Я не пойму, вы думаете, что орган выдаст вам сертификат на то, что средство защиты будет работать всегда точно не ошибаясь и это средство защиты нельзя будет никак обойти и перевести в нештатную работу? А вы где-нибудь такой сертификат видели? Даже в любой другой сфере? Любую программу можно использовать не по назначению, о чем вообще разговор тогда? О сферических конях в вакууме?
Вы опять не поняли, хотя я вам это уже писал.
«сертификат доказывает, что систему сертифицировали и выдали ей сертификат.»
Не систему, а средство защиты!!! В данном конкретном случае межсетевой экран
«прогнать полный тест на всех возможных комбинациях»
комбинациях чего?
специалист ИБ вам сожет только сказать, что на данный момент мы защищены от следующих типов УГРОЗ… Но при этом остаются риски 1 2 3… С которыми можно сделать слудующее 1 2 3
Вам никто не скажет, что созданная система защиты отразит все атаки. Хотя и это возможно, но тогда не надо плакать, что приходится вводить сложные пароли, их постоянно менять, использовать токен для доступа, личный сертификат, что у вас рабочее место в закрваемом БРОНИРОВАННОМ помещении, под видеонаблюдением, охранник с собакой вас записывает, мобильник отбирает и т.д.
И все равно при этом найдется очередной Сноуден, который покажет себя супер умником.
Эта система без гарантий, но с обоснованным разбором всех рисков.
Давайте договоримся о терминалогии
Уровень защищенности относится к ФУНКЦИЯМ СРЕДСТВ ЗАЩИТЫ а не к системе или к информации.
Пожалуйста, прочитайте еще раз, что я написал:
Давайте я вам понаучному объясню
пакетный фильтр должен блокировать сетевые соединения на заданный порт. Если политика межсетевого экрана указывает на блокировку порта 80, то фильтр должен ответить на такое соединение DROP
Вот таким незатейливым способом мы проверили одну из функций пакетной фильтрации.
Еще немного тестов и экран будет готов для защиты гостайны! :)
Уровень защищенности относится к средству защиты а не ко всей системе. Это опять, если ьы вы были в «теме» вы бы понимали разницу.
Уровень защищенности определяет набор защитныйх функций, который содержит в себе например межсетевой экран фильтрация, аутентификация, целостность и тд
Уровни защищенности для системы врядли можно определить, так как система всегда не статичная, в ней происходят изменения постоянно. Поэтому делают аудит, анализ защищенности, анализ рисков, поддерживают в актуальном состоянии модель угроз, модель нарушителя. ИБ это намного более сложная сфера, чем любая другая сфера ИТ, потому как кроме огромных знаний буквально во всем нужно еще уметь предвидеть, видеть ситуацию вцелом и иметь креативное мышление.
Как проверить функции пакетной фильтрации? Вы серьезно?
А вы вообще знакомились с документацией организаций проводящих сертификацию средств защиты? Думаю нет. Так вот для каждой функции защиты тем же ФСБ или ФСТЭК подготовленны киры документации, по которомы проверяющий орган проводит тесты в своих лабораториях
Для каждого уровня защищенности приведено описание функций защиты. В этом описании подробно указано КАК конкретно должен работать пакетный фильтр и КАК конкретно он должен фильтровать, до как здесь сказали «предсказуемо до байта». Ровно так, как стандарт протокола HTTP описывает «если ко мне пришла строка GET location HTTP/1.1, то я отдам то, что по моему мнению соответствует оному location, или ошибку по прилагающемуся списку.»
Поэтому, уважаемый amarao Вам и пишут, что «Данная позиция выглядит как «Пастернака не читал, но осуждаю»»
Немного подробнее.
В зависимости от категории защищаемой информации необходимо применение сетевых экранов определенного уровня защиты. Уровень защиты определяется комиссией на основании проведенных тестов этого самого экрана. Сертификат и подтверждает, что набор защитных функций данного экрана может применятся для защиты данной категории информации.
Чем выше категория информации тем выше уровень должен иметь экран.
Вы немного потерялись в терминалогии — сертификат, стандарт и практики это разные вещи.
Сертификат — это заключение органа о том, что средство защиты содержит необходимый набор функций защиты. И что эти функции защиты действительно защищают. Что криптографический модуль действительно делает криптографическое преобразование, фильтр действительно фильтрует, модуль аутентификации действительно проверяет соответствие и т.д. Сам по себе сертификат ничего не защищает.
