Криптография, защита, безопасность информации.

gooblin:

MOHCTPiK:

MaxRusak, теоретегом быть просто... а реалии гораздо проще...

+1

как и везде - 30% знания 70% практические навыки

Дык я вроде как практик.

gooblin:

на практике 90% граблей - человеческий фактор, включая кривые руки.

Да, пока человеческий фактор это наиболее часто втречающаяся вещь в пробелах безопасности.

MOHCTPiK, не в устаревании дело. при грамотном подходе годами будет колбасить и хрен сломаешь (не будем здесь учитывать рост быстродействия техники по отношению к количеству бит шифрования) . простота - первое правило. люди которые создают что-то мудреное это те кто сами себя на@бать хотят. второе правило - никому не верь, проверяй лично. тут надо иметь ясный незамутненый ум и в тоже время обладать изрядным занудством и внимательностью.

имхо - с учетом минимизации вычислительного ресурса, то скоро ломать будут еще быстрее и мобильнее - как в кино

лет 10 назад такое было бы не возможно промышленно - только если самоделки

Винда или никсы - на самом деле в случае с банкоматами это значения не имеет.

Уязвимость - она заложена в сам алгоритм - кредитная карточка, где на магнитной полосе записан номер-ИмяВладельца-срокдейставия плюс пин-код, известный только владельцу.

Современные смарт-карты от этого защищены, но другое - банку прощи списать мизерный процент транзакций, чем отказать в удобстве обслуживания миллионов клиентов.

По ИБ в целом - знания утрачивают актуальность быстро, согласен. Но, допустим, чтобы поддерживать статус CISSP - необходимо постоянно обучаться/работать в этом направлении. Но , так же следует заметить, что специалист по ИБ - это не привязанный к определенной платформе специалист, это в большей степени методология и , как вы тут сказали, теория.

Т.е. мне не надо уметь владеть отмычкой и вскрывать сейфы с закрытыми глазами "по щелчкам" чтобы защищать находящееся в них содержимое. Более того, специалист, который может так делать, в основном, не сможет действительно защитить его.

gooblin, все лично вы проверить не сможете. Ибо задача, например, директора (CEO)- обеспечивать работоспособность бизнеса в целом, задача CIO - это ИБ.

Простота - не является главным правилом, хотя простота - да, это важная составляющая ИБ, но она не всегда приемлима и применима. Хотя желательна.

Быстродействие техники при взломе - ну это если уж совсем туго, и больше надеятся не на что.

Гораздо дешевле/действеннее - методы получения информации без взлома с применением грубой силы.

По поводу семинаров - ИМХО, вещь необходимая, ибо дает толчек к развитию/освещение проблемы с другой стороны, а так же показывате дальнейши путь к развитию. Плюс опять же общение. Пусть не обязательно очные, пусть веб-конференции. Но без них гораздо сложнее поддерживать базу знаний в актуальном состоянии и дополнять ее.

Дзмiтрок, приятно беседовать с умным человеком.

Да, ес-сно , от подкупа высшего должностного лица защиты, как таковой нет, но опять же - тщательно соблюдаемые и правильно внедренные политики безопасности могут защитить и от этого.

можно разделить атрибуты доступа между N человек. вероятность подкупа или пыток всех сразу уменьшается.

MOHCTPiK, смарт-карты постепенно внедряются в банковский пластик. Ведь тут дело не в безопасности ради безопасности, а в безопасности как экономически обоснованной поддержке бизнеса, суть которой - обеспечит существование бизнеса, избежать вытеснения.

Миллионы транзацкий, миллионы кардхолдеров и мест продажи. Дешевле списать условно 0.01 % на фродовые транзакции , чем потерять многих клиентов, которым , например, надо будет ставить кардридер и спец. ПО на домашний ПК, чтобы осуществлять транзакции в Интернете и т.д. Но постепенно тех. перевооружение идет. Есть такая штука - называется оценка рисков и экон. обоснование мер по ИБ и ЗИ. Очевидно, что текущий уровень наносимого ущерба меньше, чем расходы на внедрение и сопровождение более совершенной системы.

Говоря о ИБ в бизнесе. Цель ИБ - успешное сушествование бизнеса. Если руководитель этого не понимает/не хочет понимать - то рано или поздно его предприятие будет вытесняться конкурентами. И само существование бизнеса будет под угрозой. Но опять же, есть методология расчета и анализа рисков, есть бюджет, есть значимые и высоковероятные риски, от которых надо защищаться в первую очередь и выделять на них бюджет. Ну а с вашим высказыванием о канале доступа с виллы - если это обычное предприятие, и его собственник хочет себе что-то тянуть несекьюрно - то это его дело, т.к. "хозяин - барин".

Друго дело, что , если это , например, аудиторская компания (ну или другая организация, работающая с личными данными граждан или бизес-критичными информационными активами других предприятий). Тут (я говорю о компаниях США, в других странах тоже есть различные законодательные ограничения) просто так ничего не протянешь. Ибо эти компании ОБЯЗАНЫ проходить регулярные аудиты по ИБ и в некоторых случаях иметь сертиф. специалиста по ИБ в штате/на контракте.

Т.к. в первом случае - собственник потерят свое предприятие, и это его личное дело, а во втором - будут поставлены под угрозу другие. И во втором случае он попадет в долговую яму до конца жизни.

А по поводу ракового больного - вы допускаете логическую ошибку, проводя эту аналогию, выстраивая т.н. мнимую логическую связь между ИБ и болезнью, что не есть правильно.

Так же следует заметить , что в своей массе предприятия не тратят на ИБ ни копейки (я про постсоветское простанство) и считают ИБ как бесполезную статью расходов. Это связано , в первую очередь, с относитель малой информатизацией бизнеса (т.е. в основном ПК используется как пиш машинка плюс 1 С бух), а так же с малым уровнем грамотности руководителей в этих вопросах. Но с увеличением ИТ-зависимости , например , интегрированные в бизнес системы управления предприятием (ERP, CRM) все увеличивающаяся потребность в мобильных рабочих местах и доступе anytime/anywhere , предприятие , не озабоченные внедрением хотя бы базовых мероприятий по ИБ , будут просто очень уязвимы и неконкурентноспособны и будут рано или поздно вытесняться.

MOHCTPiK, воруют - никто ж не спорит. Везде воруют. И из самой секьюрной системы можно получить информацию. Это - безостановочная борьба и совершенствование.

Насчет общих слов - так мы тут и обсуждаем так сказать проблему в общем.

По смарткартам - я же написал в пред. посте. Внедряют потихоньку. Но единовременное внедрение с-10-марта-смарт-карты-только - нанесет большой удар. Кроме этого, есть масса других вопросов, которые возникают при таком виде аутентификации. Например, как делать отложенные , регулярные платежи? Как делать платежи через нет? Надо оснастить сотни тысяч ПОС соотв. оборудованием. Растет цена карточки. И т.д. Это реально ДОРОГО. Дешевле закрыть глаза на фрод или вбить его в стоимость услуги. Т.е. пока это экономически не обосновано - быстрый переход . Поэтому и не переходят.

почти все системы безопасности становятся уязвимыми на кол-ве - а с ростом оборота, предприятия и т.д. очень редко когда принципиально меняют изначально закладывающуюся структуру... предпочитая накапливать системные ошибки...

Поэтому Полити безопасности - это не жесктий документ. Он должен адаптироваться к изменяющейся ситуации.

Поэтому некторым предприятиям предписан ВНЕШНИЙ аудит ИБ два раза в год - для того , чтобы выявлять все это.

Кстати, стоит заметить, что с ростом - мероприятия по ИБ в расчете на одного пользователя - становятся дешевле.

Допустим, у нас есть разработанные и внедренны политики по ИБ, и настроенная в соотвествии с этим ИТ инфраструктура.

Это стоило нам условно 100 рублей на фирму с 50 пользователями. Т.е. стоит 2 рубля на пользователя. Мы открываем филиал в Бобруйске на 20 пользователей.

Фактически, мы используем сущетсвующие политики , возможно , дополняем их парой доп. инструкций и реплицируем все настройки инфраструктуры на наш филиал, соединяя его секюрно с главным офисом (возможно, конечно, мы что-то изменим).Но мы увидим, что открытие филиала стоило дешевле, и общая стоимость в пересчете на пользователя упала.

