LINUX.ORG.RU

Что должен знать специалист ИБ на старте

 


3

3

Здравствуй, ЛОР. Собственно, вопрос в топике. Хотелось бы узнать и для атакующей (пентест), и для защищающей стороны.

Если я хочу стать специалистом с нуля, с чего мне начинать?

П.с ВУЗ не предлагать, так как в планах есть, однако хотелось бы прийти туда, уже зная на что делать упор и параллельно учиться.

Ответ на: комментарий от CaveRat

Теперь по поводу этого:

Ни один ФЗ или ГОСТ не определяют требования к показателям защищенности

Кто же спорит? Требования (а вернее - критерии оценки) к показателям защищенности определяются соответсвующим РД. Твой изначальный тезис был другим.

Macrocosm
()
Ответ на: комментарий от CaveRat

Вопрос с подвохом: в чем заключается разница между аудитом информационной безопасности и аудитом защищенности? Четко проведи границу.

Macrocosm
()
Ответ на: комментарий от Macrocosm

Кто же спорит?

Судя по твоему желанию узнать план аудита защищенности на соответствие требованиям ФЗ и ГОСТов, с этим споришь ты :)

CaveRat ★★
()
Ответ на: комментарий от CaveRat

узнать план аудита защищенности на соответствие требованиям ФЗ и ГОСТов

Вместо того, чтобы ответить по сути, понимая о чем речь, ты включил шланга и стал цепляться к словам.

А судя по твоему

Продолжать разговор смысла не вижу

после первого же вопроса на знание области, ты просто

не в теме

Macrocosm
()
Ответ на: комментарий от Macrocosm

Аудит это хороший способ получить срез состояния определенных параметров. Аудит не говорит о том что система безопасна, он лишь говорит о текущей безопасности определенных частей системы. Тащемта всеми любимый ФЗ152 не содержит норм и правил проведения аудита, хотя подразумевает проведение проверок на соответствие ФЗ. Что собственно приводит к аудиту из разряда «Мы соответствуем нормам ФЗ152. Во всем виноват Имярек»

anonymous
()
Ответ на: комментарий от anonymous

Аудит не говорит о том что система безопасна

Это зависит от критериев, по которым определяется безопасность. Безопасности как таковой не существует в принципе. Все сводится к определенным критериям и формулировкам.

Тащемта всеми любимый ФЗ152 не содержит норм и правил проведения аудита

не содержит норм и правил проведения аудита

Нормы проведения аудита, как раз, могут определяться эти ФЗ. Совершенно не обязательно, чтобы данный ФЗ указывал какие-то частные случаи.

хотя подразумевает проведение проверок на соответствие ФЗ

Что, собственно, и есть норма.

Macrocosm
()
Ответ на: комментарий от anonymous

Аудит это хороший способ получить срез состояния определенных параметров. Аудит не говорит о том что система безопасна, он лишь говорит о текущей безопасности определенных частей системы.

Никакой аудит не говорит о безопасности, ни системы в целом, ни ее части. Только соответствие тем или иным показателям защищенности.

Тащемта всеми любимый ФЗ152 не содержит норм и правил проведения аудита, хотя подразумевает проведение проверок на соответствие ФЗ.

Блин, соответствие требованиям 152-ФЗ - это проверка выполнения оператором требований по обеспечению прав субъекта ПДн. Это вообще почти не касается защищенности ИСПДн.

Сам факт наличия каких-то требований по защите ПДн есть только в ст. 19, но и там только указания на то, что требования определяются подзаконными актами, которые выпускают соответствующие органы. Да, есть п.2, но это не требования, это перечень того, что может входить в процесс обеспечения безопасности ПДн. Дальше идет указания на то, что перечень мер и требований определяется подзаконными актами.

Если мы говорим про «соответствие требованиям 152-ФЗ в части обеспечения безопасности персональных данных», то можно с тем же успехом говорить про «соответствие требованиям Конституции в части обеспечения безопасности персональных данных». Количество шагов до, собственно, требований, увеличивается на 1, вот и все.

