Прогуливаясь сегодня по новостным ресурсам, мое внимание привлекла новость на xakep.ru, относительно результатов проведенного аудита ИБ государственного пенсионного фонда Миннесоты. Дело в том, что перечисленные проблемы ИБ, выявленные зарубежными коллегами, аналогичным образом наблюдаются и у нас в России. Это следующие недостатки: "…плохо сконфигурированные файрволы и беспроводные сети, слабые пароли и отсутствие общей системы управления безопасностью, способной реагировать на изменение типов угроз".
Особенно улыбнуло схожесть подходов, как у нас, так и за рубежом: "…исполнительного директора пенсионного фонда Миннесоты Дэвида Бегстрема данная информация не удивила" и "…сотрудники фонда считают, что добились в этом вопросе существенных успехов…".
Не стану комментировать, каких таких "успехов" могли добиться сотрудники фонда Миннесоты при полученных результатах аудита, потому как воочию видел подобного рода "успехи". Но, к сожалению, такие "успехи" и подходы со стороны руководства приводят к реальным утечкам конфиденциальной информации, как у них, так и у нас.
в продолжение темы:
ОтветитьУдалитьhttp://safe.cnews.ru/news/line/index.shtml?2009/06/26/352002
"...на компьютерах была установлена специальная программа, которая требует ввода нескольких паролей для доступа к медицинским данным..." и "...информация на украденных компьютерах хранилась в незашифрованном формате..."
да хоть 10 паролей могли бы использовать, толку то от подобных мер, когда информация в открытом виде:))
сразу же вспоминается один аудит, который я проводил в свое время. Данные: сеть ограниченного доступа на Windows; в сети используется специальный интерфейс, запрашивающий два пароля для авторизации к обработке данных (один общий и один личный). Т.е. используется трехуровневая аутентификация, основанная на паролях (один в AD и два в приложении). Так вот, дело в том, что авторизация к СУБД осуществлялась на основе принадлежности к домену. И таким образом, без знания паролей к приложению (где весьма и весьма ограничивался доступ к обрабатываемым данным), было возможным обратиться напрямую к СУБД от имени любого доменного пользователя со всеми возможными привилегиями по работе с данными:-) Выводы делаем сами...