Исключения из правил

Очень часто возникает ситуация. В компании принимается какой либо документ регламентирующий вопросы ИБ. При этом, как правило, вводятся некие ограничения. И практически всегда возникает некий руководитель подразделения, который не согласен с ограничениями. Его аргументы сводятся обычно к тому, что безопаснник мешает им работать. Что они зарабатывают деньги для компании. Что им удобно работать по старому. И т.д. При этом руководитель требует сделать для его подразделения исключение. 

В данной ситуации большую роль играет поддержка руководства компании. Если такая поддержка есть, то скорее всего победит безопасник, либо будет разработано некое компромиссное решение. В случае когда с поддержкой есть проблемы, мне кажется, выходом из ситуации будет следующий вариант. Руководителю исключительного подразделения предлагается подписать бумагу, в которой он указывает, что осознает все риски и принимает их. Кроме этого, берет ответственность на себя за возможное возникновение инцидентов ИБ связанных с данным исключением из правил. Желательно, чтобы эту же бумагу подписал руководитель компании, после разъяснения всех рисков и последствий. Тогда претензий к безопаснику, в случае ЧП, уже быть не может. Он предупреждал. Хотя в действительности, все равно будут претензии, но их можно будет сгладить такой бумагой. 

Возможен и вариант, когда после таких заявлений уволят безопасника. Но в этом случае мне кажется делать в такой компании абсолютно нечего.

Стоимость DLP

Просмотрев предложение по внедрению Symantec DLP обнаружил, что если выкинуть стоимость серверов и работу, то сами лицензии на 250 клиентов стоят около 70 000$. А если выкинуть лицензии Oracle, то стоимость снизится еще 5 500$. Единственно, если в компании нет Oracle, то придется все таки их купить. Т.к. Symantec DLP насколько я знаю не работает с другими СУБД. Хотя надо изучить данный вопрос. Но в целом ситуация почти укладывается в мой предыдущий пост о стоимости DLP в районе 3-3.5 млн. руб. Хотя Symantec на фоне других выглядит привлекательнее. Плюс именитая компания. И в сравнении решений DLP на сайте Anti-malware.ru (часть 1, часть 2) Symantec DLP выглядит очень неплохо. В общем надо думать.

Английский и персональные данные

Занесло тут меня намедни в EF-EnglishFirst на день открытых дверей. В ходе мероприятия просили заполнить анкеты. Просмотрев анкету, обнаружил необходимость писать свои ФИО, ФИО супруги, телефоны и т.д. и отсутствие каких либо строк о сборе моего согласия на обработку ПДн. Отловил сотрудника школы, и сообщил ей, что у них возможно проблемы с Федеральным законом №152 "О персональных данных". Т.к. они не получают согласие на сбор и обработку ПДн. К сожалению не смог пообщаться с директором. Но надеюсь сотрудница передаст мое послание. 

Вход по отпечатку пальца и персональные данные

В ходе рассмотрения вопросов внедрения двухфакторной аутентификации у руководства возникло предложение: "А зачем нам смарт-карты? Пользователь их может забыть или потерять. Давайте сразу отпечаток пальца! Всегда с собой, безопасность обеспечивает, факторов два. Красота.". В ходе дальнейшего обсуждения выдвигались тезисы, что биометрия выйдет дороже. Но, руководитель (все таки 21 век) тут же зашел в Интернет и нашел китайский сканер за 500 руб. На доводы о том, что это непонятное устройство от непонятного производителя. Не известен состав поставки, надежность, уровень ошибок 1 и 2 рода и т.д. Было сказано:"Зато 500 руб. А карты еще и менять нужно, т.к. они ломаются.". Тогда в ход пошел ФЗ №152. Ведь получается, что мы обрабатываем персональные биометрические данные. И соответственно должны их защищать сертифицированными средствами. А средства эти стоят денег. Ну и т.д.

