Информация
- В рейтинге
- Не участвует
- Откуда
- Москва, Москва и Московская обл., Россия
- Зарегистрирован
- Активность
Специализация
Директор по информационным технологиям, Руководитель ИБ (CISO)
Ведущий
Защита информации
Информационная безопасность
Сетевая безопасность
Криптография
Форензика
IDS
Firewall
Администрирование сетей
Виртуализация
Системное администрирование
Шлюз работает только из IE, притом не из любых версий. Попытки открыть его из Яндекс.Браузера или Firefox закончились неудачей. Поэтому пришлось лезть на сайт cisco.com. Перенос настроек AnyConnect с одного компьютера на другой это вообще отдельная песня.
Я понимаю конечно, Cisco — гигант, но порекомендуйте вашим коллегам провести юзабилити тест продукта. Возьмите людей, не админов, а потенциальных конечников, поверьте вы узнаете много нового.
P.S. В логин окне AnyConnect увидел забавную вещь, жалко скрин не сделал, там есть поле пароль и второй пароль… но согласно комбинаторики один длинный пароль гораздо надежнее двух коротких…
1) Клиент AnyConnect не является стандартным (не входит в состав ОС).
2) Чтобы пользователю скачать AnyConnect нужна учетка на сайте Cisco.
3) AnyConnect старых Cisoc не обновляется в результате запуск на Win10 это танцы с бубном.
4) По факту настроить AnyConnect для ИТ-специалиста (скажем бизнес-аналитика) без админа невозможно. Нужен TeamViewer или другой способ работы админа на машине клиента.
С точки зрения ИБ L2TP/IPsec вполне защищенное решение. К нему легко прикручивается двухфакторка, либо через Google Auth или через SMS или через токены. Клиент есть везде Android, IOS, Win, MAC. При прочих равных отсутствие танцев с бубном. Для редких случаях, когда надо ходить через HTTP-Proxy OpenVPN или какое-нибудь SSL-VPN.
Любые проприетарные VPN-клиенты — зло.
1. Согласно 63-ФЗ УЦ (как юр. лицо) должно пользоваться сертифицированными средствами УЦ (софта) и электронной подписи (софта). Использование сертифицированных средств, это не только наличие софта с контрольными суммами, как у образцов предоставленных в ФСБ России при сертификации, но и обязательное соблюдение (требование ПКЗ-2005, ФАПСИ 152) документации к ним. В частности, плагины использующие СКЗИ должны пройти процедуру контроля корректности встраивания. ТЗ на встраиванием согласовывает ФСБ, саму процедуру проводит специализированная организация, как правило производитель СКЗИ, в частности ООО КриптоПро. Требования контроля корректности встраивания определены для всех (что я видел) СКЗИ и прописаны в документации на СКЗИ. Письмо ФСБ вам в помощь. В случае не реализации данных обращаться в ФСБ России.
2. Определить кто (какое ЮЛ) является разработчиком плагина. Определить имеется ли у данного лица лицензия по ПП-313 на право осуществления подобной деятельности. Даже не сколько лицензия, а соответствующий пункт в лицензии — 2 или 3 по Приложению 1 к ПП-313. Если подобного пункта нет, ст. 171 УК РФ вам в помощь.
3. В соответствии с 98-ФЗ ввести в отношении криптоключей и сведений о них режим коммерческой тайны. Проинформировать о данном перечне УЦ.
4. Если после (3) вы обнаружите факт того, УЦ обладает сведениями о том, на каком компьютере используются те или иные криптоключи, как в этом комментарии. И при этом вы эти сведения не передавали, то ст. 183 УК РФ вам в помощь.
5. Провести сверку действий УЦ с его регламентом, а также нормативными документами ПКЗ-2005, ФАПСИ 152. В случае наличий расхождений обращаться в жалобой в ФСБ России и МинКомСвязи.
При этом методы борьбы с телеметрией отличаются от версии к версии. Старые штучки с новой Windows уже не проходят.
Самый простой вариант — использовать квалифицированную ЭП, оформленную на руководителей. Использовать подобную подпись для подписывания роботами (скриптами) не запрещено, так все банки работают.
Однако КЭП открывает слишком много возможностей для лиц (администраторов, если мы говорим про автоматизированное использование), кто ей обладает. Для минимизации рисков рекомендуется:
1. Использовать подпись на токене с неизвлекаемым ключом.
