Еще подужу в старую дудку -- о политиках ИБ

[arkenoi]

Знаете, сколько я видел относительно больших организаций, практически нормой является то, что у технарей куда-нибудь пропущен свой аккуратный частный туннель "наружу", чтобы всякие корпоративные фильтры "не мешали". Я уже не говорю о случаях, когда у кого-то "из руководства" такие обходы появляются в приказном порядке. Что политика безопасности, конечно, должна быть, но "людям работать надо".

Иногда таких хаков существенно больше одного, как на техническом, так и на административном уровне. Типичный аргумент -- "у нас 100500 подразделений, а правила пишутся на всех и гибкими быть не могут".

Так вот, я настаиваю, что это все -- тотальный ебанизм. ОСНОВНОЙ критерий политики безопасности -- ВЫПОЛНИМОСТЬ, и выполнимость стопроцентная, без всяких там "на полшишечки можно" и "в ротик не считается". Всякая там уницифированность, кошерность и прочая -- на втором, третьем и десятом месте. Если без "хаков" хоть одна живая душа в организации не может "нормально работать" -- значит, ваша политика безопасности говно, а вы все пидарасы. Если есть "особые случаи" -- определите, зафиксируйте, заведите процесс.

Comments

[kostigoff.livejournal.com]

ISO 17799 ))

[sluggard.livejournal.com]

+500!

[marinka-s.livejournal.com]

можно работать без хаков, можно.
кто не умеет - сам себе злобный буратино, как грицца

[motto.livejournal.com]

речь ни мальчика, но капитана!

[alexott.livejournal.com]

за что ты травишь арканоида? :-)

[motodenisio.livejournal.com]

не очень понятно в чем посыл
в том что канал наружу есть ?
или втом что он не описан ?

[arkanoid.livejournal.com]

В том, что он не описан. Если в нем есть потребность -- его нужно легализовать.

[terrakots.livejournal.com]

Книга книг получится, если эти процессы описывать.
Вот простой случай, канонический. Какой пароль я должен сгенерить пользователю? Криптостойкий. Где обязан хранить этот пароль пользователь? В голове.
И вот пользователь смотрит на меня и говорит "я его не запомню, слышишь, давай другой попроще и быстрее, бухгалтерия стоит, работать надо".
Какими словами описать этот процесс? Это процесс вообще? И если подниму я в правой руке Документ по IT-безопасности, который каждый из них подписывал ("надо, так надо") и буду жечь неверных глаголом, вместо выдачи легкого пароля процесс как раз встанет.
С удовольствием послушаю универсальный рецепт, а то я что-то заколебался в похожие истории попадать, связанные с безопасностью.

[arkanoid.livejournal.com]

YMMV. пароль должен быть запоминаемым. Напечатать на бумажке, бумажку обязать уничтожить позже (самая распространенная практика). За обнаружение подобной бумажки где-либо предусмотреть анальные кары. Если проблема постоянная, выдать токены для аутентификации. Все описывается, это как раз довольно-таки общий случай.

+100

[dinozavr.livejournal.com]

http://dinozavr.livejournal.com/2085666.html

Не грызу дырки и не советую коллегам. Лучше претерпеть некоторые личные неудобства.

[dimas.livejournal.com]

ну, в трех крайних местах где я работал, просто был документированный канал, который сразу давали программистам и прочим :) ибо если есть — ковырять не будут :)))

[vp.livejournal.com]

Отличная тема.
Я вот давно не могу разрешить одни дилемму.
400 клиентов. Контора удаленно их по сети обслуживает. Каналы связи могут быть любыми. Обычно практикуется SSH. Как соблюсти более-менее секьюрность чтобы работники "не уносили домой ключи"? :)
Я никак не могу эту головоломку решить.

[alexkuklin.livejournal.com]

клиентам класть ssh-ключи.
приватные ключи держать в ssh-agent в конторском сервере.
сотрудники должны ходить через конторский сервер.
ключи в ssh-agent добавляет уполномоченный сотрудник.

[vitaliy-larchen.livejournal.com]

"пропущен свой аккуратный частный туннель "наружу" - это даа-а-а шоб заболел и с кровати рулить. Есть такое и в таких организациях што ого-го :-) А вообще, Арк, за что волнуешься-то? За отчизну? Так не надо. Это сугубо их проблемы, тех кто туннель аккурантый организовал. Пока гром не грянет, начальник отдела ИТ будет греть кресло. :-)

Работать надо.

