Перейти к содержанию

Как бы я строил систему ИБ ...

Оценить эту тему:


Рекомендуемые сообщения

Озаботившись поиском работы, решил внимательно, в очередной раз посмотреть в сторону служб информационной безопасности. Почитал тут темы на форуме, посмотрел объявления о вакансиях и понял, что мне туда не надо :о)) Все СИБ делятся на группы, как мне кажется. Первая пытается "организовать" ИБ посредством использования "найденных" программок, борется в основном с "одноклассниками" и другими социальными сетями, и "следит" за сотрудниками. Яростно пытается решать какие-то задачи типа "Сотрудники в рабочее время не работают!", и "Как бы мне почитать переписку одного из сотрудников" Вторая группа, везде пытается ставить юникс-подобные операционные системы, шифровать все, что шифруется (знаковое ограничение, как мне кажется :о)) и контролировать все, до чего руки дотянутся. Опять таки, только куда дотянутся. И тот, и другой подход, как мне кажется, ничего общего с системой информационной безопасности не имеет. В первую очередь, потому что правило цепочки никто не отменял, и во вторую, потому что пытается исключительно контролировать каналы утечек, а не обеспечивать безопасность информации. Получается плохо, детище уважаемого Масаловича тому примером. Ну я могу запросто ошибаться, потому что никакого образования у меня в этой области нет :о))) Есть исключения, но они только подтверждают правило.

 

Вообщем в порядке бреда, как бы я строил систему информационной безопасности сейчас. С нуля. Стандартный набор: корпоративная сеть, доступ в Интернет, телефония, бухгалтерский софт, почта, 100-150 человек сотрудников.

 

Заранее, четко отделяем периметр от внутреннего круга, в данном тексте задачи по охране периметра нет, но некоторые моменты работают на нее.

 

И так я бы начал с выбора ПО. Можно кричать, все что угодно, но альтернативы продуктам Windows-based, для серьезного бизнеса нет. Все потуги и попытки компаний использовать в бизнес-целях продукты Гугла, перекупать и развивать продукт своими силами ( Самсунг у Хьюлетта) пока разбиваются о многочисленные трудности, не в последнюю очередь связанные с организацией ИБ. Продукты MS отличает несколько особенностей, они хорошо интегрируются друг с другом, охватывают большой спектр задач, логически правильный спектр и стоимость владения ими не высока. Последний пункт особенно важен, даже если рассматривать его со стороны ИБ. В широко известных продуктах, вы можете минимизировать риски «замыкания» всех потоков секретов на одного (одну) группу людей. Системные администраторы становятся достаточно хорошо заменяемы.

Поэтому я выбрал бы Windows Server 2008 R2. Почему именно R2? Это свежая версия сервера, она умеет несколько очень интересных штук, которые я попытаюсь описать и использовать. То есть в качестве единого централизованного корпоративного справочника выбрал бы Актив Директори. Исходя из вышеоговоренных условий, мне потребовалось бы два сервера под контроллеры домена. Первый контроллер домена, назовем его PDC (Primary Domain controller) со всеми ролями типа хозяев схемы, сервисами DNS и DHCP, и второй контроллер, назовем его BDC, который также будет выступать в роли Certification Authority, уровня предприятия, сервер политик сети NPS, центр регистрации трудоспособности HRA и службы управления правами AD RMS.

Все эти возможности уже есть в сервере, Вы их уже купили вместе с лицензией, а значит их нужно использовать как минимум в целях повышения эффективности затрат. То есть, я достаточно просто и в тоже время унифицировано и централизованно решаю таким образом несколько важных проблем, как то:

1) Ограничение доступа к корпоративной сети, не доверенными устройствами. Согласитесь, сложно решить задачу об ограничении физического доступа к локальной сети и (или) контроле точек такого доступа, особенно в наше время. Когда от сетевой инфраструктуры требуется быть очень гибкой, и быстро и стандартизовано решать задачи подключения к сети. Контролировать подключения внешних устройств (флешки, жесткие диски, плееры и так далее)

2) Службы регистрации трудоспособности HRA. Позволяют реализовать «карантин» Да-да! Сейчас, когда многие сотрудники компании пользуются ноутбуками на рабочем месте, когда реализуется стратегия мобильности бизнеса, мобильности доступа к данным очень важно использовать «карантин» То есть при попадании в корп.сеть ноутбук проходит проверку, по правилам которые задает системный администратор. Все ли необходимые патчи установлены, всё ли необходимое ПО установлено, обновлен ли антивирус, не установлено ли неразрешенное ПО на ноутбуке, в порядке ли срок у сертификатов и так далее.

