вторник, 19 августа 2014 г.

СЗПДн. Эксплуатация. Интересные проверки по персональным данным

Сегодня в своем блоге Артем Агеев привел примеры 5-ти интересных типов проверок по персональным данным. Видно что закончится они могут непредсказуемым последствиями, поэтому такие случаи нужно изучать, делать выводы и готовится к ним.

Хочу поделится ещё одним интересным случаем, когда ПДн могут существенно затруднить или нарушить деятельность компании (с фотографиями, поэтому привожу в своем блоге).
В свое время, по городу Краснодару было развернуто большое количество комплексов видеофиксации правонарушений в области дорожного движения, а краснодарским автолюбителям быстрой езды очень не хотелось оплачивать ежедневно зарабатываемые штрафы. В результате одним профессиональным пользователем ФЗ о персональных данных на популярном форуме kuban.ru была написана инструкция c формой заявления в Роскомнадзор по поводу нарушения законодательства в области ПДн. Дескать, требования законодательства по защите данных не выполняются, следовательно этим данным доверять нельзя.

В результате данного флеш-моба сотни жалоб на МДВ отправились в РКН. Закрутилась проверка, прокуратура, суд. Обещали даже возбудить уголовное дело по факту халатности, но его обнаружить не удалось.

А вот по линии персональных данных стали появляться решения судов. Там есть много всего, не касающееся ПДн. Процитирую самое вкусное для нас.

Отвечая в суде на жалобу представитель МВД вынужден был раскрыть  данные о классификации и мерах защиты. Не обошлось без косяков в классификации ИС.

Суд пришел к выводу что данные, не могут являться доказательствами, поскольку не защищены ...





Как видно, на организацию может вестись атака по линии ПДн. В результате можно отменять некоторые результаты деятельности организации.  

среда, 13 августа 2014 г.

Общее. Учеба в УЦ по ИБ

Блогерские войны – занятие, которым можно заниматься бесконечно и получать удовольствие. Поэтому подолью немного масла в огонь бушующий вокруг учебы на курсах по ИБ.
В блогосфере некопилось некоторое количество статей с критикой курсов УЦ Информзащита, в том числе Артем Агеев написал статью с очень внятной критикой преподавателя курса ЭБ06: Система противодействия незаконным методам конкурентной разведки: “слушать тихую и монотонную речь компетентного специалиста но бездарного докладчика было тяжело …диалога с аудиторией совсем не было. Практических занятий, обсуждений, видеороликов или ещё чего-нибудь, способного хоть как то разнообразить учебный процесс, тоже не было. Было только монотонное чтение текста с перекурами и перерывами на обед”

“Бывает так, что конкретный преподаватель не нравится конкретному слушателю. Вы, наверное, удивитесь, но это  - нормально… преподаватели тоже имеют много что рассказать про слушателей, которые приходят и с порога объявляют о том, что они все знают, но не могут ответить ни на один вопрос.
Не все наши преподаватели – шоумены. Если вы хотите зрелищ, то потратьте деньги на билеты  в цирк. Если вы за знаниями, то милости просим к нам. В конце концов, выбирайте, что важнее для вас: чтобы вас держали в напряжении  на протяжении двух дней, но потом вы не могли вспомнить, о чем же шла речь? Или все-таки информация, получив которую, как часто бывает, люди прямо с урока начинают звонить на работу и давать указания по изменению чего-то то там?
И еще немного: преподавание – очень тяжкий труд. Людей, которые знают, умеют, да еще могут об этом рассказать (не один раз за кружкой пива, а три недели подряд каждый день разным людям) – очень мало.  В тех случаях, когда вы сознательно пришли учиться – черпайте знания, а не требуйте лабораторных работ по силовому задержанию выявленных агентов конкурентов.”

Не так!  Именно от преподавателя зависит, насколько хорошо будет усваиваться материал слушателями. Не будет интерактива – внимание будет падать, слушателям будет все сложней бороться со сном. Если ещё и содержание курса подкачало, трудно себя мотивировать.
Лучшие преподаватели и рассказывают интересно и с аудиторией общаются и за рамки курса могут шагнуть (в удобное для них время и в удобном формате)

Да, бывают ситуации, когда слушателю курсов не очень важно содержание и форма подачи курса:
·        Когда главная задача получить сертификат об обучении / повышении квалификации
·        Когда обучение необходимо для получения сертификата специалиста / партнерского статуса, а сертификационный экзамен сугубо теоретический
·        Когда для слушателя обучение – повод отдохнуть от работы, получить несколько дней отпуска
·        Когда слушатель новичок в определенной теме ИБ и хочет получить базовые теоретические знания
·        Когда на обучение едет статусное лицо – например, заместитель генерального директора, которому это обучение даром не сдалось, но надо привезти материалы для пятерых молодых бойцов, которых отправлять на обучение ещё не положено

К сожалению, таких слушателей большинство и им подойдут любые преподаватели и любая форма подачи материала и этим Учебные центры слегка избалованы.


