19.01.2010

Информационная безопасность: надо ли защищать не информацию?

Информационная безопасность, защита информации... казалось бы очевидно, что эти дисциплины ориентированы на обеспечение сохранности информации. Но надо ли нам защищать не информацию? Вопрос не праздный. На него натолкнула меня вчерашняя тема и начавшаяся дискуссия на bankir.ru.

Возьмем к примеру установку на компьютере пользователя компании ботнет-клиента, который ничего не крадет, а используется для рассылки спама или генерации DDoS-атак. Он не имеет доступа ни к какой информации, но это не значит, что мы не должны защищаться от этой проблемы. Или тот же спам - он ничего не крадет, ничего не выводит из строя. Или та же DDoS-атака... Налицо широкий круг задач, которые необходимо решать службам ИБ, но которые никак не связаны с информацией, которая циркулирует на предприятии.

Собственно о чем это я?.. Да ни о чем, в общем-то ;-) Просто в голову пришло. Слишком привыкли мы к толкованию термина "информационная безопасность", который уже давно не соответствует реалиям наших дней. А мы все держимся за него... иногда в ущерб тому, что надо делать на самом деле.

PS. На тему очень быстрых изменений мира вокруг нас, за которым не успевает наше сознание или не может подстроиться, есть классный ролик ;-)

60 коммент.:

Ригель комментирует...

Защищать надо людей (их здоровье, права, интересы).

Анонимный комментирует...

За счет здоровья, прав и интересов других людей. Диалектика.
ZZubra

Quiet Zone комментирует...

Теоретически можно все (ну почти все) свести к информации, защищая не только информацию, но и в свою очередь защищаясь "от" информации (противодействие ДОСам или спаму тот самый случай).

Алексей Лукацкий комментирует...

Регилю: Защита людей имеет мало общего с защитой предприятия. У них интересы немного разные.

QuietZone: DoS - это не информация.

Ригель комментирует...

Ключевое слово - интересы. У информации их нет, ей все равно.
з.ы. Вывесил у себя.

Алексей Лукацкий комментирует...

У информации нет, но это не значит, что ИБ должна учитывать интересы каких-то там людей.

Ригель комментирует...

которые зарплату платят

Алексей Лукацкий комментирует...

Платит зарплату предприятие. Люди ее начисляют.

Алексей Лукацкий комментирует...

https://www.blogger.com/comment.g?blogID=4065770693499115314&postID=2771027240648465999 - вот тут в длинном комменте хорошая привязка к интересам

Ригель комментирует...

Каждый сам выбирает, на кого он работает, но не на информацию - это давай сразу признаем.

Алексей Лукацкий комментирует...

Да это понятно. Я к тому, что защищать надо интересы ПРЕДПРИЯТИЯ, а не ЛЮДЕЙ. Если мы не говорим о ИБ страны в целом (но и тут есть нюансы).

Ригель комментирует...

У меня работодатель тоже людь, в Циске, видимо, иначе.
Но не суть: мы сошлись, что защищать надо не информацию, а чьи-то интересы.

Алексей Лукацкий комментирует...

Интересы меня, как человека, заключаются в том, чтобы работать меньше, а получать больше. А интересы предприятия заключаются в том, что я работал больше, а получал меньше. Утрированно, но примерно так. Интересы совсем разные. Если речь идет не о собственнике бизнеса (но и тут есть нюансы).

Tiger комментирует...

А ролик хорош)
Реально мы уже ничему не удивляемся

Ригель комментирует...

Правильно. Вот невнятные, противоречивые и малоприятные интересы этих (и, возможно, каких-то еще) субъектов ваша ИБ и защищает.

e1am0 комментирует...

Защищаются экономические интересы предприятия - чтобы денег в него текло больше, а утекало в левак меньше. То, что ты перечисляешь - экономические потери предприятия. Должна ли ими заниматься служба ИБ или полупьяный сисадмин - административное дело назначения ответственного

Алексей Лукацкий комментирует...

Ригелю: Поясни, как ИБ такие противоположные интересы защищает?

attendantofwood комментирует...