3) Службы управления правами RMS, я ниже рассмотрю отдельно. Они того стоят.

4) Службы доверенного управления. TPM Вот тут мы первый раз пересекаемся, с контролем периметра. На самом деле, системы контроля доступа, превалирующие на рынке имеют очень давно весьма интересный и серьезный функционал, такой как обработка радиометок. Но используются либо брелоки, либо карточки с примитивно-банальным RFID-ами. В принципе, давно уже не рассматривается как вариант, хоть сколько-нибудь серьезно ограничивающий доступ, и служащий скорее в целях контроля рабочего времени и удобства пользователей. Взламываются они очень просто, в Интернете полно видео на эту тему и подробнейших инструкций и о сканировании таких «устройств-ключей»,и о подделке. Чипы бывают разные безусловно, отличаются и степенью защиты, и расстоянием на срабатывание от считывателя. Но все этим радиометки обычно прекрасно интегрируются в смарт-карты. Да-да, обычные смарт-карты. Подделка которых уже более сложная задача, а в условиях видеоконтроля считывателя безопасность периметра даже повышается. В самом деле, при визуальном контроле хорошо видно, используется ли для прохода корп.карта (так называемая цветная, на нее еще наносят обычно рисунки типа логотипов компании, или даже фотографии сотрудника), либо «белый пластик», либо вообще устройство сканер. Дополнительный фактор, который лишним не будет. Не будем останавливаться на типах RFID, дискуссии о подделке MIFARE или российских чипов к рассматриваемой области относятся опосредованно достаточно. При имплементации такой метки на смарт-карту, можно решить очень серьезную задачу. Унифицировать, и значительно поднять секьюрность допуска к ресурсам.

Ведь на самом деле, в предлагаемом варианте смарт-карта служит для решения качественного решения проблемы с паролями пользователей. Проблема уже обсосана до нельзя, и все таки почему-то до сих пор существует. Пользователи передают свои пароли другим людям, диктуют их по телефонам, отправляют их другими каналами связи. Пользователи забывают пароли, пытаются использовать нестойкие варианты, негативно относятся к даже к редким циклическим сменам паролей. А тут, карта служит для доступа в сеть. Пароль на карте. Надо только знать пинкод к карте. Эта же карта служит для прохода на рабочее место, и в разрешенные зоны. При чем на карте хранится не просто пароль. Это часть целого механизма, который будет включать в себя и шифрование, и аутентификацию, и процедуры подписи.

 

Второй контроллер домена будет содержать рабочий экземпляр службы Certification Authority, который будет непосредственно раздавать сертификаты, выдавать их только после одобрения вручную администратором безопасности (в принципе если не использовать и не заморачиваться на методах определения токсических комбинаций прав, и прочем, то вполне достаточно визуального контроля обычным системным администратором. Грубые попытки несанкционированного доступа и ошибки там очень хорошо видны) Это будет подчиненный центр сертификации. Первичный, образцовый мне кажется правильным сделать на ноутбуке, простом, недорогом и надежном. Который (ноутбук) после развертывания инфраструктуры необходимо будет убрать в сейф, и доставать его оттуда только для проведения регламентных работ. Сертификат необходимо (просто очень важно!) купить у серьезного поставщика. Сертификат купленный, может помочь Вам во многих случаях, от организации доступа к данным в корпоративной сети из сетей общественного пользования до борьбы с кибер-сквоттерами. Стоимость сертификата в год около 400 долларов, зато качественно уровень доверия к системе возрастает достаточно сильно.

На данном месте, первый этап подготовки к создания системы информационной безопасности можно считать оконченным. Все эти сервисы и оборудование необходимо запустить с минимально необходимыми для проверки работоспособности настройками. Практически дефолтными. Контроль можно (и нужно!) провести при помощи средств BPA – Best Practice Analyzer – бесплатные средства проверки соответствия рекомендациям. Кстати отчеты BPA будут и первым нашим документальным фундаментом системы. Для системы ИБ документы это самое важное.

