Немного про экономическую безопасность (непонятная для меня тенденция).

Друзья, добрый вечер!

Зачастую в тех организациях, в которых отсутствует отдельная служба ИБ, данную функцию несет один или пара сотрудников (сотрудник), который относится к службе экономической безопасности.
Как обычно понимание задач ИБ у представителей данной службы весьма специфично.
Например, проверять и собирать сведения о контрагентах, соискателях, должниках и пр. должен именно специалист по ИБ: ведь это сбор информации, который влечет к усилению какой-то функции безопасности, а значит (играя словами) информационная безопасность. Но здесь я совсем о другом.
В последнее время публикуется много статей о том, как же проверить контрагентов, физические лица и прочее при помощи открытых источников. Некоторые представители уходят дальше и говорят, что при помощи тех же открытых данных они узнают и адрес, и телефон, и ФИО, и сведения об имуществе, об автомобиле и так далее.

Какое у Вас к этому отношение?

Я сам на практических занятиях рассказываю студентам о практических алгоритмах проверки контрагентов и физических лиц, пытаюсь до них донести, что в Интернете довольно много открытой информации и даже данные источники помогут отмести сомнительных партнеров (если хотите, здесь можем обсудить эти моменты).
Кстати вторым этапом я показываю студентам, что открытые источники это прекрасно, но лучше купить какую-то систему, которая позволит сэкономить время (особенно когда объектов проверки много и Вы выполняете работу не ради работы, а ради результата).

Итак, что меня всегда удивляет в выступлениях, советах, статьях и пр. в подобных материалах:

1) Серьезные люди объясняют другим серьезным людям, что информацию можно найти в открытых источниках, некоторые используют скудный набор федеральных официальных ресурсов, но скажите зачем? Почему Вы сразу не посоветуете купить систему, которая коррелирует эти данные, тем более Вы советуете использовать только федеральные официальные ресурсы?

2) Второй момент по построению логических линий. Вот авторы советуют обращаться к сайтам ФНС (выписка ЕГРЮЛ, адреса массовой регистрации, дискалифицированные лица), ФССП (приставы), список недобросовестных поставщиков, арбитражный суд, кто более продвинут говорит о системе ГАС РФ, узнать владельца домена, а потом...потом автор пишет: также есть такие системы как СПАРК, Интегрум, Контур-Фокус и так далее.
Если говорить о бесплатных ресурсах (пункт 1), то зачем же говорить о платных, которые данные из вышеописанных систем собирают автоматически?

3) Момент следующий, но это тот момент, который я больше всего не понимаю. Автор пошел по пункту 1, пошел по пункту 2, а далее говорит, да я вообще могу узнать все о человеке из открытых источников, ведь в "сети" валяется куча кем-то "залитых" реальных баз.

Я не поленился, внимательно изучил материалы данного автора.
Пугает обоснование правомерности использования подобных источников - логика автора потрясает - раз их кто-то выложил и "лавочку не прикрыли", то данные источники открыты и правомерны.
Меня, например, сразу интересует вопрос, а публиковать статьи с подобными ссылками уже нарушение закона и РКН может им заняться?
Ну и, конечно, было интересно узнать, а правда ли базы по данным ссылкам настолько полны?Один сайт оказался уже заблокирован, второй тоже, в третьем я пытался найти знакомых, о которых имею достоверные данные, но запросы не удовлетворялись.

Хотелось бы узнать Ваше к этому отношение.

Об утверждении профессионального стандарта специалиста по информационной безопасности (про старое).

Посмотрел сегодня, что же я вообще писал на данном ресурсе.
Увидел тему, про то, каким же должен быть специалист по ИБ и вспомнил о данном стандарте.
Как я понял, никто его так и не принял.
О данном стандарте, безусловно, уже велись споры, рассуждения и так далее.

Пользуясь случаем, так как данный документ, хранился на диске, то нашел время пробежаться:
1) техник по защите информации, старший техник возможно при наличие среднего профессионального образования и повышения квалификации.
2) очень много слов про аттестацию, как будто, мы вернулись к тому, что информационная безопасность выливается в аттестацию (возможно я не справедлив).
3) хотелось бы в данном стандарте увидеть (мое личное мнение) специалиста по защите информации, но, который бы больше уходил бы в мир видеонаблюдения, СКУДа, да, даже мира заборов и рамок металлодетекторов и так далее. Почему? Да даже если Вы возьмете требования по безопасности ТЭК (ФЗ 256, ПП 458), то Вы не найдете конкретных требований, кроме статьи№11, зато найдете требования к видео, охране, "скуду", высоте забора, глубине противоподкопов и так далее.
4) Из пункта 3 плавно перетекаем к вопросу пункту 4. А может быть нужен отдельные специалист по безопасности АСУ ТП?
Есть еще пару мыслей по специализации, которая стала особенно актуальна последний год, но пока промолчу:)

Про банальное, но необходимое (антивирусная защита).

