Лаборатория информационной безопасности

Зачем Сноуден приехал в Россию или что знают российские спецслужбы

Рейтинг:   / 3

В последнее время у рядовых граждан (и не только) всё чаще возникает вопрос о соблюдении их гражданских прав и свобод, которые вроде бы как должна гарантировать им Конституция. В свете недавних событий, связанных с небезызвестным именем Эдварда Сноудена, данные вопросы ставятся чуть более, чем остро. Впрочем, происходящие события касаются далёких США, и во многих из нас тлеет надежда, что в нашей-то стране всё безоблачно и честно: строго соблюдается  закон «Об оперативно-разыскной деятельности», закон «О ФСБ», «О полиции», Конституция, наконец. В это хотелось бы верить. Но как же обстоят дела на самом деле? Чем отличается ФСБ и СВР от АНБ и ЦРУ? Почему вообще Сноуден приехал именно в Россию? Вопросов много, а ответов меньше, чем хотелось бы. Попробуем разобраться.

Начнём с истории. В далёком 1996-ом году, когда телефонная связь в России только начала завоёвывать популярность граждан, доблестные правоохранители решили, что неплохо бы ввести контроль за разговорами граждан, ведь там иногда можно услышать много интересного. Так появилась система прослушивания телефонных разговоров СОРМ-1. Цель, конечно, была благая – борьба с преступными элементами, коих в 90-ые, как известно, было немало.  Ввели соответствующие поправки в закон «О связи» и "Об оперативно-разыскной деятельности": обязали всех операторов связи устанавливать соответствующее оборудование за свой счёт (необходимое условие получения лицензии), поддерживать его и хранить/предоставлять информацию по первому зову от человека в форме и с бумажкой (судебной; впрочем, бумажка, как потом выяснилось, в этом алгоритме совсем не обязательна). Впоследствии, те же правила распространились и на операторов сотовой связи.

Подробнее: Зачем Сноуден приехал в Россию или что знают российские спецслужбы

Бумажная безопасность vs Практическая безопасность

Рейтинг:   / 3

Специфика развития современного мира информационной безопасности такова, что для рассмотрения целостной картины ИБ (в особенности говоря о безопасности бизнеса, как об основной цели ИБ) невозможно без выделения двух важных и неотъемлемых составляющих: бумажной безопасности и практической - две противоположные стороны всего мира информационной безопасности, два подхода со своими плюсами и минусами, со своим мировоззрением: бумажники и практики - теоретики и техники. В чём же разница между ними, какую точку зрения принять и какая сторона правильнее? Попробуем разобраться.

Бумажная безопасность – это в первую очередь безопасность, которая пытается защитить информацию на основе стандартов, то есть берёт ФСТЭК-овский / ФСБ-шный / ГОСТ-ый / ISO-шный документ и начинает его исполнять. Сюда же относится организационная безопасность предприятия и стратегический (не технический) подход в решении проблем, учитывающий психологию людей и структуру (в т.ч. финансовую) организации. Практическая безопасность – это, к примеру, та, которая патчит всё подряд: что увидел, то запатчил; что опасно, на то цепляем логирование, антивирусы, "огненные стены" и прочие радости жизни админа, т.е. все проблемы ИБ она решает исключительно техническими мерами. Кто важнее и какой подход правильнее, как влияет на бизнес современная мировая кибербезопасность, что об этом говорят мировые best practice? Разговор нам предстоит долгий...

Подробнее: Бумажная безопасность vs Практическая безопасность

Защита информации от утечек или снова о коммерческой тайне и бизнесе

Рейтинг:   / 2

Сотрудникам практически любой современной коммерческой организации в силу исполнения ими служебных обязанностей часто требуется работать с коммерческой тайной или – говоря проще – информацией ограниченного доступа. К такой информации часто относят know-how, бизнес-процессы компании, технологические схемы, персональные данные сотрудников (включая данные о зарплатах), клиентские базы, патенты и многое-многое другое. При этом у сотрудников обычно есть доступ в Интернет по основным протоколам прикладного уровня. Соответственно, они могут с лёгкостью превратиться в инсайдера и толкнуть любой секрет компании « налево» и никакие традиционные СЗИ тут не помогут, а ценность информации - значит, и число инсайдеров - в современном мире с каждым годом всё растёт и растёт. Коммерческая тайна сегодня - неотъемлемый элемент информационной безопасности предприятия.

