Сообщения

Сообщения за июль, 2014

СОИБ. Анализ. Новые угрозы ИБ нарушения контролируемой зоны компании

Изображение
На состав актуальных угроз ИБ компании оказывают влияние не только новые ИТ технологии, но и новые технологии в смежных областях – миниатюризации и робототехники.  Наверное, все слышали об угрозах ИБ, связанных с очками Google Glass . Cегодня другая история. Традиционно, проводные каналы связи внутри контролируемой зоны считаются доверенными. Беспроводные каналы – спорная тема. Из-за наличия технологий подключения Wi - Fi / bluetooth сверхдальнего действия до 2 км. (за счет направленных антенн, чувствительного приемника) в вашей корпоративной беспроводной сети могут перехватывать информацию далеко за границами КЗ.  Но кроме применения криптографии, можно было принять некоторые организационные мери и существенно снизить риски: уменьшить мощность передачи сигнала на точках доступа, размещать точки доступа в помещениях, использовать средства, контролирующие местоположение беспроводных клиентов, использовать надежные протоколы безопасности wi - fi и т.п. Кроме того ответн

СОИБ. Проектирование. Дизайн защищенных КСПД

Изображение
Достаточно часто приходится проектировать защищенные КСПД или их сегменты. При этом стараюсь придерживаться лучших практик, таких как Cisco SAFE и т.п. ( подборка у меня в блоге ) Как правило в них используются либо межсетевые экраны с функциями VPN либо маршрутизаторы с функциями VPN либо универсальные шлюзы безопасности с функциями VPN .  Но в российских реалиях эти практики приходится адаптировать. У нас два регулятора ФСТЭК и ФСБ со своими требованиями. Выполнить их в одном устройстве очень проблематично, о чем я уже писал в одной из предыдущих статей . Тем более что скоро завершаются продажи единственного сертифицированного ФСБ западного шлюза безопасности с функциями МЭ и VPN . Ещё одна российская реалия: из-за требований ФСБ приходится накладывать VPN поверх арендованных каналов. Так что нам приходится использовать выделенные криптошлюзы, сертифицированные ФСБ. Куда лучше их приткнуть в общей схеме защищенной корпоративной сети? Такой вопрос часто задают Заказчики. У

СОИБ. Анализ. СЗИ, не поддерживаемые производителем 2 (ответ ФСТЭК)

Изображение
Через три месяца получил ответ ФСТЭК Р на вопросы, связанные со сроками сертификатов, техподдержкой и лицензированием ОС, ПО и СЗИ. Мои вопросы были связаны с окончанием поддержки Windows XP , а так-же часто встречаемой у заказчика ситуацией когда на СЗИ не продлевается техподдержка или заканчивается срок действия сертификата ФСТЭК. В предыдущей статье я привел свои варианты ответов , вы можете так-же учитывать их. ·         Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат,  без технической поддержки от производителя (ТП не оказывается производителем в принципе или ТП не приобретена организацией) Ответ ФСТЭК: В соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, а также Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом от 27 октя

СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от СКЗИ класса КС2)

Изображение
Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу ( remote VPN ) в общем и сертифицированного по классу КС2 и выше в часности. Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site - to - Site VPN  можно  испытать много горя. Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся. Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер бежал к нему с монитором, клавиатурой, таблеткой и локально вводил пароль администратора. Никакие варианты типа SSH, консольного, терминального – не подходят. Во-первых, у инженера по сетевой безопасности пропадает возможность преднастраивать криптошлюзы и не выезжать на удаленные узлы при подключении криптошлюзов. Во-вторых криптошлюз нам придется перезагружать. Кроме производственных случаев обновления, обслужива