Куда делась тема про ДССЗЗІ???
Важное
10 ноября, 2025
27 апреля, 2025
Человек не терпит насилия!
Меню
Куда делась тема про ДССЗЗІ???
Перепечатка материалов «ОРД» в полном или сокращенном виде только с письменного разрешения редакции.
© 2025 ОРД. Републикация авторских текстов без письменного согласия редакции запрещена. При использовании материалов активная гиперссылка обязательна ord-ua.com
Связь с редакцией — [email protected]
13 201 ответ
Дело не в качестве НД, а в их реализации на практике на этапах проектирования, построения и, главное, эксплуатации КСЗИ. НД созданы достаточно системно и описывают общие и абстрактные механизмы защиты, реализуемые конкретными средствами. Не стоит пенять на ХР. Система достаточно мощная с точки зрения безопасности и при определенных настройках позволяет реализовывать адекватные профили защиты. Главное, чтобы администратор безопасности глубоко разбирался в этих механизмах. Дырявую систему можно построить хоть на 95м, хоть на NT, на 7, 8, Unix-ах, Solarise и т.д. Однако, и достаточно защищенную систему можно создать и поддерживать в актуальном с точки зрения безопасности состоянии на большей части из перечисленных ОС. Нужно уметь администрировать, отслеживать и анализировать обновления, находить баланс между защищенностью, производительностью и удобством пользования и т.д. Отсюда и условия эксплуатации КСЗИ, описанные в ЭЗ и в ЭД должны предполагать внесение изменений в систему без ущерба для профиля и учитывать и новые угрозы и механизмы их нейтрализации. Тогда система, построенная на ХР будет в состоянии обеспечить защиту на протяжении 5 лет действия аттестата КСЗИ. А на НД пенять нечего…
Красиво и правильно сказано. Но оторвано от жизни… МП и МЗ -не нужны (и Вы прекрасно, судя по всему, понимаете почему), ситуативные планы -дань моде и т.д. и т.п. КСЗИ, построенная на сервисах ОС (особенно от Била Гейтса) — блеф. КСЗИ, построенная по НД — блеф. Что там можно построить на импортных ПК и импортном программном обеспечении ? ПЭОМ на ночь в сейф — вот и вся КСЗИ — простая, дешевая, надежная. Но кто ж ее узаконит ? И что будет делать целая “армия”, внедрившая и блюдящая НД ?
XP уже сдулась. Устарела морально. К тому же мелкомягкие закончили ее поддержку, срок действия экспертного заключения на нее закончился. Теперь уже на ХР и ее сервисах безопасности ни чего создать нельзя. А кто видел в живую рекомендации по настройке сервисов 7-ки, Сервера-2008? Подозреваю, что ни кто. Как теперь бороться с КСЗИЗмом? Где документация по экспертизе?
Можно ПОПЫТАТЬСЯ защитить… Про иранские компы слышали ? 2. В облаках проживаете или розовые очки не снимаете ?
Windows 7 Microsoft Windows Server 2008 R2. Security Target.pdf
Начните с этого. Документ Common Criteria, доступен в Интернете. Уверяю, экспертиза проводилась, опираясь на этот документ. Глубже эксперты не копали. Понятно, что здесь изложены исключительно задокументированные функции ОС, но уже их понимание позволит защитить систему.
Оппонентам: я не говорю о системах с критически важной информацией. Такие системы бланком экспертного заключения не защитить…
с критически важной информацией. Такие системы бланком экспертного заключения не защитить…
Вот то-то и оно, что не защитить. Так зачем нужна эта возня с бумагами ради получения бланка ? Повторяю в очередной раз: сервисы и программы иностранного производства — это “безопасность в тумане”, т.е. блеф чистой воды. К слову, любая информация — критическая. Даже коллекция порнографических картинок.
We are where we are…За неимением своего довольствуйтесь чужим. Или есть примеры создания системы защиты информации исключительно на отечественных продуктах? Бумага и карандаши производства украинских ДОК и самоварные сейфы не предлагать!
И как этот pdf сочетается с нашими НД? Кто, блин, и как будет проверять соответствие настроек сервисов заявленым в ТЗ? Кто как захочет, так и прочитает. Какая нахрен критическая информация? Нормальный системный админ такую дыру в этих сервисах организует, мама закачается. А админ безопасности будет потом искать из чего застрелиться. Нет у нас ни какой систмы ТЗИ. Есть система откатов и бумажный захыст информации. Самый надежный способ ее защиты был описан выше- ПЕОМ в сейф и весь захыст. Только не надо здесь петь про пэмины.