[potan.livejournal.com]

На старой работе вдруг начали жестко бороться с трафиком. А наша группа разрабатывала видеоконтроллер и искала материалы (описания, требования) для сравнения. У нас был забанен не только analog.com (http://potan.livejournal.com/134467.html), но и все урлы со словом video. После пятой жалобы руководителя группы высшее руководство сказало "открыть все нафиг".

[vit-r.livejournal.com]

При таком подходе надо всё ИТ нафиг выкидывать.

[arkanoid.livejournal.com]

При каком и почему?

[enternet.livejournal.com]

Помнится, лет 5 назад, мой коллега, к которого начальство (стукнула моча в голову) зарезало ICQ, вместо просьб открыть доступ, просто воткнул в телефон дата-кабель и настроил рутинг. Даже по тем временам трафик обходился в копейки.

В текущих реалиях широкий канал есть у каждого.

[bam-77.livejournal.com]

DLP решает

[fat-designer.livejournal.com]

Думается мне, что часто под названием политики ИБ проводится происходит что-то вроде «показать сотрудникам, какой властью я обладаю»

[humpty-dumpty.livejournal.com]

Ой таки как будто в СР кого-то интересует реальная ИБ, а не "больше бумаги чище жопа". Я тебя умоляю смешно такое читать.

[quallian-leion.livejournal.com]

Интересно б узнать какие бывали случаи крупного ущерба в связи с дырками в ИБ...

Такая информация вообще бывает в свободном доступе?

[gamajun.livejournal.com]

Первый камент чётко и по делу - в ISO 17799 про это всё прямым текстом говорится :-)

[arkanoid.livejournal.com]

Да я в курсе, толку-то. В стандартах, как ни странно, вообще в основном довольно разумные вещи написаны.

[spirtnoff.livejournal.com]

+1 истино так!

[toxa.livejournal.com]

Я, конечно, понимаю, что мой комментарий потонет в потоке мудрецов. Поэтому скромно напомню, что в любой "относительно большой организаци" ИБ, к сожалению, рождается не в одно время с рождением организации, а мучительно появляется через N лет, когда бизнес уже разросся.

И людям из ИБ в таком случае приходится заниматься снижением рисков бизнеса, а не всякой хуйней вроде фиксации 100500 процессов, которые никак серьезно на бизнес не влияют. Когда рядом ждут налаживания 10005000 процессов, которые влияют.

Я даже не буду комментировать про какой-то критерий политики безопасности, потому что ни одна адекватная политика безопасности никакие хаки и туннели не упоминает. А если упоминает, что эта политика - говно, писанное пидарасом.

Напрашивается очевидный вопрос "список организаций, в которых ты привел политику ИБ в порядок, в студию", но спрашивать не буду, так как ответ знаю.

[alexkuklin.livejournal.com]

О да.
Долгий и мучительный процесс затыкания зияющих дыр, сопровождаемый войнами "за асечку" и за право зам.зам.зам.директора иметь на машине рутовыеадминские права и не иметь там учетки доменного админа за счет отказа от введения в домен и все такое.
Процесс занимает бесконечное время, примерно как расследование бесконечных злодеяний Кощея бессмертного.

[egorfine.livejournal.com]

"определите, зафиксируйте, заведите процесс"

и ведь это же так просто, епта.

[andyw.livejournal.com]

ark, не читал комментариев, возможно уже кто-то это высказал, но то же самое можно сказать и о законах и он химерическом "правовом государстве".

[trustix.livejournal.com]

где бы еще найти толкового спеца, который бы смог политику создать и осуществить ее выполнения. такое впечатление, что таких людей единицы :(
если есть кто то из знакомых, кто способен такими вещами заниматься в Москве - на всю жизнь благодарен буду

[arkanoid.livejournal.com]

Ну я занимаюсь консалтингом, в частности, в этом направлении. Можно обсудить, почтовый адрес есть в профайле. А масштаб какой?

[eorkzayb.livejournal.com]

Моща, не знал.... Ух.... )))

Про канал

[kolemik.livejournal.com]

Слушай, а как ты предлагаешь ssh-туннель "легализовывать"? Предъявлять требования безопасности к тому хосту, куда туннель? Так ведь он чей-то личный и проверить это низя... Техническая сторона вопроса не ясна.

Re: Про канал

[arkanoid.livejournal.com]

А зачем нужен ssh-туннель?

[anpaza.livejournal.com]

Венда говно, приходится иногда временно на пол-шишечки приоткрывать, чтобы ёбаный виндовс апдейт мог просраться. Спрашивать логин/пароль эта хуита категорически не умеет.

[arkanoid.livejournal.com]

Виндовс апдейт должен через домен раздаваться.