Перейти к содержанию

Как бы я строил систему ИБ ...


Рекомендуемые сообщения

Уважаемый ZmeyTF! Спасибо! И тема насущна, и способ реализации вызывает интерес.

К сожалению, обсуждение не задается :smile2:

Я бы призвал уважаемых специалистов к более конструктивному диалогу. Не критиканствовать, выявляя только недостатки (с их точки зрения), но отмечать и плюсы, а возможно, предлагать и собственное решение.

Тема, повторюсь, насущна. И ожидаема многими "безопасниками", желающими услышать консолидированное мнение признанных специалистов.

Уважаемый XmeyTF! Еще раз спасибо!

А плюсы ZmeyTF и так обрисовал...

 

Идеологии больше касаться не буду, вопросы технические.

Не очень понял, как организуется сеть (на уровнях ниже прикладного)? DHCP-сервер, скорее всего, живет с каким-то из контролеров домена?

Есть ли разбивка по VILAN-ам? Все таки это удобно с точки зрения безопасности и контроля. По крайней мере, позволяет избежать перехвата всего сетевого трафика карточкой в промискуитетной моде и избежать широковещательной рассылки ARP.

Доступ в инет, как я понимаю, предлагается осуществлять через ISA. В этой штуке я туп, насколько помню, это микрософтовский прокси-сервер, надо полагать, с функциями брэндмауэра. Мне привычнее CISCO, но тут действительно вопрос цены.

 

Предполагается ли использовать IDS? Я бы не стал отказываться... Не только для защиты периметра, но и для локализации внутренних проблем, часто помогает.

 

Если вернуться к DHCP, он отработает аренду адреса только после входа в домен? Не получится ли так, что адрес будет выдаваться машине, не входящей в домен? И сразу вопрос - что стоит на границе сети, в смысле, какое устройство?

 

По VoIP - согласен что по нынешним временам отличное решение, вопрос, как реализуется взаимодействие с ТфОП (как я понял, использование PBX не планируется)?

 

По SharePoint - тут только личное мнение (и чужой опыт перед глазами). Честно говоря, не видел хороших и удобных реализаций систем документооборота/коллективной работы, несмотря на все заявленные (и вроде как существующие) возможности. Точнее, не видел для больших контор, в маленьких группах работало.

 

Карантинная зона - решение действительно очень удобное, правда возникают оргпроблемы с заезжими VIPами... В госконторах хорошо работает, с ФСБ не поспоришь, в бизнесе - не всегда. Но это уже вопрос не к системе -)

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 36
  • Создана
  • Последний ответ

Значит прибить тему? Ага. Сейчас ))

Есть о чем поговорить.

Итак по порядку. С Вашего позволения прям по тексту.

 

Все СИБ делятся на группы, как мне кажется. Первая пытается ...

Ну бывают и другие. С большим числом направлений.

 

И тот, и другой подход, как мне кажется, ничего общего с системой информационной безопасности не имеет.

Почему? Все-равно ведь придется этим заниматься. И следить, и шифровать, и наказывать, и...

Выводы про цепочку также остались не понятыми..

Вообщем, прелюдия к опусу не понравилась.

 

Заранее, четко отделяем периметр от внутреннего круга, в данном тексте задачи по охране периметра нет, но некоторые моменты работают на нее.

Тоже не совсем понял. Что подразумевается под периметром и вн.кругом? Если с точки зрения ИТ, то почему его не надо контролировать и охранять?

И так я бы начал с выбора ПО.

Абсолютно согласен с ранее высказавшимися, что начинать надо совсем не с этого.

Вы же не под себя конкретно систему делаете? Может разобраться с бизнесами-топами, что они хотят защитить? С объектами разобраться..

 

Можно кричать, все что угодно, но альтернативы продуктам Windows-based, для серьезного бизнеса нет.

Я то согласен. Хотя специалисты в области ИТ говорят обратное ))

 

В широко известных продуктах, вы можете минимизировать риски «замыкания» всех потоков секретов на одного (одну) группу людей. Системные администраторы становятся достаточно хорошо заменяемы.

И имеют свойство оставлять после себя бекдуры и уносить с собой интересные базы.

(Кстати, вот проблема... Что с этими сисадминами делать - ума не приложу)

 

Поэтому я выбрал бы Windows Server 2008 R2.

Я бы тоже

Далее все красиво и грамотно. Правда много незнакомых аббревиатур, опять придется много читать ))

 

То есть, я достаточно просто и в тоже время унифицировано и централизованно решаю таким образом несколько важных проблем, как то:

Контролировать подключения внешних устройств (флешки, жесткие диски, плееры и так далее)

Это сначала. А потом захочется кому-то не только контролировать, а и посмотреть а что-там скопировал на свою флешку В.Пупкин полгода назад. И придется опять думать про стороннее ПО.

