Документа, который бы прямо говорил, что лицензия, выданная ФАПСИ, = лицензии ФСБ, нет. Но, повторимся, что все обязанности ФАПСИ в области криптографической защиты информации переданы ФСБ России. Лицензированием деятельности, связанной с СКЗИ, также сейчас занимается ФСБ. При этом сама ФСБ ссылается на Инструкцию ФАПСИ в части учета СКЗИ – в этом и заключается парадокс ситуации и проблематика устаревшей инструкции. Очевидно, что сейчас вопрос с лицензиями решается скорее «по умолчанию» (ФАПСИ=ФСБ)
Дистрибутив с СКЗИ надо проверить на целостность контрольной суммы. Вместе с дистрибутивами СКЗИ на странице загрузки размещаются контрольные суммы установочных модулей и документации. Контрольные суммы рассчитываются в соответствии с ГОСТ Р 34.11 94 с учётом RFC 4357, а также md5.
Установка СКЗИ на рабочее место осуществляется только в случае подтверждения целостности полученных установочных модулей СКЗИ и эксплуатационной документации.
Проверка должна быть осуществлена с помощью утилиты cpverify.exe, входящей в состав СКЗИ «КриптоПро CSP» cpverify -mk , либо иным другим сертифицированным ФСБ шифровальным (криптографическим) средством, реализующим ГОСТ Р 34.11-94.
После дистрибутив можно записать на диск и учесть его, как эталонный экземпляр.
А если имеется в виду, что пользователь сам взял, скачал и установил, то это, конечно, должно расцениваться, как инцидент ИБ. Но обычно в комплекте с СКЗИ всегда идет дистрибутив.
Мы не про моральное устаревание учета, а про устаревание требований к его ведению.
Действительно, журналом учета СКЗИ все не ограничивается. Есть еще типовая форма технического (аппаратного) журнала, в котором как раз ведется учет АРМ с СКЗИ. В нем отмечаются все действия, проводимые с СКЗИ (например, обновление). Там тоже есть свои особенности, но как мы написали выше, все, что нужно делать с СКЗИ в одном посте не уместишь.
А вот журнала ключевых носителей в инструкциях ФАПСИ (ФСБ) нет, поэтому каждая организация может вести его по своему усмотрению.
Нет приказа, который бы отменил указанный выше приказ ФАПСИ, он остается актуален и по сей день. Сейчас в области обеспечения безопасности персональных данных действует несколько нормативно-методических документов ФСБ России. www.fsb.ru/fsb/science/single.htm%21id%3D10437725%40fsbResearchart.html
При этом согласно указу президента от 11 марта 2003 года № 308 все обязанности ФАПСИ были распределены между несколькими службами, включая ФСБ. Поэтому лицензия ФСБ фактически заменяет лицензию ФАПСИ.
Можно поинтересоваться что за строки — сколько столбцов, каков размер строки? И не совсем уловил характеристики «железа», на котором этот впечатляющий миллион достигается.
Столбцов порядка 20, общий размер строки в пределах 1КБ
Железо, 4 ядра, 32ГБ RAM, 500ГБ HDD
Клик заточен для хранения и обработки большого числа мелких строк, поля с большим объемом тут хранить не рекомендуется.
Вставка атомарная? Т.е. если вставляешь 10.000 строк не получится ли так, что пара тысяч строк вставились, а остальные — нет?
В Клике вставка в общем случае неатомарная, и как раз может получиться такая ситуация, если нужна гарантия, то либо нужно в прикладе перепроверять и перевставлять,
либо искать другое решение.
Наверно правильнее будет использовать определение языка из Википедии как SQL-подобного: https://en.wikipedia.org/wiki/ClickHouse
• SQL support. ClickHouse supports an extended SQL-like language that includes arrays and nested data structures, approximate and URI functions, and the availability to connect an external key-value store.
Когда мы начинали использовать ClickHouse, в нем не было даже нормальной поддержки операции объединения таблиц, можно было объединять только две таблицы или два подзапроса.
Если имеется в виду вариация инкрементального анализа, то основная причина заключается в том, что при выгрузке только изменённых запросов будет анализироваться код без связи с внешними функциональными модулями, классами и программами, которые он может вызывать. Это означает, что анализ не будет полноценным, так как поведение программы может изменяться сильнее, чем это может быть проинтерпретировано только в рамках изменения — AST и CFG будут уже не те =)
Также это была более простая и надёжная реализация именно с точки зрения интеграции сервисов между собой.
