместо выдачи предписаний указывать в акте, что все устранено в ходе проверки.

Во-вторых, процесс поиска нарушений управляемый. Я не в плохом смысле, а о том, что Вы посредничаете, проксируете, и можно что-то специально показать (о чем я только что написал), а можно и что-то исправить на лету. Дело в том, что когда Вы что-то обязаны проверяющим предоставить, то не обязаны сделать это мгновенно. «И список помещений, в которых обрабатываются персданные или хранятся носители таковых», - говорит проверяющий, болтая под столом ногой, обутой в немодный, но добротный ботинок. «Был такой, найдем!» - отвечает представитель оператора, заулыбавшись вдруг без особой к тому причины. На следующий день - а вот. Еще тепленький, но по дате этого не скажешь.

В-третьих, они предупреждают о визите. Что опять же позволяет что-то резко успеть или хотя бы привлечь на сопровождение проверки хорошего спеца или фирму. В других проверяемых областях есть такие, почему бы и тут не быть.

Наконец, проверяющих органов три, госинспекторы традиционно ходят тоже по три, обедают час, домой любят попадать в семь, и вообще можете сами продолжать, что мы о них знаем.

Вот и скажите, похоже ли это на какую либо другую угрозу. Представьте, что цунами приходит в заранее оговоренное время, пожирает три объекта, которые ему укажут, и сваливает. Или что DDoS с 18:00 до 09:00 прерывается, чтобы Вы перегруппировку сил произвели.

Поэтому можно ее выделять в отдельный класс, который американцы назвали бы TPT, т.е. triple predictable threat, а у нас пусть опять будет ключ, чтобы опять никто не догадался.
Что за ключ, к чему ключ - фиг его знает.

Годные литераторы из НИИ "СОКБ"

noreply@blogger.com (Ригель) — Tue, 25 Oct 2011 07:14:00 +0000

За чаем взялся почитать проект ГОСТ Р ИСО/МЭК 27003, ссылка на который мелькнула в твиттере Алексея Лукацкого.

Цели внедрения СМИБ можно определить, ответив на следующие вопросы:
как может СМИБ улучшить управление рисками информационной безопасности?

как может СМИБ улучшить управление информационной безопасностью?

как может СМИБ создать конкурентные преимущества для организации?

Чтобы ответить на эти вопросы, необходимо рассмотреть приоритеты и требования организации на основе следующих факторов:
...

законы, делающие обаятельным принятие мер информационной безопасности

Знаю пару законов, касающихся информационной безопасности, и оба делают принятие мер именно таким.

О русском фатализме

noreply@blogger.com (Ригель) — Thu, 20 Oct 2011 01:39:00 +0000

Устроено это так: приемлются все риски, кроме максимального, а он признается необрабатываемым.
Т.е. каковы бы ни были последствия и вероятность реализации некоторой угрозы, о ней не стоит беспокоиться, если существует угроза с бо́льшими последствиями и/или вероятностью.

Такое оценивание риска в сравнении с другим риском, а не в сравнении с отсутствием риска - это серьезная бага, а не забавный колорит. Но архетипичная, безусловно.

На примерах.
Да какой смысл складывать зеркала, раз все равно могут угнать!
Если угона не случится, целое зеркало имеет преимущества перед оторванным
Зачем же учить алгебру, если человек не вечен!
Последствия знания/незнания ближе.
А нужно ли запирать квартиру, ведь правительство все равно ограбит!
Правительство не намусорит.
Стоит ли вставлять дисклаймер, который не способен остановить злоумышленника!
Остановленные неумышленники - это тоже предотвращенные ущербы.
Нужно ли выявлять экстремистскую деятельность в Интернете, покуда у экстремистов есть другие каналы координации!
Что-то лучше, чем ничего.
Ну, на кой рассматривать угрозы прикладным программам и системному ПО, если угрозы безопасности ПДн более жизненны!
Неактуальность угроз ППО/СПО устанавливается из их рассмотрения, а не из рассмотрения угроз БПДн.

И еще.
Оценивая риски, отличные от пушного зверька, по отношению к пушному зверьку, Вы их неминуемо занизите, это известный эффект.

Красота

noreply@blogger.com (Ригель) — Thu, 06 Oct 2011 06:26:00 +0000

У нас как возьмутся переносить на родную почву лучшие иноземные практики, так сразу все. Не было ни гроша, и вдруг алтын. Сейчас вон прайвеси в Гражданский Кодекс вписывают - статья 1522, неприкосновенность информации о частной жизни. Ну, круто, чё. Конституция и УК давно упоминают.

Информация о частной жизни шире персональных данных, включает в себя персональные данные среди еще до фига чего. А персональные данные включают любую относящуюся к субъекту информацию, значит и о его частной жизни. Вот так.