Уже после встречи у меня возник вопрос, будут ли теперь в РФ развиваться биометрические системы аутентификации в свете ФЗ №152? 

Или может не все так плохо? Нужно еще раз изучить закон.

Нужен ли работникам Интернет

На CNews появилась следующая статья: 

Ученые советуют не закрывать популярные сайты на рабочих местах сотрудников

Согласно данным нового исследования, интернет-серфинг на работе помогает восстановить силы и улучшает продуктивность. Оказалось, что просмотр сторонних веб-сайтов намного лучше влияет на работоспособность, чем личные звонки по мобильному, текстовые сообщения или электронная почта, тогда как работа без остановки хуже всего отражается на исполнителях. 

Исследование влияния веб-серфинга на психологию сотрудников компаний было проведено учеными Национального университета Сингапура. Ученые провели … полный текст

Источник: CNews


Довольно интересное исследование. По своему опыту могу сказать, что и запрет и разрешение по своему хороши. Все зависит от ситуации. На мой взгляд, если в компании имеется система DLP или что то похожее, ведется мониторинг использования ресурсов Интернет и люди проинструктированы о том, что можно писать, а что нельзя, то можно и не запрещать. Все зависит от людей, имеющихся ресурсов, используемых сервисов. Хотя закрытие сайтов тоже неплохо в определенных ситуациях. Например, если какие либо сервисы завязаны на полосу пропускания канала. В этом случае, если все активно используют Интернет, возможны сбои в работе сервиса. В этом случае проще запретить или ограничить.  У меня были случаи, когда руководство оставляло работникам только несколько разрешенных сайтов. Особенно это практиковали в бухгалтерии. Еще одним способом ограничения является показательная порка. Когда в приказе по компании кого-то наказывают за не целевое использование ресурсов Интернет, на остальных это производит впечатление. Правда эффект длится в лучшем случае несколько месяцев. В худшем пару недель. 

Так что все зависит от ситуации.

Потоки информации

Одним из условий работы безопасника является знание потоков информации и ценности этой информации. Придя в новую компанию и слабо представляя ее бизнес-процессы, тяжело сразу понять куда и как течет информация. Я в свое время попробовал использовать для понимания течений таблицу такого формата:

Рассылая ее по руководителям подразделений, я смог получить информацию о том, кто является владельцем, оценку ценности информации и грубую оценку рисков от владельцев. Проанализировав полученные данные я смог уточнить непонятные моменты у владельцев. И соответственно в результате создать перечень ценной информации и систем где она обрабатывается, а также куда передается. А это соответственно позволяет определить направления работы и в будущем поможет в настройке системы DLP и всего остального. 

Конечно, это не самый лучший вариант, но тем не менее позволяет достаточно быстро понять ситуацию на новом месте и определить основные направления работы.

Откуда взять трафик для DLP

При внедрении DLP зачастую требуется получить копию трафика между ЛВС и Интернет. В большинстве случаев для этого достаточно настроить зеркалирование портов коммутатора. Однако иногда возникает ситуация, когда нет возможности сделать зеркалирование. Причин может быть много. Как тогда быть? Кто то сразу предложит поставить в разрыв канала HUB. Дескать в нем трафик поступающий на один порт транслируется на все остальные. Согласен, вариант приемлемый. Правда в минус такого решения можно отнести возникновение еще одной точки отказа. Ведь если HUB сгорит, то весь офис останется без связи. Решил я поискать некое устройство, типа тройника для ethernet. В интернете есть несколько страниц с описанием того, как такое устройство сделать самому. Например, здесь описано как самому сделать HUB на три порта. Но как то не хотелось в корпоративной сети использовать "коленочное" решение. Хотелось нечто более профессиональное. В результате поисков наткнулся устройство VOCORD ETAP-FEFD . Вроде то что нужно (описание на сайте):

Ethernet-датчик VOCORD ETAP FEFD 10/100 — устройство, предназначенное для ответвления информационного сигнала с коммуникации сегмента сети, построенной в соответствии со стандартом IEEE 802.3, и работающего в режиме 10 BASE-T или 100 BASE-TX без нарушения работы канала.