Далее я бы сел писать первые драфты регламентов. Да-да. Именно регламентов работы. В любом бизнесе необходимо обмениваться, модифицировать и создавать информацию. Как и кто создает и изменяет информацию, это основа бизнеса. Модифицировать регламенты работы с информацией можно и нужно будет впоследствии, как для ограничения доступа, так и например, для оптимизации. Но изначально необходимо четко и понятно описать процессы в виде AS IS. То есть «как есть». Нарушать устоявшиеся схемы можно, но только в готовых и утвержденных рамках и процедурах. А мешать сотрудникам выполнять свои задачи, мы не должны. Поэтому в первых версиях регламентов достаточно просто провести обследование и исследование текущего состояния.

Те процессы, которые неформализованны тем ли иным образом (то есть, исключая процессы от «так исторически сложилось», до четко описанных в документах) можно и нужно приводить в порядок в виде описанных процедур. Чем больше их будет, тем лучше. Впрочем это тонкости из другой оперы.

Далее организуем хранение и обмен данными.

В составе сервера Windows идет очень мощный пакет SharePoint Services. Использование его не просто важно, но даже необходимо. Ну давайте начнем с самого начала. Как организовывался, и к сожалению до сих пор во многих местах организуется процесс хранения данных? При помощи «Файлового сервиса» Грубо говоря, это структура папок на сервере, доступ к которым и права выдает «Владелец» папки. Такую структуру еще называют, совершенно заслуженно, «файлопомойкой» . Так как очень быстро, на таком хранилище наступает хаос. Кто и какой доступ имеет, очень трудно отслеживать. Процесс выдачи прав быстрый и простой, и кому когда они были выданы, для чего и насколько, очень трудно контролировать. Какая версия документа актуальна, в чем отличия между версиями, кто исправлял и какие параметры, очень нетривиальная задача. А при использовании Sharepoint мы получаем прозрачную, понятную структуру, с четко выделенными правами, хранением версий, поиском и даже каким-то скажем так «документооборотом» Документооборот концепции ECM не соответствует, но простые задачи назначить можно. Существует множество решений, которые собирают данные о SharePoint с правами доступа очень быстро, существует возможность проводить групповые операции. Вообщем такую вещь, которая входит в состав пакета грех нее использовать.

Вот тут неоценимую роль играет RMS, который упоминался в самом начале. RMS на основе данных пользователя может накладывать ограничения такого вида, как Чтение, Изменение, Пересылка,

и даже Печать документа, реализуется например функционал «водяных знаков» на распечатке, вполне например динамических. Например на распечатанном тексте присутствуют watermark’и об уровне конфиденциальности документа, месте, числе и дате распечатки и кто распечатал. Если вы переслали пользователю файл, то вы можете наложить ограничение на его пересылку, или печать. Логирование действий пользователей с документами, становится совсем прозрачным. И да, весь этот замечательный функционал очень хорошо и корректно работает именно с SharePoint.

Накладываются наши написанные регламенты на структуру SharePoint вполне прозрачно, логично и легко. Как и изменяются впоследствии. Прозрачно для пользователя, удобно и понятно. Если у пользователя например нет доступа к документу, он может затребовать к нему доступ, при помощи нажатия всего на 1 клавишу мышкой. Возникнет электронная форма запроса на доступ, где можно обосновать запрос и отправить владельцу ресурса. Владелец получив письмо, может предоставить доступ пользователю точно так же. Мышкой. Все документы, которые хранятся на SharePoint в условиях использования RMS будут зашифрованы. Для пользователя, имеющего право на доступ, они будут автоматически и прозрачно расшифровываться. Криптостойкость алгоритмов, не входит в область охватываемую в данном тексте, но среди доступных стандартов есть достаточно серьезные. Средства анализа активности пользователей на данном ресурсе вполне могут быть использованы не только для оперативных задач, но и выявления токсических прав и последующего нарушения конфиденциальности.

Вот тут возникает вопрос обмена почтой.