То, что вы пишите про протокол HTTP — это стандарт, это описание технологии. То, что пишите о сисадмине, который отправил пароли, это отсутствие организационной политики или ее не соблюдение.
ИБ — это не что-то невероятно крутое и супер интеллектуальное, что всех спасет в случае нападения.
ИБ — вам гарантирует защиту в рамках того уровня защищенности, который выбрал владелец бизнеса. Если CEO дал на ИБ 100килобаксов и при этом хочет максимум свобод для своих сотрудников, то не надо ожидать какого-то чуда,
Ок, он падал. Сравните профессионализм поддержки. Мне саппорт хецнера 8!!! часов предоставлял консоль на сервер, который пытался сам завестись. И это уже второй случай за последние 3 месяца
«сертификат доказывает, что систему сертифицировали и выдали ей сертификат.»
Не систему, а средство защиты!!! В данном конкретном случае межсетевой экран
«прогнать полный тест на всех возможных комбинациях»
комбинациях чего?
Вам никто не скажет, что созданная система защиты отразит все атаки. Хотя и это возможно, но тогда не надо плакать, что приходится вводить сложные пароли, их постоянно менять, использовать токен для доступа, личный сертификат, что у вас рабочее место в закрваемом БРОНИРОВАННОМ помещении, под видеонаблюдением, охранник с собакой вас записывает, мобильник отбирает и т.д.
И все равно при этом найдется очередной Сноуден, который покажет себя супер умником.
Эта система без гарантий, но с обоснованным разбором всех рисков.
Уровень защищенности относится к ФУНКЦИЯМ СРЕДСТВ ЗАЩИТЫ а не к системе или к информации.
Пожалуйста, прочитайте еще раз, что я написал:
пакетный фильтр должен блокировать сетевые соединения на заданный порт. Если политика межсетевого экрана указывает на блокировку порта 80, то фильтр должен ответить на такое соединение DROP
Вот таким незатейливым способом мы проверили одну из функций пакетной фильтрации.
Еще немного тестов и экран будет готов для защиты гостайны! :)
Уровень защищенности определяет набор защитныйх функций, который содержит в себе например межсетевой экран фильтрация, аутентификация, целостность и тд
Уровни защищенности для системы врядли можно определить, так как система всегда не статичная, в ней происходят изменения постоянно. Поэтому делают аудит, анализ защищенности, анализ рисков, поддерживают в актуальном состоянии модель угроз, модель нарушителя. ИБ это намного более сложная сфера, чем любая другая сфера ИТ, потому как кроме огромных знаний буквально во всем нужно еще уметь предвидеть, видеть ситуацию вцелом и иметь креативное мышление.
А вы вообще знакомились с документацией организаций проводящих сертификацию средств защиты? Думаю нет. Так вот для каждой функции защиты тем же ФСБ или ФСТЭК подготовленны киры документации, по которомы проверяющий орган проводит тесты в своих лабораториях
Поэтому, уважаемый amarao Вам и пишут, что «Данная позиция выглядит как «Пастернака не читал, но осуждаю»»
В зависимости от категории защищаемой информации необходимо применение сетевых экранов определенного уровня защиты. Уровень защиты определяется комиссией на основании проведенных тестов этого самого экрана. Сертификат и подтверждает, что набор защитных функций данного экрана может применятся для защиты данной категории информации.
Чем выше категория информации тем выше уровень должен иметь экран.
Сертификат — это заключение органа о том, что средство защиты содержит необходимый набор функций защиты. И что эти функции защиты действительно защищают. Что криптографический модуль действительно делает криптографическое преобразование, фильтр действительно фильтрует, модуль аутентификации действительно проверяет соответствие и т.д. Сам по себе сертификат ничего не защищает.
То, что вы пишите про протокол HTTP — это стандарт, это описание технологии. То, что пишите о сисадмине, который отправил пароли, это отсутствие организационной политики или ее не соблюдение.
ИБ — это не что-то невероятно крутое и супер интеллектуальное, что всех спасет в случае нападения.
ИБ — вам гарантирует защиту в рамках того уровня защищенности, который выбрал владелец бизнеса. Если CEO дал на ИБ 100килобаксов и при этом хочет максимум свобод для своих сотрудников, то не надо ожидать какого-то чуда,