Форум программистов, компьютерный форум CyberForum.ru
Наши страницы

Крик души или один день работы технического специалиста

Войти
Регистрация
Восстановить пароль
Оценить эту запись

Крик души или один день работы технического специалиста

Запись от KellyDink размещена 11.07.2017 в 14:51
Обновил(-а) KellyDink 12.07.2017 в 10:29

Сижу значит я на работе, не шалю, никого не трогаю, примус починяю и тут на тебе... пришли ребята и говорят - мы Вам защиту будем ставить! по законодательству нашему. Проект напишем, модель угроз сделаем, рекомендации выставим, а если денюжек заплатите, то еще и внедрим все это.

Человек я подневольный, так что "надо, значит надо". и пошла их провожать в серверные, да к оборудованию коммутационному. Немного предыстории - ребятушки и правда приставлены к нам "свыше", аж из самой Москвы приехали, сказали - самые специализированные специалисты, слушаться, советы спрашивать, да всячески радовать.
Что собственно уже в корне меня не устраивало, ибо я жеж тоже специализированный специалист и не люблю, когда в мою систему, да своими грязными ручонками лезут.

Законодательство в принципе мной читано и учтено - стоит сертифицированный МЭ и шлюз VPN, который трафик контролирует и шифрует до следующего центра. И вообще все четенько, в канале даже доступа в тырнетик нет - просто арендованный канал от провайдера. А еще устройства 2, ибо кластер, а провод от провайдера 1. И еще есть великолепный кластер из цисок, где кропотливо настроены VLAN'ы. Собственно здесь и нашелся камень прекновения между мной и ребятушками. После тщательной проверки моего оборудования на ПЫЛЬ (щито? он не вскрывал даже корпуса, а заглядывал в отделения для потоков воздуха, где стояли ВЕНТИЛЯТОРЫ, которые исправно крутились между прочим, качал головой и что-то записывал в свой блокнот), дальше он начал лапать коммутацию и выяснять откуда идет коммутация внешнего провода. За что быстро получил по рукам (нефиг трогать руками чужое оборудование) и обещание рассказать на словах откуда и что приходит.
Так вот провод провайдера приходит на чердак, а к нам в серверную идет через все здание и через свич по VLAN'ом. После чего специализд еще сильнее покачал головой и сказал - ой беда, беда, как у вас тут все запущено. Мне стало обидно и на моем лице повис немой вопрос - чё, это?
Дальше мне была прочитана нотация, то VLAN'ы не являются сертифицированными средствами защиты (тут я согласна) и дальше пошел поток сознания про злых провайдеров, которые подключатся к моему оборудованию, взломают все и выложат на WikiLeaks. К слову сказать, у меня в системе дай бог немного персональных данных 4-ого класса и служебной информации (служебной, Карл!). Я спросила в каком документе ФСТЭКа регулируется схема подключения локально вычислительной сети (они ж защиту по законодательству строят, да? ) - поток сознания продолжился в сторону взлома шифрованного трафика и самого сертифицированного устройства (дада, именно сертифицированное устройство было под угрозой, а не свитч с VLAN'ами).
В общем к конструктивному диалогу мы не пришли, они стукнули кулаком по столу и сказали НАДО подключать напрямую. А чтоб Вы понимали, это либо мне кабель тянуть через все здание, либо оборудование тащить на чердак в совсем не оборудованное под него помещение. Либо оборудовать помещение на чердаке, что еще дороже. Кому надо, зачем надо и главное почему - они не объяснили, поэтому я пошла искать правду в интернете.
Горе коллеги покивали и ушли заниматься своими делами, у кого побольше энтузиазизма еще и мне начали доказывать, что они правы, специализды врать не будут, но ПОЧЕМУ правы так мне ответить и не смогли. Поэтому я отправилась за правдой к ясеню законодательству сама.
И того в моем арсенале были следующие документы:
1 - Приказ 17 от 2013 г. ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ в редакции от 2017 года
2 - Приказ №21 от того же 2013 г. ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ вроде как изменений не претерпевал
3 - Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" вроде как тоже без изменений, либо я не знаю, где в консультанте их посмотреть
4 - СТР-К - ну на всякий случай. ну а вдруг? если бы там нашла - ткнула носом, что у меня такой информации нет идите лесом
5 - Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016г. № 9 документ ДСПэшный, но в тырнетике можно кусочки и обзоры почитать.

Главный вопрос после дебатов сформулировался следующий: где в документах ФСТЭКа прописано, что МЭ должен стоить на ФИЗИЧЕСКОЙ границе с недовверенной границей или границей с сетями общего пользования? чем не устраивает ЛОГИЧЕСКАЯ граница таких сетей.