 

2) Службы регистрации трудоспособности HRA. Позволяют реализовать «карантин» Да-да!

Идея понравилась. Но как это будет выглядеть на практике - сложный вопрос. Тем более этому "карантину" ой сколько подготовительной работы должно предшествовать..

Все ли необходимые патчи установлены, всё ли необходимое ПО установлено, обновлен ли антивирус, не установлено ли неразрешенное ПО на ноутбуке, в порядке ли срок у сертификатов и так далее.

Во-во! Подобрано ПО, написаны правила, планы востановления, оттестированы, доведены сотрудникам,... ой сколько рутины - а надо..

 

3) Службы управления правами RMS, я ниже рассмотрю отдельно. Они того стоят.

4) Службы доверенного управления. TPM Вот тут мы первый раз пересекаемся, с контролем периметра.

С нижеизложенным полностью согласен.

 

А тут, карта служит для доступа в сеть. Пароль на карте. Надо только знать пинкод к карте. Эта же карта служит для прохода на рабочее место, и в разрешенные зоны. При чем на карте хранится не просто пароль. Это часть целого механизма, который будет включать в себя и шифрование, и аутентификацию, и процедуры подписи.

Это просто идеально! Но выйдет это за пределы нижеозвученной суммы намного.

Я тоже очень рекомендую всем только строящим объединять пропускные системы и системы авторизации.

А то вот как обычно получается.

Есть пропуска ( с фотографиями и рфидами) И есть отдельно ТМС на юсб-ключах. Так зачем спрашивается сотруднику, когда он покидает рабочее место забирать с собой этот токен? Можно и пин на клавиатуре внизу (исключительно для коллег) написать.

Про сотрудниц вообще нет слов. Ну некуда им этот токен класть. Пропуск - тот на шею, на красивой цепочке. В руках мобилка, карманов нет.

А было бы все на одном - и проблем не было б.

 

Второй контроллер домена будет содержать рабочий экземпляр службы Certification Authority,

Этот абзац тоже понравился.

 

Для системы ИБ документы это самое важное.

Т.е. - "самое важное" ???

 

Далее я бы сел писать первые драфты регламентов. Да-да. Именно регламентов работы.

В любом бизнесе необходимо обмениваться, модифицировать и создавать информацию.

Как-то не вяжется именно в этом месте данный абзац.

 

А вопрос этот .. ну очень сложный. Почти наверняка придется привлекать к этому чуть ли не всех сотрудников. Как вы потом будете поддерживать актуальность информации - тоже ума не приложу.

 

Далее организуем хранение и обмен данными.

В составе сервера Windows идет очень мощный пакет SharePoint Services.

...

Вот тут возникает вопрос обмена почтой.

...

Для организации телефонии я бы стал использовать решение на VoIP.

...

Здесь все здорово.

Единственное но. Все это придется обрабатывать.

Возможно просматривать почту. Прослушивать переговоры..

Так вот стоимость только одной из с-м мониторинга, контекстной фильтрации и пр. сравнима с той цифрой, какую Вы привели внизу.

Можно также предположить, что просмативать-прослушивать Вы будете не в одиночку? ))

 

Ну например, чтобы ограничить сотрудников в разговорах по сотовым телефонам, достаточно устроить в офисе несколько «глушилок» GSM (возможно CDMA) диапазонов, тогда останется только один путь общения, это использование корпоративного стационарного телефона. В тоже время, чтобы не ограничивать права, можно оставить несколько зон в офисе, в которых будут работать телефоны. Никто кстати не помешает

Интересный абзац. Надо будет подумать..

 

Антивирусы. Копий и голов было сложено много в прямо таки эпических битвах «какой антивирус самый лучший» В приведенном случае, самым лучшим решением будет антивирусная защита от … опять Микрософт.

Действительно вопрос сложный. Может и так. Тем более, вроде ж даже г-н Касперский на них работает?

Хотя вопросы антивирусной защиты (по всяческим опросам) в последнее время уходят на второй план.

 

Да. И удивлен, что ничего у Вас не сказано о файрволах.

 

Шифрование клиентских данных.

К этому абзацу тоже претензий нет. Простое и эффективное решение.

 

Для организации доступа в Интернет, и публикации сервисов, таких как доступ к почте, ограничение доступа к заранее определенным сайтам наверное лучше всего в такой ситуации подойдет MS ISA 2006.

Ну тут проблем очень много. Все не закроешь, прокси никто не отменял. Контролировать, обрабатывать, реагировать придется. И одной исой скорее всего не обойдешься.

 

Хотя повторюсь, задачи контроля периметра тут не рассматриваются

Надеюсь все-таки увидеть. Как-то без этого ИБ какая-то куцая получается.

