вторник, 29 мая 2012 г.

Скорость забывания паролей

Можно ли помнить все свои пароли и помнить довольно длительное время? Если сотрудник возвращается из отпуска, есть вероятность, что он не вспомнит свой пароль. Есть даже мнение, что если забыл пароль - значит отдохнул хорошо. Можно обнаружить следующие причины, влияющие на быстрое забывание паролей:

1. паролей несколько или слишком много;

2. все пароли уникальные;

3. пароли слишком сложные;

4. пароли часто меняются;

5. не используются парольные фразы.

Ну и топовая рекомендация как можно улучшить запоминаемость паролей. Использовать единственный базовый пароль, созданный на основе парольной фразы, дополняемый определенными символами для придания ему уникальности и порядкового номера для смены.

Пример:

1 Выбираем какую-нибудь неизвестную фразу из любого произведения: «Сейчас только приехал от благодетеля»;

2. Берем по три символа каждого слова, состоящих из трех и более букв и составляем в английской раскладке пароль: «Ctqnjkghb,kf»;

3. Добавляем в английской раскладке указатель принадлежности пароля: G (Почта) для Yandex, H (Рожа) для Facebook, L (Дуров) для Vkontakte;

4. Добавляем порядковый номер для смены нужным количеством определенного спецсимвола: # – I квартал, ## – II квартал и т.д.;

5. И получаем пароль на этот квартал для Yandex «Ctqnjkghb,kfG##».

Возникает вопрос, насколько нужен сотруднику на работе доступ к данным сервисам? Ответа на него нет. Здесь под данными сервисами подразумеваются реальные приложения компании.

А какие схемы используете Вы, чтобы не забывать пароли?

пятница, 25 мая 2012 г.

О проекте Положения ЦБ по НПС

Прочитал я проект Положения, который будет вводиться ЦБ во исполнение Закона о НПС. Привожу отдельные цитаты:

Операторы… могут привлекать на договорной основе организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации.

Требования к обеспечению защиты информации…применяются для обеспечения защиты…персональных данных.

Оператор…обеспечивает реализацию запрета…следующих ролей…:

- связанных с созданием… и эксплуатацией;

- связанных с эксплуатацией в части использования…и эксплуатацией в части технического обслуживания и ремонта.

Оператор…обеспечивает участие службы информационной безопасности, в разработке и согласовании технических заданий на создание (модернизацию) объектов информационной инфраструктуры.

Допускается применение некриптографических средств защиты информации от несанкционированного доступа иностранного производства.

Регистрация доступа к банкоматам, в том числе с использованием систем видеонаблюдения.

Оператор…обеспечивают контроль отсутствия размещения на платежных терминалах и банкоматах специализированных средств, предназначенных для несанкционированного съема информации.

Оператор…обеспечивают использование технических средств защиты информации от воздействия вредоносного кода различных производителей и их раздельную установку на персональных электронных вычислительных машинах и серверах.

Применение…технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации путем использования уязвимостей программного обеспечения.

Оператор… применяют СКЗИ, которые имеют сертификаты полномоченных государственных органов.

Службы информационной безопасности и информатизации (автоматизации) не должны иметь общего куратора.

Оператор… обеспечивает определение служб информационной безопасности в… филиалах, определяет для них необходимые полномочия и выделяет необходимые ресурсы.

Оператор… обеспечивает проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России.

Настоящее Положение подлежит официальному опубликованию в «Вестнике Банка России» и вступает в силу с 1 июля 2012 года.

Далее следует методика самооценки и опросник.

"Всего" в опроснике 127 показателей, которые делятся на две группы. По каждой группе находятся средние значения (пока без учета "каких-то" коэффициентов) и наименьшее из них будет являться показателем защищенности. Показатель защищенности  может принимать следующие значения: хорошая, удовлетворительная, сомнительная, неудовлетворительная.


среда, 16 мая 2012 г.

Лоси

Не каждый безопасник может похвастаться тем, что идя с работы домой может встретить на своем пути  лосей. :-)

Качество фотки мобильное, поэтому смотрим как есть.

воскресенье, 13 мая 2012 г.

RPO и RTO (перевод из книги CISA)

Допустимая точка восстановления (RPO) определяется допускаемым уровнем потери данных в случае прерывания операций. Она показывает точку во времени, с которой можно восстановить данные. Например, если процесс может предоставить данные за последние 4 часа до происшествия, то последняя резервная копия должна быть сделана не позднее 4-х часов назад. Вначале восстанавливаются данные из резервной копии, затем добавляются данные за последние 4 часа. Таким образом, RPO определяет количество данных, которые могут быть потеряны, т.к. их всегда можно восстановить.

Допустимое время восстановления (RTO) определяется количеством времени неработоспособности сервиса в случае прерывания операций. Оно показывает раннюю точку времени, после которой операции могут быть продолжены. Обе концепции основываются на временных параметрах. На рисунке показаны взаимосвязи RPO и RTO.

Маленькое время до точки восстановления означает высокую стоимость реализации стратегии по резервированию. RPO равное нескольким минутам влечет применение отказоустойчивых кластерных технологий (дублирование / зеркалирование).

Маленькое время восстановления может означать необходимость иметь альтернативный Hot-Site, т.е. выделенные помещения с проложенной ЛВС, установленным и настроенным оборудованием и ПО. Маленькое RTO означает низкую толерантность к происшествиям. Толерантность к происшествиям означает интервал времени, в течение которого могут быть недоступны IT-сервисы и который может принять бизнес.

