A
Отнюдь, это вещи напрямую взаимосвязанные. Например при сертификации СКЗИ регулятором уже закладывается угроза ПЭМИН и считается по умолчанию актуальной.
Эти требования предъявляются производителю сзи, а не учреждению, эксплуатирующему его
Size: a a a
2020 April 26
РМ
Ну естественно. Но настроить под массовый КЗ/К2 вроде не проблема?)
Я видел случаи, когда все было только на бумаге )))
v
Я видел случаи, когда все было только на бумаге )))
Я думаю это пожелания админов объекта, которые упрощают себе жизнь.
AM
Можно живой пример, когда фсб проводило пентест и какие замечания были?
Придут к какому-нибудь разработчику и скажут, захардкодь чего-нибудь вот тут, тут, и немного там. А потом нащупают знакомого вендора и через login: admin password: admin прогуляются по вашей сетке, несмотря на наличие сзи.
v
Придут к какому-нибудь разработчику и скажут, захардкодь чего-нибудь вот тут, тут, и немного там. А потом нащупают знакомого вендора и через login: admin password: admin прогуляются по вашей сетке, несмотря на наличие сзи.
Фантазии ваши.
РМ
Я думаю это пожелания админов объекта, которые упрощают себе жизнь.
Конечно. Мы вот постоянно с этим сталкиваемся с Астрой. Говорим, вот смотрите, какие у нас фишки по безопасности, а нам в ответ: "А зачем нам это, мы просто документы правильно оформим и все"
AM
Фантазии ваши.
Очень на то надеюсь
v
Придут к какому-нибудь разработчику и скажут, захардкодь чего-нибудь вот тут, тут, и немного там. А потом нащупают знакомого вендора и через login: admin password: admin прогуляются по вашей сетке, несмотря на наличие сзи.
В каких СЗИ есть дефолтные пароль:логин, которые не меняются при первичной настройки в обязательном порядке?
v
Конечно. Мы вот постоянно с этим сталкиваемся с Астрой. Говорим, вот смотрите, какие у нас фишки по безопасности, а нам в ответ: "А зачем нам это, мы просто документы правильно оформим и все"
А с Астрой, как мне кажется, проблема ещё с курсами есть адекватными. Я как-то хотел для себя поучиться, но не нашёл. Везде какая-то шляпа. ИМХО.
AM
В каких СЗИ есть дефолтные пароль:логин, которые не меняются при первичной настройки в обязательном порядке?
Это я так образно утрирую про захардкоженные учётные записи в ряде IT продуктов, которые могут проходить сертификацию. Данная угроза актуальна всегда, несмотря на наличие сертификата. ИЛ это может быть увидит, а может и пропустит, по указанию.
П
Это я так образно утрирую про захардкоженные учётные записи в ряде IT продуктов, которые могут проходить сертификацию. Данная угроза актуальна всегда, несмотря на наличие сертификата. ИЛ это может быть увидит, а может и пропустит, по указанию.
А ИЛ - это кто?
AM
Павел
А ИЛ - это кто?
Испытательная лаборатория, имеющая соответствующую аккредитацию, МО РФ, ФСТЭК или ФСБ
П
Испытательная лаборатория, имеющая соответствующую аккредитацию, МО РФ, ФСТЭК или ФСБ
Благодарю.