?

Log in

No account? Create an account
Еще подужу в старую дудку -- о политиках ИБ - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Еще подужу в старую дудку -- о политиках ИБ [Jan. 31st, 2011|04:23 pm]
ArkanoiD
[Tags|, , ]

Знаете, сколько я видел относительно больших организаций, практически нормой является то, что у технарей куда-нибудь пропущен свой аккуратный частный туннель "наружу", чтобы всякие корпоративные фильтры "не мешали". Я уже не говорю о случаях, когда у кого-то "из руководства" такие обходы появляются в приказном порядке. Что политика безопасности, конечно, должна быть, но "людям работать надо".

Иногда таких хаков существенно больше одного, как на техническом, так и на административном уровне. Типичный аргумент -- "у нас 100500 подразделений, а правила пишутся на всех и гибкими быть не могут".

Так вот, я настаиваю, что это все -- тотальный ебанизм. ОСНОВНОЙ критерий политики безопасности -- ВЫПОЛНИМОСТЬ, и выполнимость стопроцентная, без всяких там "на полшишечки можно" и "в ротик не считается". Всякая там уницифированность, кошерность и прочая -- на втором, третьем и десятом месте. Если без "хаков" хоть одна живая душа в организации не может "нормально работать" -- значит, ваша политика безопасности говно, а вы все пидарасы. Если есть "особые случаи" -- определите, зафиксируйте, заведите процесс.
linkReply

Comments:
Page 1 of 2
<<[1] [2] >>
[User Picture]From: kostigoff
2011-01-31 01:26 pm (UTC)
ISO 17799 ))
(Reply) (Thread)
[User Picture]From: sluggard
2011-01-31 01:28 pm (UTC)
+500!
(Reply) (Thread)
[User Picture]From: marinka_s
2011-01-31 01:37 pm (UTC)
можно работать без хаков, можно.
кто не умеет - сам себе злобный буратино, как грицца
(Reply) (Thread)
[User Picture]From: motto
2011-01-31 01:41 pm (UTC)
речь ни мальчика, но капитана!
(Reply) (Thread)
[User Picture]From: alexott
2011-01-31 05:29 pm (UTC)
за что ты травишь арканоида? :-)
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: motodenisio
2011-01-31 01:47 pm (UTC)
не очень понятно в чем посыл
в том что канал наружу есть ?
или втом что он не описан ?
(Reply) (Thread)
[User Picture]From: arkanoid
2011-01-31 01:52 pm (UTC)
В том, что он не описан. Если в нем есть потребность -- его нужно легализовать.
(Reply) (Parent) (Thread) (Expand)
From: terrakots
2011-01-31 01:52 pm (UTC)
Книга книг получится, если эти процессы описывать.
Вот простой случай, канонический. Какой пароль я должен сгенерить пользователю? Криптостойкий. Где обязан хранить этот пароль пользователь? В голове.
И вот пользователь смотрит на меня и говорит "я его не запомню, слышишь, давай другой попроще и быстрее, бухгалтерия стоит, работать надо".
Какими словами описать этот процесс? Это процесс вообще? И если подниму я в правой руке Документ по IT-безопасности, который каждый из них подписывал ("надо, так надо") и буду жечь неверных глаголом, вместо выдачи легкого пароля процесс как раз встанет.
С удовольствием послушаю универсальный рецепт, а то я что-то заколебался в похожие истории попадать, связанные с безопасностью.
(Reply) (Thread)
[User Picture]From: arkanoid
2011-01-31 01:58 pm (UTC)
YMMV. пароль должен быть запоминаемым. Напечатать на бумажке, бумажку обязать уничтожить позже (самая распространенная практика). За обнаружение подобной бумажки где-либо предусмотреть анальные кары. Если проблема постоянная, выдать токены для аутентификации. Все описывается, это как раз довольно-таки общий случай.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
[User Picture]From: dimas
2011-01-31 02:14 pm (UTC)
ну, в трех крайних местах где я работал, просто был документированный канал, который сразу давали программистам и прочим :) ибо если есть — ковырять не будут :)))
(Reply) (Thread)
From: vp
2011-01-31 02:15 pm (UTC)
Отличная тема.
Я вот давно не могу разрешить одни дилемму.
400 клиентов. Контора удаленно их по сети обслуживает. Каналы связи могут быть любыми. Обычно практикуется SSH. Как соблюсти более-менее секьюрность чтобы работники "не уносили домой ключи"? :)
Я никак не могу эту головоломку решить.
(Reply) (Thread)
[User Picture]From: alexkuklin
2011-01-31 02:23 pm (UTC)
клиентам класть ssh-ключи.
приватные ключи держать в ssh-agent в конторском сервере.
сотрудники должны ходить через конторский сервер.
ключи в ssh-agent добавляет уполномоченный сотрудник.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: vitaliy_larchen
2011-01-31 02:47 pm (UTC)
"пропущен свой аккуратный частный туннель "наружу" - это даа-а-а шоб заболел и с кровати рулить. Есть такое и в таких организациях што ого-го :-) А вообще, Арк, за что волнуешься-то? За отчизну? Так не надо. Это сугубо их проблемы, тех кто туннель аккурантый организовал. Пока гром не грянет, начальник отдела ИТ будет греть кресло. :-)
(Reply) (Thread)
[User Picture]From: potan
2011-01-31 02:51 pm (UTC)

Работать надо.

На старой работе вдруг начали жестко бороться с трафиком. А наша группа разрабатывала видеоконтроллер и искала материалы (описания, требования) для сравнения. У нас был забанен не только analog.com, но и все урлы со словом video. После пятой жалобы руководителя группы высшее руководство сказало "открыть все нафиг".
(Reply) (Thread)
[User Picture]From: vit_r
2011-01-31 03:06 pm (UTC)
При таком подходе надо всё ИТ нафиг выкидывать.
(Reply) (Thread)
[User Picture]From: arkanoid
2011-01-31 03:52 pm (UTC)
При каком и почему?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: enternet
2011-01-31 03:11 pm (UTC)
Помнится, лет 5 назад, мой коллега, к которого начальство (стукнула моча в голову) зарезало ICQ, вместо просьб открыть доступ, просто воткнул в телефон дата-кабель и настроил рутинг. Даже по тем временам трафик обходился в копейки.

В текущих реалиях широкий канал есть у каждого.
(Reply) (Thread)
From: bam_77
2011-01-31 03:18 pm (UTC)
DLP решает
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
(Deleted comment)
(Deleted comment)
[User Picture]From: fat_designer
2011-01-31 03:28 pm (UTC)
Думается мне, что часто под названием политики ИБ проводится происходит что-то вроде «показать сотрудникам, какой властью я обладаю»
(Reply) (Thread)
[User Picture]From: humpty_dumpty
2011-01-31 03:51 pm (UTC)
Ой таки как будто в СР кого-то интересует реальная ИБ, а не "больше бумаги чище жопа". Я тебя умоляю смешно такое читать.
(Reply) (Thread)
[User Picture]From: quallian_leion
2011-01-31 04:37 pm (UTC)
Интересно б узнать какие бывали случаи крупного ущерба в связи с дырками в ИБ...

Такая информация вообще бывает в свободном доступе?
(Reply) (Parent) (Thread) (Expand)
Page 1 of 2
<<[1] [2] >>