Читал про falcon ракету на вики, заявлено многократное резервирование многих систем. Например, если отказывают 2 из 9 двигателей первой ступени, ракета все равно долетит.
Может нам тоже пора начать ракеты с подобным запасом надежности строить?
Для обычных ПК продаются nfc reader. Интересно если приложение в эмуляторе запустить, да попробовать скрестить ежа и ужа, да «заряжаться» на обычном ПК получится ли.
Антивирусу можно жестко задать исключения по рабочим процессам и путям (что и делается).
Антивирус можно включить в режиме Host IDS — сигналь, но не трогай.
Ну и не забываем про 31 приказ ФСТЕК, для всех классов защищенности антивирус строго обязателен.
Скажем я видел АСУТП контролеры (не реакторные :), у которых сетевая часть сделана на древнем линуксе. Дырявом к нашему времени.
Вопросами ИБ вообще в этой сфере пренебрегают. Например я видел четкое наставление в формуляре к одной скада системе, ни в коем случае не ставить на арм антивирус, типа не гарантируем работоспособность.
Интересный тезис «а вот тут мы один модуль просто допишем».
Ваш подход видимо подразумевает плотную посадку на вашу кроковскую поддержку. «Сломался наш модуль? Наши специалисты всегда помогут»)
Подход имеет право на жизнь, однако только для тех кто может эту поддержку оплачивать. А если это маленькая муниципальная сетка и денег нет? Сразу кадровые риски в полный рост.
Работа по импортозамещению должна начинаться с обучения. Грубо говоря должна быть налажена школа линуксовых эникеев. А чтобы школа функционировала, нужен унифицированный подход построения линукс инфраструктуры на конечных продуктах.
Этого нет. Каждый пилит свой велосипед как может и во что горазд. Там скриптов подваял, тут модуль допилил, здесь костыль приладил.
Потом велосипедист бросает свое детище уходит на другую работу и организация начинает метаться в поисках замены.
Вот и думай, либо денег дать доброму кроку, который возьмет на себя этот головняк.
Либо дать денег макрософту, на иглу которого сажают всех с детства и спецов по которому на рынке пруд пруди.
Кстати, а что нет специального днс «для школы» для фильтрации ненужного?
Самое очевидное же решение.
Если компов мало в школе, тогда любая arm коробочка подойдет. Только левые днс зафильтровать.
Вот еще тема для размышления в свете 21 приказа ФСБ. Сейчас все крупные конторы географически разнесены. Многие обрабатывают перс данные в виде базы в головном офисе. Все используют vpn.
А все ли используют сертифицированные скзи с гостом для построения шифрованных каналов?:)
Бэт как бы простой человек? :)
Суп же может рельсы руками рвать. Без криптонита к Супу ни ногой.
Судя по в светящимся глазам в конце тизера, бэт этим криптонитом и закинулся по самые брови.
Почему сразу чушь? :)
Все правильно товарищ говорит про Комплексный подход.
Что касается бизнеса, если уж он задумался и создал подразделение ИБ, значит уже где-то обжегся и решил прикрыться в этом направлении.
Если не обжегся, то и тратить денег на само создание подразделения бизнес не будет. Язык денег говорит, что это же как минимум нужен ФОТ ИБ персоналу. Лучше пустить эти деньги на найм еще парочки «продажников», мол пусть приносят прямую легко считаемую прибыль. :)
Если вы любите копаться в РД, то мне бы интересно было ваше мнение про отношение СПО (linux, bsd) и наших регуляторов с точки зрения закона.
С одной стороны большое кол-во отечественных программных средств защиты информации построено на этом самом СПО, методом Дениса Попова.
С другой стороны попробуй поставить эту защиту в «чистом» виде. Сразу будет считаться что у противника есть доступ к исходным кода, тип нарушителя Н5-6, со всеми вытекающими.
Если у меня но 17 приказу Класс защищенности ИС 3 и IDS вроде и не нужен. То я все равно будут их применять, поэтому что это хорошо. :)
У ФСТЕК-а нормальные РД, если бы еще не стояла приставка — «сертифицируемый». И по жопе за нарушение больно дают с конфискацией «несертифицируемых» средств защиты.
А это «сертифицируемое» зачастую кривое, глючное и неудобное, хоть и увешано, как генерал орденами медалями от фстек и фсб.
Поэтому «сертифицированное» применять по минимуму согласно РД, «что-бы не заругали». А остальную защиту наворачивать по максимуму из удобных и подходящих -Мне- компонентов.
А уж теме, что такое оценка соответствия, сертификация или нет, в глазах проверяющего уже не один год. anvolkov.blogspot.ru/2012/05/blog-post_21.html#.VSu6so77KP8
Проверяющему нужна пыль в глаза, чтоб медальки фстека на продукте блестели, он не продвинутый хакер с зеронайта, а обычный служивый с чек листом.
