Сегодня 19 мая, воскресенье ГлавнаяНовостиО проектеЛичный кабинетПомощьКонтакты Сделать стартовойКарта сайтаНаписать администрации
Разделы
Каталоги
Блоги
Добавить блог
Сообщества
Добавить сообщество
Сервисы
Создание аватар
Блограйдеры
TOP блограйдеров
Обратная связь
Техподдержка
Контакты
Блогосфера
Интервью
Поиск по сайту
 
Ваше мнение
Какой рейтинг вас больше интересует?
 
 
 
 
 
Проголосовало: 7273
Кнопка
BlogRider.ru - Каталог блогов Рунета
получить код
Главная /

Каталог блогов

/

Cтраница блогера Информационная безопасность

/

Записи в блоге

Информационная безопасность
Информационная безопасность
Голосов: 1
Адрес блога: http://adorofeev.blogspot.com/
Добавлен: 2009-05-19 15:05:09 блограйдером adorofeev
 

Информационная безопасность в Великобритании

2009-07-10 15:30:00 (читать в оригинале)


Попался на глаза отчет с результатами исследования по информационной безопасности, проведенного в Великобритании коллегами из компании PricewaterhouseCoopers по заказу Department for Business, Enterprise & Regulatory Reform.

Основные результаты исследования:
  • 99% компаний осуществляют резервное копирование критичных данных;
  • 98% компаний используют средства выявления шпионского ПО;
  • 97% компаний осуществляют фильтрацию электронной почты в целях борьбы со спамом;
  • 95% компаний проверяют сообщения электронной почты на наличие вирусов;
  • 94% компаний используют шифрование для защиты беспроводных сетей;
  • 55% компаний имеют формализованную политику информационной безопасности;
  • 40% компаний имеют программу повышения осведомленности сотрудников в области информационной безопасности;
  • 11% компаний внедрили ISO 27001;
  • 13% компаний обнаружили факты внешнего вторжения в свою сеть;
  • 9% компаний столкнулись с тем, что их клиенты подверглись фишинг-атакам;
  • 9% компаний столкнулись с фактами “кражи личности” (identity theft) клиентов;
  • 6% компаний сообщили о том, что они выявляли факты утечки конфиденциальной информации;
  • 10% сайтов электронной коммерции не шифруют данные о кредитных карточках клиентов;
  • 21% компаний тратят на ИБ менее 1% от бюджета ИТ;
  • 35% компаний не ограничивают использование мессенджеров;
  • 48% компаний не тестировали планы восстановления деятельности в 2008 году;
  • 52% компаний не проводят формальной оценки рисков информационной безопасности;
  • 67% компаний не используют мер по предотвращению утечки данных через носители информации;
  • 78% компаний, которые столкнулись с фактом кражи компьютеров, не внедрили средств шифрования жестких дисков;
  • 79% компаний не ознакомились с содержанием таких стандартов по ИБ как ISO 27001/27002.
  • 84% компаний не осуществляют контроль исходящей почты на наличие конфиденциальных сведений.

Александр Дорофеев (c)

О консультантах

2009-07-04 18:40:00 (читать в оригинале)


Эту заметку начну с лучшего, на мой взгляд, анекдота о консультантах.

“Высоко в горах чабан пасет отару овец. Вдруг видит клубы пыли - к нему подъезжает крутой джип, из которого выходит молодой человек. Он одет в дорогой черный костюм, белую рубашку и темный галстук, на плече висит ноутбук. Молодой человек подходит к чабану и предлагает:
- Хочешь, я скажу, сколько у тебя в отаре голов, но за это ты мне отдашь одну ОВЦУ?
Чабан соглашается, молодой человек достает ноутбук, загружает Excel, получает фотографию со спутника данной местности, находит в Интернет данные о среднем количестве овец на квадратный метр при выпасе в горах, что-то долго вычисляет и, наконец, сообщает: "325”.
- Правильно, - отвечает чабан: Иди, бери.
Молодой человек бросается к отаре и после непродолжительной, но бурной схватки запихивает сопротивляющееся животное в багажник своего джипа и собирается уезжать. В этот момент его останавливает чабан:
- Хочешь, теперь я скажу кто ты и если отгадаю, то ты вернешь животное?
- Давай!
- Консультант!
- Как ты догадался?!
- Во-первых, ты явился, когда тебя не звали. Во-вторых, ты сказал мне то, что я и без тебя знаю. И, в-третьих, ты ничего не знаешь о моем бизнесе – верни мою собаку.”

