В свое время мне пришлось провести немаленькое количество собеседований (больше сотни точно) с теми, кто желал работать в консалтинге. Опыт для меня стал бесценным, по крайней мере я понял, что для составления практически полного портрета человека и принятия решения о том брать или не брать его на работу достаточно 15 минут (максимум), остальное время уходит лишь на то, чтобы укрепить себя в принятом решении. Но речь сейчас не об этом. В ходе собеседования я иногда задавал такой ситуационный вопрос:
"Вас позвали на должность директора по информационной безопасности в небольшую организацию, которая занимается инвестиционной деятельностью (на самом деле вид деятельности может быть другой). В компании работает 50 человек, офис расположен в Москве в одном из бизнес-центров. Вас позвали потому, что руководство по своим каким-то каналам узнало, что из компании периодически сливается информация что серьезно вредит бизнесу т.к. приводит к потере потенциальных клиентов. Как это происходит и кто виноват руководство не знает. Собственно вас нанимают не для того (точнее не именно для этого) чтобы найти источник слива информации, сколько для того, чтобы обеспечить в организации нормальный уровень защиты, который позволит минимизировать или свести на нет проблемы с утечкой и потерей потенциальных клиентов. До вас безопасностью никто не занимался. Все что есть сейчас - это приходящий системный администратор, который следит за работой нескольких серверов и рабочих станций сотрудников, на каждой рабочей станции есть антивирус, выход в интернет организован через сеть провайдера бизнес-центра, сервера периодически бекапятся на резервный жесткий диск, хранящийся у системного администратора (соискатель мог также задавать дополнительные уточняющие вопросы относительно того, что собой представляет сеть организации). Объем денег, который вам готово выделить руководство ничем не ограничен, НО (искусственное условие) вы ограничены лишь в количестве возможных мер, которые вы можете предпринять. Предложите 5 (!) конкретных действий, которые как вы считаете необходимо реализовать в первую очередь. Под словом "конкретных" понимается, что это не должны быть рассуждения на тему оценить обстановку, оценить риски, выработать меры по обработке рисков, а конкретные действия: поставить то-то, ввести такую-то процедуру и проч."
Т.е. смысл именно в том, что соискатель исходя из описываемой ситуации (допускалось задавать уточняющие вопросы) должен был сам оценить основные риски и предложить наиболее очевидные меры, которые позволят решить обозначенную проблему.
Самое интересное, что у этой задачи нет конкретного решения. Безопасность может быть обеспечена разными способами. Важно что именно предлагает соискатель и как он обосновывает необходимость реализации именно этой меры (ведь всего их может быть не больше пяти). Были конечно и такие, которые даже пять не могли назвать..... По некоторым ответам становилась понятно с чем человек привык работать и в чем он сильнее разбирается (это предлагалось в первую очередь).
Вот такой вот пример. Брать или не брать его на вооружение решать вам, но мне он при проведении собеседований пригодился.
Facebook
Зависит не столько от того, что исповедует претендент, а из того, что исповедует опрашивающий. Если он принял ответ, отличный от "да это ж работа на неделю: на пятидесяти человеках подобная утечка голыми руками ловится, устраняется и больше не повторяется", то надо в его профпригодности усомниться, того ли мы на найм посадили.
ОтветитьУдалитьЯ имею в виду, что у предложенной ситуации все-таки есть конкретное решение - внутреннее расследование и неоправданно жесткое наказание виновного.
ОтветитьУдалитьПомню этот вопрос =)В условиях собеседования заставил не много понервничать)Просто как раз таки казалось, что у ситуации есть какие то 5 конкретных решений и от тебя ждут, что ты их угадаешь)
ОтветитьУдалитьЭх, Ригель, крови хотите :-) А как Вы планируете проводить расследование, если никаких логов, свидетельств ничего нет (это раз) и второе, как вы хотите жестко наказать виновного, если Вы его даже найдете, в рамках закона ? (Никакого режима КТ в компании нет) или под "жестко наказать" Вы имели ввиду другие неполиткорректные методы ? :-)
ОтветитьУдалитьпример ответа на задачу можно услышать? :)
ОтветитьУдалитьНе расуждайте как ИБшник, встаньте на место руководства. Если цель - прекращение утечек, как у Вас написано, им нужен не CISO с зарплатой 2 млн в год, а хороший одноразовый проект. Сузить круг с 50 человек до 7 можно вообще не подходя к компьютерам, потом раздать им нечто интересное и ловить не предыдущую утечку, а следующую. Если нет режима КТ, ну пусть в этом "интересном" кусочек ПДн будет. Или не провоцировать, а продолжать колоть, пока кто-то не расколется (или кого-то не сдадут). А наказать можно и не за это, тут лишь бы коллектив подлинную причину знал.
ОтветитьУдалитьВопрос "как" - это не вопрос, это в процессе по месту решается. Принципиально, что это плохое предложение работы для CISO, он не должен вестись на такое.
Шаги никто не пишет а я смелый:
ОтветитьУдалить1 - объявить в организации что произошла утечка.