Но есть другие ситуации, когда необходимы знания с практическим уклоном:
·        Вам необходимо в короткие сроки внедрять определенные технические решения по ИБ или проект по ИБ.
При этом вам читает курс чистый теоретик, который никогда в жизни не видел эти решения в живую, не внедрял их в боевых условиях и вы понимаете что вам рассказывают про внедрение сферического коня в вакууме и близко нет ничего похожего на вашу ситуацию.
·        Вам необходимо в короткие сроки разработать или внедрить определенные документы в области ИБ.
Курс вам читает преподаватель, который уже как 10 лет не занимался практической деятельностью, рассказывает чистую теорию, приводит примеры документов 10-ти летней давности и то не своей разработки. На все вопросы отвечает “ну вы можете и так и эдак и подругому”
·        Вам необходимо в ближайшее время запустить определенные процессы поИБ в компании, в том числе наладить взаимодействие определенных подразделений и распределить между ними ответственность.
При этом курс читает преподаватель, который документы то сам разрабатывал, а вот внедрением этих документов 10 лет как не занимался. Кому поручить контроль? Кому администрирование? Кому работу с жалобами? Кому собирать согласия? Кому вести учет СЗИ. Тут вы понимаете что остались с этими вопросами один на один.
·        Вы уже недавно внедряли, применяли определенные СЗИ, разрабатывали  документы, при этом насобирали кучу проблем и с ними пришли на обучение в надежде их решить.
Вы то проблем насобирали, а преподаватель вам рассказывает слово в слово по учебнику, шаг влево, шаг вправо и плывет, берет паузу пару дней на ответ и пропадает.


Хочу дать несколько советов для слушателей второго типа, которым от преподавателя нужны практические знания:
·        Заранее узнайте в УЦ ФИО преподавателя, запросите его опыт работы, контакты
·        Уточните что в курсе, необходимый вам кусок будет достаточно подробно раскрыт (не планируется экспресс рассмотрение его за 15 минут)
·        Уточните какие и в какой форме вам будут передаваться учебные материалы
·        Уточните в каком объеме и какие планируются практические занятия?
·        Свяжитесь с преподавателем, предупредите что у вас планируются такие-то вопросы, есть такие-то проблемы и спросите, сможете ли получить на них ответы в рамках обучения. Возможно слушателей будет немного и он сможет немного подстроится под вашу тему.
Артем видимо не воспользовался этими простыми правилами, за что и поплатился.



PS: из моего опыта
·        Cisco CCNA рассказывал теоретик, но у Cisco хорошие лабы и материалы для самообучения
·        Check Point CCSE рассказывал теоретик, но были хорошие лабы, выдавался софт, на основе которого удалось уже за рамками обучения быстро развернуть аналогичную лабу и провести все необходимые практики
·        Stonesoft Admin/Architect – рассказывали преподаватели – по совместительству разработчики решения и работники службы техподдержки. Отличный практический опыт, но и у них были проблемы например с дизайном решений (потому что дизайном они не занимались)
·        Аудит по СТО БР – курс только запустили, пригласили рассказывать эспертов, практиков в части аудита. отлично
·        Если я понимал что на нормальные курсы (к производителю) поехать не удается, а местные – бездарны, выбирал вариант самообучение по онлайн-материалам. Так получалось быстрее и эффективнее. Например, по McAfee
·        Иногда вместо типовых обучений удавалось договариваться с дистрибьютором/производителем на спец.обучение – просто говорили, какие темы нам интересны и нам рассказывали только эти темы.  Так например было по С-терра, Аладдин, Imperva и многим другим вендорам  


четверг, 7 августа 2014 г.