В принципе, можно использовать не только MS Exchange сервер, для организации почты. Экономия трафика, уровень доверия к данным возрастает, так как самый большой почтовый обмен данными все равно будет происходить внутри организации, но мне кажется, что после появления версии сервера Exchange 2010 , который будет уметь поддерживать hosted решения (то есть сам сервер Вы берете в аренду, а поддерживает и обслуживает его провайдер услуг, на территории которого собственно он физически располагается) основными факторами, влияющими на создание такого сервера являются вопросы ИБ и организации телефонии. Если Вы не готовы переносить сервер корпоративной почты на территорию другого юр.лица (от много зависит, в том числе и от законодательства) и собираетесь использовать систему корпоративной телефонии, то мне кажется правильным будет использовать все-таки Exchange. Выше упоминавшийся RMS Отлично работает с почтовым сервером MS Exchange, с поддержкой шифрования, отслеживанием прав и так далее.

Для организации телефонии я бы стал использовать решение на VoIP. Тут много можно спорить, но есть несколько несомненных плюсов, именно в аспекте ИБ. Во первых весь голосовой трафик идет в цифровом виде. То есть мы всегда прозрачно для пользователя можем и прослушать , и записать телефонные переговоры. Это достаточно просто, надежно вполне и вообще в цифре :о)))

Цифра легко обрабатывается, при хранении занимает достаточно мало места. Отпадает необходимость в уведомлении администратора PBX, о необходимости доступа к записям переговоров сотрудника. Достаточно один раз получить доступ к хранилищу, и использовать его. В плане бизнеса система контроля и записи телефонных переговоров, также может иметь важное значение, например при общении с клиентами. Ну например, чтобы ограничить сотрудников в разговорах по сотовым телефонам, достаточно устроить в офисе несколько «глушилок» GSM (возможно CDMA) диапазонов, тогда останется только один путь общения, это использование корпоративного стационарного телефона. В тоже время, чтобы не ограничивать права, можно оставить несколько зон в офисе, в которых будут работать телефоны. Никто кстати не помешает установить в таких зонах скрытые средства аудио(аудиовизуального) контроля. Использование «глушилок» вполне можно мотивировать, например заботой об отсутствии шума в офисе, вызванного разговорами. Более того, при отсутствии работника в офисе например, можно контролировать содержание звонков на мобильный телефон, переадресуемых с корпоративного. Пусть Вашим сотрудникам звонят не на мобильные телефоны, а на внутренние номера. При выдаче корпоративной сим-карты, совсем необязательно давать права на звонок с нее напрямую. То есть, чтобы позвонить на корп. Мобильный сотрудника, необходимо набрать его внутренний номер, или соединиться через секретаря. Сотрудник может и не знать свой номер мобильного, для этого при заключении контракта с ОпСоСом достаточно указать ограничение исходящих вызовов только корпоративным голосовым гейтом. Таким образом кстати решается и проблема нецелевого использования бюджета на мобильные телефоны, и экономия достигается немалая. Особенно при частых звонках из роуминга. Ну это уже тонкости. Из решений, которые все это умеют делать, я знаю только Asterix и MS Office Communication Server. В принципе решений, которые декларируют такие возможности много. Но после некоторых сложных экспериментов, я уверен в возможности работы только в этих двух. Asterix бесплатен, но стоимость владения им велика. Его либо нужно отдавать в аутсорс, либо содержать специалиста. MS OCS продукт платный, с гораздо более широким функционалом, но более просто поддерживаемый. В принципе оба продукта не требуют наличия «железной» АТС, но если Asterix в таком разрезе апробированное многими решение, то для MS OCS все-таки рекомендуется использование АТС. Вопросы безопасности таких систем действительно очень важные. К сожалению протоколы в основном не взломостойкие, но! В данном решении, всем вышеописанным предусмотрено использование соединения с помощью TLS (то есть SIP Hi security), безопасность которого, уже вполне удовлетворительна. Существует множество утилит, позволяющих проводить аудит таких систем. Достаточно погуглить по запросу SIP security audit

Антивирусы. Копий и голов было сложено много в прямо таки эпических битвах «какой антивирус самый лучший» В приведенном случае, самым лучшим решением будет антивирусная защита от … опять Микрософт. Да-да. На сегодня, бесплатный антивирус от майкрософт умеет справляться с подавляющим большинством вирусов, количество их больше чем у большинства платных аналогов. Серверные продукты, использованные в данном решении, лучше всего защищаются опять таки специализированными антивирусными решениями от Микрософт. Большой плюс в этом случае, еще и в особенностях лицензирования микромягкого антивируса. Большой плюс в деньгах, в сегодняшней модели, вы платите только за то, что вам действительно необходимо. Вам не приходится переплачивать, когда некоторые модули перекрывают функционал друг друга и соответственно не используются эффективно.