2 - определить какая информация утекла, где она крутится и кто с ней работает
3 - провести кадровую работу по оценке кому может быть выгодна внутри организации (анкеты сотрудников их связи прошлые места работы проекты конкурентов и т.п.)
4 - провести оценку кому выгодно было извне кому нужна была информация
5 - самое главное ! Дождаться пока на инсайдера настучат...
Обсуждаем ? ;)
"не должны быть рассуждения на тему оценить обстановку..."
ОтветитьУдалитьНа чем акцент: нельзя "рассуждать" или нельзя "оценивать" обстановку?
1. Забрать у сисадмина право хранения резервных копий.
2. Определить, что ценно для компании
3. Определить и привести в соответствие права пользователей на использование ИС компании.
4. Определить все ли ценности адекватно защищены (при необходимости внести изменения)
5. Определить известно ли сотрудникам _что_ и _почему_ ценно для компании, почему они так считают, существует ли ответственность (вкл правовая) и доведена ли она до персонала ....
беда в том, что утечка могла быть не из конторы...
ОтветитьУдалитьи техмеры...
Поскольку приоритетной задачей является "не допустить впредь" и это первые шаги, то мои пять копеек шагов:
ОтветитьУдалить1. Режим КТ, хотя бы в облегченном виде. (Положение, штамп, инструкция перечень допущенных к телу и главное РОСПИСИ).
2. Разграничение прав доступа к КТ (Централизованное управление+крипто+орг меры)
3. Нанять админа на полный рабочий день. Бэкапы хранить в сейфе с журналом и охранником.
4. Логи: много, на разных уровнях и не доступные админу
5. Объявить с фейерверками и полуодетыми девочками, что в компании запущенна многоуровневая система блокирования утечек с элементами искусственного интеллекта использующая механизмы распределённых нейронных сетями подключенная к коммерческой части СОРМ-2. Поэтому при обнаружении утечки сигнал идет автоматом на пульт дежурного полицая и через 5 мин. высылается команда карателей для зачистки местности. Короче поднять осведомленность в вопросах безопасности у персонала. ;)
P.S. Я соискателей оцениваю по их вопросам. Вот система, что нужно вам знать, для того что бы предложить меры по ее защите.
ОтветитьУдалитьА я задаю мало тех вопросов - больше "по душам" чтобы понять характер в первую очередь...
ОтветитьУдалитьа как обычно ловят шпионов? забрасывают дезу и начинают игру.
ОтветитьУдалитьглавное в такой ситуации попытаться понять не топ менеджмент ли сливает и если так - лучше на работу не наниматься (а то сделают козлом отпущения как пить дать..)
Конкретные действия:
ОтветитьУдалить1. Передать ИБ на аутсорсинг.
2., 3., 4., 5. Ежемесячно появляться в офисе для получения з/п.
это типа сходить за з/п 4 раза что ли? )))
ОтветитьУдалить+1 Евгению и Артему.
ОтветитьУдалитьВладимиру и Руслану: а инсайдер как фотографировал телефоном с экрана, так и фотографирует.
2 Ригель см. п 2 в разделе оргмеры.
ОтветитьУдалитьРуслан, инсайдер - легальный пользователь.
ОтветитьУдалитьРигелю: если то, что ценно можно украсть фотографируя, то в пункте 3 принмаются адекватные меры (то есть при использовании ИС незя иметь "фотык" хоть дэдикейтед, хоть ембэдид). Так что усе четко :-)
ОтветитьУдалитьБудут ручкой на ладошку записывать. Инсайдер только ужасом берется, это без вариантов.
ОтветитьУдалитьПосле "пятого" пункта начнутся ужасы. Но пункт надо пройти, что б не "соскользнул"...
ОтветитьУдалитьВладимир, вот именно: когда-то все равно придется, т.к. каждый день искать телефоны в носках и трусах замучаетесь. Поэтому сразу с ужаса и начать, а на остальное забить.
ОтветитьУдалить2 Ригель
ОтветитьУдалитьЯ предлагаю в оргмерах допускать к ПК пользователей без одежды и телефонов и по окончанию работы делать лоботамию и заодно обрубать руки.
При существеном вознаграждении инсайдеру глубоко по все ужасы. Баз нормального УК и ЗоКТ реальную опасность создать не получается находясь в правовом поле.
Надо подготовиться, так как "ужас" хороший драйв для злоумышленника в поиске альтернатив.
ОтветитьУдалитьКогда Вы будете пороть виновного, его сослуживец наконец-то поймет, на какие шиши другом куплена машина и насколько ценна та инфа к которой он доступ имеет. Посему слямзит ее. А Вы не заметете, так как поркой увлечены, да и повторный слив доказать сложнее... ;-)
Руслану: руки нудо не рубить, а обеспечить обязательное мытье. Это укрепит корпоративную культуру, а сегодня это очень важный момент в ИБ ;-)
ОтветитьУдалитьПоэтому на эту ситуацию и следовало изначально ответствовать: "от такой вакансии CISO откажусь, предложу разовую воздмездную помощь в расследовании и написании рекоменаций" ))
ОтветитьУдалить2 Владимир:
ОтветитьУдалитьОтличная идея! Пошел переписывать ПБ. После работы с носителями конфиденциальной информации обязательно мытье рук.
