Концепция защиты информации
 

Подскажите, пожалуйста, что представляет из себя концепция защиты информации на коммерческом предприятии. Забраковали курсовую - концепция не реализована. Товарищ Яндех и Гоголь не находят полезной информации. (Во всяком случае по фразе "концепция защиты информации")
Сразу говорю, что НЕ подходит:
1. Концепция защиты информации в [Смоленской] области.
2. Курсовая работа, скачать/заказать - они либо платные, либо безумно не по теме.
3. Концепция ИБ государств.
4. И прочая муть не по теме.

Срок действия - до 19 июня. Позже не надо =)

С точки зрения юриспруденции это закон "О коммерческой тайне".
Концепция защиты ВСЕЙ информации это, с точки зрения практической жизни, ЭРОТИЧЕСКАЯ ФАНТАЗИЯ.
Объясняю почему. Концепция содержит перечисление мер как профилактических, т.е. ДО, так ВО-ВРЕМЯ и ПОСЛЕ (причем описываются оба случая - скомуниздили (или сгорело) у Вас инфу или нет) .
Во-первых перечисляется вся информация, на любых носителях, в любом виде (в том числе БЛА-БЛА-БЛА в курилке и , пардон, использованная бумага в сортире).
Во-вторых защита осуществляется:
- от угроз: внешних и внутренних;
- по умыслу: злонамеренный, халатость+не знание, форс-мажор;
- защитные функции: пресечение неавторизованного доступа, журналирование всех действий, меры по востановлению (если горе таки случилось), тренировки персонала - и у меня просто фантазии не хватит все описать.
К примеру такие разные предметы как пожарно-охранная сигнализация, "аццкая топка" куда бросают дискеты когда приходят "злые люди", система архивирования и .. "замки на дверях + пластилин в печатях" - усе это относится к защите информации. А да, я забыл еще климат-контроль и питание. :(

Потверждением этого тезиса, является то, что я еще не встречал еще крупных контор где безопасность "старого образца" и "информационная безопасность" не жили по раздельности (а иногда к ним добавляется "внутренняя безопасность" - которая стучит на обеих).

Так что:
1) Поставте преподу пузырь на 5 звездочек что бы он таки ОГРАНИЧИЛ круг своих желаний.
2) Если Вы таки напишете такую концепцию, я у Вас ее первый куплю (за коньяк) :)
:wacko:

Блин! Так ведь я именно это и писал в своей курсовой. Там куча всяких рекомендаций различным подразделениям по поводу "что надо сделать до и после".
Выкладываю свой вариант. Теперь Вы выкладывайте коньяк, чтобы я его поставил на п.1. =^_^=

Воды много. Если опускаться до КОНКРЕТНОЙ фирмы, то рекомендации должны быть конкретные.
Очень много посвещено несанкционированному доступу, хотя с точки зрения статистики он составляет хорошо если 5% угроз.

Могу дать главы из Организация защиты сетей Cisco. В приложении книги приводится пример политики для многострадальной виртуальной компании XYZ.
(Любит почему-то CISCO это название - подсказать что-ли "адекватную локализацию названия" :)
http://www.kuen.ru/wallpaper/Cisco/M...work-Security/

Вода - это нормально. По тех.заданию вообще только теорию надо было писать. Не знаю, зачем понадобилась вдруг концепция.
Скачать не смог - докачка не поддерживается, а 600кб за раз - связь не выдерживает =\
В текстовом виде нет?=)

Ща побью.
В текстовом - книга :)

Побил на постраничные PDF

Это угроза? =)))

Спасибо, часть скачал. На остальное нет трафика =\
Ну, может "пронесёт".

Посмотрите на www.andy-user.narod.ru
Пункт 1 - реальная концепция информационной безопасности банка.

