ИТ vs ИБ

и каков резон блокировать эти пакеты?

и каков резон блокировать эти пакеты?

Вопрос не по адресу, но верояно, иначе оно просто не работает.

Вот ещё цитата из руководства администратора:

После перезагрузки на компьютере будет отключена мандатная система контроля доступа (SELinux, Apparmor, Tomoyo Linux, RSBAC и пр.).

Сертифицированная СЗИ от НСД, ага.

могу ошибаться, но на сайте ФСТЭК есть список сертифицированных продуктов, а не конкретной версии ядра, к примеру.

но на сайте ФСТЭК есть список сертифицированных продуктов

Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00

Все печально (увы). В текущей редакции 152-ФЗ идет ссылка на возмещение морального ущерба (ст. 1099-1101 ГК РФ). Причем, санкции применяются к юрлицу, а не к отделу ИБ.

Если все требования выполнялись, то претензий никаких. Правда, после утечки все-равно наверняка найдут какие-то нарушения (совсем необязательно ставшие причиной утечки).

Некоторые компании сертифицируют не всю линейку (читай, производство), а конкретные экземпляры. В таком случае, при обновлении сертификат реально теряет силу.

Ст. 24 п. 2 152-ФЗ

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

http://www.consultant.ru/document/cons_doc_LAW_149747/?frame=4 © КонсультантПлюс, 1992-2013

Правда, после утечки все-равно наверняка найдут какие-то нарушения

Их найдут и без утечки, на плановой проверке :)

У нас законы очень двусмысленно пишутся. То что ты процитировал можно понимать двояко, но одно из пониманий - это как раз что вред компенсируется, причиненный в результате нарушений правил. Без нарушения правил нет вины.

Есть такой момент. Причем - это проблема всего нашего законодательства :)

Вы еще РД по защите от НСД почитайте - там тоже немало забавного.

Соболей

В теме :)

Кстати, Соболь можно ставить на любое железо с PCI-слотом. Он прекрасно работает сам по себе, без установки софта.

кстати, мне говорили, что долго тыкая в различных конфигурациях, один раз получилось систему загрузить в обход него. уж не знаю, может это какой race condition в его фирмвари. у меня не получилось, пришлось вытащить :)

Можете пинать за безграмотность, но чем занимается ИБ-отдел? Или ИБшники часть службы безопасности организации, я то просто думал что ИБшник отвечает за проектирование ИБ, реализацию оной в организации и за пинки в случае не соблюдения. Но как я понял у меня неправильные представления)

Есть биосы, где можно просто отключить какой-то PCI слот.

О_о как?? Вообще, это был бы повод написать вендору (оставив в стороне тот факт, что котики безопасности - те еще пофигисты). И устроить бэнц.

Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00

и?

В разных конторах - по разному. Вообще, основная задача ИБ в России - это сделать соответствие требованиям стандартов по ИБ. Отраслевых, государственных, каких-то внутренних, если они присутствуют. Так что, в общем и целом представления у вас правильные.

Просто тоже самое проектирование ИБ включает в себя очень много работы. Если интересно, то могу рассказать и по-подробнее, но это будет портянка.

Было бы интересно прочесть сию портянку

Там пины всякие можно переключать

Проектирование ИБ начинается с вопроса «А какая у нас есть важная информация?». Если в случае гос и отраслевых стандартов все более-менее понятно, то когда мы подходим к вопросам обеспечения коммерческой тайны, начинается веселая свистопляска, потому что либо все говорят, что у них самая-пресамая важная и секретная информация, без которой компания помрет, или же ни у кого ничего нет.

Определив просто перечень защищаемой информации (и, если представляется возможным, уровень ее критичности), начинаем искать, где она лежит. Тут главное - не упираться в компьютеризацию, потому что распечатанная на бумаге информация критичной. И распространение информации на бумажных носителях тоже надо отслеживать.

Параллельно с поиском мест хранения информация производится анализ рисков - что с нами будет, если эта информация утечет наружу. Анализ рисков - это очень отдельное поле для творчества, потому что безопасник сам по себе его провести не сможет - банально от того, что не знает всех тонкостей бизнеса. Соответственно, приходится как-то привлекать к анализу рисков руководство, заодно определяя владельцев информации.

Зная, где что лежит, и сколько это стоит, можно начинать придумывать, как это можно защитить. Вот тут-то мы и начинаем сталкиваться с ИТ - админы таки лучше шарят в возможностях железа/софта, чем безопасники. Выбор способов защиты информации огромен - можно как навешать на себя fw/ips/dlp/web-фильтров, так и просто физически выделить сегмент сети, где все обрабатывается. А особо параноидальные товарищи вообще против автоматизированной обработки - но про такое я только слышал в контексте ФСБ, ФСО, МО и прочих неприятных аббревиатур.

Помимо этого ИБ озадачивается контролем физического доступа - от замков до видеонаблюдения. В том же самом Ethical Hacking Handbook есть прелестная история, как во время пен-теста в сеть воткнули wifi-ap. Задачка тоже, та еще.

Кроме того, в проектирование ИБ входит большой объем документации - от высокоуровневых политик, до конкретных инструкций уровня детализации «нажать на такую-то кнопку, позвонить такому-то сотруднику». Как минимум, должны быть рассмотрены следующие вопросы:

• Политика ИБ - тут про то, что есть КИ, и что ее надо защищать
• Перечень КИ и классификация КИ - думаю, все ясно и так. Тут еще неплохо было бы указать, какому подразделению какая информация принадлежит, и кто является владельцем (в плане должности)
• Соглашение о неразглашении
• Порядок допуска к КИ
• Порядок допуска к администрированию СЗИ
• Порядок обслуживания СЗИ
• Порядок проведения контрольных мероприятий
• Порядок проведения обучения сотрудников
• Порядок расследования инцидентов ИБ
• Требования к СЗИ, применяемым для защиты той или иной информации (в зависимости от уровня конфиденциальности)
• Регламенты по обработке КИ (на рабочих станциях, серверах, бекапы, передача третьим лицам и т.д.)

После этого уже можно приступать к выбору СЗИ, и начинать ковыряться в железках.

А после того, как мы сделаем все это, начинается главная камасутра - не дать всему этому развалиться. А еще надо проходить аттестацию (если есть необходимость) и отбояриваться от регуляторов.

В кратце, такова работа отдела ИБ :)

это джампер наверху из 6 пинов? я не видел этого «происшествия». может, это вообще показалось кому-то в запарке. впрочем, как я понимаю, у SMM (и у монитора SMM) все равно приоритет над кодом в Option BIOS PCI карт и при некорректной реализации SMM в биосе управление может передаваться обратно в BIOS?

Понял, у меня значит как раз таки излишняя привязка к компьютеризации в голове была при мыслях о ИБ отделе. А интересно регуляторы, когда проверяют разбираются в том что проверяют или как во многих случаях: а эта бумажка о заполнении вот той бумаги у вас есть?

По разному. Когда трудился в органе по аттестации, молодые сотрудники ФСТЭК были довольно компетентны в техническом плане. Но им это не особо критично, т.к. все настройки должны быть выполнены согласно РД.

Это я про ДСП, ГТ, ПДн и так далее.

Часто становится камнем преткновения (многие безопасники его не любят, по некоторым причинам)

например? Учучь на ИБ, о Линуксе тут и вправду не слышали, Дебиан в одной аудитории в дуалбуте, да на суперкомпе чего-т такое тое стоит.

Спасибо

Выше по треду уже говорили. Проблема в сертификации.

Ну и всякий легаси в виде отставных силовиков.