четверг, 28 апреля 2016 г.

Волков уехал, а мы остались: что будет с блогерами по ИБ в регионах?

Доброе утро, дорогие читатели! Сегодня я собиралась, наконец, опубликовать свои заметки о семинаре Алексея Лукацкого в Красноярске, но появился повод озвучить уже давно наболевшую тему. Вчера в ФБ Алексея Волкова появилась информация об увольнении из ПАО "Северсталь" и переезде из Череповца в Москву. Во-первых, поздравляю Алексея, перемены всегда к лучшему! А во-вторых, все-таки в регионах мы лишились ТОП-блогера, и это немножко грустно. 
Давайте посмотрим на карту России и отметим лиц, пишущих про ИБ: Санкт-Петербург (Мария Сидорова и Евгений Родыгин), Краснодар (Сергей Борисов), остальные - Москва. С одной стороны, какая разница, где писать? А с другой стороны - количество и формат мероприятий напрямую зависят от той движухи, которая происходит в регионе. Поэтому у нас в Красноярске, к примеру, проходят пока только Road Show (в сентябре ситуация должна немного измениться в лучшую сторону - жду всех на Код ИБ). 
К чему я собственно? А к тому, что нужны инициативы, люди, события во всех областях нашей прекрасной страны. Все-таки централизация - это плохо. Что же можно сделать подручными средствами у себя дома? Университетам - проводить мероприятия (посмотрите на CTF, на мероприятия RISC - это вполне реально), специалистам и студентам - освещать их в своих блогах, социальных сетях, специализированных изданиях. У меня все, участвуйте 14 мая в Квесте по ИБ в СибГАУ.

http://vk.com/kshudrova - ссылки на свежие посты, интересные материалы других авторов, новости мира по ИБ и ответы на вопросы читателей.

воскресенье, 24 апреля 2016 г.

Как важно обеспечивать доступность на примере Тотального диктанта

Добрый день, дорогие читатели! Давайте сегодня поговорим о доступности (моральные принципы женщин в данной заметке рассматриваться не будут). Любой студент профильной кафедры и начинающий специалист назовет вам три столпа ИБ: конфиденциальность, целостность и доступность. Конфиденциальность, безусловно, круче всех, ей уделяется достаточно внимания. Целостность и доступность часто рассматриваются как смежные для ИБ задачи, их отдают на откуп ИТ-специалистам. Угрозы доступности наиболее актуальны для веб-ресурсов, целью которых является зарабатывание денег (интернет-магазины, онлайн-кинотеатры и т.д.), однако, есть и исключения. Речь сегодня пойдет о бесплатном для участников проекте - Тотальном диктанте.
Вот уже третий раз я принимаю участие в проверке своей грамотности и, несмотря на неутешительные результаты в прошлом, продолжаю надеяться на отличный результат (думаю, что даже в этом предложении как минимум две пунктуационные ошибки, я себя знаю). Но профессиональная деформация дает о себе знать, и больше всего меня каждый год интересует - выдержит ли сайт наплыв желающих написать диктант онлайн? В этом году не выдержал. Сначала выдвигалась версия об атаке хакеров, но позднее было определено, что причина сбоя - большое количество участников онлайн-диктанта. Удивительно объяснение  ситуации от одного из основателей проекта: рхитектура проекта разрабатывалась, исходя из нагрузок прошлого года, в результате при пиковых нагрузках система не выдержала", ведь если регистраций на очное участие было в разы больше, чем в прошлом году, то вполне можно было спрогнозировать аналогичный рост участников онлайн-диктанта. 
Давайте подумаем, что стоит предпринять организаторам для недопущения такой ситуации в дальнейшем? На ум приходят следующие идеи:
1. Ввести предварительную регистрацию для написания онлайн-диктанта, чтобы заранее оценить количество участников.
2. Проводить больше сеансов диктантов (в этом году было 3 диктовки).
3. Подготовить несколько площадок с автоматическим перенаправлением в случае загрузки основного сайта.
А что предложили бы Вы?

Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты, интересные материалы других авторов, новости мира ИБ, обсуждение вопросов читателей.

четверг, 7 апреля 2016 г.

Кому подчиняется специалист по ИБ?

Добрый день, дорогие читатели! В апреле вышло две заметки Алексея Лукацкого о том, кому должны подчиняться специалисты по ИБ: СБ или ИТ, это вызвало бурное обсуждение и споры в сообществе. Хотелось бы выразить свою точку зрения на этот вопрос. Я немножко схитрю и не буду предаваться долгим рассуждениям, а просто приведу вам полный текст своей статьи 2012 года о подчиненности специалиста по защите информации (мое мнение с тех пор не поменялось). К сожалению, портал, на котором она была опубликована, уже второй год не доступен, поэтому текст статьи будет размещен здесь.