Нет медальки? Держи предписание )
Самое простое для домашнего компа против шифровальщиков, создать нового юзера backuper, создать папку на харде, права записи на папку только для этого юзера.
Копировать по расписанию свои документы в эту папку из под прав backuper.
Под данной учеткой в интернете и для работы не сидеть, использовать только для бакапа.
Может нам тоже пора начать ракеты с подобным запасом надежности строить?
Антивирус можно включить в режиме Host IDS — сигналь, но не трогай.
Ну и не забываем про 31 приказ ФСТЕК, для всех классов защищенности антивирус строго обязателен.
Вопросами ИБ вообще в этой сфере пренебрегают. Например я видел четкое наставление в формуляре к одной скада системе, ни в коем случае не ставить на арм антивирус, типа не гарантируем работоспособность.
Видимо действительно компанию в целом имеют ввиду.
Ваш подход видимо подразумевает плотную посадку на вашу кроковскую поддержку. «Сломался наш модуль? Наши специалисты всегда помогут»)
Подход имеет право на жизнь, однако только для тех кто может эту поддержку оплачивать. А если это маленькая муниципальная сетка и денег нет? Сразу кадровые риски в полный рост.
Работа по импортозамещению должна начинаться с обучения. Грубо говоря должна быть налажена школа линуксовых эникеев. А чтобы школа функционировала, нужен унифицированный подход построения линукс инфраструктуры на конечных продуктах.
Этого нет. Каждый пилит свой велосипед как может и во что горазд. Там скриптов подваял, тут модуль допилил, здесь костыль приладил.
Потом велосипедист бросает свое детище уходит на другую работу и организация начинает метаться в поисках замены.
Вот и думай, либо денег дать доброму кроку, который возьмет на себя этот головняк.
Либо дать денег макрософту, на иглу которого сажают всех с детства и спецов по которому на рынке пруд пруди.
Самое очевидное же решение.
Если компов мало в школе, тогда любая arm коробочка подойдет. Только левые днс зафильтровать.
А как же импортозамещение и СПО в школах?
А все ли используют сертифицированные скзи с гостом для построения шифрованных каналов?:)
habrahabr.ru/post/200894
Шаблоны документов у вас получились? Интересен ваш опыт бумажного щита для СПО.
Суп же может рельсы руками рвать. Без криптонита к Супу ни ногой.
Судя по в светящимся глазам в конце тизера, бэт этим криптонитом и закинулся по самые брови.
Все правильно товарищ говорит про Комплексный подход.
Что касается бизнеса, если уж он задумался и создал подразделение ИБ, значит уже где-то обжегся и решил прикрыться в этом направлении.
Если не обжегся, то и тратить денег на само создание подразделения бизнес не будет. Язык денег говорит, что это же как минимум нужен ФОТ ИБ персоналу. Лучше пустить эти деньги на найм еще парочки «продажников», мол пусть приносят прямую легко считаемую прибыль. :)
С одной стороны большое кол-во отечественных программных средств защиты информации построено на этом самом СПО, методом Дениса Попова.
С другой стороны попробуй поставить эту защиту в «чистом» виде. Сразу будет считаться что у противника есть доступ к исходным кода, тип нарушителя Н5-6, со всеми вытекающими.
У ФСТЕК-а нормальные РД, если бы еще не стояла приставка — «сертифицируемый». И по жопе за нарушение больно дают с конфискацией «несертифицируемых» средств защиты.
А это «сертифицируемое» зачастую кривое, глючное и неудобное, хоть и увешано, как генерал орденами медалями от фстек и фсб.
Поэтому «сертифицированное» применять по минимуму согласно РД, «что-бы не заругали». А остальную защиту наворачивать по максимуму из удобных и подходящих -Мне- компонентов.
А уж теме, что такое оценка соответствия, сертификация или нет, в глазах проверяющего уже не один год.
anvolkov.blogspot.ru/2012/05/blog-post_21.html#.VSu6so77KP8
Проверяющему нужна пыль в глаза, чтоб медальки фстека на продукте блестели, он не продвинутый хакер с зеронайта, а обычный служивый с чек листом.
Нет медальки? Держи предписание )
В остальном накручивать защиту по максимуму в случае грамотной ИТ ИБ службы, гуляя не от требований регуляторов, а от best practices в отрасли вообще.
Это конечно если компания в принципе озабочена защитой информации.
Копировать по расписанию свои документы в эту папку из под прав backuper.
Под данной учеткой в интернете и для работы не сидеть, использовать только для бакапа.