Практическое применение теории нечетких множеств вообще нечасто встречается, но чтоб в такой области – это просто повод для национальной гордости, немногие могут себе позволить. Неспроста претендуем на звание мирового инновационного центра.

Народ, правда, немножко жалко – мозги сломают. Но такая красота того стоит, я считаю. Красота, она ведь всегда требует.

Чикагцы от персданных

noreply@blogger.com (Ригель) — Wed, 28 Sep 2011 02:20:00 +0000

Хоть ИБшники и не производят впечатления нормальных людей, но тоже делятся на два типа. Некоторые не нацело, но это дела не меняет.

Интроверты и экстраверты, либералы и консерваторы, славянофилы и западники, а также умные и красивые остроконечники и тупоконечники по любви и по расчету великодушно подтверждают, что стоит где-нибудь завестись людям, как они найдут повод поделиться на два типа.

Традиционные ИБшники vs латентные ЗИшники, а также организаторы vs технари еще
будут в другие разы, а в этот кейнсианцы vs чикагская школа.

Это такая параллель с политэкономией. Там есть точка зрения, что экономику надо регулировать, а есть - отпустить, и она самоотрегулируется. Что однозначно лучше, человечество до сих пор не поняло: на счету обоих вариантов успехов и провалов примерно поровну.

Когда правительство N в сфере Y выбирает путь прямого регулирования, никто не говорит, что оно охренело. И будь выбор сделан в пользу свободного рынка, тоже не скажут. Потому что оба имеют право на существование, свои плюсы и минусы.

Когда требования по защите персданных устанавливаются государственно-монополистическим регулированием, а не умозаключаются операторами из желания выплачивать ущербы и штрафы – это не повод утверждать, что все пропало. Это вариант нормы.
Основания для него у государства точно такие же как в случаях с лекарствами, зерном или алкогольной продукцией, а право... ну, тут уж просто не стоит заблуждаться: государство преследует интересы государства, субъектские опосредованно

Поэтому марширующие несогласные мне непонятны. Сомнения понятны были бы, а горячее и категоричное неприятие - нет. Два года назад я ассоциировал их с правозащитниками, теперь вот дошли руки до объяснения.

Враг хорошего

noreply@blogger.com (Ригель) — Tue, 30 Aug 2011 02:57:00 +0000

В той арабеске я писал, что политика ИБ обязательно обманет ожидания, и почему. Однако, малоэффективная лучше никакой, так что иметь надо.

В отечественных правилах пользования метрополитенами есть забавное требование: в ожидании поезда распределяйся по платформе равномерно. Равномерно - это одинаковое количество пассажирского вещества в каждой точке платформы. Видимо, пассажиры для автора – масса: были бы единицами, написал бы "периодично". Или глуп.

Политику ИБ более всего портит равномерность.

Политика (если это именно политика, а не какой-то другой документ) должна содержать отношение руководства к тому и иному объекту защиты, той и иной группе угроз, той и иной стратегии обработки рисков... Предпочтения, относительные веса́ – вот что составляет ее главную ценность. Политика – это документ, в содержании которого присутствие руководства максимально. Нижерасположенные документы оно уже может "подмахивать" или кому-то делегировать их утверждение, а в политике должно присутствовать.
Политика должна говорить, например, что тайна бизнес-партнеров для организации дороже, чем ПДн клиентов. Что трафик не так жалко, как репутацию. Что перенос предпочтительнее снижения. Что А запрещено жестко, а Б не приветствуется. Что Иванов командует, а Петров только снаряды подносит.
"Говорить" – не совсем верное слово: это должно из нее следовать. Если что-то забыли, а чему-то уделили внимание аж два раза - это тоже подсказка, вес, ранжир.

К сожалению, безопасник делает политику ИБ техничной, гладенькой.
Даже если руководство действительно дало в нее какой-то живой акцент, то он восполняет пробелы, выравнивает.
И убивает.

Убитость политики пропорциональна профессионализму: хотите совершенно без страсти, плоскую, пригодную для вечного висения в рамочке – обратитесь к крутым консультантам.

Последний вывод. Если хорошая политика – это кривая политика, то не стоит тырить чужие или выменивать на коньяк. Это ведь очевидно теперь?

Продолжение запланировано.

О пользе зла

noreply@blogger.com (Ригель) — Thu, 18 Aug 2011 09:10:00 +0000

Помимо передачи пользователю контента (явной и неявной), телек выполняет еще одну функцию - отвлекает его от осмысления и/или решения реально существующих проблем. Вообще это не прерогатива именно эфирного телевещания: ровно по этой же причине в Советской империи печатали книги, в Римской строили цирки, а мои родаки не спешили покупать чаду магнитофон.

Куда я клоню.