Что собственно приводит к аудиту из разряда «Мы соответствуем нормам ФЗ152. Во всем виноват Имярек»

А к этому приводит исключительно отношение к своей работе. Если аудитор видит своей работой не поддержку процесса обеспечения безопасности, а «награждение невиновных, наказание непричастных» - то будет так, независимо от того, на соответствие чему проводится аудит.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Ни один ФЗ или ГОСТ не определяют требования к показателям защищенности.

А ясли я ткну тебя носом?

Какова дата самого старого документа по ИТ безопасности? Откуда он в законодательстве РФ вообще взялся?

anonymous
()

Пример: факультет информационных технологий Евразийского Национального университета им. Л. Н. Гумилева в г. Нур-Султан Республики Казахстан. На этом факультете мы можем наблюдать и такую программу бакалавриата: Системы информационной безопасности. http://fit.enu.kz/page/bachelor

anonymous
()

"Orange Book" (US Department of Defense Trusted Computer System Evaluation Criteria)

Для ОС, для сетей тоже есть. Начни со своего любимого дистра Линукса. Определи какому критерию отвечает установка по умолчанию. Далее смотрим какие пункты надо выполнить для увеличения «корректности» работы и делаешь свою установку Линукс более «корректной».

DoD 5200.28-STD Supersedes CSC-STD-001-83, dtd 15 Aug 83 Library No. S225,711 DEPARTMENT OF DEFENSE STANDARD DEPARTMENT OF DEFENSE TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA DECEMBER 1985

Читать надо это «старье» ибо ИТ безопасность это матмодели, которые со временем не изменяются.

Выдержка:

D - Minimal Protection
Any system that does not comply to any other category, or has failed to receive a higher classification. D-level certification is very rare.

C - Discretionary Protection
Discretionary protection applies to Trusted Computer Bases (TCBs) with optional object (i.e. file, directory, devices etc.) protection.

C1 - Discretionary Security Protection
Discretionary Access Control, for example Access Control Lists (ACLs), User/Group/World protection.
Usually for users who are all on the same security level.
Username and Password protection and secure authorisations database (ADB).
Protected operating system and system operations mode.
Periodic integrity checking of TCB.
Tested security mechanisms with no obvious bypasses.
Documentation for User Security.
Documentation for Systems Administration Security.
Documentation for Security Testing.
TCB design documentation.
Typically for users on the same security level
C1 certification is rare. Example systems are earlier versions of Unix, IBM RACF.

C2 - Controlled Access Protection
As C1, plus
Object protection can be on a single-user basis, e.g. through an ACL or Trustee database.
Authorisation for access may only be assigned by authorised users.
Object reuse protection (i.e. to avoid reallocation of secure deleted objects).
Mandatory identification and authorisation procedures for users, e.g. Username/Password.
Full auditing of security events (i.e. date/time, event, user, success/failure, terminal ID)
Protected system mode of operation.
Added protection for authorisation and audit data.
Documentation as C1 plus information on examining audit information.

This is one of the most common certifications. Example Operating Systems are: VMS, IBM OS/400, Windows NT, Novell NetWare 4.11, Oracle 7, DG AOS/VS II.

anonymous
()

"Orange Book" (US Department of Defense Trusted Computer System Evaluation Criteria)

