Вопрос по пятницам: СОУ Н НБУ 65.1 СУІБ 2.0:2010 гласит

"Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. "

Google Translate:
"Информационная безопасность - это защита информации от широкого диапазона угроз с целью обеспечения непрерывности бизнеса, минимизации бизнес-риска и получения максимальных рентабельности инвестиций и бизнес-возможностей"

---

Вопрос: Какую информацию необходимо защищать во время:
a) фишинг атаки?
б) спам атаки?
в) (D)DoS атаки?

---

Ответ по понедельникам:

а) и б)  Ввиду того, что мы не можем гарантировать изоляцию пользователя от фишинговых и спам писем, то обьктом защиты, в первую очередь, становится информация, хранимая в мозгу пользователя, и речь идет не только о "конфиденциальности", но и о других свойствах потому, как присутствует не только риск «разглашения», но и других неадекватных действий (открытие файла, смену работы, пересмотр отношений с сослуживцами…)

в) предоставляемую 

В поисках взаимопонимания: ИБ vs ИТ-безопасности

На этой неделе столкнулся в разных источниках на подчеркнутое разделение и противопоставление  ИТ-безопасности и Информационной Безопасности (ИБ), мне казалось, что это деление уже кануло в Лету, а тут снова и из уст авторитетных людей… 

Я воспринимаю такое деление, как  источник снижения уровня защищенности, так как оно вносит дезориентацию в систему управления Предприятием, плохо отражается на корпоративной культуре, приводит к неэффективному   финансированию и внедрению средств управления ИБ.

Пример из практики:  поддержкой геораспрделенной кластерной системы, на которой «крутится» корпоративная ERP-система,  занимаются подчиненные CIO, а вот «выдачей» Check Point GO (в прошлом Abra) для удаленного доступа, к этой системе, занимаются  подчиненные CISO.  Так что, данный пример нужно воспринимать как иллюстрацию раздельного существования ИТ-безопасности и ИБ? Тогда получается, что «конфиденциальность» это ИБ, а «доступность» это ИТ-безопасность?

А пользователь, скажем «операционист Банка», который обеспечивает правильное использование средств управления ИБ, участвует в обработке инцидентов и принимает участие в оценке рисков ИБ он представитель какой безопасности? 

С другой стороны, мне обьясняют, что все очень просто: ИТ-безопасности занимается «безопасностью инструмента» и «поэтому ею может заниматься и "продвинутый" ИТ-шник. ИБ - это безопасность актива: здесь уже риски другие, и область шире, и методы иные.»(с)

Оно конечно все правильно, если бы не «маленькая» метаморфоза: мы не о человеке с его профессиональной подготовкой и обязанностями говорим, а о сфере человеческой деятельности – "направленной на обеспечение защищенного состояния объекта" (с)  

Не существует никакой ИТ-безопасности, есть единый бизнес-процесс обеспечивающий информационную безопасность предприятия, для подержания бизнес процесса в работоспособном состоянии необходимы ресурсы среди которых Инфраструктура и Люди. 

Люди, которые ввели термин «ИТ-безопасность», «безопасность информационных технологий» подсунули огромную свинью, породив anchoring, который стал причиной различных когнитивных искажений не только в головах потребителей услуг безопасности, но и в профессиональной среде… 

---

Информационная Безопасность - это "отрасль", в которой работают много разных и нужных друг другу людей. И "токарь шестого разряда", и "главный авиаконструктор" делают одно и то же дело:  выпускают самолеты в рамках какого-то авиапрома и являются авиастроителями. Они не могут сближаться или не сближаться - они жить друг без друга не могут...

Best Practice(?)!

Как то в последние дни, просматривая различные статьи о трендах ИБ в головах государственных мужей, поймал себя на мысли, что я как-то неадекватно воспринимаю написанное. Интересно это  люди в растерянности и не знают че б еще такое сотворить или я уж сильно отстал и надо бы восполнять пробелы…

Например вчера на ночь глядя, позабавила Supersleuthing BOFHs could help crack cybercrimes

Буквально несколько цитат:
«System administrators should be the detectives in cyber investigations, a top Microsoft security bod said.»
«The evidence you need to investigate cybercrime is often in the hands of the private sector... and in these cases, the sysadmin becomes lead investigator in the cybercrime case,”
«… then you need to establish 24/7 contacts so that you can access knowledgeable people in any country at any time so that you can at least freeze the info you need before it’s gone...»
Обьективности ради говоривший бывший госслужащий, но ведь «знание и опыт» он приобрел в Департаменте Юстиции США.

Другими словами, ваш Админ должен быть не только компетентным, но и состоять на службе: на правильной "компетентной" службе.

А сегодня утром коллеги обратили внимание, также на вчерашнюю новость, но уже на Securitylab.ru  Американцы разработают программу для создания фальшивых секретных материалов

Какая-то двоякость по прочтению:

"По словам представителей спецслужб, данная программа позволит выявить злоумышленников"
Если эти данные будут размещены на внешних паблик ресурсах, то обращение к ним ну ни как нельзя квалифицировать как "злой умысел"

Если речь идет о инсайдерах и взломе, то зачем об этом писать? Методология распространения дезы  - "стара как мир"...

Как они затем будут разделять дезу от правды? По контенту? Потребуется очень ограниченный  круг лиц - глупость: нереально. Будут специальным образом маркировать документы – не серьезно: взломают.