С таким подходом к чему ПЭВМ вообще? Возвращаемся к “Ятрани”, учету бланков и печатных лент. Дешево и сердито. Только если для секретной информации это применимо с учетом ее объемов, то с другими категориями оной как быть? Как организовать оперативный обмен, множественный доступ к ресурсам, хранение и учет? Машбюро, спецпочта с бумажной картотекой? Посчитайте расходы на персонал и услуги и сравните с рисками утечки/модификации/блокирования открытой информации в электронном виде, помножьте на убытки, связанные с несвоевременным решениям задач управления, и примите решение нужны вам ПЭВМ или нет…
А связать техдокументацию на ОС или средство ТЗИ с НД — дело техники…
Это прожекты. Не в нашей стране их осуществлять. И не с этими писателями НД. Кто и когда согласовывал ТЗ для АС класса 1 на старой доброй ХР без какого-либо грифа, лозы, рубежа? А нахрена они нужны были вообще? Это вымучивание бабла. Прикормленные лицензиаты должны жить в любом случае, даже если они вообще не нужны. Да и весь этот НСД в ввек, когда компьютер — персональный ( т.е один комп — один пользователь). Согласен, если это сеть — все гораздо сложнее, но в большинстве случаев, в одномашинном однопользовательском комплексе, это все сводится к стопке бумаг и куче бабла, отданому левым людям, а защита — к наличию цветной бумажки. Есть бумажка — защищен, нет — нарушитель государственного спокойствия. Теперь о сетях. На АЭС что наши писатели защищают? Информацию с ограниченным доступом? В каком она перечне? Согласен, что те процессы должны быть защищены, но по каким критериям? Энергоатом скажет, что эта информация даже собствееностью государства не является, и все НД пройдут мимо. Вот и городят они там то, что хотят, а умные писатели НД хотят создать универсальную бумажку шоб про все. В итоге страдает одномашинный однопользовательский комплекс, он же печатная машинка. А спецы будут надувать щоки и требовать сертификат на “Ятрань” . И это не шутка, сталкивался уже. Скоро начнем сертификацию на авторучки требовать.
Кусочек одной аналитической записки примерно 2010 года:
“…В Україні доля програмних продуктів корпорації Microsoft складає 96 %, використання матеріально-технічної бази іноземного виробництва в сучасних інформаційних системах складає майже 100 %. Пошук можливих „закладок” та шкідливого коду в цій продукції практично унеможливлений, а залежність української держави від згаданих продуктів зростає. Закриті коди ПЗ надають можливість фірмі-розробнику впроваджувати в програми та продукцію спеціальні «закладки», «логічні бомби», мета яких може бути різною: від спонукання споживача переходити на більш нові (удосконалені) версії продукції до того, щоб дистанційно, наприклад, при загостренні політичних відносин із країною, в якій широко застосовується дане ПЗ, вивести таке ПЗ з ладу. Скандальним підтвердженням використання незадокументованих можливостей став факт оновлення дев’яти важливих системних файлів ОС Windows XP та Vista в 2007 році корпорацією Microsoft без повідомлення та згоди користувачів, в обхід встановленої процедури апгрейду, навіть у таких випадках, коли в системі була відключена функція автоматичного оновлення.
З моменту підписання Угоди від 2005 року між корпорацією Microsoft та Міністерством науки і освіти України про легалізацію ПЗ в державних структурах, не тільки закуплено 120 000 ліцензій, а й фактично закріплено монополізацію програмного ринку України.
За результатами аналізу звітів «Лабораторії Касперського» за період 2005-2010 років, 95 % всіх комп’ютерних вірусів та «хакерських» атак націлено саме на продукцію цього виробника. Тільки «Укртелеком» внаслідок такої атаки у 2005 р. зазнав збитків на суму понад 1 млн. гривень.
Незважаючи на практичну неможливість виявлення шкідливого коду, сервіси безпеки ОС MS Windows XP Professional з пакетом оновлення Service Pack 2 за результатами державної експертизи отримали експертний висновок про відповідність вимогам нормативних документів системи технічного захисту в Україні та активно використовуються для створення КСЗІ…”
По состоянию на 2014 ситуация кардинально не изменилась.