 

Собственно все. Мы получили гибкое, вполне надежное решение, охватывающее и предоставляющее весь минимально необходимый функционал для офиса и позволяющее решать насущные задачи ИБ внутри корпоративного сегмента достаточно эффективно. Достаточно эффективно, как по спектру возможностей, таки по контролируемым рискам. И что немало важно по соотношению стоимость-эффективность. Контроль и защита от инсайдеров, шифрование, аудит и ведение журналов действий пользователей, политика паролей, безопасные коммуникации.

А вот это ОЧЕНЬ громко сказано. Особенно последнее предложение.

 

Ну вот собственно, давайте приблизительно посчитаем стоимость серверного парка ПО и «железа» на 150 человек. У меня получается где то 40 тысяч долларов, то есть около 250 долларов на сотрудника.

И здесь цифры явно занижены.

 

Если будет интересно, могу попробовать продолжить. Все написано, чисто от скуки :о)))[/i]

 

Резюме.

Мне понравилось. Даже если "чисто от скуки" )))

Сохранил и распечатал.

Ссылка на комментарий
Поделиться на другие сайты

 

Можно кричать, все что угодно, но альтернативы продуктам Windows-based, для серьезного бизнеса нет.

Я то согласен. Хотя специалисты в области ИТ говорят обратное ))

Пусть покажут пальцем, как говорится. Тут все просто, берется за хобот такой спец, и выдается приказ "через 2 часа нарисовать эскиз техпроекта расписанный по функционалу рабочему" Если он реально знает о чем говорит, и знает как это работает в живую, то 2 часа ему хватит чистого времени. Я предельно серьезно говорю о времени.

 

В широко известных продуктах, вы можете минимизировать риски «замыкания» всех потоков секретов на одного (одну) группу людей. Системные администраторы становятся достаточно хорошо заменяемы.

И имеют свойство оставлять после себя бекдуры и уносить с собой интересные базы.

(Кстати, вот проблема... Что с этими сисадминами делать - ума не приложу)

Требовать чтобы система была документирована, и внести ответственность за некорректное документирование. Некорректное сиречь не вовремя, не полностью и так далее. Сисадмины самые ленивые люди, ленивее только кодеры. Раз в месяц проводит "экспресс-аудит", тыкать пальцем в документацию и гвоорить "покажи как оно на саммо деле" Через пару месяцев все будет более-менее нормально, и не стесняться пользоваться всякими сканерами защишенности

Поэтому я выбрал бы Windows Server 2008 R2.[/i]

Я бы тоже

Далее все красиво и грамотно. Правда много незнакомых аббревиатур, опять придется много читать ))

 

То есть, я достаточно просто и в тоже время унифицировано и централизованно решаю таким образом несколько важных проблем, как то:

Контролировать подключения внешних устройств (флешки, жесткие диски, плееры и так далее)

Это сначала. А потом захочется кому-то не только контролировать, а и посмотреть а что-там скопировал на свою флешку В.Пупкин полгода назад. И придется опять думать про стороннее ПО.

Это да, просто этот кто-то должен отчетливо представлять себе стоимость своей хотелки. Изначально надо ему об этом объяснить, Вы же будете обосновывать ему стоимость проекта? Вот на этом этапе и нужно рассказывать про цифры и возможности.

2) Службы регистрации трудоспособности HRA. Позволяют реализовать «карантин» Да-да!

Идея понравилась. Но как это будет выглядеть на практике - сложный вопрос. Тем более этому "карантину" ой сколько подготовительной работы должно предшествовать..

Ну да, просто для реализации проектов необходимо всегда помнить про стандартизацию и унификацию, как ПО так и железа. Начать можно с малого - каждый сотрудник пишет служебку, где указывает, что ему необходимо для работы и обосновывает. Все остальное запрещается, и разрешается только по такой же записке

 

А тут, карта служит для доступа в сеть. Пароль на карте. Надо только знать пинкод к карте. Эта же карта служит для прохода на рабочее место, и в разрешенные зоны. При чем на карте хранится не просто пароль. Это часть целого механизма, который будет включать в себя и шифрование, и аутентификацию, и процедуры подписи.

Это просто идеально! Но выйдет это за пределы нижеозвученной суммы намного.

Я тоже очень рекомендую всем только строящим объединять пропускные системы и системы авторизации.

А то вот как обычно получается.

Есть пропуска ( с фотографиями и рфидами) И есть отдельно ТМС на юсб-ключах. Так зачем спрашивается сотруднику, когда он покидает рабочее место забирать с собой этот токен? Можно и пин на клавиатуре внизу (исключительно для коллег) написать.

Про сотрудниц вообще нет слов. Ну некуда им этот токен класть. Пропуск - тот на шею, на красивой цепочке. В руках мобилка, карманов нет.