Общее. О CTF и не только

Компании нанимающие на работу свежих выпускников вузов по специальностям связанным с ИБ жалуются на отсутствие у этих выпускников практического опыта, а так-же знаний именно в той области, которая нужна для выполнения служебных обязанностей. В результате новых сотрудников поИБ приходится отправлять на доп. обучение и долгое время доращивать  до нужного состояния.
Что-бы хоть как-то исправить эту ситуацию в свое время в ВУЗах были придуманы соревнования по ИБ типа CTF - Capture the Flag. Соревнования обычно проводятся раз в год разными организаторами, но кроме этого есть ещё командные тренировки, индивидуальные практики и изучение технического материала. В результате, студенты получают необходимый опыт, учатся работать в команде, получают обратную реакцию в виде результатов соревнований и наборе ошибок, которые были на этих соревнованиях не-/допущены.

На мировой сцене основоположниками CTF соревнований в области ИБ были DefCon CTF и UCSB iCTF. В России первыми CTF, о которых мне известно и о которых есть публичная информация, были UralCTF от HackerDom.

Давайте подробнее посмотрим, чем занимаются на CTF-ах и в каких специальностях эти знания могут пригодиться:
·        Администрирование сервера под управлением, как правило, open-source ОС типа linux, в том числе администрирование сетевых сервисов на базе linux.
В начале соревнований командам выдается образ сервера, которой они в первый раз видят, нужно быстро разобраться с тем какие сервисы на нем в принципе работают, возможно исправить какие-то “сломанные” сервисы, запустить их, в течении соревнований поддерживать их в работоспособном состоянии, мониторить системные события, делать резервные копии и возможно восстанавливать систему из резервных копий.
Этот опыт в будущем подойдет для должностей – администратор серверов, администратор сервисов на базе linux, инженер технической поддержки, специалист мониторинга ИТ.
·        Поиск уязвимостей в исходных кодах приложений
Обычная ситуация когда на выданном вам сервере, а так-же на серверах других комманд запущен сервис, а рядом лежит его исходный код. Команда, которая находит уязвимость в своей версии исходного кода, автоматически получает уязвимость в сервисах других команд.
Для поиска используют автоматизированные средства анализа кода и анализ кода в ручную. Если это возможно, то найденные уязвимости необходимо ещё и оперативно исправить, переписать код, перезапустить сервис.
Этот опыт в будущем подойдет для должностей – исследователь, специалист по тестированию ИБ кода, пентестер, разработчик безопасного ПО.
·        Поиск уязвимостей в приложениях без исходного кода
Регулярно встречается ситуация когда на выданном вам сервере, а так-же на серверах других комманд запущен сервис, но исходных кодов нет. Тогда для поиска уязвимостей применяются другие методы – reverse-engineering, fussing, подбор параметров, перебор типовых атак и т.п.
Этот опыт в будущем подойдет для тех же должностей – исследователь, специалист по тестированию ИБ кода, пентестер, разработчик безопасного ПО.
·        Оперативное написание утилит: эксплоитов для найденных уязвимостей, утилит для автоматизации атаки на большое количество узлов, утилит для автоматизации сбора флагов, утилит для автоматизации отправки флагов на сервер жюри и т.п.
В ходе соревнований постоянно возникают задачи, требующие написание какого-то небольшого ПО или утилиты, поэтому без программиста не обойтись.
Этот опыт в будущем подойдет для тех же должностей – пентестер, разработчик безопасного ПО.
·        Мониторинг сетевого трафика и обнаружение атак на уровне сети
Так как участники получают сервера как черный ящик, без дополнительной информации, то анализ текущего трафика помогает определить, какие сервисы, как и для чего используются клиентами. Дальше необходимо оперативно научится разделять легитимный трафик пользователей и нелегитимный трафик атакующих. После определения уязвимостей и написания эксплоита, можно заблокировать аналогичные атаки на свой сервер.
Этот опыт в будущем подойдет для тех же должностей – специалист мониторинга ИТ, специалист по IPS.
·        Решение различных дополнительных заданий (task-based ctf)
Как правило за решение задач дают дополнительные баллы. Сами задачи развлекательные (типа сфотографироваться, станцевать, спеть всей командой) либо задачи на техническо-исследовательские темы: OSINT, reverse-engineering, стеганография, программирование, криптоанализ и т.п.
Этот опыт в будущем подойдет для тех же должностей – исследователь, администратор сервера, специалист по тестированию ИБ кода, пентестер, разработчик безопасного ПО.

