Перейти к содержанию

Как бы я строил систему ИБ ...


Рекомендуемые сообщения

Ну что я могу сказать... Прочти и забудь -) (только не надо сразу за такое резюме убивать -))

ZmeyTF выкинул на всеобщее обсуждение разношерстных безопасников отличный документ, с которым я был чуток не согласен (идеологически и технологически).

С точки зрения системного аналитика документ практически (да и во всех смыслах) безупречен (если не считать того, что не был учтен сетевой кусок системы). Тут - аплодирую.

С точки зрения бизнеса... Они и читать не будут. Они спросят - а где деньги? А где власть?

Я чего взорвался... Я вынужден продавать свои мозги. И у меня всегда есть заказчик, платящий деньги. И имеющий свои интересы. Если смогу сделать свою информационную систему, только для себя и за свои деньги, сразу же доложу. Но я не <барон> Рейтер, и у меня нет почтовых голубей, которых можно поджарить... -)

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 36
  • Создана
  • Последний ответ

приказ "через 2 часа нарисовать эскиз техпроекта расписанный по функционалу рабочему" Если он реально знает о чем говорит, и знает как это работает в живую, то 2 часа ему хватит чистого времени. Я предельно серьезно говорю о времени.

Он напишет только то, что сам знает на сей момент - именно с технической точки зрения. Это если спец грамотный. А если не очень, то напишет нечто наукообразное по принципу Бендера:"Побольше непонятного". Так можно контроллер сконфигурировать, но только не систему (неважно - ИБ или какую другую).

 

В широко известных продуктах, вы можете минимизировать риски «замыкания» всех потоков секретов на одного (одну) группу людей.

Всегда есть точка замыкания всех потоков во всех самодостаточных системах. Это топ-менеджемент, а не рядовые исполнители.

 

Системные администраторы становятся достаточно хорошо заменяемы.

Эту глупую мысль автор позаимствовал у Уильяма Гейтса - из его лозунга нуль-администрирования. Любая истина, доведенная до абсолюта становится абсурдом, в области админства и ИБ таким абсурдом стала новая ОС от Гугла, где админ вообще не нужен. Т.е. точкой замыкания всех секретов становится сам Гугл ! Логично - ведь не сама машина ходит - машинист машину водит.

 

И имеют свойство оставлять после себя бекдуры и уносить с собой интересные базы.

(Кстати, вот проблема... Что с этими сисадминами делать - ума не приложу)

Как же так - Вы описали сложную систему по защите .... от кого? Ваш проект не предусматривает контроля за админскими действиями?! Так зачем он нужен?! А между тем такие системы есть, только не в решениях МС.

 

Требовать чтобы система была документирована, и внести ответственность за некорректное документирование. Некорректное сиречь не вовремя, не полностью и так далее.

Преклоняюсь перед оптимизмом автора !!! Только требовать он может...у кого? У того, кому он не начальник, а начальнику тех, у кого требуют, это по фигу? Это наша Раша :)

 

Сисадмины самые ленивые люди, ленивее только кодеры. Раз в месяц проводит "экспресс-аудит", тыкать пальцем в документацию и гвоорить "покажи как оно на саммо деле" Через пару месяцев все будет более-менее нормально, и не стесняться пользоваться всякими сканерами защишенности

Пара месяцев..... Продолжение оптимизма, совсем уж оторванное от реалий. Типа "я пахал - должно расти".

 

Поэтому я выбрал бы Windows Server 2008 R2.

Я бы тоже

Далее все красиво и грамотно. Правда много незнакомых аббревиатур, опять придется много читать ))

А вот яркий пример непонимания места систем ИБ в бизнесе, их совокупной стоимости владения и, извините, автор, - поверхностного знания самой 2008 системы. Большая часть специализированного ПО на 2008\Вин7 работать пока не может, 99% самописного ПО не мигрируют по эту ОС, требуемые ресурсы для ее развертывания не предполагают автомиграции с 003\ХР, подготовленных специалистов по 2008 кот наплакал и то качество их ужасное. Пассаж про ДХЦП в стартовом опусе просто умиляет своей наивностью ! Так для чего автор выстраивает такую систему - для обеспечения бизнеса или для самосовершенствования в области ИТ? На этом фоне 40 штук зелени звучат как издевка - два куска железа под сервера, ОС, ИСА и офис для установки на них будут стоить дороже :) А это ведь даже не информационная система - это ее пусть и главная, но небольшая часть без людей.

