Вопросы и ответы по информационной безопасности. Часть 1

Добрый день, дорогие читатели! Решила поделиться с Вами некоторыми вопросами, которые мне задают. Если интересно одному человеку, то и у другого может возникнуть подобная проблема :) Все вопросы обезличены, орфография и пунктуация сохранена частично, лишняя информация убрана - так что осталось только самое важное. Итак, предлагаю Вашему вниманию первую часть вопросов.

Вопрос

Прочитал вашу статью,  хотелось бы уточнить: что такое "четверокнижее" и где взять его?

Ответ

Четверокнижие - это четыре документа ФСТЭК, по которым раньше осуществлялась защита персональных данных. Два из них отменены, статус двух других непонятен. В Минюсте они зарегистрированы никогда не были. Почитать для общего развития можно здесь:

Ссылки: ссылка 1, ссылка 2,  ссылка 3, ссылка 4.

Вопрос

На меня добровольно-принудительно хотят навесить обязанности Администратора Безопасности за смешную доплату (я инженер-программист). У нас приблизительно 500-600 АРМов. Из них подготовить на аттестацию по классу 1Г необходимо порядка 100 штук (4 ИСДн и 20 АС). Т.е. полностью документацию.  Это нормальная практика? Так и должно быть?

Ответ

Из моего опыта на 500 человек обычно 1-2 инфобезника. Эти люди занимаются только ИБ - аудит, документы, установка и настройка средств защиты. Если Вас просят выполнить разовые работы по подготовке к аттестации, то это нормально. Все документы обычно делают в органе по аттестации. Уточните, какие обязанности у вас появятся, посчитайте время на их выполнение, сошлитесь на отсутствие образования по защите информации.

Вопрос

Не приходилось ли вам проводить аттестацию АРМ? Интересует вопрос, как с документами передать логины и пароли для учетных записей, которые созданы на АРМе. Просто так бумажкой думаю передавать нельзя, а в какие-то акты включать такого не знаю, можно или нет.

Ответ

Приходилось. Пароли можно передать на бумажке, при первом входе их заменит клиент.

Продолжение следует... Свои вопросы Вы всегда можете задать мне в группе Вконтакте, либо оставить комментарий в блоге. Хорошего начала новой рабочей недели!

Страница Вконтакте: http://vk.com/kshudrova

Мой блог: http://shudrova.blogspot.ru/

Не знаете, что посмотреть вечером в субботу?:)

Здравствуйте, дорогие читатели! Если Вы, как и я, не были на 5й международной конференции Роскомнадзора, а узнать, что же там происходило Вам хочется - делюсь найденной ссылкой на видео-трансляцию в Интернет: ссылка на 1 часть, ссылка на 2 часть, ссылка на 3 часть. Есть ли еще части, я не знаю, дальше разберетесь :)

Немножко спойлеров здесь: ссылка.

Хороших выходных и приятного просмотра! Делитесь впечатлениями :)

Страница блога ВКонтакте: http://vk.com/kshudrova.

Это я Вам как эксперт говорю!

Здравствуйте, коллеги! Вечером пятницы хочется поговорить на философские темы. Сегодня я хотела бы обсудить с Вами понятие "эксперт" в контексте информационной безопасности. Вдохновил меня на написание этого поста 22 выпуск Науки 2.0 под названием "Виктор Вахштайн: слово «эксперт» превращается в ругательство" (послушать можно здесь). 

Вообще мне всегда было интересно, когда специалист начинает именовать себя экспертом? Должно пройти n трудовых лет, диссертацию нужно защитить, поучаствовать в k-проектах? Чисто интуитивно понятно, что человек, разбирающийся в каком-либо вопросе достаточно глубоко, имеющий опыт работы, является экспертом. Мне кажется, лучший вариант - когда приставку "эксперт" добавляют к Вашей фамилии другие люди, причем разбирающиеся в вопросе, представители сообщества, возможно профессиональные СМИ. Но как оценить себя самостоятельно? :) 

Может показаться, что вопрос действительно философский и практического смысла обсуждать его нет, однако на экспертных оценках без преувеличения строится вся информационная безопасность. Как создать эффективную систему защиты информации, оценить возможный ущерб, определить актуальные угрозы - точный ответ не даст ни один нормативный акт. Экспертное мнение решает почти все (не стоит забывать про ограниченный бюджет:)). И в то же время к самому эксперту никаких требований не предъявляется, за исключением того, что при приеме на работу с нас в основном требуют наличие образования по специальности и стажа работы (тоже не особо является показателем). 

Для крупных компаний с развитой ИБ-структурой ситуация обстоит не так уж плохо - есть и обучение, и опытные коллеги, которые подскажут "начинающему эксперту", проводятся аттестации и другие проверки знаний. Но есть компании, которые еще вчера ничего не слышали об информационной безопасности, а сегодня у них появился единственный специалист, мнение которого оспорить некому. Когда-то я в такой компании работала, начинала еще студенткой, и честно говоря, мои решения были тогда далеки от идеала, но это я понимаю сейчас, а когда на мои плечи свалилась организация системы защиты информации с нуля, приходилось делать быстро и не всегда правильно. 

