На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила!
Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!


  • Публикация вирусов/эксплоитов в бинарном виде запрещена!
  • Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
  • Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
  • Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.


Модераторы: Rust
  
> Как обеспечить безопасность IT инфраструктуры
    Здравствуйте.

    Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).

    VPS сервер 1.
    На нем:
    - Установлен FTP-сервер
    - Установлена панель управления Vesta
    - Папки с PHP скриптами (в конфигах доступы на подключение к сервисам)
    - Несколько БД MySQL

    VPS сервер 2.
    На нем:
    - Asterisk (с конфигурациями)

    В перспективе VPS сервер 3.
    На нем будет располагаться ERP организации.

    Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
    Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к Asterisk, данным ERP и т.д.

    Вопросы:

    1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безропотностью в IT?

    2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
    - аудит (когда будут выписаны замечания)
    - реализация мер по устранению замечаний
    ??

    3. Как выбрать аудиторов?
    Достаточно фрилансеров или нужно обращаться в организацию?

    4. Как определить компетенции аудиторов в обеспечении безопасности в IT?
      Они так и называются "специалист по информационной безопасности".
      Сокращённо безопасник.
      За безопасность отвечают тот, кому положено по штату: администратор безопасности и системный администратор.

      С аудитом у вас путаница. За периодический аудит отвечает администратор безопасности. Он может провести его штатными средствами.
      А вот если вам требуется пересмотреть модель угроз, то вам следует нанять контору со стороны.

      Цитата rownong;1758048
      Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний

      Аудит это что? Это проверка. А реализация это уже ваши действия.
      Аудиторы вам выдадут только рекомендации. А вот исполнять или не исполнять.
      Вы забыли ещё 1 этап. Подготовка.
      На подготовительным этапе вы должны предоставить модель угроз аудиторам, либо они будут её разрабатывать по вашим материалам. Они должны оценить актуальность существующих угроз и вновь появившихся.
      А далее уже аудит, где проверяется достаточность средств и методов защиты.


      Цитата rownong@yandex.ru @
      4. Как определить компетенции аудиторов в обеспечении безопасности в IT?

      Так же как и компетенцию нянечки. Попросить показать рекомендательные письма и хвалебные отзывы. Используя советы и мнения других которые уже воспользовались.

      Цитата rownong@yandex.ru @
      Достаточно фрилансеров или нужно обращаться в организацию?

      А вам аудитор для чего нужен? Спихнуть отвественность с фирмы или с себя лично?
      Я вам скажу так вероятность что человек или фирма будет не компетентной 50/50%

      Первое это получить структуру проекта.
      Далее пишется план проверки.
      Если блоки стандартные, то есть тесты для проверки возможности эксплуатации уязвимость.
      Если есть самописные, то используют парсеры для анализа кода(статический анализ). Плюс проверка специалистами на соответствие кода документации, вдруг разработчик какую бяку в код заложил.
      После поиска уязвимостей проводят пинтестинг, который должен выявить правильность настройки компонентов. Ищем не только уязвимости, но и угрозы. Тут всё зависит от мастерства эксперта и его опыта.
      Есть рекомендации по проверки к примеру CIS и другие.

      Работа эта большая и стоит много денег. Соотвественно имеем баланс качество<->цена. Качественная работа не может стоить дёшево. Но с другой стороны большая цена не гарнирует качество работы. Фрилансер вам может найти угроз и уязвимостей больше, чем солидная фирма да ещё и за меньшие деньги. С другой стороны спросить с фрилансера вы не сможете, так как это договор оказания услуг.
        1 Уж явно не администратор и не программист
        2 Да. ещё желательно сделать повторный аудит, возможно у других
        3 Все зависит от финансов. Сильно различаются цены и методики тестирования
        4 должны быть сертификаты. Есть кучи разных стандартов в этой области

        В общем советую запрашивать вначале методику\пример отчета, затем ее анализировать, например с системным администратором, на предмет совпадает это или нет с целями аудита.

        Добавлено
        Цитата Pavia @
        Плюс проверка специалистами на соответствие кода документации, вдруг разработчик какую бяку в код заложил.

        Проще спросить у разработчика ПО сертификаты безопасности, если это важно.

        Вы хоть раз заказывали такую проверку? Сколько она стоила и длилась? Я, например, знаю что проводили такой аудит программы truecrypt, которая длилась год и стоила 60.000$
          ^D^ima
          Да сертификацию делал. По цене, порядок примерно такой же. Но у нас там система, там разом проверяли несколько маленьких программ и прочее. А цены они от объёма зависят. Сроки были менее чем полгода. Подготовительная работа была долгой, по причине нашей не организованности. Постоянно вели доработки СПО. А когда уже отобрали опытный образец, то быстро сделали за месяц или два.
          А вообще я был разработчиком, поэтому как заинтересованное лицо меня к этому не привлекали.
            Цитата Pavia @
            модель угроз

            Что такое модель угроз? Какие пользователи и какими средствами имеют доступ к ресурсам?

            Добавлено
            Цитата ^D^ima @
            В общем советую запрашивать вначале методику\пример отчета, затем ее анализировать, например с системным администратором, на предмет совпадает это или нет с целями аудита.


            Учту, спасибо!
              Цитата rownong@yandex.ru @
              Что такое модель угроз?

              Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

              Цитата rownong@yandex.ru @
              Какие пользователи и какими средствами имеют доступ к ресурсам?

              Это матрица доступа она входит в модель.

              В моделе Вы должны оценить потенциал нарушителя. Пользователь имеет низкий потенциал, администратор высокий.
              Вы должны описать угрозы выбрать актуальные. На основе модели строится защита.
              Вопрос, что без специалиста модель не построите.

              К примеру угорозой может быть банкротсво или перепродажа датацентра(хостера). Соотвественно эта угроза и она может быть решена наличием бекапа на выделенный сервер. И то что бекап должен быть ежедневным, что-бы снизить потери информации в случае ЧП.
              Снэпшот VDS вас не спасёт, так как хостер может отказаться отдавать его.
              Или к примеру в датацентре пропадёт свет. - угроза есть. А актуальная она или нет решайте сами. Так как обычно датацентры коэффициент готовности 0,999. Соответственно вероятность отказа мола, риски минимальны.

              Если решите отказаться от специалиста, то я бы Вам посоветовал найти перечень актуальных угроз для веб сервера. Из разряда 50 актуальных угроз. Большинство из них уже решены выбором CMS/ERP, авторы которых уже проделали оценку угроз и отработали вопросы безопасности.
              А вот настройки и доработки, стыковки как правило приводят к ошибкам. И именно там кроются уязвимости.
                Сервер должен быть СВОЙ. О ИБ в облаке речи в принципе не идёт.
                0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                0 пользователей:


                Рейтинг@Mail.ru
                [ Script execution time: 0,0262 ]   [ 15 queries used ]   [ Generated: 19.03.24, 08:46 GMT ]