Лукацкому:
> Я к тому, что защищать надо интересы ПРЕДПРИЯТИЯ, а не ЛЮДЕЙ.

А вот это уже в корне не верно.

Интересы руководства, персонала, работника (читай: бизнеса) сложнейшим образом переплетены и принципиально неразрывны. Задача руководства направить трудовое поведение людей в нужное русло (для достижения каких-то целей) и это делается именно при помощи синхронизации интересов. Когда с помощью системы поощрений и наказаний добиваются нужных действий от работника и персонала в целом. Когда работнику хорошо - фирме тоже хорошо.

Тут можно вспомнить слова Фрунзика Мкрчяна из Мимино: Поедем на аэродром, повидаем друга - ему будет приятно, а ему будет приятно - мне будет приятно, а мне будет приято - я тебя так довезу!

Ригель комментирует...

Алексею Лукацкому:
В меру своих способностей. Леш, кругом люди! Это люди защищают, нападают, спонсируют, ...
Думаешь, безопасность дорожного движения дорожное движение защищает? Фигушки, она занимается совокупностю общественных отношений, возникающих в процессе перемещения людей и грузов с помощью транспортных средств или без таковых в пределах дорог, во как!
1. Что такое ИБ? Защита интересов субъектов.
2. Каких субъектов? Таких-то и таких (у меня один набор, у тебя другой).
3. От чего? От угроз, связанных с обработкой информации - с ней самой и со средствами/технологиями обработки (вот только, где слово информация присутствует!).
4. До чего? До того-то (это интересный для отдельного обсуждения).
Как-то так.

Quiet Zone комментирует...

В бороду уползло, но все же: DOS это сознательно предпринимаемые усилия по отправке некой последовательности байтов, организованной неким образом. Эти самые байты тоже информация, хоть и человеком напрямую она не читается.

Алексей Лукацкий комментирует...

QuietZone: Это не информация, а данные. Совсем иная субстанция ;-)

Ригелю: Да, субъектов. Вот только я под субъектами понимаю предприятие, отделы предприятия и т.п. В крайнем случае сотрудников ПРЕДПРИЯТИЯ, которые работают ради достижения целей предприятия. Мне на их личные цели в общем-то наплевать. Мне важно, что он выполнял свои должностные обязанности и я мог защитить информацию и информационные ресурсы, доверенные ему ПРЕДПРИЯТИЕМ и которыми он пользуется для целей ПРЕДПРИЯТИЯ. Т.е. я могу подменить слово "сотрудники" на "предприятие". Просто интересы людей для службы ИБ предприятия не интересны.

attendantofwood: Недавно заграницей поймали руководителя какой-то пирамиды, который увел под миллиард рублей вкладчиков. Вот ему было хорошо ;-) Но было ли хорошо его фирме, сотрудникам и клиентам?

Quiet Zone комментирует...

Леш, по-моему не стоит ограничивать понятие информации лишь полезной ее частью. Есть только три вида взаимодейтсвия тел: материально, энергетически и информационно, и здесь третий случай. Защита от информации это и защита от вирусов, и от ДОСов, и от спама и от детской порнографии. А разделение на полезную информацию, служебную информацию, данные и т.д. лежит уровнем ниже.

Алексей Лукацкий комментирует...

Информация - это философское понятие. И оно несет некую нагрузку. А данные в DoS никакой нагрузки не несут ;-( И никакой привязки к эталонной модели ;-)

Вот есть число 5. Это просто данные. А есть "5 миллионов долларов потрачено на безопасность в компании имярек". Это уже информация.

attendantofwood комментирует...

Лукацкому:
> В крайнем случае сотрудников ПРЕДПРИЯТИЯ, которые работают ради достижения целей предприятия. Мне на их личные цели в общем-то наплевать.