К сожалению, CTF никак не помогает нам с должностями типа: CISO, администратор средств защиты информации, разработчик документов по ИБ, администратор информационной безопасности, ответственный за ОБПДн, пресейл-инженер, проектировщик СОИБ, внедренец СОИБ, консультант по ИБ. А именно таких вакансий большинство на рынке ИБ. Получается что, если вы ищете именно таких специалистов, то опыт CTF для вас не будет большим преимуществом.
Бывают попытки разнообразить задачи в рамках CTF, но по моему мнению они не дают нужного эффекта, нужной подготовки и опыта в объеме, который получают участники CTF идущие по пути исследователя, пентестера, программиста.
Я в свое время и отошел от CTF, потому что это никак не пересекалось с моей профессиональной деятельностью – пресейлом, подбором технических решений, проектированием, внедрением СОИБ, консалтингом по ИБ.

Практика, подобная CTF нужна и студентов, идущих по другим под направлениям. В вузах нужны практические курсы для студентов в части подбора технических решений, проектирования, установки и настройки СЗИ, в части моделирования угроз, оценки рисков, разработки процедур ИБ, внедрения процедур ИБ, контроля процедур ИБ. А чтобы было интересно, нужны ещё и соревнования. В своем формате.
Вариантов много.  Один из них – можно проводить по правилам классического матбоя.
Берем 2 команды. Дается общий набор задач: исходные данные, надо построить модель угроз, определить необходимый набор контрмер, подобрать решение.
Одна команда рассказывает решение, вторая рецензирует, указывает на недочеты, говорит как можно было бы улучшить. Потом меняются местами. Жури присуждает баллы.

Второй вариант – просто соревнование на время. Участники разворачивают и настраивают техническое решение по ИБ, например SSL VPN и обеспечивают доступ к паре приложений. Кто быстрее выполнил, тот и победил (при условии прохождения ПМИ).
В общем, варианты есть. Студентам ВУЗов по ИБ советую получать  практический опыт любыми доступными способами, а руководству ВУЗов – организовывать и обеспечивать получение студентами актуальных знаний и опыта.



среда, 6 августа 2014 г.

СОИБ. Анализ. Рекомендации по жизненному циклу приложений, тестированию и каталог уязвимостей

31 июля 2014 г. Банк России опубликовал документ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)», который вводится в действие с 1 сентября 2014 г.
Не часто нас балуют рекомендациями по ИБ подобного типа, поэтому давайте его рассмотрим подробнее.

Есть основной стандарт СТО БР ИББС-1.0-2014, в котором есть раздел требований “7.3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла”.
Логично что рекомендации со сходным названием должны уточнять требования, содержать варианты их выполнения и т.п. Поэтому и наименования 7 стадий жизненного цикла АБС в документах совпадают:
1) разработка технического задания (ТЗ);
2) проектирование;
3) создание и тестирование;
4) приемка и ввод в действие;
5) эксплуатация;
6) сопровождение и модернизация;
7) снятие с эксплуатации.”

Но есть в документах и нестыковочки:

СТО БР ИББС-1.0-2014 в целом использует термин процедуры, а в частности требования к процедурам обеспечения ИБ на разных стадиях АБС приводятся в пунктах: 7.3.9, 7.3.10, 7.3.11, 7.3.13, 7.3.14, 7.3.15, 7.3.16.  
РС БР ИББС-2.6-2014 в основном оперирует термином “задачи в части обеспечения ИБ”. Например, на стадии эксплуатации никаких процедур не предусмотрено. Только задачи.

Например, СТО требует чтобы на стадии эксплуатации были определена и выполнялась процедура:
“контроля необходимого обновления программного обеспечения АБС, включая программное обеспечение технических защитных мер.”
В РС на этой стадии про обновления – ни слова, зато есть периодическая оценка защищенности и мониторинг сообщений об уязвимостях.
СТО:
 “7.3.10. На стадии эксплуатации АБС должны быть определены, выполняться, регистрироваться и контролироваться процедуры, необходимые для обеспечения восстановления всех реализованных функций по обеспечению ИБ.
7.3.11. На стадии эксплуатации АБС должны быть определены, выполняться и регистрироваться процедуры контроля состава устанавливаемого и (или) используемого ПО АБС.
7.3.13. На стадии эксплуатации АБС должны быть определены, выполняться и контролироваться процедуры, необходимые для обеспечения сохранности носителей защищаемой информации.”
По этим процедурам на стадии эксплуатации АБС в РС так-же не приводится ни слова уточнений или рекомендаций. Из этого видно что только РС БР ИББС-2.6-2014 недостаточно для обеспечения ИБ на стадиях жизненного цикла АБС. Некоторые процедуры придется определять самостоятельно.