 

То есть, я достаточно просто и в тоже время унифицировано и централизованно решаю таким образом несколько важных проблем, как то:

Контролировать подключения внешних устройств (флешки, жесткие диски, плееры и так далее)

Да ничего Вы не решаете ! Это видимость принятия каких-то мер, заложенная в этой ОС, а ей надо управлять !!!!!

Управление - это динамика, это непрерывный процесс, это главный элемент управления - люди. Вы пробовали установить ограничения на использование хотя бы флешек? Поделитесь опытом, а я потом поделюсь своим.

 

2) Службы регистрации трудоспособности HRA. Позволяют реализовать «карантин» Да-да!

Идея понравилась. Но как это будет выглядеть на практике - сложный вопрос. Тем более этому "карантину" ой сколько подготовительной работы должно предшествовать..

Первый, кто туда влетит - один из топ-менеджеров. После чего эта функция будет отключена навсегда самим автором :)

 

Ну да, просто для реализации проектов необходимо всегда помнить про стандартизацию и унификацию, как ПО так и железа. Начать можно с малого - каждый сотрудник пишет служебку, где указывает, что ему необходимо для работы и обосновывает. Все остальное запрещается, и разрешается только по такой же записке

А это уже не смешно - это грустно. А юзер не знает, что ему надо ! Или хочет то, что под Вин7 не работает в принципе! И как автор представляет себе процесс разрешения\запрещения без учета лицензионности, возможных требований по сертификации и проч.? Просто как оборот бумаг?

 

В комнату не входил (АСКУД не зафиксировала), а на компьютер в этой комнате залогинился ...

Вот-вот - это же кто-то должен ручками отследить. Что-то служба ИБ прирастает персоналом прямо на глазах:)

 

Далее я бы сел писать первые драфты регламентов. Да-да. Именно регламентов работы.

Вот тут абсолютная истина, с одним но - это наша Раша..... Вы все не напишите, а соучаствовать с Вами никто, включая сисадминов, заинтересованно не будет.

 

В составе сервера Windows идет очень мощный пакет SharePoint Services.

Вот тут возникает вопрос обмена почтой.

Для организации телефонии я бы стал использовать решение на VoIP.

 

А вот пошло мельчение и влезание не в свое дело: выбор ПО, его настройка и сопровождение не есть дело ИБ, это дело подразделения ИТ. Т.е. опять вопрос - для чего создается система - для ИБ?

 

Вы просто плохо знаете шарепойнты кмк, там отличная система контекстного поиска.

Тут, как говорится, дело вкуса. При наличии 2008 конечно оно правильно. Только контекстное наполнения в интересах ИБ еще надо как-то организовать, а просто так куда-то в документы заглядывать - убивать смысл СУИБ на корню.

 

Антивирусы. Копий и голов было сложено много в прямо таки эпических битвах «какой антивирус самый лучший» В приведенном случае, самым лучшим решением будет антивирусная защита от … опять Микрософт.

Да, любовь к Билли в данном случае перехлестнула зравый смысл :)

Вы ее просто не видели на серверах - лучше сразу уволиться :)

Ведущие произвоодители антивирусов - ТрендМикро, например - еще 10 лет назад приняли решение отказаться от такого принципа построения антивирусной защиты для сетей, которую сейчас активно впаривает МС. Вот как!

 

Да. И удивлен, что ничего у Вас не сказано о файрволах.

Ну использование клиентских файерволлов внутри сети, это неоднозначная вещь.

Улыбнуло: а почему речь только о клиентских ФВ? В теме задавали уже вопрос про вланы, сегментирование, ИДС - это не дело клиентов, это дело даже не спеца по ИБ, это идеология построения всей информационной системы, которая должна быть заложена еще на этапе ее проектирования.

 

Для организации доступа в Интернет, и публикации сервисов, таких как доступ к почте, ограничение доступа к заранее определенным сайтам наверное лучше всего в такой ситуации подойдет MS ISA 2006.