Исходя из того, что мелочей не бывает, все чаще задумываюсь над "выжиманием" до конца всех возможных систем, даже казалось таких, о которых уже мало кто вспоминает (купили, поставили, забыли) - подсистема антивирусной защиты.

Я не говорю о таких банальных вещах, как например, обновление через сервер обновлений, установка защиты на удаление, отключение "авторана" при помощи антивирусного клиента и так далее.

Всегда стремлюсь к тому, чтобы было "рабочее" положение подсистемы антивирусной защиты.

Но самое главное, а как анализировать информацию?

Нет я не про то, что Вы себе вывели информацию о тех вирусах, которые не смогли быть удалены и прочесть о них в отчете через месяц, а я об анализе всех "сработок" Вашей системы.

В настоящий момент я вижу анализ подсистемы антивирусной системы так:

1) Просмотр всех "сработок" (причем и подозрение на вредоносное ПО и анализ сетевой активности).

2) Изучать каждую "сработку".

3) Выявить источники угроз, изучить описание вредоносного ПО.

4) Разобраться в причине частых "сработок" на конкретной машине.

Какие возможные плюсы от такого анализа?

1) Изучение и знание собственной сети и собственных сотрудников (кто-то качает "кряки" для игр, кто-то посещает непонятные страницы, кто-то балуется сканированием сети и так далее).

2) "Работа в массы" - если Вы позвоните сотруднику и сообщите, что ему надо быть осторожным, так как на его "флешке" был вирус, (который он  скорее всего "принес" из дома) то, думаю, его посетят какие-то мысли, что "служба" бдит.

3) Преждевременное реагирование на возможные нарушения, профилактика незамеченных мелких нарушений.

Про невидимый Интернет.

Невидимый интернет (invisible web), он же "глубокий веб", он же "темный интернет" и так далее.
Когда мы что-либо ищем в Интернете, то используем "поисковики" (кто-то умеет искать хуже, кто-то лучше), но радуемся мы только тому, что поисковик способен проиндексировать и показать нам.


Так почему поисковик не выдаст нам информацию?

1) Сайт специально не проиндексирован в поисковиках, не имеет ссылок с других сайтов и так далее.
2) Техническая ограниченность поисковых систем (необходимость регистрации, неподдерживаемый формат и так далее).

В отдельную тему при фразе невидимый интернет, следует указать и специальные сети, которые создаются (например, I2P).

А вспомнил я об этой теме, так как в одном из торгов увидел требования к возможность поиска в невидимом интернете.

В связи с данными критериями интересный вопрос, например, сайт ФССП (судебные приставы), обычный поисковый механизм не выдаст информацию о должнике, Вам необходимо будет зайти на сайт, войти в информационную систему и "вбить" свой запрос.
Данная информация также будет считаться, взятой из невидимого Интернета?

Основной вопрос, а как же искать в, так называемом, невидимом интернете?
Ответ таков, что должен быть более совершенный поисковый механизм, как в случае с ФССП, способный проходить элементарную проверку (капча) для поиска всей информации по запросу. Хотя такие программы (с заявленными возможностями) по поиску в невидимом интернете продаются.
Поэтому на данном этапе специалист, который собирает и анализирует информацию, в цене.

Контроль касс налоговыми службами.

Премьер-министр РФ Дмитрий Медведев инициировал проведение эксперимента, предполагающего внедрение в кассовые аппараты магазинов online-передатчиков, которые будут пересылать информацию о покупках напрямую в Федеральную налоговую службу. Эксперимент пройдет с 1 августа 2014 по 1 февраля 2015 года в Москве, Московской и Калужской областях, а также в Татарстане. Полученные результаты должны быть обработаны до 10 марта следующего года.
В связи с этим вопрос...а будет ли контроль частных лиц, которые расплачиваются картами? Будут ли системы списков, на которые будут настроены "алерты"?

Взаимоотношения Кубы и нашей Руси Матушки по информационной безопасности.

Интересное распоряжение нашел на официальном портале.

Мнение о DLP-системах.

Некоторые мысли о DLP:

Забавные мысли (про наличие лицензии):

Многие производители сертифицируют (сертификат ФСТЭК разумеется) свои продукты.

Сертифицируют, версию 3.0 например, а продают 4.0 и так далее.

Понятно, что это маркетинговый ход и элемент конкурентоспособности, но еще более меня забавляет факт, что многие еще и говорят, что это средство защиты персональных данных.

То есть, закон №152 признан защищать свободы граждан (конституция РФ), DLP система, которая эти свободы в явном виде принижает (хоть какие согласия Вы возьмете), пытается претендовать на системы защиты персональных данных.

Некоторые основные выводы, которые оформились для меня:

1.     Пора уже вводить внутреннюю классификацию DLP даже при продажах. Мне вот, например, интереснее системы контроля сотрудников и расследования инцидентов.