Позвонив по контактному телефону выяснил, что данное устройство делалось под конкретный проект и больше не производится. И возможно, что больше его вообще делать никогда не будут.

Далее наткнулся на такое предложение по продуктам компании Fluke Networks - Tap and Switch Solutions. Отправил запрос. В ответ получил, что в принципе это то что надо. И стоить такое устройство будет всего 1500$ (дешевый вариант) или 5000$ (дорогой вариант). Меня это немного озадачило. Как то я не рассчитывал на такие цены.

Продолжив поиски наткнулся на устройство NSG-54 EtherTAP. Продукт новый, все функции еще не реализованы. Однако имеющихся вполне хватает. Запросил цены. И что же получаем: устройство начнет выпускаться ближе к концу года. Примерная стоимость 30 000 руб.

Все равно как то много. Неужели нет простого пассивного ответвителя трафика для ethernet реализованного по схеме нарисованной на сайте NSG и имеющего стоимость до 100$ ?

Гореть в таком устройстве нечему, соответственно точки отказа не должно возникнуть. Устройство "Анализатор" работает только в режиме прослушивания или promiscuous mode. Соответственно конфликтов быть не должно. 

В общем буду искать.

Кому нужна информационная безопасность?

Столкнулся тут с интересной ситуацией. В компанию взяли специалиста по ИБ. Сказали, что основная задача на ближайшее время приведение в соответствие ФЗ№152, ну и остальное тоже. Человек  начал осваиваться, выяснять что и как.... По результатам написал руководству, что исходя из поставленных задач на первом этапе нужно внедрить такие системы, разработать такие документы, организовать такие процессы. Руководство собрало совещание. И вот на совещании когда специалист по ИБ начал рассказывать о предлагаемых решениях, в момент когда он озвучил примерную стоимость, руководство как то сникло и сказало, что таких денег нет. И никакие доводы о том, что убытки будут больше, расчеты и т.д. не помогли. Руководство сказало, что то что предлагает специалист нацелено на защиту того, что для них в общем то и не очень ценно. На вопрос, что же тогда Вы считаете ценным и требующим защиты? Ответ был, что в общем то ничего. Все ценное в головах надежных, доверенных людей. А остальные ничего ценного не знают. Вот такие дела. 

И тут возник у специалиста немой вопрос: "А зачем же Вы тогда спеца то на работу взяли?".

Ответ судя по всему: "Потому что!". При приеме на работу говориться одно. Когда доходит до дела, уже другое. А в мыслях, подозреваю, третье.

Получается, что те, кто должен определить ценность активов и принять меры к защите, считают, что ничего ценного нет и соответственно безопасность им не особо и нужна. Ведь жили же они без нее как то. Грустно.

Стоимость внедрения DLP

Процесс выбора системы DLP продолжается. Тестировать пока возможности нет, но есть возможность запрашивать примерную стоимость внедрения. В результате анализа присланных предложений получилась следующая картина.

Если брать количество контролируемых пользователей 250.

Количество серверов 30.

Все возможные каналы (HTTP/S, FTP, IM, print, USB, Skype, и т.д.).

В результате все решения стоят примерно в районе 3.5 млн. руб. Причем у кого то стоимость лицензий чуть меньше, у кого то чуть больше. Но общая стоимость все равно примерно одинаковая (лицензии, внедрение, оборудование и т.д.)

. 

Ситуация мне напоминает покупку пластиковых окон. Когда то мы с шефом одновременно искали пластиковые окна. Компании смотрели разные. У всех скидки, акции и т.д. Когда задаешь вопрос: "Сколько стоит окно вот такого размера?", цена у всех разная. Но когда, просишь посчитать стоимость окна с доставкой, плюс монтаж и т.д., то результат у всех получался примерно одинаковым. В результате мы вычислили, что окно с нашими размерами (а они у нас были почти одинаковые) стоит примерно 200$. И если у кого то само окно стоит дешевле, то они свое возьмут на услугах, если дороже, значит дают скидки на монтаж и т.д. И что бы мы не делали - окно стоит 200$.