2. Внести ограничения в сферу использования подписи и закрепить их в сертификате.
По большому счету, тут, в качестве примера, и была рассмотрена ситуация, когда злоумышленники противостоят централизованному сбору. Если централизованного сбора и анализа нет, то и противодействовать никому не надо, все равно никто эти логи смотреть не будет.
Навскидку, если шифратор «свистит» ключами по ПЭМИН, то подобные схемы вряд ли помогут…
Приказ Минздрава России от 24.12.2018 N 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций» (Зарегистрировано в Минюсте России 19.06.2019 N 54963)
Подскажите, сколько людей участвовало в проекте, и сколько по времени был проект?
Сколько сейчас людей занимаются подобным анализом расходов?
По закону ответственность УЦ предусмотрена — это
ст. 13.22 КоАП РФ, но по факту система не работает, «левые» подписи выдаются и УЦ оказываются не виноватыми — это бред.
Такая проблема есть. Полностью защитить УЦ от мошенников нельзя. Тут может применяться принцип регрессии ответственности. УЦ отвечает за «левак» перед владельцем подписи, а сам в свою очередь взыскивает убытки с мошенников, которые его обманули.
УЦ обязательно должен нести ответственность за «левые» подписи, так как он по сути единственный инструмент защиты юридически значимого электронного документооборота. Кроме него просто некому обеспечить правомерность выдачи подписи.
Поэтому в предложениях по исправлению проблемы № 1 есть фраза по фискальный видеорегистратор.
В точку. Сейчас УЦ не рискует ничем. Если же установить ответственность за выпуск «левых» подписей, то рисковать он будет. Активами будут уставной капитал, репутация руководителей, инвестиции в тех. средства.
Перенос ответственности на УЦ будет не страшнее переноса ответственности на банки за кражи денег с карт. В частности, по действующим нормам (п. 12 ст. 9 161-ФЗ), в случае кражи денег с карты банк обязан компенсировать ущерб клиенту.
По моим наблюдениям у преступников тоже есть своя «мода». То что вы сейчас видим, скорее всего является первой волной нового тренда.
Например, писать письма с запросом подтверждения регистрации КЭП (по крайней мере один федеральный гос. УЦ это уже делает), осуществлять выездную проверку, да и многое чего тут можно придумать.
Повторюсь, проблема идентификации личности стара как мир, но она в тоже время решаема, главное желание ее решать.
При всем этом обязательным условием будет обеспечение равноправия всех УЦ.
Именно так.
УЦ обязан отвечать за свои поступки. Выпуск «левой» ЭП должен чувственным образом бить по карману УЦ. Тут можно даже дополнительных требований к УЦ не вводить и оставить все на саморегулирование. Единственное, наделить УЦ правами в отказе выпуска ЭП.
Я об этом уже писал. Требования идентификации должны быть усилены везде.
Если УЦ будет нести ответственность за выпуск «левой» подписи, то они согласно риск-ориентированному подходу будут принимать меры по обработке рисков. Среди которых скорее всего будут инвестиции в персонал, оборудование для проверки документов и другие средства обеспечения безопасности. В текущих реалиях им этого делать не нужно и соответственно мы имеет то, что имеем.
Перенос риска на УЦ за выпуск «левых» подписей не является чем-то ужасным. Банки при выдачи кредитов несут схожие риски и нечего, существуют уже тысячи лет.
Было бы интересно, если в следующей статье специалист вашей компании, зачерпнул бы ведро воды, скажем рядом с Фрунзенской набережной, а затем с помощью фильтров (ну и возможно еще чего-нибудь) довел бы ее до питьевого состояния.
В случае же с УЦ ситуация другая. Государство, через закон об ЭП заставляет доверять действиям УЦ и пострадавший никаким образом не может себя защитить.
В принципе, выпуск квалифицированных сертификатов по доверенности можно и разрешить, но законодательно перенести риск ответственности за выпуск сертификата по левым документам на УЦ, наделив последнего правом установки требованиям к доверенности.
Ситуация при которой УЦ делает невинные глазки и говорит, что мол злодеи дали левые документы, а мы хорошие и пушистые выпустили по ним сертификат, ни в какие ворота не лезет!
С судами все плохо. Посмотрите судебные решения в блоге Натальи Храмцовой.