Недавно в одном из профессиональных журналов прочитала неплохую статью о том, к чему может привести несоблюдение законодательства в области защиты персональных данных, но финал заметки меня несколько покоробил. Там говорилось, что бухгалтеру очень тяжело изучить все законодательство по ПДн и написать необходимые документы, поэтому авторы предлагают использовать онлайн-сервис разработки таких документов. Вот так мнение бухгалтера может стать экспертным в ЗИ.

Продолжая тему совмещения обязанностей, нельзя не упомянуть про сисадминов-безопасников, кадровиков и юристов-безопасников. Все такие же эксперты. Кстати говоря, еще широко распространено мнение, что защита информации - элементарная вещь (поспрашивайте айтишников, если не верите:)). Здесь я немного мысль потеряла, потому что пришлось чинить зарядное от ноутбука, перегрызенное нашим горячо любимым котом. Этот же кот послужил источником вдохновения для одной из моих статей (Приучение к лотку и защита информации). Можно сделать определенный вывод о том, что кота в лоток ходить научить можно, только он еще что-нибудь придумает :)

Извините, отвлеклась. Проблема экспертов хорошо видна на курсах повышения квалификации. Один раз я была слушателем на замечательных курсах от одной крупной компании, семинар вела женщина, которую представили экспертом в области закона "О персональных данных". Сначала она рассказывала про особенности кадрового учета и об организационных мерах защиты персональных данных и было достаточно интересно, но когда речь пошла о мерах технической защиты - мои глаза стали похожи на блюдца :) Вы бы удивились, как рядовой пользователь представляет себе процедуру создания системы защиты информации. Было забавно, когда она называла ФСТЭК "ФЭЭСТЭКА". Самое печальное заключается в том, что слушатель курса может отличить эксперта от неэксперта только если сам уже хоть немножко "эксперт". Такой вот парадокс.

Не хочу высказывать призыв о стандартизации и введении ЕГЭ для ИБшников, но проблема определения компетентности существует и ее надо решать. А как думаете Вы, уважаемые эксперты? :)

Проблемы импортозамещения программного обеспечения

Добрый вечер, дорогие читатели! Не так давно я вновь давала комментарий на радио, на этот раз темой обсуждения были проблемы, возникающие при переходе на отечественное программное обеспечение. Все мы знаем, что импортозамещение является на сегодняшний день одной из приоритетных задач, поэтому очень важно понимать, какие подводные камни возникнут при ее выполнении. Тема касается защиты информации достаточно опосредовано, однако, давайте для разнообразия порассуждаем о проблемах информационных технологий.

Я выделила для себя следующие моменты.

1. Обучение работе с определенным набором программ у многих пользователей (возрастом примерно до 35 лет) началось со школьной скамьи. Затем навыки шлифовались в университете, на работу "опытные пользователи" приходят уже убежденными последователями майкрософта. Я не говорю сейчас о специалистах сферы ИТ, которые с легкостью могут работать в опен офисе и в юниксовых системах. Речь идет о специалистах всех остальных сфер деятельности, которые обычно составляют большую часть любой компании. При переходе на отечественное ПО необходимо будет проводить переобучение. Года четыре назад я была свидетелем тому, как бухгалтерия переходила с 1С 7 на 1С 8 - довольно мучительный процесс :)

2. Совместимость форматов. Вспомните официальные мероприятия, в каком формате просят прислать документы? Довольно редко не оговаривается тип файлов, обычно указано конкретно: pdf, doc и т.д. Никто не спорит, что можно написать свой офисный пакет приложений, который будет поддерживать формат майкрософтоских документов. Будут ли такие программы работать эффективнее - вопрос (опен офис тому пример - файлы в формате док весят больше тех же файлов, созданных в ворд).

3. Отсутствие аналогов. Многие программы пока есть только у зарубежных производителей. Должно пройти какое-то время, прежде чем появятся достойные аналоги того ПО, к которому мы привыкли.

4. Дороговизна самописных решений. В каждой конторе есть хотя бы маленькая, но самостоятельно разработанная программка, заточенная под нужды бизнеса. Однако написать полный комплект ПО для себя получится вряд ли - слишком сложная и требующая больших временных и денежных затрат задача.

5. Нестабильная работа "сырого ПО". Любая программа должна пройти испытания реальной работой, а от внедрения до нормального функционирования могут пройти месяцы (или годы).

6. В области защиты информации отечественное ПО крепко держит оборону. И это правильно, т.к. преимущество отдается сертифицированному по требованиям безопасности. При этом отечественные СЗИ выполняют все необходимые функции. Можно сказать, что в этой области особых проблем нет и это радует :) Также стоит отметить качественные продукты в области управления персоналом и бухгалтерии, достойное специализированное ПО для управления технологическими процессами. В остальном по части ОС и офисных продуктов работы у наших программистов предстоит еще много. Мой комментарий можно найти на странице ВК: http://vk.com/kshudrova (аудиофайл - Радио Бизнес ФМ - Собственное ПО).

А как считаете Вы? 

Блог: shudrova.blogspot.ru