Добрый день. Отвечаем по пунктам:
1. Видимо, мы неточно отразили мысль в статье (уточнили в тексте). Опыт работы с SAP уже имелся, но не столь масштабный, как требовалось в данном случае. Поэтому этот проект дал нам много новых знаний.
2. У заказчика был и есть отдел безопасности SAP, они использовали свои методы проведения аналитики и выявления потенциальных проблем, но также стали одним из основных инициаторов внедрения нашей системы.
Да, Вы правы, такой продукт существует. Он относится к категории Security Awareness.
Киберполигон же представляет собой другой класс решений. Принципиальное отличие в том, что здесь знания отрабатываются не на учебной платформе, а на эмуляции реальной инфраструктуры.
В процессе обучения инфраструктуру можно менять, взламывать, восстанавливать и т.д., то есть взаимодействовать с ней, как с настоящей.
Ничего «страшного» в таких требованиях по защите КИИ нет, они предъявляются к защите ГИС и персональных данных. Объекты КИИ — это большой пласт информационных систем, которые необходимо защищать. Аналогичные требования есть не только в России, но в других странах (например — США, Евросоюз, Китай и т.д.). Атаки на объекты КИИ, в отличии от атак на «классические» ИТ- системы, могут привести к очень серьезным последствиям, в том числе, к физическому выходу из строя оборудования, созданию угрозы жизни и здоровью людей. При этом, оценка соответствия может быть выполнена не только в рамках обязательной сертификации, но и другими способами.
1) Как было указано выше, тема SOD-конфликтов достаточно весомая и многогранная. Как говорит один наш коллега, потянет на диссертацию :) Она включает множество отдельных процессов: и анализ прав доступа на наличие конфликтов между ними и определение уровня риска, который может реализоваться в случае совмещения данных прав доступа. И принципы разграничения полномочий, включая не только конфликты в рамках одного процесса, но и кросс-функциональные конфликты. И назначение компенсационных процедур, т.е. действий, направленных на минимизацию рисков, возникающих в результате наличия конфликтующих полномочий, и т.п. Но необходимо понимать, что никакая автоматизация не будет эффективной, если в компании не выстроены эти процессы и не определены политики. Чтобы их правильно выстроить, конечно, нужны соответствующие компетенции, и здесь два варианта: либо выращивать свои, что может быть долго и дорого, либо воспользоваться помощью внешних профессиональных консультантов.
2) Принцип работы инструментов «role mining» состоит в том, чтобы проанализировать имеющиеся у сотрудников текущие права доступа и выявить совпадающие права для сотрудников одной должности или одного подразделения для дальнейшего объединения этих прав в роли. Чтобы поближе познакомиться с этой темой и посмотреть, как это работает на практике, нужно обратиться к компании-производителю решения по управлению доступом и запросить демонстрацию. Практически все существующие на рынке решения имеют в своём арсенале такой функционал. Посмотрев несколько решений, вы сможете их сравнить.
3) Да, действительно, иметь в своём штате аналитиков или технологов, занимающихся непосредственно разработкой ролевых моделей, может себе позволить достаточно крупная компания. Но на начальном этапе компании среднего размера могут запустить внутренний проект по наведению порядка в процессах управления доступом, со своим уставом/регламентом и рабочей группой, в которую войдут представители бизнеса, ИТ, безопасности и СВК. Или же можно воспользоваться услугами внешних компаний, предлагающих соответствующие сервисы.
В любом случае, чем раньше начинать эти процессы, тем лучше, пока состояние «полной неопределённости» не увеличилось в масштабах и не привело к негативным последствиям.
Ранее, в финансовой компании, мы привлекали сторонних специалистов по договору на эти работы, и это были не специализированные решения IdM/IGA, а только часть автоматизации. Но теперь, по опыту в компании-вендоре, которая разрабатывает собственное решение IGA, есть понимание, что специализированный инструмент гораздо удобнее, т.к. решает задачу комплексно, встраивается в процессы по управлению доступом и приносит результат гораздо быстрее и качественнее.
Журнал IP-пакетов, как и написано в статье, это только первая ступень диагностики и не решает абсолютно все проблемы. Мы предлагаем системный подход: от простого к сложному. Многие сразу начинают искать проблемы на канале или в компонентах софта, теряя на это время, хотя разгадка бывает банальна.
Не рассматривали возможность преобразование дерева ANTLR в свое собственное представление с использованием Listener?
С помощью листенеров дерево ANTLR перегоняется в XML, но это происходит без всяких оптимизаций, дерево трансформируется один в один — это не то, что нам нужно. Таких возможностей не рассматривали.
планируете ли вы выложить грамматику в Open Source?