ммм, а с чего это вы думаете, что ваши работники работают ради достижения целей предприятия? Они работают ИСКЛЮЧИТЕЛЬНО ради достижения СВОИХ собственных целей: получить зарплату, заниматься интересным делом, самоактуализоваться, общаться с сослуживцами и тем самым реализовать потребность в общении - реализовать свои собственные потребности. Больше ни для чего им работа не нужна. Поэтому работодателю (отделу HR) необходимо знать чего хочет его сотрудник, чтобы понимать, как простимулировать его на деятельность на благо общего дела.
Это тоже самое, что и требовать от маршрутизатора адекватного управления потоками данных, но при этом не задумываться о том какие RIP пакеты он получает - адекватны ли они, соответствуют ли формату протокола.

Алексей Лукацкий комментирует...

Вот именно про это я и говорю. У сотрудников совершенно иные цели, чем у предприятия. И когда Ригель говорить, что ИБ должна защищать людей, то я задаюсь вопросом - нафига? Интересы людей отличаются от интересов предприятия и служба ИБ не может и не должна (в большинстве случаев) заниматься защитой интересов людей - ее задача - защита интересов предприятия.

Ригель комментирует...

Алексею Лукацкому:
Там, где за человеком стоит группа, я тоже имею ввиду его как исполнителя роли руководителя или полномочного представителя, а не как физика.
Но владелец бизнеса Р.А.Абрамович или автор претензии пенсионерка М.Ф.Невсебе - это конкретные личности, ничего не сделаешь ))

Алексей Лукацкий комментирует...

Т.е. мы говорим о должности или роли в компании? Тогда опять же мы не защищаем их интересы, как физиков, а их интересы, как представителей предприятия. И логично предположить, что они, как представители предприятия, имеют интересы схожие с интересами предприятия, а не противоречащие им.

Ригель комментирует...

Алексею Лукацкому:
Значение слова субъект зависит от контекста. В одной ситуации начальник HR - эрзац Директора по такому-то кругу вопросов, в другой - герой служебного расследования. Называть его в обоих случаях словом "предприятие" у меня язык не поворачивается.

attendantofwood комментирует...

Нельзя разделять человека на две части: как сотрудника и как человека. Это ОДНА личность!

И вот по этому то она [Личность] и ворует информацию, халатно относится к исполнению служебных обязанностей, саботирует распоряжения начальства.
Интересы личности в информационной сфере принципиально неразрывны с интересами предприятия и именно по этому обеспечивать безопасность им нужно в равной мере, что и интересов предприятия - потому что это целостная совокупность интересов руководства, персонала в целом и работника. Задача службы ИБ - обеспечить комплексную, целостную защиту интересов ВСЕХ субъектов информационных отношений на предприятии. Даже интересов уборщицы - как человека имеющего доступ к урне с документами.

Ригель комментирует...

Алексею Лукацкому:
Ок. Мне удобнее называть субъектов словом "люди", потому что это напоминает об их человеческой природе, и неудобно словом "завод", потому что оно включает цеха и оборудование, но не включает клиентов и акционеров. Тебе наоборот.
Давай оба станем говорить "субъекты" и все-таки вернемся к формулировке объекта защиты.

doom комментирует...

Между прочим рассылка спама с корпоративных рабочих станций может парализовать работу почты, если внешний IP только один - просто за несколько часов рассылки этот IP успеет попасть во все мыслимые "черные" списки и примерно на сутки большая часть почтовиков в сети перестанут с вами общаться :)

Так что борьба с рассылкой спама - это обеспечение непрерывности бизнеса :)

Vladimir комментирует...

Не могу понять, почему Алексей не хочет согласиться с Ригелем и attendantofwood-ом?

Люди - это ресурс (предприятия), а следовательно, воздействие (в контексте поста) на человека - это атака на ресурс. Атакующий может преследовать разные цели, как то нарушение " конфиденциальности ", но так и "целостности", и " доступности ". И все они достижимы и используются на практике

Анонимный комментирует...

Только ли защита информация - единственная задача спецов по ИБ?

Обеспечение непрерывности функционирования бизнес-процессов - это задача ИБ или ИТ?
Maksim Ku

Vladimir комментирует...

Maksim Ku

Вообще-то бизнес-процессы бывают разные...

Если "прерывность" функционирования бизнес-процесса влияет на состояние ИБ, то вы должны обеспечить его непрерывность

Алексей Лукацкий комментирует...

