Расшаренная папка - Форум по вопросам информационной безопасности
Расшаренная папка - Форум по вопросам информационной безопасности
| Автор: Вячеслав | 97977 | 31.07.2018 06:48 |
|
Здравствуйте, встал такой вопрос, в нашей организации пользуются шэром(share), перекидывают друг другу файлы, документы, фото, на работе без него никак, пытались перейти на документооборот, совсем не то, флешек в организации нет, интернет не у всех, объясните недалекому как оставить шару по всему пунктам ИБ.
|
|
| Автор: Piligrim16, ООО СКБ "АНКЛАВ" | 97990 | 31.07.2018 08:57 |
|
Щи нужно есть отдельно от мух. Шара это дыра в безопасности, а ИБ это отсутствие дыр!
|
|
| Автор: oko | 98004 | 31.07.2018 12:23 |
|
*в сторону*
А шифрование IP, VLAN, усиленную ИАФ и проч. приколы защиты SMB-сессий уже официально отменили? Как и использование поисковиков в Сети? |
|
Прошло несколько недель
| Автор: Вячеслав | 100589 | 23.08.2018 03:01 |
|
2Piligrim16, все настолько плохо? Объясните в развернутом виде, как сетевая папка является угрозой в ИБ, просто вопросов много, а решений нет, на счет поисковиков в сети, там не написано "почему", и не разжёвано, вот и спрашиваю на соответствующем форуме, может кто проходил аттестацию ФСТЭК с уже "документопомойкой"?
|
|
| Автор: Игааааарь | 100609 | 23.08.2018 12:32 |
|
2Вячевлав, прошу обратить более пристальное внимание ироничному комментарию oko, чем бессмысленному Pilligrim16
|
|
| Автор: oko | 100619 | 23.08.2018 14:55 |
|
to Вячеслав
Можно. Не запрещено. Бездумно и неэффективно, конечно, но де юре ничего не нарушается, если: - есть обоснованная необходимость использовать "технологию share (SMB, NetBios)" в данной конкретной ИС. Например, экономическая, историческая (в стиле, "когда-то сделали и по-другому сейчас не вариант") или проф.пригодная, ага... - приняты адекватные меры защиты, не противоречащие требованиям законодательства для данной ИС. Как пример: процессы ИАФ контролируются сертиф.СЗИ, каналы связи между "шарой" и машинами юзеров защищены с допустимой стойкостью (шифрование, кодирование, прокладка только в КЗ и т.п.), пользователи аутентифицируются по тому же паролю доступа при каждом подключении к шаре (а не bat-файл в автозагрузке, ага), аудит в защищенном хранилище опять-таки... Конкретику делать надо, исходя из специфики ИС и требований, предъявляемых к ней. А так... все возможно... |
|
| Автор: Вячеслав | 100633 | 24.08.2018 03:00 |
|
2oko, медицина, 600 арм, на 300 работают в МИС, на тех арм, где стоит МИС, нет доступа к интернету и флеш-накопителям, стоит SecretNet, доступ к шаре без аутентификации, но стоит разграничение по папкам для каждого отделения индивидуально, я так понял для пользователей "шара" важна для быстрого предоставления кучи отчетов, внутренних приказов и прочих документов, для техников она нужна для доступа к софту, драйверам. Встает вопрос, на вашем месте исходя из бюджетных средств, и зная что в скором времени потребуется аттестоваться по ФСТЭК, какие меры должен предпринять ИТ-отдел, чтобы не вставлять палки в колеса пользователям, но и чтобы это было все по правилам. Может доп программы какие, вдруг у кого уже работающая механика или мысли есть по этому поводу. Прошу прощения за тупые вопросы, но тут уже не у кого спросить как не здесь, да и другим организация, кто пользуется "шэрром" может принести пользу.
|
|
| Автор: oko | 100639 | 24.08.2018 12:30 |
|
to Вячеслав
По исходным данным: - медициная (читай, спец.категории ПДн в наличии?); - медицинская ГИС/МИС (читай, класс защищенности не ниже 2?); - 600 арм (читай, явно не в одном здании?); - ИТ-отдел (читай, ИБ-отдела нет?) Модуль экстрасенсорики подсказывает, что: 1. Защита "windows share" по всем правилам выйдет вам дорого и долго; 2. Пока реализуйте хотя бы: - защиту канала связи (если ее нет, а линии проложены через сторонние учреждения/дворы/здания/etc); - перенесите windows share на сертиф. Linux - деньги при таких объемах не большие; - внедрите любые доступные модули/решения журнализации подключений и вывода их в realtime-консоль администраторам; - подумайте над способом антивирусной защиты всего этого барахла (тоже через сертиф.решения); - оградите ресурсы с "шарой" от внешнего мира и других сегментов своей сети (встроенным МЭ, отдельным МЭ - без разницы). А далее... ищите контору-лицензиата и советуйтесь с ней по конкретике... А еще лучше, первично к ним обратитесь - пусть проведут обследование, соберут все нюансы (которые какие-то экстрасенсы на форуме попросту не видят и поэтому могут ошибиться, ага) и выставят свои предложения по защите и последующей аттестации - в конце концов, с ними же потом работать... ЗЫ Еще лучше, сперва проанализировать характер информации, хранящейся в "шаре". Возможно, там и защищать-то нечего? Внутренние приказы и проч. не всегда относятся к ИОД, драйверы и проч. тем более. А если из всего этого барахла найдется 2-3 документа или 2-3 каталога с ИОД все-таки - возможно, лучше их перенести на другой ресурс? Или вообще преобразовать в СУБД-вид, ага? ЗЗЫ Не хочу учить плохому, но, если на Secret Net техподдержка не истекла и все ваши системы функционируют под Windows (+ *nix внедрить что-либо не позволяет), имеет смысл поглядеть в сторону Secret Net Studio с модулями МЭ и VPN. Из-коробочное решение для ленивых, возможно, спасет отца русской демократии. Хотя в копеечку тоже влетит, да... |
|
Просмотров темы: 3198
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"