в первом документе про межсетевое экранирование сказано следующее:
Кликните здесь для просмотра всего текста
Пункт 14.3 При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.


Сам создал модель угроз, сам защитился. То бишь если я напишу, что угроза по доступу к средствам коммутации для меня не актуальна, значит от нее могу не защищаться.
Кликните здесь для просмотра всего текста
Пункт 20.13 Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации.

Требования же к защите сетей, лично для меня, как для технического специалиста звучат так: меры ДОЛЖНЫ БЫТЬ .(ТОЧЕКА)

Тогда я пошла к другому документу - тот который № 2 в моем списке.
Кликните здесь для просмотра всего текста
Пункт 8.13. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

Опять какая-то вода. Меры должны быть (там еще и классы учитываются, правда. Но тут стоял больше общий вопрос). Так они есть! вот стоит родимый, лампочками перемигтываеься

в Третьем по счету документе была вообще исключительно вода и угрозы
Кликните здесь для просмотра всего текста
Пункт 13 г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Опять тоже самое - делаем моель угроз и защищаемся от нее. Единственное что я нашла, так это то, что средства все должны быть сертифицированы.

В четвертом по счету документе было уже что-то более вразумительное.
Кликните здесь для просмотра всего текста
РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В НЕГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ РЕСУРСАХ, ПРИ ВЗАИМОДЕЙСТВИИ АБОНЕНТОВ С ИНФОРМАЦИОННЫМИ СЕТЯМИ ОБЩЕГО ПОЛЬЗОВАНИЯ
Данные рекомендации определены, исходя из требований РД "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", настоящего документа, а также следующих основных угроз безопасности информации, возникающих при взаимодействии с информационными сетями общего пользования:
· несанкционированного доступа к информации, хранящейся и обрабатываемой во внутренних ЛВС (серверах, рабочих станциях) или на автономных ПЭВМ, как из Сетей, так и из внутренних ЛВС;
· несанкционированного доступа к коммуникационному оборудованию (маршрутизатору, концентратору, мосту, мультиплексору, серверу, Web/Proxy серверу), соединяющему внутренние ЛВС учреждения (предприятия) с Сетями;
· несанкционированного доступа к данным (сообщениям), передаваемым между внутренними ЛВС и Сетями, включая их модификацию, имитацию и уничтожение;
· заражения программного обеспечения компьютерными "вирусами" из Сети, как посредством приема "зараженных" файлов, так и посредством E-mail, апплетов языка JAVA и объектов ActiveX Control;
· внедрения программных закладок с целью получения НСД к информации, а также дезорганизации работы внутренней ЛВС и ее взаимодействия с Сетями;
· несанкционированной передачи защищаемой конфиденциальной информации ЛВС в Сеть;
· возможности перехвата информации внутренней ЛВС за счет побочных электромагнитных излучений и наводок от основных технических средств, обрабатывающих такую информацию.

То бишь и угроза коммутационному оборудованию прописана. Только вот косяк - документ там устаревший прописан. Такого уже не существует. Да и дальше написано:
Кликните здесь для просмотра всего текста
Пункт 6.3.2. Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям безопасности информации.

Не подключаться к сетям в ОБХОД МЭ - а у меня опять же на ЛОГИЧЕСКОМ уровне все идет как надо.

Поэтому я таки отрыла последний документ. Он свежОхонький 2016 года, прямиком из доблестного ФСТЭКа, который мало того, что разделил МЭ на классы, так еще и типы. И там крылась ИСТИНА.
Кликните здесь для просмотра всего текста

Без пункта в открытом информационном сообщении: межсетевой экран уровня сети (тип «А») – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа «А» могут иметь только программно-техническое исполнение;

межсетевой экран уровня логических границ сети (тип «Б») – межсетевой экран, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Межсетевые экраны типа «Б» могут иметь программное или программно-техническое исполнение;

Вообще-то там целых 5 типов и на каждый тип еще по 5 классов, а в закрытом документе еще и картинки красивые по этому есть. Но факт остается фактом - на границе с недоверенной сетью нужна именно ФИЗИЧЕСКАЯ граница
Кликните здесь для просмотра всего текста
и чтобы негр с ружьем всех неприятелей отстреливали

А между системами можно и логически разделять. Собственно на это я потратила свой целый рабочий день, но я таки нашла документальное требование регулятора и мне стало легче. Пока ребятушки сами не ткнут в него пальцем принимать их мега решение не буду. и внимательнее буду относиться к остальным требованиям, дабы они мне тыкали в пункты законодательства, где такое прописано ибо нефиг обижать девочек