Coutty
Глянул твой вариант - kim-aa прав, слишком много болталогии не по теме... То что ты там написал, это больше лекционный материал... Однако то, что как мне кажется предлагает писать kim-aa - это тоже не то (если я правильно понял), т. к. излишнее углубление практические вопросы - это уже конкретные политики безопасности. Из таких материалов для коммерческого применения ИМХО проще в качестве кальки воспользоваться новым:Концепция же является боле общим, она должна ответить на вопросы:
1) какие информационные потоки должны существовать в организации
2) какие возможные информациооные потоки не должны существовать
3) какой ущерб могут принести изменения в этих двух классах информационных потоков
4) каким образом могут происходить эти изменения (АКА угрозы)
5) какие методы уменьшения возможного ущерба могут рассматриваться и план их использования.
Суть в том, что чаще всего за одним не видят другое. Например для уменьшения ущерба от изменения структуры инфоромационного потока (например включение в него инфоромации, к-ая изначально в нем не предусматривалась) можно как предусматреть защиту от случайного или преднамеренного внедрения этой информации (вынос носителей с площадки - один из примеров потока). В частвности, примером защиты в приведенном случае может быть предварительная проверка всех носителей на содержание "лишней" информации перед выносом носителя... Однако это многократно удорожает мероприятия по организации защиты, если в качестве угроз рассматривать применение криптографии (особенно стеганографии). Однако вариант полного исключения возможности выноса любых носителей с площадки, также целиком предотвращает угрозу от изменения параметров этого информационного потока.
Мне пока не попалось ни одного примера, который бы мне целиком понравился. Кое что из понравившихся, я читал мельком, но самих материалов у меня нет... Может на будущее что-нить из этого пригодится...

Что есть безопасность ?
 

Люди объясните что есть безопасность и как её достичь. Хотя бы сформулируйте основные моменты. А то я совсем запутался. Наверное слишком большой поток информации., мозг не справляется ...

Меня этот вопрос интересует с точки зрения администратора, у кого есть опыт подскажите please.

Хех, насколько всеобъемлющий вопрос.
Вопрос о безопасности (я так понимаю "Безопасность компьютерной системы") можно разбить на два (грубо): вопрос о внешней безопасности и о внутренней безопасности.
Внешная: защитные средства от доступа дурака из вне. Внутренная: защита от дурака внутри системы.

поправка: защита от злоумышленника или дурака )

boolодно другому не мешает ;)
>
tiroman
1) Антивирус+файрвол
2) Грамотная раздача прав
3) Соответствующая политика паролей.

Вопрос:
У нас банк
как можно добиться полной безопасности (идут трансферы!)
И хотелось бы почитать хоть какую-то литературу!
Или есть какие либо идеи-пожалуйста ответьте,буду очень признателен!
На все вопросы отвечу!

_Snake_
В твоем случае только сертификатами можно защититься
ставь сервер сертификации и используй его

tiroman

Это есть бесопастность?! хмм
Безопастность это зашита чего либо (документов, денег, баз данных, информации) от тех кто не имеет к этому допуск.

Самый опастный это не хакеры, поверь мне.
Самое опастное это - внутренняя угроза, это угроза хищение информации в нутри сети, тобишь твоими пользователями.

Поясню почему не хакерами.
1. На данный момент разработанно более достаточно программно или хард варно програм защиты (Фаерволы) который стрпавляються на ура со своей задачей. Есть куча шаблонов безопастности.

2. Любому хакеру что бы проникнуть в сеть - нужно хотябы нащюпать что у тебя за система, кто её охраняетЮ какая версия, обнавлена или нет, сколько пользователей, сложность паролей и тд и пт. Часть этого он может получить сканировав или перехватив пакеты систему, а вот другую часть Он может получить только с небрежности твоих пользователей или тебя.

Так вот безопастность ИМХО это защита информации более от внутренней угрозы чем от внешней.

У меня - тоже...
Вы что нибудь в Вашем банке слышали о "Стандарте по информационной безопасности" от Банка России ?
http://www.abiss.ru/
Изучите, напишите сами для себя критических замечаний страниц на 5 - и можно считать, что с безопасностью разобрались. :)

Чем мне может помочь повышение роли сервера до контроллера домена ? Только не говорите что если человек дурак то ему ничего не поможет :) А насчёт файервола - стоит ли пользоваться встроенным в XP, или лучше от стороннего производителя ? Производительность некоторых машин желает оставлять лучшего, и как бороться за безопасность в случае если на ПК 16 мб оперативы, и там даже открытие нескольких окон вызывает затруднение ?

Да, ещё, может кто-нибудь что-нибудь сказать по поводу Kaspersky Anti Hacker ?

tiromanессно, от стороннего. Попробуй Outpost от Agnitum.
>
организовать терминальный сервер.

То, что назвал я - лучше.

tiroman
Стоит. Пользуйся и не чего не бойся. Так как стороний софт использует теже самые функции что и встраеный брендмаулер. + свои фишки но смысыл - один
Слышали но что толкуот него?
Покажет что кто-то рвётся к тебе.
Это происходит каждый день и постоянно кто-то что -то сканирует на уязвимость и тд и тп. я в таких случаях курю бамук.
Для того что бы еще боле курить бамбук при попытке атаки там ДДоС или Какой нить хитрец пытается подобрать пароли, я его просто Убиваю пакетами UDP. что парень или парни забывают о бо мне и начинают развираться в своих проблемах. Благо T1 еще не кто не запрещал ;)

Можно с этого момента поподробнее, я не очень понимаю о чём речь, точнее как это делать. Извините за мою непросвещённость, но для меня это насущные вопросы. Литературы много есть но там много лишнего пока найдёшь что надо пройдёт много времени.