Сегодня стало очень модно критиковать консалтинговые компании на различных конференциях, в статьях и блогах.

Навскидку могу назвать следующие основные претензии к консультантам со стороны заказчиков:
  • желание продать “лучшие практики”, которые не всегда лучшие
  • слабое представление о бизнесе клиента
  • готовность взяться за любую работу
  • молодость
  • недостаточный опыт
  • высокая стоимость услуг
  • и т.д

Критиковать – легко, и по большому счету, конечно, виноваты консультанты, которые не смогли правильно управлять ожиданиями своих клиентов. Тем не менее, нельзя забывать и о второй стороне - заказчике, который тоже может совершать ошибки.

Давайте посмотрим, зачем, вообще, компании могут понадобиться внешние консультанты. Ответ “требуется квалифицированная помощь” является правильным, но, к сожалению, не единственным.

Внешняя компания-консультант может быть привлечена для достижения политических целей в ходе внутренней корпоративной борьбы. Например, в крупной компании есть две группировки, которые борятся за влияние в компании. Одна нанимает компанию “с именем”, которая проводит независимый аудит в границы которого попадают проекты конкурирующей группировки. Отчет проходит несколько циклов согласования с заказчиком (нанявшей группировкой) и оказывается на столе у топ-менеджера. Руководителю компании "независимо" и "объективно" третья сторона (как правило, это компания, в силу своей известности уважаемая топ-менеджером) объясняет, что деятельность одной группы очень вредна для бизнеса компании, и подталкивает к решению, выгодному для заказавшей данный отчет группы.

Третьей причиной привлечения сторонних специалистов может оказаться банальное желание получить откат. Углубляться в данную тему не хочу, кому интересно, воспользуйтесь следующим запросом Google: “откаты в ИТ”.

Соответственно есть и консалтинговые компании, и компании-интеграторы, ориентированные на удовлетворение различных потребностей. Поэтому заказчику для того чтобы получить то, что он в действительности хочет, необходимо хорошо ориентироваться на рынке и стараться не обращаться к поставщикам услуг с “непрофильными” запросами, и случаев взаимного непонимания будет намного меньше.

На мой взгляд, финансовый кризис приведет к тому, что заказчики будут заинтересованы прежде всего в качественной работе, а консультанты и интеграторы, в свою очередь, поднимут уровень своих услуг на встречу потребностям клиентов.

Александр Дорофеев (c)

Осознание важности ИБ

2009-07-02 21:37:00 (читать в оригинале)

Свою заметку хочу начать с цитаты из книги Алекса Экслера Omert@. Руководство по защите компьютерной информации для больших боссов":

Ну да, ну да, я в курсе, что ты – большой босс. Что ты не делаешь сам те вещи, которые другие могут сделать за тебя, получив за это деньги. Поэтому ты не моешь свою машину, не ходишь сам по магазинам (за исключением бутиков и ювелирок), не моешь пол и не протираешь пыль на рабочем столе. Однако даже ты знаешь, что есть вещи, которые за тебя не сделает никто.

Например, ты же не будешь платить деньги другим людям за то, чтобы они занимались любовью с твоей женой, правильно? Да, я знаю, что это дело интимное, а такое не доверишь посторонним. Но почему ты думаешь, что защита твоей собственной информации – любой, деловой или личной – это менее интимное дело?

Увы, друг мой, защита твоей информации - или хотя бы четкое понимание того, что это такое и как подобная защита должна строиться, - это ТВОЕ ЛИЧНОЕ ДЕЛО! Не Cosa Nostra (хотя твои проблемы могут стать и Нашим Делом тоже), а Cosa Roba – Твое Дело!

