Embed Size (px)
DESCRIPTION
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение. Более подробно - в заметках к слайдам.
Citation preview
Использование встроенного качества в процедурах информационной безопасности
Алексей Бабенкоруководитель направления
Где самое уязвимое место?
?
?
?
! ! ! !!
Использование социальной инженерии
Успех73%
Неудача27%
Источник: внутренняя статистика Информзащиты по проведенным тестам на проникновение за 2012 годСоциальная инженерия проводилась в 67% от общего числа проектов по анализу защищенности
Обучение Отладка процессов
Тестирование Разбор полетов
Методы противодействия
Встроенное качество
«Покончите с зависимостью от массового контроля: Уничтожайте потребность в массовых проверках и инспекции как способе достижения качества, прежде всего путем «встраивания» качества в продукцию»
14 ключевых принципов Деминга
Встроенное качество
Встроенное качество – это такие решения, которые делают невозможным неправильные действия пользователя системы.
Встроенное качество – примеры из жизни
Встроенное качество в ИБ
К чему уже привыкли:
– Парольная политика (невозможно задать простой пароль)– Ограничение подключаемых устройств (невозможно скопировать информацию)– Автоматическое блокирование экрана (невозможно оставить активный экран)– Ограничение прав доступа (невозможно выполнить несанкционированные действия)– Контроль передаваемых «во вне» файлов (невозможно скопировать информацию)– и так далее.
Встроенное качество в ИБ
Пример 1: оператор банка.
Проблема – проведение несанкционированных действий, без предъявления аутентифицирующей информации
Решение – изменение сценария работы, было: проверка кодового слова по отображаемому значению, стало: до ввода кодового слова возможна только блокировка карты
Встроенное качество в ИБ
Пример 2: пропускной режим.
Проблема – посетители не сдают пропуск, несколько человек проходят по одному пропуску
Решение – система «сдал пропуск – проходи», шлюзовые кабины
Встроенное качество в ИБ
Пример 3: контроль кода.
Проблема – разработчики не соблюдают требования по безопасному программированию
Решение – автоматизированный контроль кода, до компиляции продукта
Встроенное качество в ИБ
Идеи: реагирование на события ИБ.
Проблема – реагирование на события ИБ осуществляются не оперативно, откладываются
Решение – сообщение об ошибке на весь экран.
Встроенное качество в ИБ
Идеи: лишние права доступа
Проблема – пользователи обладают лишними правами доступа в прикладном ПО
Решение – обеспечивать сотрудников работой в соответствии с предоставленными правами доступа
Встроенное качество в ИБ
Идеи: съем информации с экрана
Проблема – пользователи могут сфотографировать содержимое экрана
Решение – добавить дополнительный спектр, не видимый человеку, но «засвечивающий» камеру
Заключение
– Думая о новых угрозах, не надо забывать о старых;– При проектировании систем, процессов важно продумывать не как заставить сотрудников выполнять что-то, а как сделать неправильное выполнение невозможным;– Решать проблему, а не следствие;– Не забыть про бизнес. Безопасность ради бизнеса.– Мониторинг. Работает сейчас, а завтра?
См. также:Идеальный конечный результат (Теория решения изобретательских задач)Встроенное качество (Концепция бережливого производства)
Вопросы? Алексей Бабенко руководитель направления, PA&PCI QSA
[email protected]+7 (495) 980-23-45 доп.458 +7 905 991-99-19 skype: arekusux www.infosec.ru arekusux.blogspot.com