Да, кстати, о Kaspersky, но ведь он пишет что атака успешно отражена, или это всё туфта ?

нет не туфта... Он действителнь как бы отбивает акату и пишет тебе лог об этом.
А теперь представь что я или еще группа из 100 человек акакуют тебя каждые 1 мс.
Обьём лога выростит до таких пределов что 2 варианта
1. Касперь загнётся (что обеспечит нам нормальную атаку на сервер)
2. Обьем лога выростит так что ОС больше не сможет нормально работать и повиснет или перезагрузиться.

По поводу UDP флуда.
Для этого нужно хороший канал
И жедательно бесплатный исходящий трафик ;)
Так как за 5-7 мин ты пошлешь более 2-3 гб инфты на атакующего, что он просто захлебнется.

Итак, что есть безопасность? Вопрос всеобъемлющий :)
1. У безопасности как у любой вещи есть два аспекта. Технический и организационный.
Если уделить внимание только техническому - есть прямой шанс поссориться с законом.
2. Если уделить только организационному - на ваши требования просто плюнут
Итого - вам необходимо сделать и то и другое.

Объяснить все сразу - невозможно

Поэтому задавайте вопросы, постараюсь ответить.
PS Это просто моя работа :)

Безопастность не может быть из 2 аспектов ;)
Она либо - есть.
Либо её - нет.
Третьего не данно.

ShaddyR
Последний вариант встречается чаще.

Butunin Klim

Безопасность либо есть либо нет? Могу вам сказать, что если на свете найдется кто-то кто гарантирует вам 100% безопасность, то он либо ДУРАК, либо МОШЕННИК!
А методы решения задач безопасности действительно включают два аспекта: организационный и технический. Это теория. Однако она верна!

Данный вопрос уже подымался. Склеил с ранее существовавшим постом.

Тогда я предлагаю сменит это слово..
Так как Безопастность в моём понимании - это что-то моё и не кто другой к этому не претронится. А если и претронется то только с моего разрешения.

А если Вы говорите что Безопастность еще и имеет 3 вариант - то это Чисто "Русская безопастность - АВОСЬ" ;)
Любая "дырка" в системе или в коде и тд и т.п вызванна лишь не брежнастью сотрудника или сотрудников которые писали этот код или программу. Они знали что будет такой исход но и м было в падлу или лень его исправлять или они его не заметели... Вот что я называю 3 вариант

Butunin Klim
Не факт что знали. Человек не в состоянии ВСЕ предусмотреть!

VladimirB
Это уже отмазки.
1+1=2.
Так?
В чем ошибка не в чем. Просто есть ты посчитаешь что 1+1=3 вот это ошибка из-за не внимательности нажатия на клавиши или из-за не внимательности того что мне показалось что там 1+2

Butunin Klim
Не факт! Человек может не предусмотреть. Поверь, такое было в моей практике и неоднократно. ЧТо его, наказать за это? В чем он виноват7 В том что не предусмотрел 100%. Так 100% безопасности не бывает! Мой многолетний опыт работы в этой отрасли позволяет мне так говорить.

Тогда в вашу Фирму я обращаться не буду ;) Так как вы не гарантируете безопастность ...

Butunin Klim
100% не гарантирует НИКТО! Я уже говорил об этом! А если кто-то обещает - он ЛИБО ДУРАК, ЛИБО БОЛТУН И МОШЕННИК!!! Я могу лишь гарантировать что смогу устранить то, что обнаружно на текущий момент!

Да и кроме того. Какой смысл мне страховаться от землетрясения, если его вероятность ничтожна? Т.е. зачем вводить меры по защите если вероятность события ничтожна и сумма ущерба значительно меньше стоимости взлома?
Всегда есть термин "разумная достаточность"! И никто за безопасность не хочет платить выше необходимого!

Заеженная фраза.
Гарантирует тот - кто уверен в своих силах.
Если Вы не гарантируете как я могу обращаться к Вам?!
У меня есть пару миллиардов и В ымне говорите Это значит их у меня сперли а вы закрыли то как они сперли ? ;)
Круто!