Потому что я не согласен ;-) Почему служба ИБ должна защищать коллекцию порнухи, храняющуюся на рабочем компе сотрудника. Он как личность хочет хранить это на работе, а не дома. Это в его интересах. ИБ что, должна его защищать?

Доступ уборщицы к сети доступа должен контролироваться службой безопасностью, но почему эту службу должны волновать разговоры уборщицы с сыном по личному телефону в курилке?

Именно поэтому я и разделяю ОДНОГО человека в контексте ПРЕДПРИЯТИЯ и в контексте ЛИЧНОЙ ЖИЗНИ.

Анонимный комментирует...

А замок на двери в серверную - это информационная безопасность?
Есть безопасность. Она разделяется на информационную, жизнедеятельности, электробезопасность, и т.д. Информационная безопасность состоит из технической защиты информации, контроля физического доступа (укрепленности), работы с персоналом и т.д. Работа с персоналом состоит из ... и так далее. То что некоторые подразделы в разных ветвях не только безопасности (как категории классификации) войдут такие же категории как в соседних веточках - так это уже будет работа по оптимизации всех аспектов (безопасность, бизнес, ...) в единую систему - организацию. От оптимальности процесса будет зависеть итог всей работы.
Алексей и Ригель говорят об одном и том же, но смотрят в разные веточки - и оба правы. Плоской классификация не получится - скорее шарик.
В общем все будет Зюзючно (в смысле в споре надо пользоваться едиными для спорщиков категориями).
Мое такое мнение.
ZZubra

Vladimir комментирует...

;-) Алексей, я трижды извиняюсь но:

1. Если "коллекция порнухи" является информационным активом и "Политика (информационной) безопасности" требует его защиты, то никуда упомянутая служба не денится: "Будет защищать".
Но если это не "актив", но информация и при этом "порнуха", а так как "Политика..." всегда подразумивает управление ИБ "на соответствие нормам и законам", то данная информация должна быть уничтожена. Если не предусмотрено иное.

2. Служба ИБ должна управлять действиями уборщицы по отношению к "информационным активам" (они ведь не только в сети, да и не только в электронном виде).
Если она имеет доступ к таким активам, то ее телефон должен попадать под "контроль каналов утечки"...

Алексей Т. комментирует...

Вот это вас расколбасило! :-) Судя по-всему, заняться совсем нечем. Неужели закон о ПДн отменили? ;-)Подкину вам термин "объект защиты". В него можно включать любой ресурс, информацию, человека, железо и т.д. И применительно к каждому объекту реализовывать защиту. А ИБ... скорее всего склоняюсь, что она является поддерживающим процессом для основных процессов организации. Жаль ролик не открывается, дома посмотрю.

Анонимный комментирует...

2Vladimir

Получается, если какой-либо бизнес-процесс не может быть выполнен (завершён) по техническим причинам, но при этом доступность информации для всех легитимных субъектов нигде не нарушается, то это не головная боль ИБ!
Пример бы из практики кто-нибудь привёл бы =)
Мне думается, что это редкий случай, так как бизнес-процессы связанны с необходимостью доступа субъектов (пользователь, программа) к информации
Maksim Ku

Vladimir комментирует...

Мне, где-то, повезло: в Украине закон о ПДн еще не приняли. (У нас, к сожалению, законодательное поле таково, что вряд ли ИБ будет серьезно развиваться ближайшее время)

Для Maksim Ku
Мне кажется Вам нужно ознакомится с нормативной базой. Судя по вопросам начать с ISO/IEC 27002

Алексей Лукацкий комментирует...

Vladimir: 1. Именно про это я говорю. Порнуха - это информация. Она хранится в интересах пользователя. Но мы же не должны ее защищать, хоть этот пользователь и личность неделимая ;-)

2. Да, тут я соглашусь, погорячился ;-)

Алексей Т.: зато какой флейм получился ;-)

Vladimir: У вас оно развивается, но в достаточно специфическом контексте. И очень политизировано. Если у нас ИБ подчиняется интересам отдельных государевых структур, то у вас - отдельных политических фигур.