И я уже понял, почему нельзя построить КСЗИ в АС на базе ноутбука: заземление прикрутить не к чему, корпус пластмассовый. И пофиг, что информация в нем обрабатывается открытая.
Кстати, давным-давно доказанный факт: заземление корпуса ПЭВМ никоим образом не снижает уровень ПЭМИН. Накой черт прописали норму для заземления в 4 Ома непонятно. А теперь вопрос: чем вообще занималось ДССЗЗИ и ее институт все єти 8 лет существования ? Откатывали с Инкома ? О каком ТЗИ и ЗИ вообще можно говорить…
На счет заземления…
Требования по заземлению обязательны только для оборудования, на котором ведется обработка “грифованой” информации. При этом предполагается проведение исследований на наличие физических каналов утечки, использование экранированных корпусов, соединительных линий, фильтров в цепях питания и т.д. Для обработки открытой и служебной информации эти требования используются по решению собственника информации.
Для АС, в которой предполагается обработка информации, содержащей гостайну простое заземление корпуса компьютера на решит задачу. Тот, кто советует заземлять корпус бытового компьютера как обязательное требование НД ТЗИ и выдает это как решение задачи ЗИ, включая его в документацию по КСЗИ, в любом случае, действует от лукавого.
То, что Вы привели как цитату, факт общеизвестный. Но из него не следует принятие решения отказа от защиты информации, базируясь на документированных функциях производителя системы. Можно, конечно, плюнуть на все, отключить авторизацию по паролям, обновление системы, антивирус и т.д., руководствуясь тем, что все-равно когда-нибудь сработает “логическая бомба”. Но не стоит забывать и о ежечасных тривиальных угрозах, которые нужно и можно нейтрализовать стандартными средствами.
То или иное решение по защите исходя, в том числе, и из действующих НД ТЗИ, начинается с построения моделей угроз и нарушителя. Если вы считаете, что нарушителем является сторонний разработчик, то повышайте требования к уровню гарантий и ищите своего (МайЛинукс еще здравствует, кажется), ставьте ему задачу на сборку ядра ОС, прописывайте профиль защиты и ждите реализации. Реализация будет, но как минимум:
1. За счет заказчика системы придется провести экспертизу ОС.
2. Вам придется постоянно гоняться за юниксоидами и выбивать из них обновления системы, приложений и т.д…
Ищите баланс между рисками быть защищенным или разоренным.
Скажите, Вы ведь знаете откуда взялись украинские НД ТЗИ ? 2. Читали ли Вы схожие российские НД ? 3. Почему при прочтении НД РФ логика текста и взаимосвязь между НД прослеживается, а у нас нет ? 4. Как дети легко обходят все возможные процедуры ограничения доступа из лучших (и имеющих “бланк”)достижений КСЗИ ?
И у меня вопрос тот же.
И у меня вопрос тот же. Обыватель ответа не дал.
Наши НД не претендуют на исконные отечественные корни. Их следы ведут к зарубежным источникам, начиная с Критериев…Однако, нарушения связей прослеживаются и в НД и стандартах ISO. Проблема не в этом, а в том, как на практике реализован профиль зашиты, то есть какие конкретные механизмы используются в качестве той или иной услуги. Согласитесь, можно разграничение доступа реализовать на тривиальных паролях, но можно и на хэшированных. При этом нерадивый эксперт присвоит один и тот же уровень функциональной услуге административной конфиденциальности или целостности, подойдя формально. И будет выдано ЭЗ на эту услугу. И снова на бумаге будет все красиво. На практике же школьник перехватывает или подбирает пароль влет…Пример свидетельствует о том, что ни один нормативный документ или стандарт в полной мере не опишет требования к механизмам защиты, реализованные в конкретной системе.
Поменяйте мотивы. Стремиться нужно не к бланку, но к качественному решению. Конечно, если вам интересна судьба информации, а не содержание акта проверки ДККТЗИ…
Поясните, пожалуйста: 1. « … на тривиальных
паролях, но можно и на хэшированных»; 2. « ЭЗ на эту услугу». Спасибо.
Мотив всегда был одним — защитить информацию и систему, его менять не надо, а вот подход поменять не удастся, ибо только бланк дает ПРАВО, а что предшествует получению бланка ? Это я к тому, что гора родила мышь: место существующим НД — мусорная корзина.
Вы ведь прекрасно осведомлены о том, что может заменить систему отечественных НД… Так озвучте ! Обсудим это уже в абсолютно конструктивном русле (в смысле взаимопонимания).