Разумеется, тебе не хочется вникать во все эти тонкости. Ты считаешь, что такой Большой Парень, как ты, для того и зарабатывает деньги, чтобы позволить себе заниматься только Большими Проблемами. В этом, конечно, есть определенная логика, однако безопасность твоей информации – это и есть Большая Проблема, уверяю тебя.

К сожалению, на текущий момент, до всеобщего осознания необходимости реальной защиты информации нашими менеджерами еще далеко. Или недалеко?

Понятно, что сейчас кризис, и многие компании сократили свои затраты на все, что только можно, и информационную безопасность данная участь не обошла стороной. На самом деле все дело в оценке рисков, а руководители компаний и владельцы бизнеса, как правило, умеют это делать на достойном уровне.

Много ли руководителей, которые понимают, что в случае внешнего или внутреннего взлома и последующей потери информации бизнесу будет нанесен существенный ущерб?
Ответ: "Не очень много." И не потому, что они мало знают об ИТ и рисках информационной безопасности. Просто специфика многих российских компаний такова, что основным конкурентным преимуществом компании являются правильные связи ее владельцев, а не технологические “но-хау”, требующие серьезной защиты от конкурентов.
Однако, стоит отметить, что число менеджеров, понимающих важность ИБ постоянно растет, как и число компаний, у которых есть информация, которую нужно защищать. Посмотрите, несколько лет назад ИБ занимались только администраторы только потому, что это интересно, а сейчас даже в компаниях среднего размера появляются выделенные специалисты по защите информации.

Я думаю, что через некоторое время интерес к реальной защите информации очень сильно вырастет. На мой взгляд, это произойдет тогда, когда широко обсуждаемые бот-сети будут использоваться не только для проведения DDoS атак на внешние Web-серверы компаний, но и на внутреннюю инфраструктуру. Вы только представьте ситуацию, когда можно будет “выключить” на пару дней компанию за несколько сотен долларов.

Предпосылки к такому использованию бот-сетей уже видны невооруженным глазом. В своей заметке, посвященной вирусу Conficker, я обращал внимание читателя на то, что вирус действует как хакер: использует уязвимости в ПО, подбирает пароли, защищает систему от взлома со стороны “конкурентов”, скрывает свои следы и т.д и т.д.

На мой взгляд, следующим шагом развития подобного ПО будет появление функционала, наподобие следующего:
  • Инвентаризация ресурсов с целью выявления наиболее критичных серверов. Технически это легко реализуется с помощью простого анализа результатов сканирования портов. Не трудно оценить критичность сервера с открытыми портами, характерными для СУБД Oracle или SAP R/3.
  • Функционал фрэймворка для запуска эксплойтов. Например, вирус, определив перечень критичных серверов, начинает определять существующие уязвимости, после чего подгружаются соответствующие эксплойты, и осуществляется взлом сервера.
  • Возможность проведения атаки ARP-poisoning для перехвата паролей или их хэшей для последующего взлома.
  • Коммуникация с внешним ресурсом, позволяющим получить пароль по его хеш-значению за короткое время.

Сценарий оказания криминальной услуги может быть следующим.
  • Создается глобальная сеть зараженных компьютеров.
  • Клиенты на соответствующих сайтах вводят названия компаний и оплачивают услуги злоумышленников.
  • Выделяются соответствующие сегменты бот-сети, размещенные в сетях компаний-жертв.
  • По команде компьютеры-зомби блокируют работу критичных серверов, внутренние каналы забиваются вредоносным трафиком, ИТ-инфраструктура перестает поддерживать бизнес-процессы, они останавливаются и компания теряет деньги. В какой ущерб обернется двухдневный простой крупного банка?
Таким образом, скорее всего, появится реальное информационное оружие, которое будет доступно также как сейчас бот-сети для проведения DDOS-атак.

К сожалению, финансовый кризис только ускорит процесс создания подобного оружия, так как, сейчас многие квалифицированные специалисты оказываются незанятыми, а подобная криминальная деятельность сулит сверхдоходы.

Чтобы противостоять подобной угрозе компаниям придется не только регулярно обновлять антивирусное ПО, но и придется внедрять эффективные процессы управления информационной безопасностью, которые смогут обеспечить постоянный и адекватный уровень защиты на техническом уровне.

