Security And Usability
Upcoming SlideShare
Loading in...5
×
 

Security And Usability

on

  • 1,821 views

 

Statistics

Views

Total Views
1,821
Views on SlideShare
1,419
Embed Views
402

Actions

Likes
1
Downloads
79
Comments
0

7 Embeds 402

http://lukatsky.blogspot.com 315
http://lukatsky.blogspot.co.uk 50
http://lukatsky.blogspot.ru 31
http://www.securitylab.ru 3
http://xss.yandex.net 1
http://www.slideshare.net 1
http://www.lukatsky.blogspot.ru 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Security And Usability Security And Usability Presentation Transcript

    • Удобство и безопасность: как совместить несовместимое Алексей Лукацкий Консультант по безопасности Cisco и SAP GRC © 2006 Cisco Systems, Inc. All rights reserved. 1/26
    • Удобство & безопасность Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2/26
    • Зачем нужна система ИБ?  Для защиты Информации Информационных систем Оборудования  Для обеспечения Конфиденциальности Целостности Доступности  … (множество других определений) Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/26
    • Безопасность, как самоцель  Многие руководящие документы, стандарты, требования по ИБ рассматривают безопасность, как самоцель Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/26
    • Безопасность, как самоцель Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5/26
    • Правильная безопасность  Информационная безопасность - это рычаг для генерации большего бизнеса и увеличения гибкости предприятия, которая позволит ему работать в тех областях, которые слишком опасны без реализации адекватной программы ИБ Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/26
    • Кто генерит бизнес? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7/26
    • Безопасность или удобство? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8/26
    • Психологическая приемлемость Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/26
    • Психологическая приемлемость  Очень важно, чтобы интерфейс взаимодействия с пользователем был удобным в использовании; чтобы пользователи запросто и «на автомате» использовали механизмы защиты правильным образом. Если образ защиты в уме пользователя будут соответствовать тем механизмам, которые он использует на практике, то ошибки будут минимизированы. Если же пользователь должен переводить представляемый им образ на совершенно иной «язык», он обязательно будет делать ошибки Джером Зальтцер и Майкл Шредер, 1975 (!) год Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10/26
    • Пароли: что плохого?  Выбирайте пароли длиной свыше 8 символов А как их запомнить?  Используйте системы автоматической генерации паролей (8HguJ7hY) А как их запомнить?  Пусть пароль выбирает пользователь Тривиальные и легко угадываемые пароли Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/26
    • Почему это происходит?  Продукт разрабатывается с точки зрения разработчика, а не потребителя  Если потребители и опрашиваются, то только с точки зрения функций защиты  Тестирование проводится на предмет ошибок и дыр, но не юзабилити  Продукт выпускается в условиях жесткой конкуренции со стороны других разработчиков  В России практически никто не обращается к услугам специалистов по эргономике Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/26
    • Хорошие и плохие примеры Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/26
    • Пароли: как улучшить?  Графические пароли  Токены, смарт-карты, биометрия Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14/26
    • Пароли: хочется сэкономить? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15/26
    • Microsoft  «Монополист» рынка программного обеспечения За счет удобства для пользователя  Множество нареканий с точки зрения безопасности Ситуация изменяется Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/26
    • Пример с ОС Windows  Что такое «signed»?  Что такое «Microsoft Code Signing PCA»?  Всегда доверять этому источнику? А если я хочу всегда недоверять этому источнику?  Что «да» и что «нет»?  Чем это опасно? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/26
    • Пример с ОС Windows  Как можно открыть exe- файл?  Чем это опасно?  Какие действия осуществляются по умолчанию? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/26
    • Заключение Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19/26
    • ZoneAlarm  1 миллион загрузок с сайта за первые 10 недель  Один из самых популярных продуктов для персональной Интернет-безопасности  «…чтобы даже мама могла использовать» Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20/26
    • Принципы дизайна ZoneAlarm  Знайте вашу аудиторию  Думайте как ваша аудитория  Избегайте беспорядка  Избегайте сложности  Встаньте на сторону пользователя даже если конкуренты «давят» на вас со сроками  Обеспечьте обратную связь с пользователем!!! Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/26
    • Обратная связь!!! Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22/26
    • Вирус bagle.aa и Cisco Security Agent  Вирус появился в апреле 2004  Не было времени на установку патча или обновление антивируса  Из 38,370 ПК защищенных Cisco Security Agent, около 600 было скомпрометировано – 620 пользователей открыло зараженный файл Некоторые пользователи нажали “Yes” на вопрос «Подозрительное приложение пытается получить доступ к электронной почте. Разрешить?»  Существенное снижение времени и стоимости борьбы А также обновление политики безопасности для снижения влияния «человеческого фактора» Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23/26
    • Дополнительная информация  http://www.ischool.berkeley.edu/~rachna/security_usabilit y.html - множество ссылок на публикации об удобстве и безопасности  Security and Usability. Lorrie Cranor, Simson Garfinkel Publisher: O'Reilly Pub Date: August 2005 ISBN: 0-596-00827-9 Pages: 738 Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/26
    • Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: (495) 961-1410 Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/26
    • Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26/26