И я за конструктив, только где его искать. Явно не на этом форуме. Все вопросы актуальны: где рекомендации по семерке и серверу-2008? На документацию разработчика ссылаться не надо ибо там написаны рекомендации админу, которые он может опираться так, как ему вздумается. Где те, обязательные функции, которые должны быть задействованы для обеспечения заявленного профиля защищенности. Обычная инсталяция ОС с параметрами по умолчанию этот профиль явно не обеспечивает. Так если этих рекомендаций нет, то на что было выдано ЭЗ? Как это сертифицированное средство можно использовать в КСЗИ? Любой эксперт будет выставлять требования на свое усмотрение. Опять вопрос в сумме за эксперизу?
Беседа в этой ветке перетекла в конструктивное русло. Аж не верится. Читать даже интересней стало.
Сейчас Харьков втрутыться, и всё полетит к чёртовой матери!
Тривиальный пароль — часто используемый набор символов типа “qwerty” при отключенной функции криптографической защиты пароля, применяемой для передачи и хранения паролей в ОС.
Хешированный, здесь — пароль, защищенный криптографическими методами, например, с помощью хеш-функции.
ЭЗ — экспертное заключение
Запросите у организаторов экспертизы:
1) експертний висновок від 23.12.2011 р №334 на комплекс засобів захисту операційної системи Microsoft Windows Server 2008 R2 Enterprise Edition Service Pack 1;
2) державна експертиза з технічного захисту інформації операційної системи Windows Server 2008 R2 Enterprise Edition Service Pack 1 (шифр – “Експертиза WS2008-R2-SP1-EE”). Рекомендації щодо інсталяції операційної системи та конфігурування параметрів безпеки;
3) експертний висновок від 29.12.2011 р №337 на комплекс засобів захисту операційної системи Microsoft Windows 7 Service Pack 1;
4) державна експертиза з технічного захисту інформації операційної системи Windows 7 Enterprise Edition SP1(шифр – “Експертиза W7_EE_SP1”). Рекомендації щодо конфігурування параметрів безпеки.
Только вот Вам совет: изучите официальное издание “Руководства. Реагируй быстро. Достигай большего. Руководство по безопасности Windows Server® 2008”. Доступно в Интернет. Найдете быстро. Возможно, удивитесь когда прочтете материалы экспертизы, получив их от экспертов через мытарства…
По моему мнению, основной недостаток НД ТЗИ — обособленность задачи защиты информации от других аспектов жизни информационной системы и информационной деятельности предприятия, отрасли, государства.
ТЗИ в Украине — вещь в себе, владение которой предполагает изолированность от большинства процессов, которые являются жизненно необходимыми на всех этапах существования системы. Причем рассматривать нужно не информационную систему, а систему управления, как часть общего механизма деятельности организации. Необходимо учитывать работу смежных с информационными технологий для достижения общей цели — эффективности, не ограниченной барьерами и механизмами безопасности, но дополняемой оными.
Достаточно прогрессивной с этой точки зрения является методология COBIT, учитывающая многие аспекты: и стандарты безопасности ISO 27000, и стандарты качества ISO 9001, и модели зрелости интеграции (CMMI, и проектирование в контролированной среде(PRINCE2), и требования по управлению проектами (PMBOK).
Можем обсудить…
Починає вже подобатися.. Розумні слова звучать на форумі. А то раніше все або про Миргород або про Харків… Сподобалися думки про те, що бардак — не в змісті НД ТЗІ а в ваших головах, які не можуть створити систему захисту (практично — по Булгакову). Не сподобалось, що багато хто пише, що захищає систему… Хоча якраз це і є типовою помилкою отих “спеціалістів”, яких я взяв у лапки. Вони не розуміють, що захищають інформацію. Дуже жаль, що ці так звані специ думають, що захист будується на базі ОС. А насправді захист будується на основі правил обробки інформації.
Я и сказал, что надо защищать информацию и систему.
Под системой имеется ввиду “среда ее обитания”.
Туда же входит и ОС и другое ПО. И если в “железе”, ОС и ПО будут незадокументированные штуки-дрюки, то вы хоть в белых перчатках и противогазе информацию обрабатывайте, хоть какие правила ее обработки внедряйте и выполняйте, она защищена не будет. Это на себе ощутил Иран, погуглите и все поймете. Самое сложное, что “средой обитания” есть и голова, мозги, если хотите, персонала — со всеми вытекающими отсюда последствиями.