Кроме RPO и RTO существуют несколько важных дополнительных параметров, которые необходимо учитывать в стратегии восстановления. Они включают:

• окно недоступности сервиса (Interruption window) – ожидаемое время от начала происшествия до восстановления сервиса;

• уровень предоставления сервиса (Service delivery objective, SDO), который может быть достигнут на альтернативном оборудовании до возврата на основное. (одно из бизнес требований);

• максимальное альтернативное время (Maximum tolerable outages) – время, в течение которого возможна работоспособность сервиса на альтернативном оборудовании. После этого времени, возможно возникновение проблем, особенно если альтернативный уровень SDO ниже основного.

Вопросы:

А. Зеркалирование данных должно использоваться в качестве стратегии восстановления когда:

А1. допустимая точка восстановления маленькая;

А2. допустимая точка восстановления большая;

А3. допустимое время восстановления большое;

А4. толерантность к происшествиям высокая.

Б. При разработке плана непрерывности бизнеса для определения допустимой точки восстановления нужно учитывать:

Б1. уровень потерь данных, который организация готова принять;

Б2. количество времени, в течение которого организация готова принять неработоспособность сервисов;

Б3. типы доступных резервных копий, хранимых вне основного расположения;

Б4. типы ИТ-платформ, поддерживающих критические для бизнеса функции.

среда, 9 мая 2012 г.

Бедствия и поведение при них (перевод из книги CISA)

Бедствия и другие разрушающие события (перевод)

Бедствие – это разрушения, при которых критические информационные ресурсы становятся неуправляемыми на определенный период времени или неблагоприятно воздействуют на проводимые операции в организации. Разрушения могут продолжаться от нескольких часов до нескольких дней, и могут приводить к различным повреждениям информационных ресурсов. Важным является то, что бедствие требует операций по восстановлению.

Бедствия могут вызываться природными катаклизмами, такими как землетрясения, наводнения, торнадо, некоторые грозы и пожары, которые приводят к разрушениям зданий, в которых сосредоточена или производится обработка информации. Другие бедствия могут воздействовать лишь на отдельные инфраструктурные сервисы, такие как энергообеспечение, газоснабжение, телекоммуникации, снабжение запасными частями. Также бедствия могут быть вызваны человеческим фактором, например, террористические атаки, хакерские атаки, вирусные атаки, человеческие ошибки.

Не все критические повреждения сервисов классифицируются как бедствия, но все они отождествляются с явлениями, характеризующимися высокими рисками. Например, повреждение сервисов может быть вызвано неверным функционированием в результате случайного удаления файлов, недоступности сети, сетевыми атаками или вирусами. Эти события требуют действий, направленных на восстановление работоспособности сервисов и применяются к оборудованию, ПО или файлам с данными. Хорошей практикой в организации является предварительная основанная на рисках классификация систем и определение типов событий, по которым будет применяться план непрерывности бизнеса.

Хороший план непрерывности бизнеса охватывает все типы событий, которые могут воздействовать на критичные процессы организации, а также на операции, выполняемые сотрудниками организации. Должны быть разработаны краткосрочная и дальнесрочная стратегии восстановления работоспособности. Краткосрочная стратегия предусматривает наличие альтернативных помещений, в которых может быть продолжено функционирование организации. В дальнесрочной стратегии должны присутствовать постоянные помещения с установленным всем необходимым оборудованием на случай наступления длительных по времени или частых бедствий.

Поведение при событиях имиджевого, репутационного или brand характера

При подобных событиях всегда распространяется много самых разных слухов. Слухи могут или не могут ассоциироваться с серьезными инцидентами или кризисами. Иногда они спонтанно или частично приводят к настоящим проблемам, при которых уже требуются действия согласно плану непрерывности бизнеса. Одним из наихудших последствий для организации является потеря доверия и престижа.

Эффективные действия организации, направленные на связи с общественностью (PR), играют важную роль и помогают в случаях, чтобы реальные повреждения или кризисные ситуации не сделали организации еще хуже. Важные отрасли (банки, медицинские организации, нефтяные, химические, транспортные компании, организации, работающие с ядерным топливом, другие социально значимые отрасли) должны иметь тщательно продуманный порядок действий на случай бедствий или катастроф.

Вот несколько основных действий, основанных на лучших практиках и применяемые в организациях в случае крупных инцидентов. Не зависимо от результатов оценки последствий инцидентов (задержка или прерывание сервисов, экономические потери и др.) могут присутствовать негативные публичные мнения или негативные слухи. Публично реагировать в течение кризиса крайне не просто. Лицо, которое будет представлять организацию, должно быть хорошо обучено и подготовлено. Хорошей практикой является назначение юриста или специалиста PR-отдела в качестве спикера. Никто, вне зависимости от его ранга в организации, за исключением назначенного лица, не должен публично выступать.

Спикер должен заранее подготовить свою речь, выступить, после чего зафиксировать её в официальном коммюнике с указанием всех важных обстоятельств. Это необходимо для защиты от импровизации, а также в случаях нехватки времени. В коммюнике может не говориться о причинах инцидента, но оно должно сообщать о том, что инцидент зарегистрирован, началось расследование инцидента, и что результаты расследования будут сообщены. В коммюнике не должно утверждаться, что конкретная система или процесс привели к инциденту, можно лишь предположить о человеческих ошибках.