M
Это просто все остановились на вопросе категорирования и "субъект/несубъект"
А далее будет приказ 239, модели угроз и меры по обеспечения ИБ
А далее будет приказ 239, модели угроз и меры по обеспечения ИБ
Size: a a a
2019 August 18
Д
Кукисы хранятся в учетке пользователя в зашифрованном виде. Если их может получить третье лицо - это больше проблемы разграничения доступа.
Вы спросили про угрозы, я ответил что есть вот одна из угроз, это увод кукисов и перехват сессии. С чтоки зрения защиты вижу так.. уязвимости связанные повышением привелегий появляются как грибы после дождя, равно как и рабочие эксплоиты. Немного повысить защищенность может помочь использование таких средств защиты которые позволят разграничивать доступ не только на уровне пользователей но и процессов, считаю эту меру эффективной в том чиле и для защиты от пперспективных угроз, но еще лучше было бы песочницы юзать
M
Вы спросили про угрозы, я ответил что есть вот одна из угроз, это увод кукисов и перехват сессии. С чтоки зрения защиты вижу так.. уязвимости связанные повышением привелегий появляются как грибы после дождя, равно как и рабочие эксплоиты. Немного повысить защищенность может помочь использование таких средств защиты которые позволят разграничивать доступ не только на уровне пользователей но и процессов, считаю эту меру эффективной в том чиле и для защиты от пперспективных угроз, но еще лучше было бы песочницы юзать
Как защищать системы и от каких угроз каждый решает сам. Если есть необходимость и бюджет можете даже провести анализ кода на уязвимости всех используемых программ, BIOS, защититься от ПЭМИН....
Ваше право
Ваше право
DK
Вы спросили про угрозы, я ответил что есть вот одна из угроз, это увод кукисов и перехват сессии. С чтоки зрения защиты вижу так.. уязвимости связанные повышением привелегий появляются как грибы после дождя, равно как и рабочие эксплоиты. Немного повысить защищенность может помочь использование таких средств защиты которые позволят разграничивать доступ не только на уровне пользователей но и процессов, считаю эту меру эффективной в том чиле и для защиты от пперспективных угроз, но еще лучше было бы песочницы юзать
"Увод кукисов" это не угроза. Нужен сценарий.
Если кукисы уводятся процессом, работающим от имени другого пользователя, никакое "управление временными файлами" вам не нужно, нужно нормальное управление правами доступа.
Если кукисы уводятся процессом, который работает от имени того же пользователя, то никакое "управление временными файлами" вам не поможет - кукисы по-прежнему будут доступны всем процессам, работающим от имени того же пользователя.
Если кукисы уводятся процессом, работающим от имени другого пользователя, никакое "управление временными файлами" вам не нужно, нужно нормальное управление правами доступа.
Если кукисы уводятся процессом, который работает от имени того же пользователя, то никакое "управление временными файлами" вам не поможет - кукисы по-прежнему будут доступны всем процессам, работающим от имени того же пользователя.
Д
"Увод кукисов" это не угроза. Нужен сценарий.
Если кукисы уводятся процессом, работающим от имени другого пользователя, никакое "управление временными файлами" вам не нужно, нужно нормальное управление правами доступа.
Если кукисы уводятся процессом, который работает от имени того же пользователя, то никакое "управление временными файлами" вам не поможет - кукисы по-прежнему будут доступны всем процессам, работающим от имени того же пользователя.
Если кукисы уводятся процессом, работающим от имени другого пользователя, никакое "управление временными файлами" вам не нужно, нужно нормальное управление правами доступа.
Если кукисы уводятся процессом, который работает от имени того же пользователя, то никакое "управление временными файлами" вам не поможет - кукисы по-прежнему будут доступны всем процессам, работающим от имени того же пользователя.
