Открыть список
Как стать автором
Обновить

Комментарии 24

… просто – военный завод.
На заводе работают порядка 16 000 человек на 5600 автоматизированных рабочих местах

Думаю, по этим данным для людей в погонах внутри отрасли всё очевидно, и вам таки через полдня позвонят и попросят убрать статью или отредактировать некоторую конкретику.

Вполне возможно, поэтому эти данные были изменены :)
Стстья написана несколько однобока. Освещены проблемы только со стороны интегратора. Со стороны Заказчика тема не раскрыта.
Есть подозрения, что заказчику проще застрелиться, чем поделиться информацией :)
Это точно. Но всегда можно описать «взгляд со стороны» на данные проблемы.
У меня было в планах написать и про проблемы заказчика, но это сделало бы статью более не читаемой. Если статья понравиться, можно о проблемах заказчика рассказать в другой части.
Да, хотелось бы рассмотреть ситуацию со стороны заказчика, с какими проблемами столкнулось предприятие и как вышли из ситуации. Если честно вообще плохо представляю как можно аттестовать 5600 АРМов. На карту сети там наверное страшно смотреть.
Думаете многим будет интересно читать про проблемы других?
Про аттестацию не шибко интересно — стандартная процедура, только в большом объеме. Были сложные моменты, но они были в области взаимодействия с заказчиком.
>> СЗИ от НСД плюс централизованное управление;
Разворачивали свой УЦ?
УЦ – это удостоверяющий центр? Нет, УЦ для СЗИ от НСД в данном проекте был не нужен. Развертывание УЦ вполне самостоятельная задача, редко влияющая инфраструктуру.
Надеюсь на том заводе все 5600 АРМ не на Windows XP, СЗИ не требует админских прав для пользователя. А в техподдержке не работают студенты.
XP было не очень много. СЗИ давно не требуют админских прав для работы. На заводе многочисленная ИТ-служба.
Интересно, а отдел ИБ у них самостоятельная единица или в структуре ИТ отдела?
Как в любой крупной организации у них несколько подразделений занимающихся безопасностью. Конкретно в этом проекте участвовали ИБ, ТЗИ т ИТ. Все самостоятельные подразделения, в своих вертикалях.
На 5600 АРМ чисто статистически должен быть зоопарк ОС. И наверняка, на части из них есть прикладное ПО, которое требует админских прав для своей работы, независимо от того, требуют ли их СЗИ.
DDudko, расскажите про самые криповые случаи из практики студентов, которые расставляли СЗИ. И про то, как в таких масштабах работает централизованное управление (и как часто или редко СЗИ от него отваливаются).
Да, там был представлен широкий ОС, и не только винды.
Централизованное управление работает для всех АРМ, где стоят СЗИ (при наличии сети, разумеется).
Самый страшный случай, когда потерялись 15 коробок с платами на проходной. В установке, ничего особенно страшного не было, особенно после первых двух-трех сотен. В основном пользователи чудили. И уже под конец, когда закрывались и шла инвентаризация – потерялась 1 плата. Ее искало 9 человек, по всему машзалу. Другие просматривали посекундно видеозапись. В итоге оказалось, что это ошибка учета и данной платы не должно было быть.
Смею предположить, если вы оперировали 17 приказом, значит была какая-то ГИС. В итоге ее аттестовали? Или оставили в опытной эксплуатации?
Кроме того, если был проект, значит уже была готова и утверждена в регуляторе модель угроз и модель нарушителя. Это уже большая часть работы.
Можете поделиться списком ОРД для данной ситуации?
С ГИС получилось довольно забавно. прошлый подрядчик зачем-то включил его в проект, но разумеется никакого ГИС на заводе быть не может. Но требования выполнять пришлось, по крайне мере их часть.
Если же говорить в общем, да, ГИСы часто оставляют в опытной. Но уже все меньше и меньше.

Т.к. ГИСа по факту не было, то и не согласовывали.
ОРД на согласование ЧМУ? Обычно тут идут двумя путями:
1) Все делает поставщик/разработчик ГИСа;
2) Обратиться в региональное подразделение регулятора (могут быть существенные различия), они сами подскажут, какие документы им от вас нужны.

Какие меры необходимы и какие доки нужны это можно и в доках регуляторов вычитать, а вот конкретика какие программно-аппаратные средства внедрялись и без конфликтно заработали, вот это больше представляет интерес.

Я постарался не упоминать конкретных вендоров. Т.к. все сразу скатилось бы к обвинениям в рекламе и обсуждению конкретных особенностей СЗИ. Да, у нас были проблемы, но их удалось решить.
А что, много вариантов?

Знаете сколько таких внедряльщиков, напишут инструкций по типовым формам, а потом ломай голову как это админить. И куча журналов которые нужно заполнять.

Да, такое тоже встречается. Но в случае с аттестацией такое не проходит, т.к. в ходе ПМИ проверяется, как именно это работает. Плюс к этому ПМИ согласуется заказчиком, так что «сложно администрируемые» варианты могут пройти только в случае, если заказчику все равно на результат.
ИМХО, главная проблема внедрения ИБ в больших организациях — это люди, пользователи.
Помню как-то много лет назад один хакер прикинулся корреспондентом телеканала и возле банков проводил опрос людей, которые из них выходили. Вопрос был простой — «Какое сочетание логин/пароль вы считаете самым лучшим?» 70% людей называли ему реальные пароль/логин от своих банковских аккаунтов, а уж оставить комп не заблокированным и уйти на обед, или документ какой секретный на столе, или с коллегой из соседнего отдела у кулера потрепаться — это зачастую, вообще в порядке вещей. Ты их носом тыкаешь, а они в ответ — «ачётакова?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
lanit.ru
Численность
свыше 10 000 человек
Дата регистрации
Представитель
Ася

Блог на Хабре