Это всё о грустном, дальше только плюсы:
·        Документ подробно описывает меры, необходимые для обеспечения ИБ на всех стадиях жизненного цикла ИС. Ничего подобного мы раньше в российских документах по ИБ не видели
·         Документом с небольшими изменениями можно руководствоваться при разработке ИС любых типов
·        РС фактически содержит в себе отдельный под-документ: каталог типов уязвимостей (недостатков) ИС.
До этого публичные каталоги типов уязвимостей можно было найти только в западных источниках - каталогах уязвимостей, каталогах угроз, методиках тестирования: WASC, OWASP, Simplicable, BSI, ISMS. Теперь есть локальный публичный источник.

Стандартный каталог типов уязвимостей можно использовать при разработке отчетов об анализе защищенности или проведении пентеста, а так-же при разработке низкоуровневой модели угроз или детальном анализе рисков. С небольшими изменениями данный каталог можно использовать не только для банков, но и для компаний других отраслей.

·        РС фактически содержит в себе ещё три отдельных под-документа: Рекомендации к проведению контроля исходного кода, Рекомендации к проведению оценки защищенности, Рекомендации к проведению контроля параметров настроек технических защитных мер

Данные рекомендации с небольшими корректировками можно применять и для любых ИС компаний из других отраслей. Так как меры по контролю исходного кода, оценке защищенности и контролю конфигурации требуются для ИСПДн, ГИС и АСУ ТП, то такие рекомендации не будут лишними.

Но для того чтобы на каталог и рекомендации по контролю .. можно было ссылаться в других проектах, хотелось бы увидеть и в варианте национальных стандартов.


понедельник, 4 августа 2014 г.

СОИБ. Проектирование. Сертифицированное производство решений Cisco живо?!


Регулярно слежу за новостями, анонсами, вебинарами по новым продуктам ИБ от Cisco Systems, а вот новость про окончание продаж одного из решений Cisco NME-RVPN как-то пропустил и столкнулся с этим очень неожиданно.

Компания Cisco Systems всегда заявляли что в российской ИБ они в серьез и надолго. В подтверждение этому приводится наличие в решениях Cisco криптографии, сертифицированной не кем-нибудь, а ФСБ России.

Эти самые решения с крипографией, по заявлению Cisco, являются совместной разработкой Cisco и С-терра и включают: модуль NME-RVPN (MCM) для маршрутизаторов Cisco и С-терра CSP VPN Gate на платформе Cisco UCS C-200.

В различных презентациях, вебинарах, семинарах  эти решения позиционировались так: VPN на базе Cisco UCS C-200 для центральных объектов, NME-RVPN (MCM) для удаленных офисов. Для меня модули NME-RPN всегда были на отдельном счету, потому что единственные в линейке С-терра закупались не через Cisco, также и с регистрацией проектов и получением скидок заказчику.

И вот мы неожиданно потеряли защиту для удаленных офисов:

Новость довольно неожиданная, учитывая то, что в свежих сертификатах на С-терра VPN версии 4.1 включена и платформа МСМ.

 Пока рекомендовали подождать до сентября и морально подготовится к новой платформе МСМ950: производительность увеличится в разы, появятся опции с массивом жестких дисков и  интерфейсами SFP, потеряет совместимость с маршрутизаторами Cisco ISR первого поколения и приобретет совместимость с новым маршрутизатором Cisco ISR 4451-X, сохранение примерно того же порядка цены.

Новая платформа – это интересно, но все-таки не понятно, почему нельзя было подождать с окончанием продаж до начала продаж новой платформы?

Не представляю, какой была бы ИБ, если бы все производители решений сначала заканчивали продажи предыдущей линейки, а через несколько месяцев начинали продажу новой.


PS:  Во второй части статьи хочу коснуться некоторых моментов сертифицированного в ФСТЭК России производства решений Cisco.

Не смотря на регулярные разъяснения Cisco, опыт общения с пользователями продуктов Cisco показывает что они не до конца понимают, что такое сертифицированное производство и какие есть варианты по получению сертифицированных решений Cisco.