Ригель комментирует...

Алексею Лукацкому:

Какая порнуха? Ты что-то не так понял.

У безопасника есть работодатель, руководство. Ты его называешь предприятием, но он таки человек или группа.

На него давят интересы. Разные. В том числе других лиц и групп, как работающих на предприятии, так и нет - вплоть до власти и общества. Кому-то он обязан, кого-то боится, кому-то симпатизирует без всякой рациональной причины.

Как-то проанализировав цели и риски (гы-гы!) работодатель должен сообщить безопаснику систему ценностей. Которая состоит из тех интересов тех субъектов, которые он отобрал и ранжировал.

Конечно, их защита на руку предприятию и/или руководству, иначе с чего бы. Но все равно это какой-то интерес какого-то из субъектов.

Первичная цель - не марать репутацию работника, который может оказаться не виноват (я имею в виду информацию, обрабатываемую в рамках служебных расследований, раз уже привел такой пример). Вторичная цель - не потратиться на поиск и обучение, если он хлопнет дверью.

Важно видеть корень, а не проекцию на что-то.

[У меня в блоге это еще 9 часов назад написано.]

Vladimir комментирует...
Этот комментарий был удален автором.
Vladimir комментирует...

Алексей, я прекрасно понимаю, что Вы очень даже "в материале" и воспринимаю написанное, как тренниг аудитории в "формализации мыслей".

Неточность формулировок - один из источников проблем и не только в сфере ИБ.

Алексей Лукацкий комментирует...

Ригелю: Читал я твоц блог ;-) Мы с тобой видимо сходимся во мнении, но не можем договориться. Когда ты говоришь о защите прав и интересов людей, я понимаю, что речь идет о любых интересах, в т.ч. и личных. А это не проблема службы ИБ. Поэтому я говорю только об интересах предприятия, под которыми подразумеваются интересы всего бизнеса, акционеров (как акционеров, а не физиков-личностей), сотрудников (как представителей бизнеса, исполняющих те или иные роли, а не физиков-личностей) и т.п.

Ригель комментирует...

Я уже догадался, где собака, пока ехал.
Блин, не получается в рабочее время ни объяснять, ни понимать - не дается мне одновременная игра на 10 досках, поменьше бы.

biakus комментирует...

Не будем забывать, что интересы - это и есть информация, т.е. в данном случае запомненный выбор субъектов, зафиксированный в себе или других системах. Исходя из динамической теории информации (ответвления синергетики), информация это запомненный выбор.

А выбор и технологии его реализации (запоминания) это главнейшие составляющие систем управления и самоуправления.

Таким образом, ИБ должна защищать информацию, информационные процессы, информационные технологии в системах и для систем способных делать выбор.

Алексей Лукацкий комментирует...

Вот ты загнул ;-)

Vladimir комментирует...

Да, разговор обьективно затянулся...

Предлагаю вариант консенсуса для Ригеля и Алексея

Есть такой документик, как " Acceptable Use Policy" в котором, уважаемое Алексеем, руководство, договаривается, с уважаемыми Ригелем, сотрудниками о правилах допустимого использования ИТ ресурсов. Там и записано, что можно (ДОПУСТИМО), а что нельзя (и КАК) использовать в личных целях...

Алексей, как по мне, то я считаю, что ситуация не может выглядеть, как "ИБ не должна учитывать...". Данная фраза, несет элемент неопределенности, а главное БЕЗДЕЙСТВИЯ в отношении к информации находящейся в зоне действия ИБ предприятия. Таких ситуаций лучше избегать.
Если информация классифицирована, ИБ открывает "Политику Допустимого Использования" и принимает решение, что с ней делать.

А для руководства совет, в "Политике..." должно ясно изложено "казнить или помиловать", но ни в коем случае не должно быть "не обращать внимание"

DedLopouhiy комментирует...