RA: Считаем Риски правильно

Соответствие требованиям законодательства, один из самых важных моментов в работе любого Бизнеса.

Законодатель выдвигает требования и определяет ответственность за их нарушение, а Бизнес обрабатывая риски, связанные с этим, принимает для себя взвешенное решение: выполнять требования закона или нести ответственность за его нарушение.

Абсолютно стандартная процедура, применяемая во всем мире и во всех сферах деятельности, а значит применяемая и в Украине в отношениях законодательства затрагивающего вопросы Информационной Безопасности.

Сегодня эксперты в области ИБ при анализе рисков в первую очередь обращают внимание на нарушения законов защищающих права на обьекты интеллектуальной собственности (например, программное обеспечение) и  персональные данные граждан.

Поддерживаю такие акценты, но сожалею, что коллеги (до не давнего времени и я)  часто делают одну и ту же ошибку: неправильно указывая размер возможного штрафа. Причиной такой ошибки, есть не правильное использование величины Неоподатковуваного мінімуму доходів громадян для расчета ущерба в контексте административного и уголовного законодательства Украины в части квалификации преступлений и правонарушений.

Для правильного расчета ущерба, а следовательно и наказания необходимо принимать во внимание пункт 5 Підрозділу 1 Розділу XX Податкового кодексу України, который гласит:

 «Якщо   норми   інших   законів   містять   посилання    на
неоподатковуваний  мінімум  доходів  громадян,  то  для  цілей  їх
застосування використовується сума в розмірі 17 гривень, крім норм
адміністративного   та   кримінального   законодавства  в  частині
кваліфікації   злочинів   або   правопорушень,   для   яких   сума
неоподатковуваного  мінімуму  встановлюється  на  рівні податкової
соціальної пільги,  визначеної  підпунктом  169.1.1  пункту  169.1
статті 169 розділу IV цього Кодексу для відповідного року.»

Таким образом для расчета размера ущерба в 2011 году необходимо использовать 470.50 грн, а для расчетов штрафов 17.00 грн.

---

Хочу выразить особую благодарность Dmytro Melnychenko за указание на принципиальные ошибки допущенные при подготовке первой версии данного поста. 

Самая страшная тайна

Какая информация на предприятии должна охраняться сильнее всего?
Ради интереса напишите список ну или хотя бы прикиньте.
Можно идти дальше?

---

А есть в списке информация о пройденных тренингах по ИБ? Фамилии консультантов?

Каждый раз меня прошибает холодным потом когда я задумываюсь о угрозах которые таит не понимание выше приведенного. Каким бы талантливым не был консультант, но количество предлагаемых им подходов и приемов в реализации системы защиты ограничено. Более того, сокращая время консультации (все таки денег стоит), клиент еще больше усугубляет ситуацию.

Я для себя эффективного противоядия для данной уязвимости пока не придумал.

А Вы? 

Анонс: UISG v7

2 декабря в Киеве состоится седьмая конференции UISG.

Также начал работу сайт конференции http://7.uisgcon.org, целиком и полностью посвященный этому событию. На сайте можно удобно и быстро:

• зарегистрироваться в качестве участника конференции - http://7.uisgcon.org/attendees
• подать заявку докладчика - http://7.uisgcon.org/speakers
• найти контакты организаторов конференции - http://7.uisgcon.org/contacts
• принять участие в формировании программы конференции, поделившись с организаторами интересными именно вам темами докладов - http://7.uisgcon.org/program

На сайте также представлена общая информация о конференции, ссылки на смежные материалы и сайты, а также постоянно обновляемый список часто задаваемых вопросов.

В поисках взаимопонимания: Фальш-позитив или таки негатив?

На прошлой неделе произошел любопытный случай: при посещении одного из сайтов мой «браузер по умолчанию» выдал предупреждение, что страница сайта содержит опасное содержание и пользователь должен самостоятельно принять решение посещать данную страницу или нет.

Когда я попытался попасть на сайт при помощи других браузеров, то никаких предупреждений не получил.

В силу различных обстоятельств, я решил немного больше времени уделить данному событию.

Первое, что я сделал, это информировал владельцев сайта об обнаруженной проблеме, затем решил обратиться к людям непосредственно связанных с отраслью ИБ в поисках ответов на вопросы «Кто виноват?» и «Что делать?».

Эксперты сразу разделились на две группы:
- первая приступила к исследованию кода и выяснения, что же могло не понравится конкретному браузеру,
- вторая призвала принять одну из сторон (имеется ввиду, доверится какому-то конкретному браузеру),  ругая противоположную в одном случае «за параноидальность», во втором за «недоделанность».

Во всей этой истории огорчает два момента:
1. Вторая группа продемонстрировала наличие когнитивных искажений, которые оказывают плохое влияние на профессиональную деятельность.
2. Никто ни первая группа, ни вторая даже не попытались  взглянуть на проблему глазами рядового пользователя. Какой выбор должен он сделать: посещать сайт или нет? Лучше, конечно «не посещать», но если этот ресурс интересен не только ему, но и его друзьям, и часть друзей (имеющих «другой браузер»)  будут готовы к дискуссии, а вторая нет, что произойдет?

Чья репутация пострадает:
- производителя браузера сообщившего о ошибке?
- производителя браузера не сообщившего о ошибке?
- компании-владельца ресурса?
- мероприятий по повышению осведомленности (awareness)?

А вас предусмотрен план реагирования в таких ситуациях?