Установка СКЗИ на рабочее место осуществляется только в случае подтверждения целостности полученных установочных модулей СКЗИ и эксплуатационной документации.
Проверка должна быть осуществлена с помощью утилиты cpverify.exe, входящей в состав СКЗИ «КриптоПро CSP» cpverify -mk , либо иным другим сертифицированным ФСБ шифровальным (криптографическим) средством, реализующим ГОСТ Р 34.11-94.
После дистрибутив можно записать на диск и учесть его, как эталонный экземпляр.
А если имеется в виду, что пользователь сам взял, скачал и установил, то это, конечно, должно расцениваться, как инцидент ИБ. Но обычно в комплекте с СКЗИ всегда идет дистрибутив.
Действительно, журналом учета СКЗИ все не ограничивается. Есть еще типовая форма технического (аппаратного) журнала, в котором как раз ведется учет АРМ с СКЗИ. В нем отмечаются все действия, проводимые с СКЗИ (например, обновление). Там тоже есть свои особенности, но как мы написали выше, все, что нужно делать с СКЗИ в одном посте не уместишь.
А вот журнала ключевых носителей в инструкциях ФАПСИ (ФСБ) нет, поэтому каждая организация может вести его по своему усмотрению.
При этом согласно указу президента от 11 марта 2003 года № 308 все обязанности ФАПСИ были распределены между несколькими службами, включая ФСБ. Поэтому лицензия ФСБ фактически заменяет лицензию ФАПСИ.
Столбцов порядка 20, общий размер строки в пределах 1КБ
Железо, 4 ядра, 32ГБ RAM, 500ГБ HDD
Клик заточен для хранения и обработки большого числа мелких строк, поля с большим объемом тут хранить не рекомендуется.
В Клике вставка в общем случае неатомарная, и как раз может получиться такая ситуация, если нужна гарантия, то либо нужно в прикладе перепроверять и перевставлять,
либо искать другое решение.
https://en.wikipedia.org/wiki/ClickHouse
• SQL support. ClickHouse supports an extended SQL-like language that includes arrays and nested data structures, approximate and URI functions, and the availability to connect an external key-value store.
Когда мы начинали использовать ClickHouse, в нем не было даже нормальной поддержки операции объединения таблиц, можно было объединять только две таблицы или два подзапроса.
Также это была более простая и надёжная реализация именно с точки зрения интеграции сервисов между собой.
1. Видимо, мы неточно отразили мысль в статье (уточнили в тексте). Опыт работы с SAP уже имелся, но не столь масштабный, как требовалось в данном случае. Поэтому этот проект дал нам много новых знаний.
2. У заказчика был и есть отдел безопасности SAP, они использовали свои методы проведения аналитики и выявления потенциальных проблем, но также стали одним из основных инициаторов внедрения нашей системы.
Киберполигон же представляет собой другой класс решений. Принципиальное отличие в том, что здесь знания отрабатываются не на учебной платформе, а на эмуляции реальной инфраструктуры.
В процессе обучения инфраструктуру можно менять, взламывать, восстанавливать и т.д., то есть взаимодействовать с ней, как с настоящей.
2) Принцип работы инструментов «role mining» состоит в том, чтобы проанализировать имеющиеся у сотрудников текущие права доступа и выявить совпадающие права для сотрудников одной должности или одного подразделения для дальнейшего объединения этих прав в роли. Чтобы поближе познакомиться с этой темой и посмотреть, как это работает на практике, нужно обратиться к компании-производителю решения по управлению доступом и запросить демонстрацию. Практически все существующие на рынке решения имеют в своём арсенале такой функционал. Посмотрев несколько решений, вы сможете их сравнить.
3) Да, действительно, иметь в своём штате аналитиков или технологов, занимающихся непосредственно разработкой ролевых моделей, может себе позволить достаточно крупная компания. Но на начальном этапе компании среднего размера могут запустить внутренний проект по наведению порядка в процессах управления доступом, со своим уставом/регламентом и рабочей группой, в которую войдут представители бизнеса, ИТ, безопасности и СВК. Или же можно воспользоваться услугами внешних компаний, предлагающих соответствующие сервисы.
В любом случае, чем раньше начинать эти процессы, тем лучше, пока состояние «полной неопределённости» не увеличилось в масштабах и не привело к негативным последствиям.
С помощью листенеров дерево ANTLR перегоняется в XML, но это происходит без всяких оптимизаций, дерево трансформируется один в один — это не то, что нам нужно. Таких возможностей не рассматривали.
пока не планируем, но следите за обновлениями)