Средства ЗКИ: Все носители в обязательном порядке пересыпаются препаратом содержащим бактерии брюшного тифа.
P.S. Что-то я сегодня аномально злой...
2 Ригель:
ОтветитьУдалитьIMHO вопрос не в вакансии а в абстрактном коне в вакууме. Ездить на таком проблематично, а вот дать пару дельных советов о том как запрягать и объезжать можно.
Если говорить об абстрактной вакансии соответствующей примеру, то тут вероятно будет что-то типа "требуется на неполную занятость директор по безопасности, пользователи обученные случается не более 3-10 инцидентов в месяц".
Написал и подумал: Блин пройдет 5-7 лет и ведь появятся, если уже не появились.
Вспоминая ответы Элвис+ с конференции по ПДн 2009 года:
ОтветитьУдалить1. Отключить от сети
2. Убрать дисковод, компакт-дисковод
3. Заклеить эпоксидкой порты (COM, USB, LPT...)
4. Поставить человека, который будет следить чтоб не фотали, не переписывали
5. ПЭМИН! Главное не забыть поставить Сонату-Р1! :)
Все! Меня возьмут на работу? :)))
А если серьезно, то 5 конкретных шагов, на мой взгляд, будет маловато, либо они все таки не конкретные а комплексные.
ОтветитьУдалить1. Прежде всего надо провести расследование и выявить канал утечки, ибо если это злонамеренный пользователь, то оставлять его как бомбу замедленного действия. При этом почему Ригель уверен, что это человек и он его найдет "голыми руками". Судя по описанию, вполне может стоять зловред, через который осуществляется полный доступ к сети и базам данных (в случае инвестиционной компании запросто можно предположить проведение такой модной сейчас целевой APT-атаки). Тогда только зря народ запугаете и восстановите против себя и безопасности как процесса.
2. Провести идентификацию и оценку активов
Определив возможные каналы утечки:
а. через пользователей
б. через админа
в. зловред удаленного управления
г. кто-то из руководства
пытаемся реализовать:
3. разграничение доступа к ресурсам
4. регистрация событий, периодический анализ логов, мониторинг действий пользователей
5. контроль доступа в интернет, ручной или автоматический (DLP) анализ сетевых потоков информации
5.1 контроль носителей информации (запрет или контроль потоков информации) либо DLP (тогда это одна мера с предыдущей)
6. контроль действий админа (резервное копирование, изменение конфигураций, обслуживание рабочих станций)
7. инструктаж и обучение пользователей (повышение лояльности)
8. вовлечение руководства и его информирование (иначе точно работа будет разовая и первая же жалоба директору сведет на нет все усилия)
Как по мне, так это минимум мер, которые обеспечат хоть какую-то эффективность.
Вообще как это происходит - кто же такой это т инсайдер...
ОтветитьУдалитьИтак:
Некий чел по работе или в курилке узнал что идет борьба за контракт или намечается контракт. Его контора предлагает выполнить работы за 6 000 000 руб.
Этот чел звонит корешу или встречается и говорит что мол контракт предлагают за 6... Корешь предлагает через другую контору даже не свою за откат заказчика и на 5 000 000 контракт...
Вот и все...
Теперь предложите 5 мер по выявлению инсайдера...
Ах да... его инсадера может быть стоит поискать у заказчика ;) который проделал ту же операцию чтобы получить откат... и контора вообще не причем...
ОтветитьУдалитьКак минимум ограничение круга знающих про сумму контракта. Можно кинуть дезу про сумму разным людям и посмотреть реакцию конкурентов.
ОтветитьУдалитьПри ограничении круга подозреваемых можно подарить "ценным" сотрудникам новые смартфоны с защитой программкой записи разговоров :).
Не... Теска Вы не поняли...
ОтветитьУдалитьРаздавать можно смартфоны но кто знал про информацию...
Тот кто с ней работает и тот кто мог подслушать а как узнать - только если настучат см. 5 пункт ))
Так же утечка может происходить не из вашей конторы а от заказчика вот в чем прикол...
И самое смешное если в конторе административно-информационный бардак то и так малополезные техмеры вообще роли не играют...
Из моего опыта (хотя и не инвестиционная компания) в 90% конкурсов в России важна не сумма контракта, а контакты внутри заказчика, которые принимают решение о том, кто выиграл конкурс.
ОтветитьУдалитьПричем принимают решение об этом еще до проведения конкурса :). Тогда можно выиграть и с суммой в два раза больше чем предложили конкуренты, в соответствии с "балльной системой".
Для инвестиционной же компании слив информации, приводящей к потерям, как мне кажется имеет несколько иную природу и ее не должны просто так обсуждать в курилке.
А про техмеры я не так уж много сказал, все таки "разграничение доступа к ресурсам" подразумевает комплекс организационно-технических мер, который конкретизируется только на месте.
Да и "Инструктаж и обучение пользователей (повышение лояльности)" не для красного словца...