Сообщения

Сообщения за Июль, 2014

СОИБ. Анализ. Новые угрозы ИБ нарушения контролируемой зоны компании

Изображение
На состав актуальных угроз ИБ компании оказывают влияние не только новые ИТ технологии, но и новые технологии в смежных областях – миниатюризации и робототехники.  Наверное, все слышали об угрозах ИБ, связанных с очками GoogleGlass. Cегодня другая история.
Традиционно, проводные каналы связи внутри контролируемой зоны считаются доверенными. Беспроводные каналы – спорная тема. Из-за наличия технологий подключения Wi-Fi/ bluetoothсверхдальнего действия до 2 км. (за счет направленных антенн, чувствительного приемника) в вашей корпоративной беспроводной сети могут перехватывать информацию далеко за границами КЗ. 

Но кроме применения криптографии, можно было принять некоторые организационные мери и существенно снизить риски: уменьшить мощность передачи сигнала на точках доступа, размещать точки доступа в помещениях, использовать средства, контролирующие местоположение беспроводных клиентов, использовать надежные протоколы безопасности wi-fiи т.п. Кроме того ответная передача информации ил…

СОИБ. Проектирование. Дизайн защищенных КСПД

Изображение
Достаточно часто приходится проектировать защищенные КСПД или их сегменты. При этом стараюсь придерживаться лучших практик, таких как CiscoSAFEи т.п. (подборка у меня в блоге)
Как правило в них используются либо межсетевые экраны с функциями VPNлибо маршрутизаторы с функциями VPNлибо универсальные шлюзы безопасности с функциями VPN.  Но в российских реалиях эти практики приходится адаптировать. У нас два регулятора ФСТЭК и ФСБ со своими требованиями. Выполнить их в одном устройстве очень проблематично, о чем я уже писал в одной из предыдущих статей. Тем более что скоро завершаются продажи единственного сертифицированного ФСБ западного шлюза безопасности с функциями МЭ и VPN. Ещё одна российская реалия: из-за требований ФСБ приходится накладывать VPNповерх арендованных каналов.
Так что нам приходится использовать выделенные криптошлюзы, сертифицированные ФСБ. Куда лучше их приткнуть в общей схеме защищенной корпоративной сети? Такой вопрос часто задают Заказчики. У производителей нет…

СОИБ. Анализ. СЗИ, не поддерживаемые производителем 2 (ответ ФСТЭК)

Изображение
Через три месяца получил ответ ФСТЭК Р на вопросы, связанные со сроками сертификатов, техподдержкой и лицензированием ОС, ПО и СЗИ. Мои вопросы были связаны с окончанием поддержки WindowsXP, а так-же часто встречаемой у заказчика ситуацией когда на СЗИ не продлевается техподдержка или заканчивается срок действия сертификата ФСТЭК. В предыдущей статье я привел свои варианты ответов, вы можете так-же учитывать их.
·Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат,  без технической поддержки от производителя (ТП не оказывается производителем в принципе или ТП не приобретена организацией) Ответ ФСТЭК: В соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, а также Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом от 27 октября 1995 г. № 199, заяв…

СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от СКЗИ класса КС2)

Изображение
Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remoteVPN) в общем и сертифицированного по классу КС2 и выше в часности.
Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site-to-SiteVPN можно испытать много горя.
Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся.
Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер бежал к нему с монитором, клавиатурой, таблеткой и локально вводил пароль администратора. Никакие варианты типа SSH, консольного, терминального – не подходят.
Во-первых, у инженера по сетевой безопасности пропадает возможность преднастраивать криптошлюзы и не выезжать на удаленные узлы при подключении криптошлюзов.
Во-вторых криптошлюз нам придется перезагружать. Кроме производственных случаев обновления, обслуживания, сбоев и т.п. есть ещё требо…