Что то мне кажется вы немного заработались и запутались, Алексей! :) Защита от DDoS это именно защита информации. Только не конфиденциальности, а доступности. Защита от спама - то же самое. Любой сотрудник при жалобе на спам скажет что он МЕШАЕТ. Чему мешает? Прочтению полезной информации. Значит, борясь со спамом, мы обеспечиваем доступность полезной информации.
На уровне железа спам также может отразиться чрезмерной загрузкой серверов, соответственно нужная информация станет недоступной.

Алексей Лукацкий комментирует...

Тут уже был спор пару лет назад на тему ДОСТУПНОСТИ информации. Она не может быть недоступной. Недоступной может быть СИСТЕМА, обрабатывающая информацию.

DedLopouhiy комментирует...

Хех, ну если с такой точки зрения смотреть, то можно договориться что информация вообще не существует.
А с классической - доступность информации рассматривается.
Что на мой скромный взгляд вполне логично, мне все равно из за чего она недоступна - из за системы или из за непонимания ;)

DedLopouhiy комментирует...

Да, и кстати, вот в этом примере - система, обрабатывающая информацию, не при чем, обдумайте ;)
"Любой сотрудник при жалобе на спам скажет что он МЕШАЕТ. Чему мешает? Прочтению полезной информации. Значит, борясь со спамом, мы обеспечиваем доступность полезной информации."

Алексей Лукацкий комментирует...

А это уже путать причину со следствием ;-)

Алексей Лукацкий комментирует...

И спам мешает не чтению, а работе.

DedLopouhiy комментирует...

"А это уже путать причину со следствием ;-)"
не понял контекст, объясните :)

"И спам мешает не чтению, а работе."
Не согласен. Мне приходилось в своем "мусорном" ящике, созданном для регистрации на различных ресурсах, пару раз искать нужные письма - мешает, и очень.
А нужное письмо, которое стало "жертвой" спам-фильтра, очень часто вообще не находят :)

pushkinist комментирует...
Этот комментарий был удален автором.
pushkinist комментирует...

хм..
обсуждение странное.

вообще-то в любом институте на специальностях, связанных с информационной безопасностью, учат тому, что надо не только защищать саму информацию от чего-либо, но и защищаться или защищать людей от избыточной или навязываемой информации, которая может быть вредна.

в иб по науке существуют три вида информационной защиты:
1) защита граждан от неинформированности;
2) защита информации от угроз конф-ти, цел-ти и дост-ти;
3) защита человека от избыточной и ложной информации

к третьему пункту относятся:
а) защита от полезной, но чрезмерной в количественном плане информации (все усвоить мозгом и обработать невозможно, срабатывают защитные функции типа отключения внимания или пропуска сообщений и тд).
б) защита от бесполезной информации (сюда относится спам и флуд)
в) защита от дезы
г) защита от опасной информации

это все, так сказать, азы иб.
а говорить что в наше время все сводится к защите непосредственно информации - это неправильно.

DedLopouhiy комментирует...

pushkinist'у
Можно по разному рассматривать Ваши п. 1 и 3.
Я склонен рассматривать п.1 как доступность информации.
А п.3 - никак не рассматривать, если он не влияет на конфиденциальность, целостность, и доступность (нужной) информации.
В общем, можно все сводить к классическому определению - конфиденциальности, целостности и доступности информации, а можно - не сводить... Но говорить что нельзя свести - таких примеров я пока что не видел.

pushkinist комментирует...

2DedLopouhiy:
"Я склонен рассматривать п.1 как доступность информации."
п.1 подразумевает следующие примеры например:
-произошла экологическая катастрофа или атомный взрыв с радиацией, невидимые лучи проникают повсюду;
-сейсмологи преполагают что произойдут подземные толчки на следующей неделе прямо в центре города;
-вышел закон 152фз;
-и т.д.

в данных случаях незнание подобной информации угрожает каким-либо лицам и перед правительством стоит задача как можно дальше и полно распространить инфу.
а непосредственно угроз доступности здесь и нет.


"А п.3 - никак не рассматривать, если он не влияет на конфиденциальность, целостность, и доступность (нужной) информации."
почему же?
если будет в ваш мозг идти непрерывный бесконечный поток информации/дезинформации/спама/инфошума, то как вы поймете какая из информаций - нужная?