Шифрование клиентских данных. В доменной инфраструктуре после появления линейки Vista появилась возможность централизованного управления шифрованием клиентского жесткого диска (жесткого диска компьютера пользователя) Да-да. Это практически идеальное решение на данный момент, связанное с атаками на выключение. Вам достаточно будет вынуть и уничтожить смарткарту, для того чтобы процесс восстановления данных с вашего компьютера был весьма нетривиальным даже для серьезно подготовленных атакующих. Причем если раньше, вам приходилось при использовании таких средств шифрования, вручную указывать, что необходимо шифровать, то сейчас шифруется прозрачно весь том жесткого диска. От серьезных спецслужб это не спасет, безусловно. Но такой задачи и не стоит (за такие деньги :о_))) Причем я бы например, стал использовать в качестве клиентской операционной системы не Vista, или тем более не ХР, а новую Windows 7. Во первых она поможет сэкономить, на стоимости рабочих мест, так как гораздо менее требовательна к ресурсам чем Vista, во вторых, у нее есть много новых средств и возможностей, которые в будущем могут очень пригодится.

Для организации доступа в Интернет, и публикации сервисов, таких как доступ к почте, ограничение доступа к заранее определенным сайтам наверное лучше всего в такой ситуации подойдет MS ISA 2006. Хотя повторюсь, задачи контроля периметра тут не рассматриваются

Собственно все. Мы получили гибкое, вполне надежное решение, охватывающее и предоставляющее весь минимально необходимый функционал для офиса и позволяющее решать насущные задачи ИБ внутри корпоративного сегмента достаточно эффективно. Достаточно эффективно, как по спектру возможностей, таки по контролируемым рискам. И что немало важно по соотношению стоимость-эффективность. Контроль и защита от инсайдеров, шифрование, аудит и ведение журналов действий пользователей, политика паролей, безопасные коммуникации.

 

Ну вот собственно, давайте приблизительно посчитаем стоимость серверного парка ПО и «железа» на 150 человек. У меня получается где то 40 тысяч долларов, то есть около 250 долларов на сотрудника. По моему неплохо. Особенно если учесть, что функционал ИБ собственно занимает одну треть стоимости. Как мне кажется, в этом случае соотношение цена-эффективность прям таки зашкаливает :о)))

Да, прошу не считать это рекламой мелкомягких. Я НЕ «сертифицированный специалист» :о))) Просто этот то функционал, который у них есть, который мне кажется нужно использовать. Все написанное автор сам умеет делать руками, и делал не раз. На вопросы, если будет надо попробую ответить. Если будет интересно, могу попробовать продолжить. Все написано, чисто от скуки :о)))

 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 36
  • Создана
  • Последний ответ

Топ авторов темы

Топ авторов темы

Вообщем в порядке бреда, как бы я строил систему информационной безопасности сейчас. С нуля. Стандартный набор: корпоративная сеть, доступ в Интернет, телефония, бухгалтерский софт, почта, 100-150 человек сотрудников.

 

Заранее, четко отделяем периметр от внутреннего круга, в данном тексте задачи по охране периметра нет, но некоторые моменты работают на нее.

 

И так я бы начал с выбора ПО.

 

А может быть, всё таки имеет смысл начать с определения целей и задач? -)

Потом озаботиться методологией. Нарисовать политику безопасности и модель угроз. Почитать ГОСТ -). А потом пригласить хорошего системного архитектора/безопасника.

В одной из весьма и весьма крупных контор, с выстроенной в техническом плане ИБ и мощнейшей СБ, простое сканирование расшаренных документов помогло найти несколько экземпляров <потерянного в бумажном виде> аудита этой системы безопасности с соответствующими грифами -))

А бедный офицер безопасности краснел в своем закутке, рисуя отчеты по посещению ТОП-менеджрами различных сайтов. Но был сильно удивлен, что практически все сетевые принтеры, включая VIP-овские, сидели в одном VLANе, причем с пробельными паролями на управление через web, а при отправке почты "ручками" через внешний релей на внутренние адреса элементарно подменялось имя отправителя и replay-to.