С системами DLP ситуация очень похожа. Стоимость системы для фиксированного набора составляет 3.5 млн.руб.

Внедрение корпоративных систем и персональные данные

В соответствии с ФЗ №152 "О персональных данных" все вновь внедряемые информационные системы должны соответствовать требованиям закона. Кроме этого, обязанность по обеспечению безопасности персональных данных лежит на операторе.

У меня возник вопрос такого плана. Вот компания решила внедрить какую либо информационную систему. Например, SAP. В этой системе будут обрабатываться персональные данные и об этом известно интегратору или производителю (например, система SAP HR). Так вот должны ли интеграторы/производители продавать систему изначально соответствующую требованиям ФЗ №152 или они продают то что есть, а оператор должен при покупке выдвинуть требования к системе для обеспечения соответствия ФЗ №152?

Мне многие говорят, что оператор должен выдвинуть требования. А интегратор/производитель их реализовать. 

Однако мне кажется, что это не совсем правильно. Ведь закон есть, он утвержден и все знают о нем (и интеграторы и производители). Если я, по каким то причинам, не выдвинул отдельные требования по соответствию ФЗ №152, то мне внедрят заведомо неправильный продукт. Т.е. он заведомо не соответствует ФЗ №152. И у меня будут проблемы при проверках. Но  тогда как то странно, на мой взгляд. 

Когда Вы покупаете, скажем автомобиль, он соответствует требованиям российских законов. И Вы не задумываетесь о том, правильно ли у него стоят фары, того ли цвета фонари и т.д.. Вы рассчитываете, что раз Вы купили его у официального дилера, то все в порядке. И при прохождении ТО претензий со стороны ГИБДД (государства) не будет. 

Почему же с программным обеспечением такого нет? Было бы логично продавать ПО соответствующее всем требованиям российского законодательства. Даже если заказчик по какой то причине не указал специально об этом. 

Тот же SAP на сайте ФСТЭК указан. У него есть сертификат, но нет никаких гарантий, что его внедрят так, чтобы были выполнены требования ФЗ №152. Или может быть мне неправильные интеграторы попадались?

Работа с отчетами Nessus Vulnerability Scanner

Установил сканер уязвимостей Nessus. Система работает замечательно, но есть один минус. Стандартный отчет содержит большое количество информации. И зачастую администраторам не интересно читать описания механизма работы уязвимости наличия описаний в разных базах (типа CVE), ответ плагина и т.д. Им важно понять на какой машине, какая уязвимость, варианты решения и где взять патч. Стандартными средствами Nessus изменить отчет не получается. После недолгих поисков наткнулся на одно решение с названием ProjectRF (или на форуме Tenable). Решение работает на основе сборки LAMP (Linux, Apache, MySQL, and PHP/Python/Perl). В файле с описанием установки (внутри файла ProjectRF.zip) довольно подробно описаны необходимые действия. Также можно посмотреть онлайн на форуме Tenable. Единственно, что мне пришлось добавить, это файл /etc/apt/apt.conf.d/proxy со строками 

Acquire::http::Proxy "http://login:pass@xxx.xxx.xxx.xxx:yyyy"

Acquire::ftp::Proxy "http://login:pass@xxx.xxx.xxx.xxx:yyyy"

чтобы apt-get смог работать через прокси.

После этого, apt-get смог обновиться и установить модуль php-db.

Далее, заходим на веб интерфейс, загружаем отчет Nessus в формате .nessus. И наслаждаемся разными отчетами.

Мне решение понравилось. Можно убрать ненужную информацию. Отсортировать по разным признакам. Работает под виртуальной машиной, достаточно шустро. В целом рекомендую.