Ну тут проблем очень много. Все не закроешь, прокси никто не отменял. Контролировать, обрабатывать, реагировать придется. И одной исой скорее всего не обойдешься.

Автор просто не знает про другие системы сетевой защиты, в которых функционал в десятки раз выше ИСЫ.

 

Тут кто чего умеет уже, кому то на юниксах проще и понятней, кому то с ИСОй. Я недавно задавал такой простой и неказистый вопрос людям. Если сотрудник хочет пользоваться почтой из дома, разрешите? Да. А если он дома на своем ip поднимет бекконект прокси, и будет на него с работы заходить, канал под контролем будет? Промолчали сертифицированные спецы :о))

Термин-то какой - бекконнект :) Конечно, спецы промолчали - как на глупый вопрос можно серьезно ответить?

 

Ну я уже второй день безработный, соскучусь, попробую написать

Искренне сочувствую. Только не впадайте в уныние или в эйфорию - от скуки СУИБ не делается.

 

"Вы ничего не понимаете в ИБ, и считаете что ИБ это процесс настройки софта"

Вы блестяще подтвердили этот факт, полностью отвергнув мнение о необходимости предварительного бизнес-планирования СУИБ на основе действующих ГОСТов, нормативных актов в области защиты информации и реальной практики управления именно СУИБ, а не отдельными кусочками, имеющими отношение к ИБ.

 

Стартовый опус автора есть пересказ презентаций с мероприятия МС "Платформа 2009", он содержит оптимистичные заявления У.Гейтса о новой эре в информатизации с акцентом на безопасность. Ничего реально применимого в настоящее время в России в качестве СУИБ там нет.

В любой системе, в том числе СУИБ, есть два главных фактора, определяющих ее эффективность: управляемость и стоимость владения.

Если с калькулятором перечитать еще раз рекламу автора, то ее смысл реально изменитя на противоположный.

 

ZmeyTF Я, может быть, слишком резковат в выражениях, прошу не воспринимать лично. А то, что Вы эту тему подняли - за это Вам большой респект!

Ссылка на комментарий
Поделиться на другие сайты

gene Вы откуда взяли про СУИБ? Кто говорил про СУИБ? Далее, Вы "немножко" переврали комменты, и зачем то приписали их мне :о)) Перечтите первый пост, там есть все ограничения и уточнения, которые Вы указали. Это касается файерволлов, IDS и так далее. "Термина" back-connect proxy может быть нет, но netcat в своей документации называется именно так, например. По поводу "самописного" ПО и Windows 7, никто не отменял технологии использования "виртуальных" машин это во-первых, во-вторых никто не говорил, что всем в обязательном порядке необходимо это делать, в-третьих в 90% контор в МСК сидят менеджеры, с офисом и клиентской частью 1с. Без всякого "самописного" ПО. Я понимаю, что Вам сложно решать ситуации, когда "хочется юзеру чего-то", но это немножко из другой оперы задачка.

Ну про пассажи, чего автор знает и не знает, и рекламу, это вообще весело :о))) Комплексы сисадминов, такие комплексы :о)))

Вы с высокой степенью регулярности критикуете присутствующих, это нормально, если бы не "стиль" в котором Вы это делаете. Может быть сами чего-то напишете? Ну чтобы можно было понять и зауважать уровень знаний? Например этот Ваш ответ, ну не дает полного представления :о)))

Ссылка на комментарий
Поделиться на другие сайты

Ну, снова здравстуйте :)

Автор постинга любезно и быстро отреагировал на мою эскападу, потому м я стараюсь уважать коллегу, но с сарказмом.

Коллега - без обид ! :)

 

gene Вы откуда взяли про СУИБ? Кто говорил про СУИБ?

Фишка в том, что то, о чем был Ваш стартовый посыл, и есть попытка сформулировать концепцию системы упраления ИБ - СУИБ. Я в окончании предыдущего своего коммента посмел указать, что Вы не видите разницы между СУИБ как системой и прочим дерьмом, которое к ней не относится. Это есть факт, и Вы его сейчас опять подтвердили.

