Вне практик.
Принципы противодействия внутренним нарушителям:
-
Стейкхолдеры:
-
Отдел кадров
-
Юридический отдел
-
Отдел физической защиты
-
Владельцы данных
-
IT и ИБ
-
Отдел разработки
Ключевые моменты:
-
Сговор с аутсайдерами;
-
Бизнес-партнёры;
-
Моменты слияния и поглощения;
-
Культурные различия: восприятие контекста, хроническая культура.
Опр. Стейкхолдер — физическое лицо или организация, имеющая права, долю, требования или интересы относительно системы или её свойств, удовлетворяющих их потребностям и ожиданиям
Социальная инженерия:
-
Пассивная:
-
Мусор;
-
Технический канал;
-
Поиск в открытых источниках.
Активная:
-
Онлайн:
-
вредонос;
-
фишинг;
-
обратная социальная инженерия;
-
прицельная социальная инженерия;
-
-
Оффлайн:
-
обратная социальная инженерия;
-
прицельная социальная инженерия;
-
вброс съемного носителя;
-
Практика 1. Организационная документация ИБ и ПВУ: разработка и обеспечение исполнения.
Рассматривать угрозы ИБ исходящие от инсайдеров и бизнес партнёров в рамках общей оценки рисков организации.
-
Большая сложная табличка.
Практика 2. Организационная документация ИБ и ПВУ: разработка и обеспечение исполнения.
Необходимо добиваться исполнения правил и мер защиты.
Опр. Стратегия обеспечения ИБ (закрытый документ) — самый высокоуровневый документ, определяющий:
-
Цели ИБ;
-
Основные пути развития;
-
Механизмы оценки;
-
Политика (частная политика).
Опр. Политика обеспечения ИБ (все сотрудники организации обязаны быть ознакомлены, влияет на всех) — документ, определяющий:
-
Частную политику ИБ;
-
Регламент.
Виды деятельности:
Стратегическая (Plan) → Тактическая (Do, Check) → Операционная (Act).
Plan → Do → Check → Act → Plan → …
Опр. Болевые точки организации — моменты, когда можеь быть нарушена ИБ.
Возможные болевые точки:
-
Повышение/понижение;
-
Изменение полномочий:;
-
Слияние, поглощение.
Практика 3. Обучение сотрудников ИБ в части ПВУ.
Включить ознакомление с внутренними угрозами в периодическое обучение.
Пример: Программа поддержки персонала.
Сотрудники должны понимать, что информация есть собственность компании. Необходимо объяснить им принципы ИБ, а также проводить данные программы регулярно через определенное количество времени.
Практика 4. Выявление потенциальных внутренних нарушителей на этапе найма.
Начиная со времени найма сотрудника, необходимо реагировать на подозрительное и разрушительное его поведение.
Важные пункты перед наймом:
-
Справка об уголовной ответственности (из УДО);
-
Справка из наркодиспансера;
-
Справка от психолога;
-
Профессиональные качества (годен ли нанимаемый для должности);
-
Кредитная история;
-
Образование;
-
Рекомендательное письмо.
Практика 5. Управление негативными ситуациями в рабочей среде. Болевые точки орг.изменений.
-
Допустимое поведение на работе;
-
Дресс-код;
-
Допустимое использование ресурсов на работе;
-
Развитие карьеры;
-
Программа поддержки персонала.
Трудности:
-
Сложно предсказать финансовые условия;
-
Связь между руководством и подчиненными.
Практика 6. Знайте свои активы.
Активы:
-
финансы;
-
информация;
-
инфраструктура;
-
сотрудники;
-
процессы и функции;
Процесс управления конфигурацией и активами:
-
Конфигурационная единица (Configuration Item):
-
процессы;
-
люди;
-
софт;
-
помещение;
-
оборудование;
-
сервисы.
-
Актив (Asset):
-
бухгалтерия.
Конфигурационная база данных (CMDB):
-
инвентаризация (ручная или программная);
-
определение порога детальности для инвентаризации;
-
процесс управления уязвимостями;
-
повторная инвентаризация.
При повторной инвентаризации можем найти “дырки” злоумышленника.
Системная инженерия:
-
Социальная инженерия;
-
Утечка информации в интернет;
-
Халатность;
-
Потеря съемного носителя.
Практика 7. Внедрение практики сильных паролей и управления учетными записями.
Сильный пароль:
-
Длина от 10 символов;
-
Не использовать конкретные слова;
-
Большой алфавит (регистр, цифры, спецсиволы);
-
Не выдавать (палить) пароли;
-
Разделять личные и промышленные пароли;
-
Обновлять пароли время от времени.\
Учетные записи (по полномочиям):
-
Обычный пользователь;
-
Привилегированный пользователь.
Система разграничения доступа:
-
Дискретная (UID);
-
Групповая (UID, GID);
-
Ролевая;
-
Мандатная (метки доступа):
-
классическая;
-
модель Белла-ЛаПадулы.
Опр. Роль — совокупность полномочий для выполнения производственных функций.
Опр. Тайна — режим доступа к информации.
Классификация информации: