Полное FAQ
Признаюсь честно форум ваш видел давно, но не особо вчитывался из-за идиотских предубеждений(pgp это классика, там только о pgp)
Но вчитавшись вижу что здесь есть где разгуляться моей паранойе. Как раз вовремя, так как возникла необходимость повышения уровня безопасности.
Посему ищу полное руководство, что-бы не бороздить океаны одинаковых тем. Есть ли такое? Если нет то предлагаю создать и модифицировать по необходимости.
Предполагаемый уровень опасности:
сторонние специалисты с ограниченным ресурсом(вероятно)
сотрудники специальных подразделений(вероятно)
сотрудники спецслужб снг (крайне маловероятно)
интерпол, европол и анб(невероятно)
сотрудники специальных подразделений(вероятно)
сотрудники спецслужб снг (крайне маловероятно)
интерпол, европол и анб(невероятно)
Про ментов написано не потому что хацкер, а потому-что все они у нас работают на заказ. Хочу защитить коммерческую информацию от посторонних глаз.
Уровень знаний – в теме. Спасибо!
Предполагаемый уровень опасности всегда оценивается как максимально возможный, а пользователь сам оптимизирует его по мере уровня своих знаний, возможностей, времени, желания, удобства, той же "паранойи" в конце концов. Нет одинаковой для всей классификации силы угроз. И её создание — пустая трата времени.
Предпочтение отдаётся открытым, некоммерческим проектам, протоколам, разработанным экспертами и при анализе со стороны научного сообщества. Т.е. открытое ПО и ОС — это неизбежный минимум. Остальное обсуждается неохотно.
Ну есть же две крайности – "младшая сестра" и "Большой Брат". Почему бы не иметь и какие-то промежуточные уровни?
Потому что даже если строить защиту от Большого Брата, она часто оказывается иллюзорной по факту. Что уж после этого про остальное говорить? Специалисты рассматривают "вектор атаки" [это техническая вещь, а не абстрактные "органы" и т.д.]. К примеру, "ко мне пришли ФСБшники" — не вектор атаки, а вот "пусть злоумышленник получил диск, на котором то-то и то-то, тогда какую информацию он может получить, не прибегая к бандитскому криптоанализу?" — именно оно.
Да причем тут классификация угроз. Ее я указал что-бы мне не советовали – не поднимать голову из-за спутников или пользоваться паролем windows, как другая крайность. Речь идет о комплексной СИСТЕМЕ защиты на основе разных средств.
Вам будет полезно ознакомиться с /comment46723[link1], /comment46753[link2] и вообще со всем тем топиком.
Шнайер первым понял, что такой подход не будет работать для коммерческой информации (или что на нём трудно зарабатывать деньги) и предложил подход страхования рисков.
Не всем такой подход нравится (нет рынка независимых страховщиков таких рисков, информационная безопасность катастрофически плохо масштабируется в пределах организации и мешает основному бизнес-процессу больше, чем защищает от возможных убытков). И вероятно, специалистов по сохранению коммерческой тайны здесь мало.
Ранее Шнайер предлагал нечто другое[link3], но похожее.
Близкий подход — управление рисками[link4].
Для коммерческой организации есть смысл по максимуму сделать неуязвимой получение прибыли от раскрытия информации, уменьшить число секретов и считать всё в деньгах — стоит ли внедрять доп. меры защиты или дешевле и эффективнее покрыть потенциальные убытки деньгами (адвокатами, пиар-компаниями и пр). Естественно, если бизнес не связан технически с т.н. реальным сектором (авиаперевозки, опасные производства).
[offtop]
Кажется, авиакомании тоже считают, что По крайней мере, не помню, чтобы расформировали авиакомпанию полностью, а её руководство посадили после очередной авиакатастрофы.
[/offtop]
Всем спасибо за ответы. Видимо моя ситуация требует дополнительного разъяснения.
Я не стремлюсь защитить всю компанию(небольшую кстати) от утечки информации. Рядовые сотрудники могут вещать свою косынку, вконтакте и порнуху хоть по национальному телевидению.Доступа к важной информации у них нет. Меня интересуют только ключевые сотрудники, которые будут придерживаться тех процедур которые им предписаны. Мне не нужны сертификаты и прочие разрешения. Я просто хочу, что-бы если кто-то захочет забрать мою информацию – ему нужно было бы очень попотеть.
Страхование рисков не подходит – утечка информации ведет к уничтожению компании.
Покрыть деньгами в случае чего возможно, но я принципиальный.
На самом деле в FAQ надо указать только, как и где найти (компании) людей, способных защитить конкретную коммерческую информацию на коммерческих же условиях, и как при этом не нарваться на раздолбаев или мошенников. Не уверен, что тут найдутся энтузиасты для чего-то большего.
Это будет коммерческой же рекламой, чего никак не хотелось бы. Т.е., если на сайте висит рекламный баннер, то администрация за его содержимое существенно никак не отвечает. А тащить рекламу в информационные материалы сайта не хотелось бы. Пусть репутация проекта не зависит от репутации каких-то компаний, за которые никто не хотел бы ручаться.
Не, ну общие то принципы, в каком направлении "копать" и при этом не впяпаться в "snake oil", можно указать.
На эту тему у нас уже есть статья и /comment49537[link5] как общие пожелания. Также можно поискать информацию по интересующему продукту в нашем форуме.