?

Log in

Очень часто предполагают, что вся ИТ инфраструктура защищена, так как стоит брандмауэр и антивирус, однако на деле это оказывается не так.

Связано это с тем, что в системе управления информационной безопасностью плохо разработаны, а порой и вообще отсутствуют процессы, охватывающие фундаментальные уровни уязвимостей. Под этими уровнями я подразумеваю, категории процессов или фундамент, на котором держится и функционирует система ИБ. Как только на каком либо из уровней возникает брешь, тут же появляется лазейка для злоумышленника.

Уровни уязвимостей
- Физический
- Технологический
- Логический
- Человеческий
- Законодательный
- Организационный

Физический – отвечает за физическую безопасность и доступ. Это двери, замки, окна, методы доступа к источникам информации, сотрудники охраны.

Технологический – отвечает за технические средства защиты. Это сигнализация, видеокамеры, системы обнаружения вторжения, брандмауэры, средства обнаружения закладок, генераторы помех и т.д.

Логический – отвечает за логику или всё ли функционирует логично?
Правильно ли созданы листы доступа на брандмауэре, правильно ли расставлены посты охраны на объекте, правильно ли расставлены датчики и камеры. Здесь очень часто встречаются спорные вопросы, и порой те или иные правила зависят от объекта и окружающей среды.

Человеческий – отвечает за человеческий фактор. Это уровень бдительности и осведомленности персонала. Это то насколько дисциплинирована охрана. Человеческий фактор является одним из самых уязвимых уровней, ведь именно через человека очень часто утекало и утекает хорошо защищаемая информация зарубежным спецслужбам и именно этому фактору, во многих компаниях уделяется очень мало внимания.

Законодательный – этот уровень отвечает за законодательную базу. Это то, насколько всё законно устроено и функционирует в рамках закона. Соответствует ли хранение информации, к примеру, которая составляет гос. тайну, закону и требованиям установленными государством.

Организационный – отвечает за организацию всех процессов и документации. Это регламенты, политики, инструкции, положения, планы реагирований на инциденты, протоколы и т.д. Этот уровень по своей сущности близок к законодательному.

Эти пять направлений взаимосвязаны друг с другом, они дополняют друг друга и должны быть под контролем, в противном случае, инфраструктура будет плохо защищена от современных угроз.

В реальной ситуации нацеленный злоумышленник обычно атакуя и проникая в сеть компании, действует по принципу от самого легкого к самому сложному. Если ему не удастся пробить периметр сети, он попробует выманить пароли у сотрудников, сыграв на человеческом факторе, если и это не удастся, он попробует получить физический доступ к источникам информации и так далее. В данном случае злоумышленник действует по принципу гибкости и рано или поздно находит лазейку. То же законодательный уровень, если конкурент прознает, что в компании не соблюдаются какие то требования, то конкурент может пожаловаться в органы и компанию оштрафуют и приостановят деятельность.

Лично, по моему мнению, у большинства плохо защищенных компаний в РФ присутствует только три уровня, из них:
Первый – физический, который на деле, оказывается, уязвим за счет отсутствия остальных.
Второй – технический, который несовершенен и требует доработок, в связи с отсутствием остальных.
Третий – логический, который несовершенен.

Немного о себе

Родился и живу в Москве.
После школы несколько лет учился в Великобритании.

Когда вернулся пошел работать в среднюю по величине компанию в департамент информационных технологий. Занимался технической поддержкой, ремонтом компьютеров, установкой операционных систем и помощью пользователям. По прошествии нескольких лет, задачи мои изменялись и я начал заниматься администрированием систем безопасности видео наблюдения и систем контроля и управления доступом (СКУД).

Потом была служба в армии. Из армии вернулся обратно на фирму, где проработал еще год в ИТ департаменте.
Потом была работа в государственной организации при Президенте РФ.
Через какое-то время перешел в банк в подразделение информационной безопасности.  Окончил высшее образование в сфере менеджмента, а затем получил диплом о профессиональной переподготовке в области ИБ и комплексной защиты конфиденциальной информации в организации.

На данный момент продолжаю работать в банке и параллельно занимаюсь консалтингом в сфере информационной безопасности по части анализа защищенности и тестов на проникновение.

Стараюсь мыслить гибко. Ценю в людях упорство, смелость, доверие и доброту.
Знаю английский язык. Каждый день что-то читаю.
Для меня информационная безопасность, это не только работа, но и хобби.

Сертификации:
Offensive Security OSWP
EC-Council CEH

Некоторые пройденные курсы:

  • CEH. Этичный хакинг и тестирование на проникновение,  Центр обучения специалист при МГТУ им. Баумана

  • Техническая защита персональных данных, Информзащита

  • Безопасность информационных технологий, Информзащита

  • Защита персональных данных, Информзащита

  • Администрирование Check Point Security Administrator R75, Network Training Center (НТЦ)

  • Защита сетевого периметра, Информзащита

  • Использование ЭЦП и PKI, Информзащита

  • Анализ защищённости сетей, Информзащита

  • OSWP — Offensive Security Wireless Professional, Offensive Security

  • Администрирование сетей на базе VIP NET, Infotecs

  • SCNP - Сертифицированный специалист по безопасности сетей, Центр обучения специалист при МГТУ им. Баумана

  • Программирование на языке С (Си), Центр обучения специалист при МГТУ им. Баумана

  • Основы программирования и баз данных, Центр обучения специалист при МГТУ им. Баумана

  • Практический курс построения сетей на основе оборудования Cisco и технологий Microsoft, Центр обучения специалист при МГТУ им. Баумана

  • Тестирование на проникновение: технологии хакеров для аудита информационной безопасности, Эшелон - Учебный центр

  • Администратор сетей UNIX (Linux), Центр обучения специалист при МГТУ им. Баумана

  • Введение в защиту информации от внутренних ИТ-угроз, Интернет-Университет Информационных Технологий

Некоторые сертификаты:
it_specceh_spec

infosec_analiz_zash_setOSWP

программирование Спостроение сетей на циско
Основы Программированияосновы сетейлинукс2линукс1

эшелон пентестvipnet
внутр ИТ угроз1teh_zash_persdanyh


SCNP-TPDeSCNP-SISe

Pers_dannye_certinfosec_Zashita_set_perimetra


infosec_ECP-PKI_141112Diplom_p1

checkpoint_2bezopasnost IT