Функции блокировки по каким-либо протоколам меня не интересует.

Объясню: не видел ни одну организацию, где бы четко знали, что блокировать, где были бы разработаны политики, критерии отбора...

Да, пусть у вас будет перечень КИ, Вы все равно не узнаете относится ли данный эксель файл к КИ или нет.

Для четких политик нужно пыхтеть года два и толковым людям...

А каковы реалии современных организаций? Один, два человека, которые отвечают за все…

Вывод: в этом плане логичнее выстраивать систему расследования инцидентов (безусловно, политики нужно будет разрабатывать и здесь и четко понимать для чего Вам это), но по крайней мере Вы не будете тормозить работу своими блокировками и попытками обмануть сами себя.

Наперерез здесь обычно говорят. Что-то типа, а вот информация уйдет и вы это априори узнаете постфактум, а при помощи блокировки предотвратите заранее. Повторюсь, вряд ли Вы сможете настроить блокировку столь идеально это раз, если Вы и знаете конкретно что, то вопрос, а нужно ли было для этого DLP, у Вас в организации сплошь все неумехи, которые по незнанию могут выслать важный файл или инсайдеры?

2    Момент обслуживания.
      Выбранная DLP-системы должна быть такова, чтобы далее Вы могли разворачивать, обслуживать, решать проблемы с ней самостоятельно. Причем, под самостоятельно я подразумеваю – силами Заказчика без обращения в службу ИТ!

То есть если интерфейс настолько сложен, да еще и для функционирования нужна ось линукс, то это, на мой взгляд, сомнительное удовольствие.

А DLP система, которая может использовать бесплатную СУБД уже в лидерах по сравнению с той, для которой нужно только SQL или Oracle.

Вывод: Цель такова, чтобы инструмент данный был именно в руках службы ИБ или специалиста по ИБ и чтобы расходы на дальнейшее использование были минимальны.
И маленький подтекст - если уж организация решила, что им позарез нужна DLP-система, то выбирайте не самую дорогую систему и считайте стоимость владения и доп расходы, хотя бы на три года вперед.

3    Момент допрасходов (о нем я уже писал, но повторюсь).  
      Как Вы понимаете для Вашей DLP нужна будет СУБД.

Узнайте, какие СУБД нужны, куплены ли они у Вас, использует ли система бесплатные аналоги. Конечно, мелочь, но приятно.

Сколько будет стоить обновление Вашего ПО (или аналог обновления). Мб Вы сэкономите при покупке миллион рублей, а потом в первый же год обновление Вам обойдется в сумму, равное сумме первоначального закупа.

Такой же совет по техподдержки (то есть чем больше Вы возьмете на себя, тем лучше).

4    Момент лицензии ФСТЭК.

Это уж на Ваш выбор. ПО большому счету будет ли у Вас система Ваша DLP обеспечивать гласную защиту? И о данном пункте – указано в начале поста.

5    Мелкий момент (совет). Между выбором реализации по порту зеркалирования или при помощи агентов – выбирайте при помощи агентов.

И, конечно, с возможностью OCR.

      Ну и не в качестве рекламы никакой (основные моменты).
      Как-то на листок выписывал себе DLP-системы - где-то 30 штук получилось. Некоторые из них посмотрел - необходима доработка.
      Инфовотч - не понимаю столь высокую стоимость, и высокую стоимость обслуживания. Также не подходит по пункту 1. Тяжел,сложен, дорог в обслуживании, трудный интерфейс. Основной акцент именно на блокировку.
      СеарчИнформ - по стоимости столь высокой также не понимаю этот продукт, но мало того, что по стоимости соизмерим с Инфовотч, так еще и готов падает при торгам на 50 и более процентов. Много разных модулей (и экзешников), вызывают вопросы и говорит о том, что модули разной степени проработки.

Каждый раз обещают свести все в единый экзешник и консоль, но из последнего только способность записывать микрофоны приходит на ум.

Вебсенс - в общем-то, приятный продукт. Сможете разворачивать и поддерживать его сами. Стоимость ниже, чем предыдущие два, но зато ежегодная подписка может Вам стоить значительных денег. До конца лично не проверил тот момент, хранится ли в архиве только информация, отобранная по политикам или все-таки вся, а уже в ней идет отбор по политикам.

Ну и как все иностранные DLP делают акцент на блокировку, а не на тотальный контроль для расследований, поэтому данный продукт также не рассматриваю.

В общем, на данный момент у меня в лидерах SecureTower и Макафи.
Макафи стоимость нравится, но,особенно, привлекательная функция меток на документах.
SecureTower - система расследования инцидентов и контроля пользователей, поддержка бесплатных СУБД и продвижение в данном векторе, возможность поддержки и функционирования данной системы самостоятельно.

Все больше вижу удобств SecureTower и решаю при помощи нее (системы) различные интересные задачи.