Поэтому часто для малых организации дорого обеспечивать ИБ - а мероприятия, в основном, дорогостоящие.

Дзмiтрок, это не просто строительная компания... это компания которая строит объект особой секретности, от чего будут зависеть десятки лет жизни людей и т.д. У нас бы за подобное дали бы лет по 15 тюрьмы и штрафов по самое не хочу - что бы перепланировку сделать... Да и не думаю, что у любого бетономешальщика была такая инфа - с планами и т.д.

По смарткартам - было движение несколько лет назад - делали совмещенные карты, а теперь вот хотел - сказали - уже не делаем... А перехода конечно не будет - должны ходить совместно длительный период, а они не ходят...

Более детально рассматривая данный случай с чертежами французской тюрьмы, можно сделать вывод, что как таковых Политик Информационной Безопасности у них нету, либо же те, что есть - не соотвествуют стандартам или имеют чисто формальное значение.

ИБ - это не только шифрофание и проч. Это Безопасное Управление Информационными Активами Предприятия. Которое охватывает весь жизненный цикл этих активов.

В системе, безопасной по дизайну и с ДЕЙСТВУЮЩИМИ политиками ИБ , раз дело идет о Европе, то соответствующим стандарту ISO 17799:2005 (У нас) сейчас переименнован в ISO/IEC 27002 , такой утечки информации В ПРИНЦИПЕ быть не может. Ибо ее не может быть "по дизайну" системы.

Как обычно делается (мы рассматриваем случай с подрядчиком):

1. Договор. В договоре обязательно есть пункты о предоставлении информации. Описывается, как, кому , при каких условиях она предоставляется. Меры ответственности. И пр. Эта часть договора аппрувится Офицером по ИБ предприятия, так же юристами.

2. Безопасный доступ. Через KVM, если приложение невозможно портировать через RDP ввиду ограничений лицензии, ПО, либо еще по каким-то причинам, или RDP. (Я специализируюсь на Windows-based, в маке уадленный доступ к рабочему столу называется по другому, в никсах - тоже по своему)

3. Доступ к RDP/KVM строго секьюрный, через межсетевые экраны, через VPN

4. Двухфакторная аутентификация пользователя (пароль плюс смарткарта). Ограничения доступа по IP и по рабочему времени.

5. Логи и аудит работы пользователя/пользователей с его проверкой.

6. Решение , к примеру, если это предписано Политиками (а оно может так быть) предварительно аппрувится внешней компанией , осуществляющей аудит ИБ.

7. Ну дальше - организационные и законодательные меры - как например, подрядчик должен обеспечить централизованное хранение смарт-карт в защищенном сейфе с сигнализацией, вести журнал учета выдачи смарт-карт , с его стороны должен быть установлен межсетевой экран и актуальное антивирусное ПО с ПК, на которых осуществдяется доступ. Можно своими силами провести базовй аудит он-сайт на площадке этой строительной конторы. Ответсвтенность - штрафы и проч. Настройка конечных терминалов особым образом, например, чтобы нельзя было сделать принт-скрин. В идеале - выдать свои жестко сконфигурированные буки для доступ только через них.

8. Ну если так мега-секретно все, то можно потребовать дооснащение помещений , откуда планируется доступ, системами, исключающими съем информации дистанционно (активное подавление, изоляция и проч). Потребовать 24/7 видеомониторинг данного помещения с подключением на пульт охраны, и проч. и проч. (т.е. чтобы если вдруг кто-то ворвется и будет угрожать нашим пользователям в рабочее время , и сможет таким образом сфотографировать экран и получить схемы - чтобы охрана прибыла вовремя).

9. Дублирование защитных систем , принцип т.н. эшелонированной обороны.

Ну и даем доступ.

Это я чисто за 5 минут набросал план, он может быть не без изъянов, я просто показываю , как оно бывает.

Тем самым мы минимизируем возможную площадь атаки и защищаемся от многих рисков.

Т.е. такого, как произошло - ну это просто полные раздолбаи. Отдают серетные доки, те хранят их в каком-то по умолчанию небезопасном месте - домашнем офисе . Неудивительно , что их украли.