В офисной среде есть развлекалочки: серфинг, чатинг, пиринг, гейминг и иже.
Обычно безопасник видит в них только информационную, контентную составляющую – работники могут слить что-то хорошее или подцепить что-то плохое, и начинает автоматически бороться со злом. Ну и да, он еще, как правило, реагирует на отъедание полезных ресурсов, но это опять же первая составляющая им воспринимается, сам сигнал.
А есть и вторая сторона. И благодаря ей искоренение зла может не оказаться добром: на освободившееся место только придет большее зло.
Поэтому лучше не искоренять, а уменьшать опасность (в идеале – до приемлемой, но уж как получится) и тем ограничиваться.

Примеры.
За загрузкой работников очень сложно уследить, отловив, когда иной из них закончил задание N, но не впрягся в N+1. Так пусть он лучше посмотрит хауса на тытюбике или приколы почитает, чем с бывшими однокашниками пойдет в кафешке общаться – те-то ни своего работодателя не прорекламируют, ни про текущие проекты не расспросят.
И в ситуации, когда компания в кризисе, работы мало, и лояльность ниже плинтуса, лучше пусть люди гамают сидят, чем выход ищут. Потому что кризисы кончаются, а следующих работников будешь за следующие деньги брать, плюс проверять их надо, плюс заново учить...

Задача не уничтожить, а обезвредить.
Утечки ловим, вредоносы ловим, кран не закрываем. Осознанно боремся не с причиной, а следствиями.

Досужее

noreply@blogger.com (Ригель) — Tue, 09 Aug 2011 15:31:00 +0000

Покойный Гоголь беспокоился о России в Италии, Тургенев – в Германии, Бунин – во Франции, ~~что-то и мне нездоровится~~ так что и я опять позволил себе.

И вот, просматривая ИБ-Рунет за ресторанным столиком на полупядевом дисплее через невесть откуда приключившуюся точку доступа и не будучи в достаточном всеоружии, чтобы привычно оборотиться в спорщика, внезапно вдруг поражаешься, каким он, оказывается, стал не просто живым, а бойко фонтанирующим искрящимся контентом.

И приход в онлайн Емельянникова и не окопавшего пока постоянный плацдарм, но прочно уже объявившегося Вихорева не случайны сейчас, но признак и следствие наступившей состоятельности нашей блогосферы во взрослом своем статусе.

Решительно невозможно при открытии сего не предаться блаженной мысли, что кое-кому скоро можно будет не притворяться долее умным, а переключиться уже на музыку и хавчик.

Back in the U.S.S.R.

noreply@blogger.com (Ригель) — Thu, 21 Jul 2011 02:05:00 +0000

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
- осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

ФЗ-152-NG

Теория разделения властей - буржуазная политико-правовая доктрина, согласно которой власть понимается не как единое целое, а как совокупность различных властных функций, осуществляемых независимыми друг от друга государственными органами.
Марксистско-ленинская теория отвергает теорию разделения властей как игнорирующую классовую природу.

БСЭ

You don't know how lucky you are, boys.

Чвак

noreply@blogger.com (Ригель) — Mon, 18 Jul 2011 15:13:00 +0000

Просил не отсылать в Минкомсвязь - не отослали.

Где снег башка попадет

noreply@blogger.com (Ригель) — Wed, 13 Jul 2011 02:04:00 +0000

В свете истории с запросом силовиками у Яндекса тайны жертвователей Роспила любопытно обсудить одну известную империю добра.

Провайдер облачных услуг заявляет открытым текстом, что сольет Вашу информацию американским спецслужбам без Вашего ведома, если те попросят.
Он обещает поинтересоваться, можно ли Вам сообщить, но шансы малы - антитеррористические мероприятия все-таки.

Как это?
Да элементарно: данные вдруг на какое-то время окажутся в той части облака, где у их кровавой аэнбни читательский абонемент.

Но почему?
Потому что буржуин будет стоять перед дилеммой: нарушать закон той страны, где заключали договор (у нас 149-ФЗ, 152-ФЗ, 98-ФЗ и т.п. - смотря что за сведения), передав без согласия обладателя, или игнорировать PATRIOT Act, пособничая предполагаемым террористам.
Дальше простой анализ рисков, не воспроизводимый за очевидностью.

Что примечательно, в свое оправдание и наше утешение провайдер сообщает, что так же разумно поступит любая корпорация с головным офисом в США: Adobe, Apple, Cisco, Dell, Google, HP, IBM, Intel, Oracle, Yahoo.

Вот такие вот дела - покупайте их облака, самые облакатые облака.

Так что если работодатель или заказчик - крупный бизнес с амбициозными зарубежными проектами, есть смысл задуматься: родное государство в ваших байтах копаться не станет - оно и так его за все веревочки держит, раз вырос в крупный бизнес с амбициозными зарубежными проектами, а вот интерес заморских псов режима весьма вероятен, когда национальные интересы с национальными интересами столкнутся.

Еще офшор рулит, да.
Ни у кого нет на примете хорошенького облачка на Маврикии?