Покажите мне того, кто даст 100% гарантию. И что он будет говорить, когда его защиту взломают? Я могу дать гарантию от того, что есть на сегодня. Завтра могут появиться новые методы, новые атаки. И что? Я буду отвечать за то, что не в состоянии все предусмотреть? Смысл? Если у вас сперли, как вы говорите - то обращайтесь с претензиями к тому, кто делал систему защиты. В конце-концов есть система страхования информационных рисков. Правда в нашей сстране она не работает. Не знаю как в вашей

VladimirB
Эта история стара как мир :)
История о двух конца.
Давай те каждый останется при своем. ;)
На вкус и цвет товарища нет... так это у Вас в стране говорится...
Могу сказать только то, что гарантии конечно давать нельзя на 100% но и нельзя говорить что Мы не гарантируем Вам безапастность ;) Так как это подрывает весь смысл безопастности.
Мы создадим Вам безапастность Максимально возможную на сегоднящний день.

Для этого нужно иметь ОГРОМНЫЙ штат специалистов по безопастность. Для таких целей сейчас например В университете Абертэй это в Шоттландии ввела предмет "Этический хакинг" ;)
Советую направится туда и поучится.
Правдо для этого нужно будет пройти жесткий отбор Министерства внутренних иностранных дел

Butunin Klim
Спасибо. Я знаю о таком курсе. А по поводу штата :) Это все есть. Я в прошлом - начальник отдела ИБ крупного процессингового центра. Что это значит - объяснять, думаю, не стоит.

Это не курс. Это предмет. Там учат 2 года.

В прошлом...

Butunin Klim
В некоторых центрах РФ это идет как курс. Там предмет. Простите, оговорился. Впрочем в правилах русского языка можно кажется сказать, что в университете изучается КУРС математики :) Верно?

Butunin Klim
Угу. Два года назад. Теперь - руководитель программы подготовки админов ИБ в частном учебном центре

Впрочем - это не важно. Прошлые награды не помогают в будущем. Верно?

Нет вероятнее всего вы ошибатесь.
Такого предмета нет ни где в мире.
Это единственный аналог пока что. Насколько мне это известно.
Возможно есть что-то наподобии. Но так как я там не учился и не знаю тонкостей то не могу говорить за этот предмет. Знаю только что Очень сильные преподователей и очень весомые органы следят за этим.

Я так не считаю. Каждый человек делает себе имя. То что вы окончили или умеете - вы должны доказать это а не просто говорить на словах ;)
Ладно нужно говорить по теме. А то нас накажут. Если есть интерест поговорить так приват или флейм

Под защитой информации подразумевается сохранение следующих характеристик :
• Конфиденциальность информации (information confidentiality) – свойство информации, состоящее в том, что информация не может быть получена неавторизованным пользователем и/или процессом.
• Целостность информации (information integrity) – свойство информации, состоящее в том, что информация не может быть модифицирована неавторизованным пользователем и/или процессом.
• Доступность информации (availability) – свойство ресурса системы (компьютерной системы, услуги, объекта компьютерной системы), состоящее в том, что пользователь и/или процесс, владеющий соответствующими полномочиями, может использовать ресурс в соответствии с правилами, установленными политикой безопасности, не ожидая дольше заданного (малого) промежутка времени, то есть когда он находится в виде, необходимом пользователю, в месте, необходимом пользователю и в то время, когда он ему необходим.
• Наблюдаемость (accountability ) – свойство компьютерной системы, позволяющее фиксировать деятельность пользователей и процессов, использование пассивных объектов, а также однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и/или обеспечения ответственности за определенные действия.

Определения даны в соответствии с НД ТЗИ 1.1-003-99 «Терминология в области защиты информации в компьютерных системах от несанкционированного доступа»
НД NPB - нормативные документы в сфере технической защиты информации. Нормативный документ Службы безопасности Украины.

Хочу заметить, что мало-мальски грамотная политика защиты информации обязана работать не только в профилактическом ключе, т.е. "держать и не пущать", но и в "терапевтическом" (а может и хирургическом), т.е. должен быть разработан список мер на случай если "беда пришла в дом".
К сожалению, общеизвестные документы, данный момент как-то игнорируют. Т. е. во главу угла должно ставиться работоспособность системы в целом, а не характеризующие (систему) свойства, пускай даже такие значимые как безопасность.

kim-aa
Ну не стоит обощать :)
Компании которые дорожать информацие не скупятся ни на что лижбы сохранить и защитить

kim-aa
Конечно. Это называется политика работы в чрезвычайной ситуации :) Или вернее план обеспечения непрерывной работы и восстановления информационной системы. Это как план действий по тревоге в армии. Это один из разделов политики безопасности.
И конечно же, во главу угла должен становиться бизнес, так как не бизнес ради безопасности, а безопасность ради бизнеса.