Iq против Iq.

[MOS]

Уважаемые посетители форума, разговаривал с одним ССБ, который жаловался (!), что приходится работать в высоких технологиях. Он сказал приблизительно следующее: "Они там все - вундеркинды, и при желании обойдут любое ограничение. Сами говорили. Несколько раз неприятно шутили. Не понимаю - что там делаю".

 

Хотел бы спросить у сообщества на этом фоне - считаете ли вы промышленным шпионажем утечку информации, которая фактически, благодаря недостаточно грамотной организации средств защиты информации, или по недосмотру (ошибке) СБ, бывает, просто лежит на поверхности. На форуме где-то было несколько примеров, когда целые директории с документами доступны в открытой сети. Или есть многочисленные примеры проведения "текущих" переговоров в одних и тех же заведениях безо всяких средств защиты. И т.д.

Другими словами, теряет ли информация статус секретной, если ее владелец не способен ее защитить, или делает это "макулатурным" методом (пометками секретности и расписками о неразглашении среди собственных сотрудников?)

Сомневаюсь, что скажете "Да". В противном случае, можно было бы составить секретный документ, проставить на нем соответствующий штампик, погрозить пальчиком сотрудникам, а затем взять в руки мегафон, выйти на площадь и зачитать его, с выражением.

 

Предполагаю, что если обсуждение пойдет, мы обязательно коснемся и международных стандартов безопасности, сертификации и т.д. Это, конечно, здорово, и их наличие для судов - очень веский аргумент. Только ведь ISO - не гарант безошибочности.

Поэтому поднимаю следующий вопрос - каким образом лучше всего фиксировать ошибку, допущенную СБ? Ведь безопасник никогда не признает ее, тем более "сертифицированный".

 

И последнее. Должна ли СБ организации иметь образовательно-интеллектуальный уровень "не ниже" любого сотрудника, чтобы быть способной обеспечивать режим безопасности?

Ответ напрашивается сам собой, но на деле - все наоборот. Например, многим известно насмешливо-презрительное отношение к сотрудникам СБ в "высокоинтеллектуальных" отделах предприятий - конструкторских бюро, испытательных центрах, лабораториях, др. Обычно оно основано на осознании IQ-превосходства, которое при определенных обстоятельствах вполне может быть использовано во вред. С другой стороны, делать из рядового безопасника "академика" никто не будет - это невозможно.

 

Существуют варианты, когда для контроля над "сложными" объектами в службу СБ приглашается специалист, реально разбирающийся с тонкостях, не понятных "рядовым" сотрудникам. Но хорошо ли это? Кажется, есть масса причин не делать этого.

Есть варианты "изоляции" такого персонала. И тоже - далеко не безгрешная схема. Особенно если речь идет не о кремниевой долине, а о реальном "ученом" преимуществе сотрудника перед безопасником, в некоторых вопросах, которые могут играть важную роль в системе безопасности всего предприятия.

 

Какие мнения, примеры организации СБ в подобных ситуациях?

 

[Vinni]

Хотел бы спросить у сообщества на этом фоне - считаете ли вы промышленным шпионажем утечку информации, которая фактически, благодаря недостаточно грамотной организации средств защиты информации, или по недосмотру (ошибке) СБ, бывает, просто лежит на поверхности. На форуме где-то было несколько примеров, когда целые директории с документами доступны в открытой сети. Или есть многочисленные примеры проведения "текущих" переговоров в одних и тех же заведениях безо всяких средств защиты. И т.д.

Однозначно, да.

Другими словами, теряет ли информация статус секретной, если ее владелец не способен ее защитить, или делает это "макулатурным" методом (пометками секретности и расписками о неразглашении среди собственных сотрудников?)

Сомневаюсь, что скажете "Да". В противном случае, можно было бы составить секретный документ, проставить на нем соответствующий штампик, погрозить пальчиком сотрудникам, а затем взять в руки мегафон, выйти на площадь и зачитать его, с выражением.

Почитайте в ФЗ "О коммерческой тайне" определение "режима коммерческой тайны". Если владелец его не реализовал, все его претензии по краже информации не принимаются :smile14:

 

Поэтому поднимаю следующий вопрос - каким образом лучше всего фиксировать ошибку, допущенную СБ? Ведь безопасник никогда не признает ее, тем более "сертифицированный".

Если есть некое требование, зафиксированное во внутренних нормативных документах компании или в других нормативных документах (СТР-К и т.д.), которое по жизни не выполняется, то фиксация должна производиться в лучших традициях внутреннего аудита (свидетели, объяснительные, журналы, отчеты средств контроля защищенности и т.д.)

 

Встречный вопрос - кто и зачем собирается фиксировать эти ошибки? :smile10:

 

И последнее. Должна ли СБ организации иметь образовательно-интеллектуальный уровень "не ниже" любого сотрудника, чтобы быть способной обеспечивать режим безопасности?

Однозначно, должна. Говорю это, исходя из многолетних интеллектуальных поединков с ИТ-шниками :smile17:

Побочное следствие - необходимость постоянного самообразования. :smile16: :smile16: :smile16:

 

[Оззи]

Добавлю банальность.

Нарушения безопасности носят вероятностный характер, наличие системы ИБ только снижает эту вероятность до уровня, который условлено считать приемлемым. Поэтому гарантии от инцидента и компрометации СИБ нет.

Ляпы и проколы будут обязательно. Это практически нормальная ситуация :-))))))

Поэтому система должна строиться именно исходя из этого. Задача 1)получить инфу для расследования инцидента 2)минимизировать ущерб при нарушении работы системы защиты информации.

 

[Vinni]

Поиск ошибок в конфигурации безопасности обычно автоматизируется сканерами защищенности (или сетевого аудита). Только я видел в одном месте, как сами безопасники контролировали ИТ-шников с помощью регулярного запуска XSpider-а :smile3:

Плюс есть методички NIST-а (csrc.nist.gov) по организации расследований инцидентов и сканированию сети, чтоб не положить что-то (ИТ-шники пытаются противостоять таким сканированиям, пугая, что все ляжет :smile10: )

 

[curious]

MOS, ты книгу что ли пишешь?