Оставшиеся вопросы - какого (извините меня за мой французский) хрена лезть в проектирование защиты по документам, когда документов, собственно не знаешь?
если Информационную систему расположить внутри ДМЗ и все пустить по одному свичу - будет ли это легитимно? в таком случае мы законно ставим МЭ типа Б и радуемся. в таком случае можно использовать один свитч для провайдера, ЛВС и закрытой сети?
если мы делаем только по персданным, можно ли правда в моделе угроз сказать, что такая угроза для нас не актуальна? или таки этот документ по МЭ имеет силу выше? вообще есть ли какая-то градация важности документов? как в доменных политиках, например?
Всего комментариев 2

Комментарии

  1. Старый комментарий
    Гмм. А может, стоит пойти по формальному пути?
    Ну, прислали аж из Самой Москвы Очень-Очень Умных Специалистов. Ходи, показывай, а все их предложения пиши в блокнотик. А по окончании работы этих Специалистов - садись да пиши челобитную своему начальству: так мол и так, Боярин-Батюшка, навестили нас Специалисты-Многознатцы аж из самого Стольного Града. А хотят сии Многознатцы переделать нашу системочку так и вот этак еще. Требуется на это столько-то месяцев трудозатрат, столько-то золотых червонцев. Нужно купить такое-то оборудование, переложить такие-то кабели, оборудовать такие-то помещения.... (не стесняйся! И упомяни обязательно, что тебе нужно еще столько-то подчиненных. И нужна реорганизация - вместо тебя нужен целый Отдел. С тобой во главе, разумеется, и с соответствующим повышение оклада жалованья.) План работ и смета затрат на стольки-то листах ценой в стотыщмильенов золотых червонцев прилагается. Прошу утвердить прилагаемый план работ и сообщить сроки открытия финансирования этих работ.

    С вероятностью 99% Боярин-Батюшка, получив такую челобитную и узрев затраты в стотыщмильенов золотых, сунет ее в Долгий Ящик и скажет: "Работает? Вот и не трогай!" А если пустит в дело - станешь начальником отдела. Короче, при любом исходе ты в выигрыше.

    Нет?
    Запись от CheshireCat размещена 12.07.2017 в 11:48 CheshireCat вне форума
  2. Старый комментарий
    Аватар для KellyDink
    Хорошо у Вас написано! гладко так, прям глаз радуется. Просто беда с этими москвичами в том, что они искренне считают, что умные только они. Поэтому скорее всего выставят счет Боярину-Батюшке на внедрение. А Боярин-Батюшка покачает головой, развесит уши на возможные риски и штрафы, посмотрит на парочку борзых щенков прямиком из Святограда и пойдет отсчитывать купюры москвичам, а не мне и моему новому отделу, потому что мои щенки не борзые, да и пугать я не умею(

    А закончится чем? Они внедрят свою расчудесную систему, придут с актом приема-передачи ко мне, на все мои вопросы головой покачают, скажут что специалисты должны быть специализированные, ногами потопают и отправят учиться (предлагали мне курсы повышения квалификации от соседней конторы), окружающие тоже - ну чего, жалко тебе что ли? ребятушки работали, вон сколько пыли нашли. Получается я главный злодей со всех сторон - и специалист я так себе (ишь вздумала вопросы задавать специалистам), и вообще ребятушек не жалею (вопрос "Вам что жалко что ли подписать?" меня убил. Мы тут работаем или жалеем друг друга?) и вообще сильная и независимая (вот все женщины такие). В итоге не мытьем, так катаньем подпишут этот несчастный акт и уйдут в закат. А жить с этим мне( да и когда придет проверка - не будут же искать с собаками Москвичей - до них далеко, собаки не добегут. А моя подпись рядом красуется.
    Но это все лирика и моё нытьё на злых Москвичей, которые не соблюдают правил приличия и этикет делового общения. Благо я девочка и Боярин Батюшка меня любит и обижать меня не дает. Правда иногда что-нибудь выдает типо - "ну у них же штрафы будут за невыполнение контракта" и подписывает акт сам, обещая под честное слово, что они вот прям щас придут и все доделают. никто конечно не приходит и не доделывает, но в целом работу и начальство я люблю, хоть и не всегда согласна с их решениями.
    Запись от KellyDink размещена 13.07.2017 в 10:16 KellyDink вне форума
 
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Рейтинг@Mail.ru