Т.е. уязвимостей "изнутри" было немеряно, правда, на тот момент никто ими бы и не воспользовался - из за беспеки не информационной, а обычной, суровой и уважаемой -)

 

Ссылка на сообщение
Поделиться на другие сайты
А может быть, всё таки имеет смысл начать с определения целей и задач? -)

Потом озаботиться методологией. Нарисовать политику безопасности и модель угроз. Почитать ГОСТ -). А потом пригласить хорошего системного архитектора/безопасника.

В одной из весьма и весьма крупных контор, с выстроенной в техническом плане ИБ и мощнейшей СБ, простое сканирование расшаренных документов помогло найти несколько экземпляров <потерянного в бумажном виде> аудита этой системы безопасности с соответствующими грифами -))

А бедный офицер безопасности краснел в своем закутке, рисуя отчеты по посещению ТОП-менеджрами различных сайтов. Но был сильно удивлен, что практически все сетевые принтеры, включая VIP-овские, сидели в одном VLANе, причем с пробельными паролями на управление через web, а при отправке почты "ручками" через внешний релей на внутренние адреса элементарно подменялось имя отправителя и replay-to.

Т.е. уязвимостей "изнутри" было немеряно, правда, на тот момент никто ими бы и не воспользовался - из за беспеки не информационной, а обычной, суровой и уважаемой -)

Я с большим уважением отношусь к "одной из весьма крупных контор", только вот в плане ИБ давайте не будем "меряться" ок? А то примеров очень много, прям наглядных и прям из интернета :о))) Может быть очень трудно обьяснить, как такое не только получилось, но и с какой радости оно продолжается больше двух лет. В свете последних событий, я думаю не стоит вообще.

В условиях задачи стоит компания, со скромным бюджетом, численностью 100-150 человек,которая должна решить кроме ИТ задач, в рамках того же бюджета задачи ИБ. Обычная совсем. Никто цисковскими телефонами в начальника Ит не кидает, прошу заметить. Люди делом заниматься собрались, а не про ГОСТ, в рамках тендеров вспоминать.

Претензии к функционалу решения есть? Неохваченные сектора? Косяки в реализации? Поконкретней плиз.

Ссылка на сообщение
Поделиться на другие сайты
Я с большим уважением отношусь к "одной из весьма крупных контор", только вот в плане ИБ давайте не будем "меряться" ок? А то примеров очень много, прям наглядных и прям из интернета :о))) Может быть очень трудно обьяснить, как такое не только получилось, но и с какой радости оно продолжается больше двух лет. В свете последних событий, я думаю не стоит вообще.

В условиях задачи стоит компания, со скромным бюджетом, численностью 100-150 человек,которая должна решить кроме ИТ задач, в рамках того же бюджета задачи ИБ. Обычная совсем. Никто цисковскими телефонами в начальника Ит не кидает, прошу заметить. Люди делом заниматься собрались, а не про ГОСТ, в рамках тендеров вспоминать.

Претензии к функционалу решения есть? Неохваченные сектора? Косяки в реализации? Поконкретней плиз.

Что упущено? Имхо, почти всё, что связано с безопасностью. К архитектуре ИТ-ного решения претензий никаких -) Может, и взлетит.

Но. Если люди, собирающиеся заниматься делом, в том числе озадачившиеся безопасностью, считают ИСО/МЭК 15408 (в частности) типа никому не нужной бумажкой для тендеров, промолчу.

 

Наличие скрытых средств аудиовизуального контроля, глушилок, развитой СКД говорит о не столь уж маленьком бюджете.

Собственно, критическое замечание одно - ТЗ (а выложенный материал вполне на него тянет) относится к ИТ-инфраструктуре, частично затрагивая базовые технические элементы ИБ, но не более того. Т.е. речь идет не о построении системы информационной безопасности, а о реазицатии ИТ-инфраструктры на одном бюджете с ИБ. Тогда, собственно, и вопросов никаких.

Ссылка на сообщение
Поделиться на другие сайты

Все настроение испортили. Вот как с Вами общаться? :о))) Я понимаю, что критиковать ИСО/МЭК 15408 глупо, по крайней мере. Приводить аргументы? Так вы их не привели, отделались общими фразами. Бряцать конкретикой? так вроде не мальчик.

Удалите тему пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
Все настроение испортили. Вот как с Вами общаться? :о))) Я понимаю, что критиковать ИСО/МЭК 15408 глупо, по крайней мере. Приводить аргументы? Так вы их не привели, отделались общими фразами. Бряцать конкретикой? так вроде не мальчик.

