Comments 22
а про защиту аппартной части можно поподробнее?
«Я список кораблей прочёл до середины» и догадываюсь, почему тут столько добавлений в избранное.
Интересно, сколько вы это всё переписывали? И насколько полной считаете классификацию?
Интересно, сколько вы это всё переписывали? И насколько полной считаете классификацию?
Да, я тоже давно такой стены текста не видел:)
Это результат выжимки из практических наработок, одна из таблиц, которые начали составляться давно и постоянно доводятся. По охвату полнота есть, но, разумеется, каждую угрозу можно раскладывать на составные части очень и очень долго. На мой взгляд, основное, что нужно при разработке модели угроз ИСПДн при использовании виртуализации, здесь изложено. Буду рад, если предложите рассмотреть какие-то дополнительные угрозы и способы защиты от них. Потом совместно сможем взять это на вооружение.
Глаза сломал
1. что касается физических сред — кража данных на носителях (к примеру бекапы)
или я совсем слепой или я не увидел пункта «шифрование бекапов». тоже самое касается трафика.
плюс вланы. плюс контроль подключений на физических портах — переключение состояния порта делается влёт.
2. везде виноватым идет администратор системы.
почему-то вариант что виноватым может быть администратор безопасности не рассматрвиается.
3. впн между серверами/виртуальными машинами никто не отменял.
4. любой грамотный администратор которые знает структуру может сделать все что ему надо так, что любая система контроля вторжения, IDS, мониторинга не увидит в его действиях ничего подозрительного, а если и увидит, то забудет.
5. документирование — жесткий доступ к описанию всех систем, паролей, инфраструктуры.
6. возможность быстро перекрыть доступ конкретной единице — сотруднику, серверу, машине. — возможно физически потушив порт куда он включен.
вроде все, навксидку
или я совсем слепой или я не увидел пункта «шифрование бекапов». тоже самое касается трафика.
плюс вланы. плюс контроль подключений на физических портах — переключение состояния порта делается влёт.
2. везде виноватым идет администратор системы.
почему-то вариант что виноватым может быть администратор безопасности не рассматрвиается.
3. впн между серверами/виртуальными машинами никто не отменял.
4. любой грамотный администратор которые знает структуру может сделать все что ему надо так, что любая система контроля вторжения, IDS, мониторинга не увидит в его действиях ничего подозрительного, а если и увидит, то забудет.
5. документирование — жесткий доступ к описанию всех систем, паролей, инфраструктуры.
6. возможность быстро перекрыть доступ конкретной единице — сотруднику, серверу, машине. — возможно физически потушив порт куда он включен.
вроде все, навксидку
В моделях угроз администратора ИБ, как правило, исключают из перечня нарушителей. Обоснованием исключения является реализация комплекса организационных мер, например, повышенный контроль при приеме на работу, формулирование обязанностей в трудовом договоре, установление достойной заработной платы ;-).
Насчёт вланов и контроля портов. Насколько я знаю, ФСБ эти вещи не признаёт.
Считают только 2 варианта кошерными — вынос потоков ПДн в отдельную инфраструктуру (кабели, коммутаторы и т.д.), либо ГОСТ-шифрование.
Считают только 2 варианта кошерными — вынос потоков ПДн в отдельную инфраструктуру (кабели, коммутаторы и т.д.), либо ГОСТ-шифрование.
Бррр. Что это?
Это высокоуровневая модель угроз, как я понимаю? Но не формализовано описанная?
Как быть с оценкой рисков?
Гипервизоры бывают разные. И на многие нет CIS стандарта. Что предлагается делать?
Виртуализация бывает не только гипервизорная. Будет ли это учтено?
Это высокоуровневая модель угроз, как я понимаю? Но не формализовано описанная?
Как быть с оценкой рисков?
Гипервизоры бывают разные. И на многие нет CIS стандарта. Что предлагается делать?
Виртуализация бывает не только гипервизорная. Будет ли это учтено?
Вы бы в заголовке уточнили бы, что защита виртуальной среды при обработке ПДн. Реальная защита и защита по требованиям регулятора это разные работы и преследуют разные цели.
Я, конечно, предполагал, что бюрократии полно, но чтобы настолько… Похоже, что поднять свой «стартапчик», где пользователи хотя бы личное мыло могут оставить (это же ПДн?) в современных условиях «в гараже» не потянуть. Или не так страшен чёрт как его малюют и за всеми этими страшными словами стоят обычные, в принципе, действия по защите системы, а их часть переходит к вышестоящим хостерам? Или самому нужно как-то доказывать, что, например, селектеловские виртуалки надежно защищены на уровне гипервизора?
Здесь сделана попытка заложиться под самый <тяжелый> с точки зрения регуляторов вариант.
Вроде бы можно сделать обязательную галку «разрешаю передачу ПД неогруниченному кругу лиц» при регистрации, чтобы избежать этого бреда с сертификацией ИСПДн.
По крайней мере всё больше вижу её в различных формах регистрации.
По крайней мере всё больше вижу её в различных формах регистрации.
Некорректная настройка параметров гипервизора и виртуальных машин, влияющих на безопасность
Два раза повторяется. В личку писал — ответа нет.
Sign up to leave a comment.
Защита в виртуальной среде: чеклист угроз