 

Далее, Вы "немножко" переврали комменты, и зачем то приписали их мне :о)) Перечтите первый пост, там есть все ограничения и уточнения, которые Вы указали. Это касается файерволлов, IDS и так далее. "

Вряд ли. Фишка в том, что я был там, где Вам читали эту ..... Я ее слушал.

И не в этом дело - суть в основах религии: Вы изложили доктрины мусульман в еврейском понимании. Ну, ничего личного - это пример восприятия христианином. :)

 

Термина" back-connect proxy может быть нет, но netcat в своей документации называется именно так, например.

Не мельчите, хрен с ним. То, что в упомянутом Вами мане так упоминается, известно только Вам (без обид - оно так и есть) - в мане этого нет. Но в силу своей работы я уже трижды ..... гасил... (Вы нет в счет) этот... пусть будет термин.

 

 

По поводу "самописного" ПО и Windows 7, никто не отменял технологии использования "виртуальных" машин это во-первых,

ну, как говориться, брат, - тебя несел и снизу :)

Где бузина, а где дядько?! Ну давайте и про самописки регламент напишем, только при их скородействии на виртуале топ-менеджеры такое тебе (Вам, блин) скажут....- и не спасибо. В общем, не в струю про безопасность и ее надо.

 

 

во-вторых никто не говорил, что всем в обязательном порядке необходимо это делать, [/b

Блин, а кого ж я цитировал?!

 

 

]в-третьих в 90% контор в МСК сидят менеджеры, с офисом и клиентской частью 1с. Без всякого "самописного"

ну, постараюсь сдержать эмоции..... Если Вы про ТАКОЕ - то мы гоаорим не про СУИБ, а про дебильство и развод на теме ИБ,

 

Я понимаю, что Вам сложно решать ситуации, когда "хочется юзеру чего-то", но это немножко из другой оперы задачка.

Это есть реальная житуха, брат!

 

Ну про пассажи, чего автор знает и не знает, и рекламу, это вообще весело :о))) Комплексы сисадминов, такие комплексы :о)))

Благодарю за чувство юмора - я просил о том - ничего личного.

 

Вы с высокой степенью регулярности критикуете присутствующих, это нормально, если бы не "стиль" в котором Вы это делаете. Может быть сами чего-то напишете? Ну чтобы можно было понять и зауважать уровень знаний? Например этот Ваш ответ, ну не дает полного представления :о)))

Ну, полтора десятка постов за два года, из которых большая часть пререкания с автором сайта, не дают оснований говорить о регулярности критики :)

Полное представление об ИБ в одном посте - это из серии фантастики. Это инпосибл.

Термин "зауважать" меня немного напрягает: надо адекватно оценивать уровень уважающего.

 

Уважаемый автор!

Вы сделали очень хорошее дело, когда "со скуки" подняли эту тему.

Я считаю себя специалистом в области ИБ, я работаю в этой сфере почти 30 лет -за это время и технологии, и принципы, и содержание изменились на тысячи порядков, и это нормально, это прогресс. Осталась неизменной суть любого процесса управления: люди, знающие и могущие, определяют эффективность этого процесса.

В современном состоянии ИБ столько же глупостей, сколько их было при проектировании хрущевской Мать-бомбы - тьма криков, ноль эффективности.

Как пример - всем известный Газпром: понты - тьма, людей - море, знаний - ноль, эффект - как у импотента с лесбиянкой.

 

Уважаемый автор!

Если Вы бросили скуку и всерьез хотите поддерживать данную тему - я Вам помощник и соучастник потому, что мне это интересно.

С уважением и примите и проч. .......

Ссылка на комментарий
Поделиться на другие сайты

...я стараюсь уважать коллегу, но с сарказмом.

А можно - без старания, но и без понтов? То, что вы называете сарказмом, а по сути является понтами, причем довольно недорогими, мешает воспринимать информацию.

Можете обижаться, если нравится. Но реально надоело. Прошу Вас высказываться по существу. Убедительно прошу.

 

1.

Это инпосибл.

2.

при этом я еще и доктор наук :)

Без комментариев.

 

Ну, если кто в обиде в пальцы - я дам весьма конкрентые примеры феноменальной тупости и некомпетентности в этой организации.

Не надо. Дайте лучше примеры Ваших достижений.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...