ЗИ: ИТ или СБ?
На сегодняшний день круг задач специалиста по защите информации достаточно широк: от настройки антивируса до проведения служебных проверок. При этом в каждой организации набор обязанностей такого сотрудника уникальный. Если ранее на предприятии ставки специалиста по ЗИ не было, то при появлении необходимости в собственном защитнике информации, возникает множество споров. Один из главных вопросов – кому должен подчиняться специалист? При этом обычно рассматривают два варианта: отдел информационных технологий (ИТ) и внутреннюю службу безопасности (СБ). Напомним, что понятие «служба безопасности» не применяется к структурным подразделениям в связи с поправками к закону "О частной детективной и охранной деятельности в Российской Федерации". Теперь мы можем встретить только «отделы безопасности» и «службы корпоративной защиты», но для краткости удобнее пользоваться старым определением.
Чтобы поразмышлять о том, какое структурное подразделение должно заниматься защитой информации, необходимо в первую очередь выделить основные особенности работы, как ИТ, так и СБ, а затем проанализировать специфику работы по защите информации.
Для отдела информационных технологий основной задачей является обеспечение бесперебойной работы информационной системы предприятия. Как мы знаем, защиту информации можно условно разделить на обеспечение целостности, конфиденциальности и доступности. Часто к этому списку еще добавляют неотказуемость. Под целостностью понимается отсутствие изменений и искажений в информационных ресурсах. Если для базы данных предприятия обеспечена целостность, количество ячеек и их значения строго определяются действиями, которые производили легальные пользователи. Обеспечение целостности информационных ресурсов является задачей отдела ИТ лишь частично, и включает в себя защиту от непреднамеренных искажений: технических сбоев, чрезвычайных ситуаций. Однако в случае умышленного искажения информации, программисты ничем помочь не смогут.
Что касается конфиденциальности, то здесь все понятно: критичная информация должна оставаться в секрете. Эта задача полностью выпадает из поля деятельности отдела ИТ. Обеспечение доступности информационных ресурсов наоборот является приоритетным направлением работы сотрудников отдела ИТ, а свойство неотказуемости чаще интересует юристов, чем программистов (электронная подпись). В итоге мы имеем изначальную заинтересованность отдела ИТ лишь в обеспечении доступности ресурсов, а это катастрофически мало для полноценной системы защиты информации.
Рассмотрим, каким образом информационной безопасности может касаться «служба безопасности». Исходя из названия, можно предположить, что задачей структурного подразделения является безопасность во всех ее проявлениях: физическая, экономическая, а информационная?.. Преимуществом решения в пользу выделения ставки специалиста по защите информации в СБ является то, что защищать информацию нужно не только в электронном, но и в бумажном виде, а также те сведения, которые содержат образцы продукции, чертежи, схемы, плакаты, графики. Все это очень трудно увязать с работой отдела информационных технологий. Однако если упустить из виду многообразие форм информации и защищать только электронные сведения, то для нарушителя это будет слишком большим подарком.
Немаловажно помнить широко известный принцип «разделяй и властвуй». Так как работа специалиста по защите информации напрямую связана с проверками, это еще один довод в пользу отнесения его к СБ. В случае подчинения начальнику отдела ИТ, объективность проверок снижается. Ведь мы помним, что самые опасные потенциальные нарушители – системный администратор и программисты. А для того, чтобы контролировать их работу необходимо дистанцироваться, что вряд ли достижимо при работе в одном отделе.
Еще одна особенность работы отдела ИТ заключается в том, что задачи по поддержанию работоспособности локальной сети занимают все рабочее, а иногда и свободное время специалистов и они всегда будут приоритетными для отдела. В то же время процесс защиты информации предполагает установку ограничений в работе. Если у системного администратора приоритетная задача: чтобы все работало быстро, то у безопасника другое правило: система должна быть надежной. Специфика работы программных и аппаратных средств защиты заключается в том, что сочетать эти задачи часто бывает невозможно. Таким образом, мы получаем конфликт интересов внутри одного структурного подразделения, что нежелательно.
«Службы безопасности» предприятий часто обвиняют в консервативном подходе, а также в слепом копировании порядка работы из области защиты государственной тайны. Однако ситуация постепенно меняется в лучшую сторону, все чаще отделом безопасности руководит сотрудник достаточно молодого возраста и прогрессивных взглядов. А на сегодняшний момент прогресс неотделим от информационных технологий, следовательно, защита информации является перспективным направлением работы СБ. Появление ставки специалиста по ЗИ в отеле безопасности смещает ориентиры с организации пропускного режима в сторону защиты информационных ресурсов. С другой стороны многие «службы безопасности» занимаются экономической безопасностью, в том числе оценкой экономических рисков, применяемые при этом методы оценки во многом подходят для анализа рисков информационных.
Но как и в любой ситуации, кроме явных преимуществ отнесения специалиста по ЗИ к СБ есть и ограничения. Они связаны с тем, что инструменты управления информационной системой находятся полностью в руках отдела ИТ, в частности, системного администратора. Не может специалист по безопасности самостоятельно настроить антивирусную систему, если ему не будут выделены соответствующие права. А значит необходимо организовать эффективное взаимодействие между СБ и ИТ, при этом мостом между этими независимыми подразделениями будет специалист по защите информации. Специалист по ЗИ имеет при этом знания, как в области безопасности, так и информационных технологий и является в этом плане универсалом. Однако самостоятельно решить все возникающие перед ним задачи он не в состоянии, с этой целью и нужно эффективно взаимодействовать с другими подразделениями. О том, как организовать это взаимодействие мы поговорим в следующей статье.
Сафронов Влад. Апрель. Источник

Страница vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.