Александр Дорофеев (c)

Интерес к хакерам и их технологиям

2009-06-30 07:59:00 (читать в оригинале)


Похоже, мир осознает важность защиты своих информационных ресурсов от атак хакеров и в Великобритании и США уже открыто создаются подразделения по борьбе с кибератаками (см. например http://inopress.ru/article/29Jun2009/guardian/cyber.html).

В России же пока можно увидеть возрастающий интерес к технологиям хакеров со стороны обычных граждан: абсолютное количество запросов "как стать хакером?" в период октябрь 2008 - май 2009 довольно сильно возросло, судя по статистике Яндекс.


















Сложно оценивать причину роста такого интереса, но можно предположить, что определенный вклад в него был привнесен желанием сотрудников насолить своему
работодателю, закручивающему гайки во время кризиса.

Интересно также, что может найти человек, решивший встать на путь хакера. Это прежде всего:
  • Руководства различной степени адекватности.
  • Сборники на компакт-дисках, содержащие программное обеспечение для взломщиков (стоимость ~ 1000 рублей)
  • Ссылки на печатные книги, наподобие “Как стать хакером: Интелектуальное руководство по хакингу и фрикингу.”
  • Предложения по взлому ящиков электронной почты и сайтов.
В общем, при желании, человек сможет найти то, что ему нужно для реализации своих замыслов, правда столкнется с людьми, желающими на его интересе заробатотать, продав ему бесплатные утилиты за 1000 рублей.


Александр Дорофеев (c)

Планы по обеспечению непрерывности бизнеса

2009-06-25 00:55:00 (читать в оригинале)


В своей заметке Обеспечение непрерывности бизнеса и восстановление после сбоев я рассказывал о практическом подходе к построению системы управления непрерывностью бизнеса и обещал отдельно написать о документах, разрабатываемых в ходе планирования.
Сначала опишу некоторые общие моменты планов, а затем перейду к специфике.

Общее для всех планов

В планах мы закрепляем принятые на этапе планирования решения относительно того, кто и что будет делать в ходе кризисной ситуации. Это делается для того, чтобы минимизировать временные потери в ходе восстановления.

Вспомните кадры событий 11-го сентября в башнях-близнецах в Нью-Йорке. Кто-то без лишней паники спускался к выходу, а кто-то ждал разрешения своего удаленного начальства. Мы тратим время на планирование для того, чтобы не тратить его на неразумные действия в ходе самой кризисной ситуации.

Также для нас очень важна скорость передачи информации. Для этого в планы включаются схемы оповещения и вся необходимая контактная информация. Практика показывает, что, лицо, принимающее ключевые решения, в момент кризиса, как правило, находится в отпуске или у дамы сердца. В таких случаях первоочередной становится поиск человека, знающего номер мобильного телефона этого менеджера.


Специфика

Политика обеспечения непрерывности бизнеса компании

Политика, как правило, отвечает на следующие простые вопросы:
  • Для чего BCP/DRP нужно компании?
  • На каких направлениях деятельности компании система управления непрерывностью бизнеса будет концентрироваться?
  • Как разграничены зоны ответственности по обеспечению непрерывности бизнеса?
  • Какими принципами компания будет руководствоваться в ходе построения системы управления непрерывностью бизнеса?
Общий план обеспечения непрерывности бизнеса и восстановления после сбоев

В плане описываются выбранные наиболее серьезные риски/сценарии (потеря офиса, потеря датацентра и т.д.) и стратегии восстановления (перенос процессов в другой офис, удаленная работа и т.д.). Описываются задачи команд восстановления и определяется их состав (команда оценки ситуации, административная команда, команда обеспечения физической безопасности и т.д.).

План действий антикризисного комитета

Данный план определяет действия высшего руководства компании. Как правило, план определяет новые зоны ответственности руководителей компании в ходе кризиса, так как в идеале развесистый орган исполнительной власти компании на время кризиса должен трансформироваться в небольшую оперативную группу управления.