Ну я вот и говорю, что управление доступом для процессов нужно, то есть самго факта наследования процессом маркера доступа пользователя не достаточно. Всегда отдавал предпочтение именно таким средствам защиты (хорошо от крипторов помогает). И еще... увод кукисов это угроза, даже по ФСТЭК )) УБИ.017: Угроза доступа/перехвата/изменения HTTP cookies
Д
Как защищать системы и от каких угроз каждый решает сам. Если есть необходимость и бюджет можете даже провести анализ кода на уязвимости всех используемых программ, BIOS, защититься от ПЭМИН....
Ваше право
Ваше право
Не право, а обязанность принять такие меры защиты которые нейтрализуют актуальные угрозы, если есть основания предполагать действия итр против вашего зокии, то да пэмин тоже нужно
DK
Ну я вот и говорю, что управление доступом для процессов нужно, то есть самго факта наследования процессом маркера доступа пользователя не достаточно. Всегда отдавал предпочтение именно таким средствам защиты (хорошо от крипторов помогает). И еще... увод кукисов это угроза, даже по ФСТЭК )) УБИ.017: Угроза доступа/перехвата/изменения HTTP cookies
ОК, значит мы об одном и том же. А дальше нужно смотреть, что на эту тему есть в конкретной ОС
Д
ОК, значит мы об одном и том же. А дальше нужно смотреть, что на эту тему есть в конкретной ОС
ага, именно из-за таких вот нюансов мы не рекомендуем винду ))
RN
ага, именно из-за таких вот нюансов мы не рекомендуем винду ))
Венда такой же инструмент как и все остальные, зависит от задач, не более.
T
Ну я вот и говорю, что управление доступом для процессов нужно, то есть самго факта наследования процессом маркера доступа пользователя не достаточно. Всегда отдавал предпочтение именно таким средствам защиты (хорошо от крипторов помогает). И еще... увод кукисов это угроза, даже по ФСТЭК )) УБИ.017: Угроза доступа/перехвата/изменения HTTP cookies
Да и способов угнать кукисы несколько. С другой стороны строить безопасность web-приложения основываясь только на кукисы уже нельзя
Д
Да и способов угнать кукисы несколько. С другой стороны строить безопасность web-приложения основываясь только на кукисы уже нельзя
Безусловно, но качество разработки многих сервисов удручает в плане безопасности, приходится играться с системными вещами и накладными средствами. Мояб воля я группу требований по ОБР 31 приказа сделал бы обязательной для всех систем в защищенном исполнении. А еще лучше обязать сертифицировать ПО обслуживающие основные процессы на оуд
OE
Добрый день. Подскажите пожалуйста может ли оказаться функционирующая медицинская информационная система в организации не значимым объектом КИИ? Сервер с данными находиться в организации, доступ к базе есть только внутри сети, сама сеть смотрит в иниернет
RN
Добрый день. Подскажите пожалуйста может ли оказаться функционирующая медицинская информационная система в организации не значимым объектом КИИ? Сервер с данными находиться в организации, доступ к базе есть только внутри сети, сама сеть смотрит в иниернет
Попробуйте сформулировать по другому Ваш вопрос.
OE
Категория значимости, которая присваивается объекту МИС - может ли быть без категории, на основании того что причинение ущерба здоровью и жизни людям - 0 и применение мер обязательных не установлено?
Д
Категория значимости, которая присваивается объекту МИС - может ли быть без категории, на основании того что причинение ущерба здоровью и жизни людям - 0 и применение мер обязательных не установлено?
127 пп, п.5, п.п е
OE
А кто-нибудь в данном группе имел дело с медицинской организацией (г. Москвы) - государственное учреждение?
П
Категория значимости, которая присваивается объекту МИС - может ли быть без категории, на основании того что причинение ущерба здоровью и жизни людям - 0 и применение мер обязательных не установлено?
Легко:)
П
Ну что бумажные безопасники:) кто отработал по https://digital.gov.ru/ru/documents/6562/???
OE
ОПЛиРКИ надо использовать для КИИ без категории?
П
ОПЛиРКИ надо использовать для КИИ без категории?
А по людски? :)