Удалите тему пожалуйста.

 

ZmeyTF, да не обижайтесь. Техника в такой конфигурации работать будет, что с ней станется. И базовая защита вроде как обеспечена. Насчет удобства такой реализации - вопрос спорный, хотя это скорее из религиозной области -).

Вопрос то в другом был - прежде, чем строить архитектуру и выбирать/проектировать техрешение, всегда хорошо ответить на основные вопросы, и первый - Зачем. Что. И только потом уже - Как.

Что именно защищать. Зачем. От кого. Какие риски и угрозы. Модель нарушителя. В "Единых критериях" все это (вернее, часть этого) хорошо расписано, и это не догма. Не от хорошей жизни этот стандарт появился, да и другие тоже. На этом стандарте свет клином не сошелся.

Просто что обидно, очень много отличных технарей (и ИТ-ников, да и безопасников) строят шикарные системы, которые в результате не предоставляют требуемые функции в полном объеме - я имею в виду те функции, что требуется функциональному заказчику, бизнес-заказчику, далекому от ИТ, но близкому к деньгам, власти... и рискам.

 

Ссылка на сообщение
Поделиться на другие сайты

Ну я тут никому и ничего не продаю, поэтому философию не разливаю. Задачи которые необходимо решать, каждый сам знает, ставит их и выясняет. Если в описанном функционале они есть, то вполне может понять, как в рамках необходимых задач конкретному предприятию это можно использовать. Такая цель была, хотелось подискутировать, а не выяснять в стопицотпервый раз "какая модель нарушителя", "какие требования бизнеса"

Удалите тему плиз кто может

Ссылка на сообщение
Поделиться на другие сайты
Ну я тут никому и ничего не продаю, поэтому философию не разливаю. Задачи которые необходимо решать, каждый сам знает, ставит их и выясняет. Если в описанном функционале они есть, то вполне может понять, как в рамках необходимых задач конкретному предприятию это можно использовать. Такая цель была, хотелось подискутировать, а не выяснять в стопицотпервый раз "какая модель нарушителя", "какие требования бизнеса"

Удалите тему плиз кто может

Если можно , не удаляйте тему , Уважаемые "кто может" :smile3:

Приятно было прочесть ...

Ссылка на сообщение
Поделиться на другие сайты

Присоединяюсь. ZmeyTF - уважаемый практи :smile20: к с большим опытом и знает цену всем этим ГОСТам

Считаю, что пост - очень хороший. И в предложенной архитектуре СИБ можно быстро и эффективно (а главное - не за бешенные деньги) решать типовые задачи ИБ.

 

А функциональные требования, хотя и необходимы, но недостаточны, о чем забывают некоторые :smile3:

Дело в том, что подавляющая часть уязвимостей в продуктах связана не с отсутствием нужных функций/сервисов безопасности, а с некорректностью их реализации ("гладко было на бумаге..." :smile2: ). Не зря же в том же 15408 есть стыдливое требование о быстром устранении обнаруженных уязвимостей (забыл точно, как оно называется). То есть разработчики 15408 сами понимали, что этих требований недостаточно. Порой цена упущенного при проектировании контроля входных данных в веб-приложении (да-да - защиты от SQL injection(банальной кавычки)) может оказаться очень большой. А использование продуктов Microsoft, у которой есть SDL, и которые уже смотрены-пересмотрены много раз и обновляются оперативно, когда что-то обнаруживается - большой плюс в защите от таких ошибок.

 

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
.......чтобы ограничить сотрудников в разговорах по сотовым телефонам, достаточно устроить в офисе несколько «глушилок» GSM (возможно CDMA) диапазонов, тогда останется только один путь общения, это использование корпоративного стационарного телефона. В тоже время, чтобы не ограничивать права, можно оставить несколько зон в офисе, в которых будут работать телефоны. Никто кстати не помешает установить в таких зонах скрытые средства аудио(аудиовизуального) контроля.....

Скажу коротко.Спасибо. :smile20:

 

По выделенному посту.А если офис компании находится в бизнес-центре,и кабинеты топов расположены на двух этажах и на этажах расположены офисы других компаний «глушилки»разве не вызовут недовольство "соседей по коммуналке"?

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...

×
×
  • Создать...