План, как правило, отвечает на следующие вопросы:
  • Кто и как финансирует процесс восстановления?
  • Кто делает публичные заявления?
  • Кто контролирует ход работ по восстановлению?
  • Кто отвечает за взаимодействие с третьими сторонами?
  • Где будет работать антикризисный комитет в ходе кризиса (в случае, если офис не доступен)?
  • и т.д и т.д.

План PR-отдела по реагированию на кризис

План содержит описание специфичных действий PR-отдела, заранее подготовленные тексты сообщений, контактную информацию журналистов. Наверное, многие видели, как слаженно работают специалисты по связям с общественностью авиакомпаний в случае крушения авиалайнера: почти мгновенно появляются взвешенные заявления от руководства компании, начинает свою работу выделенный для несчастливого рейса сайт, на котором публикуется важная информация (имена пассажиров, новости и т.д.).

Заметил интересную деталь. В PR-планах, подготовленных западными специалистами, очень часто можно найти советы по ведению открытого диалога со СМИ. В российской практике подобная стратегия выбирается редко, а иногда используется даже постановка в основных СМИ “блока” на передаваемую информацию.

План HR-отдела по реагированию на кризис

Как правило, план содержит описание действий по реализации двух основных функций отдела кадров в ходе кризисной ситуации – оповещение сотрудников и их семей и взаимодействие со страховыми компаниями.

Планы обеспечения непрерывности деятельности бизнес-подразделений

Планы обеспечения непрерывности деятельности критичных бизнес-подразделений, как правило, содержат описание угроз, которые могут прервать бизнес-процессы и описание действий сотрудников в случае их реализации.

Большую ценность планов представляют альтернативные процедуры, позволяющие выполнять бизнес-процесс альтернативным способом. Например, сотрудники банковского колл-центра, отвечающие за блокировку карт, должны четко знать, как можно заблокировать карту через VISA, в случае недоступности внутренней банковской системы.

Важная роль в системе документации по обеспечению непрерывности бизнеса отведена и ИТ-планам, но о них я напишу в одной из следующих заметок.

Александр Дорофеев (c)


Страницы: 1 2 3 4 5 

 
BlogRider сегодня
Блограйдеров
14490
 
Блогов
219904
Самый-самый блог
Блогер ЖЖ все стерпит
ЖЖ все стерпит
по количеству голосов (152) в категории «Истории»
Изменения рейтинга
Категория «Телевидение»
Взлеты Топ 5
+127
 		129
 		Simple_Blogger
+104
 		122
 		Фрагменты
+28
 		126
 		Снимаем видео на фото и DSLR камеры
+5
 		6
 		Борис Немцов
+2
 		47
 		Доска объявлений
Падения Топ 5
-3
 		2
 		dmitrydibrov
-7
 		5
 		Любер
-13
 		24
 		Программа Грядка с Андреем Тумановым
-17
 		3
 		Я В БЛОГЕ
-36
 		4
 		Форум satwarez
Главные темы
Популярные за сутки

300ye 500ye all blog bts cake cardboard charm coat cosmetic currency disclaimer energy finance furniture house imperial important love lucky made money mood myfxbook poetry potatoes publish rules salad seo size trance video vumbilding wardrobe weal zulutrade агрегаторы блог блоги богатство браузерные валюта видео вумбилдинг выводом гаджеты главная дайджест денег деньги звёзды игр. игры императорский календарь картинка картон картошка клиентские косметика летящий любить любовь магия мебель мир настроение невероятный новости новость обзор онлайн партнерские партнерских пирожный программ программы публикация реальных рубрика рука сайт салат своми событий стих страница талисман тонкий удача фен финансы форекс цены цитата шкаф шуба шуй экспертиза юмор 2009


Загрузка...Загрузка...
Copyright © 2007–2024 BlogRider.Ru Главная  |  Новости  |  О проекте  |  Личный кабинет  |  Помощь  |  Контакты Дизайн — =Ex= Design Studio
BlogRider.ru не имеет отношения к публикуемым в записях блогов материалам. Все записи
взяты из открытых общедоступных источников и являются собственностью их авторов.