Как же в таких условиях защищать коммерческую тайну, как предприятию обезопасить свой бизнес от утечек с учётом рентабельности принимаемых мер, от чего вообще стоит защищаться и что считать КТ? Рассмотрим все эти вопросы подробнее.

Подробнее: Защита информации от утечек или снова о коммерческой тайне и бизнесе

Платим за взлом или как найти лучшего специалиста по информационной безопасности

Рейтинг:   / 1

Одна из тенденций современного мира IT направлена на всеобщее повышение интеллекта трудящихся в этой сфере людей: уже давно нет людей, которые ещё в начале, середине и даже конце 90-ых назывались словами типа "крутой программист" или "супер IT-шник": "универсальные программисты" начали вымирать с наступлением 21-го века и с тех пор практически исчезли с лица Земли: сейчас есть только java-девелоперы, C#-разработчики, админы UNIX, DBA и прочие буквенные сочетания из постоянно расширяющегося списка IT-профессий. Те же тенденции наблюдаются и в сфере информационной безопасности. Найти специалиста, который бы мог без труда находить ошибки buffer overflow в 10-модульной Си-шной программе и одновременно - улаживать любые проблемы с проверяющими из ФСТЭК в части 152-ФЗ, - это что-то из разряда произведений Джона Толкина. Даже универсальных технических специалистов, которые бы знали особенности и проблемы любой современной технологии найти почти нереально. Тогда как развитие IT-технологий и их повсеместное внедрение в критически важные сферы жизни ставит всё новые и более жёсткие требования к уровню их безопасности. Сталкиваясь со всеми этими бедами, современный европейский бизнес начинает искать новые способы защиты своих ИС. И находит их в так называемых Vulnerability reward program или, как их ещё называют, Bugs Bounty program - программах поощрения поиска уязвимостей (VRP-программах), представляющих собой революционный шаг в защите от уязвимостей в ПО.

Что же это за изобретение такое, как оно помогает защитить бизнес и стоит ли его внедрять? Рассмотрим вопрос подробнее...

Подробнее: Платим за взлом или как найти лучшего специалиста по информационной безопасности

Программа поощрения поиска уязвимостей

Рейтинг:   / 2

В одной из предыдущих статей - Плата за взлом или как найти лучшего специалиста по информационной безопасности - были рассмотрены так называемые VRP-программы - программы поощрения поиска уязвимостей - программы, представляющие собой не только метод защиты производимого или используемого программного обеспечения от уязвимостей, но и способ превратить врагов IT-бизнеса в друзей, приносящих доход. Рассмотрим пример одной из таких VRP-программ, дающей один из лучших ответов по вопросу защиты информационной системы  от всевозможных уязвимостей. Описанная ниже программа разработана лично мной и является авторской. Просьба использовать её в своих целях только с согласования со мной (кто заинтересуется, контакты в разделе Об авторе). :)

Описание концепции программы

            Главная цель программы поощрений поиска уязвимостей (VRP) состоит в повышении безопасности сервиса <...>. Программа направлена на поощрение инициативы и деятельности независимых исследователей (как внешних пользователей и клиентов сервиса, так и сотрудников компании) по нахождению любого рода уязвимостей и слабых мест в программном обеспечении компании и сервисе <...>, в частности. В рамках данной программы участникам, обнаружившим ту или иную уязвимость / слабое место в системе защиты предоставляется денежное вознаграждение. Кроме того, меняется существующая система выплаты премий разработчикам и тестировщикам ПО Компании.

Подробнее: Программа поощрения поиска уязвимостей