А было бы все на одном - и проблем не было б.

Немного не так. Все в принципе сделанно не для удобства пользователей, или сервсиных служб. При реализации все-в-одном, очень хорошие возможности открываются для анализа действий сотрудников. В комнату не входил (АСКУД не зафиксировала), а на компьютер в этой комнате залогинился ...

 

Далее я бы сел писать первые драфты регламентов. Да-да. Именно регламентов работы.

В любом бизнесе необходимо обмениваться, модифицировать и создавать информацию.

Как-то не вяжется именно в этом месте данный абзац.

 

А вопрос этот .. ну очень сложный. Почти наверняка придется привлекать к этому чуть ли не всех сотрудников. Как вы потом будете поддерживать актуальность информации - тоже ума не приложу.

Я выше описал, каждый пишет "базисную" служебку. Ему надо вот такое ПО для работы. И для изменения набора в будущем, опять нужна записка. В небольших компаниях (до 120 человек) очень хорошо работает.

Далее организуем хранение и обмен данными.

В составе сервера Windows идет очень мощный пакет SharePoint Services.

...

Вот тут возникает вопрос обмена почтой.

...

Для организации телефонии я бы стал использовать решение на VoIP.

...

Здесь все здорово.

Единственное но. Все это придется обрабатывать.

Возможно просматривать почту. Прослушивать переговоры..

Так вот стоимость только одной из с-м мониторинга, контекстной фильтрации и пр. сравнима с той цифрой, какую Вы привели внизу.

Можно также предположить, что просмативать-прослушивать Вы будете не в одиночку? ))

 

Вы просто плохо знаете шарепойнты кмк, там отличная система контекстного поиска. Отличная. Если же в решении будет использована связка Voice mail от Exchange и Office Communication, то и с контролем переговоров все достаточно просто. Единственное, что для "одиночки" необходимо будет использовать сервер поиска выделенный. Который сам будет search делать и складировать результаты.

 

Антивирусы. Копий и голов было сложено много в прямо таки эпических битвах «какой антивирус самый лучший» В приведенном случае, самым лучшим решением будет антивирусная защита от … опять Микрософт.

Действительно вопрос сложный. Может и так. Тем более, вроде ж даже г-н Касперский на них работает?

Хотя вопросы антивирусной защиты (по всяческим опросам) в последнее время уходят на второй план.

Да. И удивлен, что ничего у Вас не сказано о файрволах.

Ну использование клиентских файерволлов внутри сети, это неоднозначная вещь. А вне сети выпадает из круга рассматриваемого

 

Для организации доступа в Интернет, и публикации сервисов, таких как доступ к почте, ограничение доступа к заранее определенным сайтам наверное лучше всего в такой ситуации подойдет MS ISA 2006.

Ну тут проблем очень много. Все не закроешь, прокси никто не отменял. Контролировать, обрабатывать, реагировать придется. И одной исой скорее всего не обойдешься.

Тут кто чего умеет уже, кому то на юниксах проще и понятней, кому то с ИСОй. Я недавно задавал такой простой и неказистый вопрос людям. Если сотрудник хочет пользоваться почтой из дома, разрешите? Да. А если он дома на своем ip поднимет бекконект прокси, и будет на него с работы заходить, канал под контролем будет? Промолчали сертифицированные спецы :о))

Хотя повторюсь, задачи контроля периметра тут не рассматриваются

Надеюсь все-таки увидеть. Как-то без этого ИБ какая-то куцая получается.

Ну я уже второй день безработный, соскучусь, попробую написать

Собственно все. Мы получили гибкое, вполне надежное решение, охватывающее и предоставляющее весь минимально необходимый функционал для офиса и позволяющее решать насущные задачи ИБ внутри корпоративного сегмента достаточно эффективно. Достаточно эффективно, как по спектру возможностей, таки по контролируемым рискам. И что немало важно по соотношению стоимость-эффективность. Контроль и защита от инсайдеров, шифрование, аудит и ведение журналов действий пользователей, политика паролей, безопасные коммуникации.

А вот это ОЧЕНЬ громко сказано. Особенно последнее предложение.

Это специально для споров фраза была :о)))

 

Ну вот собственно, давайте приблизительно посчитаем стоимость серверного парка ПО и «железа» на 150 человек. У меня получается где то 40 тысяч долларов, то есть около 250 долларов на сотрудника.

И здесь цифры явно занижены.

Честно говоря цифра взята живая, из практики. Она никому не нравится тем не менее :о))

 

Приятно было, что кто-то понимает о чем речь :о))) А то когда говоришь, что умными словами про управление рисками и философией про стандарты разговаривать

не будешь, все говорят: "Вы ничего не понимаете в ИБ, и считаете что ИБ это процесс настройки софта" :о))

Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...