Позволю себе прокомментировать некоторые моменты с позиции интегратора:
·        В моем понимании сертифицированное производство решений Cisco в России существует (по крайне мерее – не вижу существенной разницы с вариантами сертифицированного производства продуктов ИБ других производителей)
·        После сравнения всех факторов, для заказчика приоритетнее приобретение решений, уже сертифицированных серийно (сертифицированное производство)
·        По непонятным мне причинам сертифицированное производство решений Cisco носит децентрализованный характер. В связи с отсутствием инициативы сверху (самой компании Cisco Systems) в плане постоянной серийной сертификации всех решений по ИБ в системе ФСТЭК России, сработала инициатива снизу – несколько компаний сертифицировали “производство” решений Cisco и предоставляют эту услугу для всех желающих. Ещё недавно таких компаний было 3: Kraftway, АМТ-Груп, Верком. На данный момент остались: АМТ-Груп, Верком.
·        С точки зрения пользователя все выглядит достаточно просто: отдаешь несертифицированный продукт Cisco, в течении 2-10 дней проводятся его испытания (условно назовем так комплекс работ), получаешь сертифицированный в системе ФСТЭК Р продукт Cisco с комплектом документов
·        Сертификация по варианту производства как правило недорогая (10-20% от стоимости базового продукта – типовые стоимости можно посмотреть тут)
·        Из моей практики пользователям Cisco можно рассматривать следующие варианты сертификации продуктов по ИБ Cisco:
o   Закупка продуктов Cisco сразу в сертифицированном варианте в АМТ или Верком (для Заказчика самый простой вариант,  задержка в 2 дня незаметна на фоне общих 10 недель поставки)
o   Закупка продуктов Cisco у одних продавцов и отдельно сертификация в АМТ или Верком (почти как первый вариант, только больше договоров, больше логистики и дополнительные несколько дней на передачу оборудования между компаниями)
o   Сертификация уже имеющихся у Заказчика продуктов Cisco с отправкой оборудования на сертификацию в АМТ или Верком (необходима возможность вывести из эксплуатации оборудование на несколько дней и отправить их для испытаний)
o   Сертификация уже имеющихся у Заказчика продуктов Cisco на месте заказчика (самый сложный вариант , но он возможен; включающий выезд мобильной лаборатории на объект Заказчика, тогда вывод из эксплуатации оборудование – на минимальный срок)
·        При сертификации надо обращать внимание на конкретные версии сертифицированного ПО в продуктах Cisco – какая версия указана в сертификате, с такой вам и придется жить до новой сертификации. Иногда это важно, так как в разных версиях ПО могут существенно различаться возможности.
·        Некоторые эксперты (как недавно Алексей Комаров) интересуются, почему Cisco не публикует сертификаты и другие документы из комплекта сертифицированного производства (формуляры, ТУ, руководства и т.п.) предполагая какую-то хитрость, уловку или заговор. Ничего подобного. Дело в том что компания Cisco не обладает правами на эту интеллектуальную собственность.  А компании – производители сертифицированных решений не публикуют из-за коммерческих требований. Они инвестировали в разработку этих документов и в проведение сертификации серий и соответственно ожидают окупить свои затраты.  
·        Некоторые эксперты (как недавно Алексей Комаров) предполагают что в этих непубличных ТУ скрываются какие-то ограничения, не позволяющие использовать сертифицированные решения Cisco в реальных проектах. Это не так. В своей практике каких-либо невыполнимых ограничений в ТУ серий Cisco не встречал (в отличие от формуляров некоторых сертифицированных в ФСБ решений). Вот пример из одного ТУ:

При эксплуатации МЭ необходимо обеспечить выполнение следующих условий:
-        исключение возможности использования для обработки информации, содержащей сведения, составляющие государственную тайну
-        наличие администратора МЭ, отвечающего за правильные настройки правил фильтрации МЭ;
-        сохранение в секрете идентификаторов и паролей администратора МЭ;
-        обеспечение физической сохранности МЭ и управляющей ПЭВМ и исключение возможности доступа к нему посторонних лиц;
-        ведение на резервных носителях двух копий конфигурации МЭ, их периодическое обновление и проверка целостности;
-        периодическое тестирование функций защиты МЭ, администратором информационной безопасности (контроль правильности настроек безопасности МЭ, проверка целостности текущей конфигурации МЭ).