B - Mandatory Protection
Division B specifies that the TCB protection systems should be mandatory, not discretionary.
B1 - Labelled Security Protection
As C2 plus:
Mandatory security and access labelling of all objects, e.g. files, processes, devices etc.
Label integrity checking (e.g. maintenance of sensitivity labels when data is exported).
Auditing of labelled objects.
Mandatory access control for all operations.
Ability to specify security level printed on human-readable output (e.g. printers).
Ability to specify security level on any machine-readable output.
Enhanced auditing.
Enhanced protection of Operating System.
Improved documentation.
Example OSes are: HP-UX BLS, Cray Research Trusted Unicos 8.0, Digital SEVMS, Harris CS/SX, SGI Trusted IRIX.
B2 - Structured Protection
As B1 plus:
Notification of security level changes affecting interactive users.
Hierarchical device labels.
Mandatory access over all objects and devices.
Trusted path communications between user and system.
Tracking down of covert storage channels.
Tighter system operations mode into multilevel independent units.
Covert channel analysis.
Improved security testing.
Formal models of TCB.
Version, update and patch analysis and auditing.
Example systems are: Honeywell Multics, Cryptek VSLAN, Trusted XENIX. 
B3 - Security Domains
As B2 plus:
ACLs additionally based on groups and identifiers.
Trusted path access and authentication.
Automatic security analysis.
TCB models more formal.
Auditing of security auditing events.
Trusted recovery after system down and relevant documentation.
Zero design flaws in TCB, and minimum implementation flaws.
The only B3-certified OS is Getronics/Wang Federal XTS-300.
A - Verified Protection
Division A is the highest security division.
A1 - Verified Protection
As B3 plus:
Formal methods and proof of integrity of TCB.
These are the only A1-certified systems: Boeing MLS LAN, Gemini Trusted Network Processor, Honeywell SCOMP.
A2 and above
Provision is made for security levels higher than A2, although these have not yet been formally defined. No OSes are rated above A1.
anonymous
()

А вот структура Центрального Банка России:

http://cbr.ru/Content/Document/File/36359/scheme.pdf

На этой схеме мы можем наблюдать: Департамент информационной безопасности, Департамент безопасности Банка и Межрегиональный центр безопасности Банка России.

anonymous
()
Ответ на: комментарий от anonymous

Не надо человеку забивать голову плохими примерами!

Для начала пусть с правильного фундамента начнет - «Оранжевой книги».

Есть более новые стандарты, но я лично для начала рекомендую именно «оранжевую книгу»!

Есть ее новая редакция: «Department of Defense INSTRUCTION - Cybersecurity» DoDI 8500.02, от 14 апреля 2014 года. Оригинал: http://www.dtic.mil/whs/directives/corres/pdf/850001_2014.pdf

Я рекомендую начать со старой классики.

Потом можно просмотреть:

1990г. https://en.m.wikipedia.org/wiki/ITSEC

1993г. https://en.m.wikipedia.org/wiki/Canadian_Trusted_Computer_Product_Evaluation_...

https://en.m.wikipedia.org/wiki/Common_Criteria

Целостность и приватность данных: https://en.m.wikipedia.org/wiki/FIPS_140-2

anonymous
()

Если я хочу стать специалистом с нуля, с чего мне начинать?

Не стоит лезть в это, я лично пожалел, но к сожалению в моей деревне не обучают на ИТ направления, кроме этого.

anonymous
()
Ответ на: комментарий от anonymous

Можно не безопасности в РФ работать, а админом.

Корректное администрирование сегодня очень актуально, необходимо всем и бумажек там почти нет.

anonymous
()
Ответ на: комментарий от anonymous

Корректное администрирование сегодня очень актуально, необходимо всем и бумажек там почти нет.

Да. Вот, кстати, свежая вакансия в соседней теме:

Сисадмин на зиму в Антарктиду

Сисадмин на зиму в Антарктиду

anonymous
()
Ответ на: комментарий от anonymous

Если есть хороший админ нужность в безопаснике уменьшается!

Антарктиду, Луну, Марс, ... могу взять на удаленку.

anonymous
()
Ответ на: комментарий от anonymous

В Антарктиде есть даже Церковь Святой Троицы — русская православная церковь на острове Ватерлоо (Южные Шетландские острова), неподалёку от российской полярной станции Беллинсгаузен.

anonymous
()
Ответ на: комментарий от anonymous

Вот вот я писал про использование сканера и выхлопа отчёта на основании этого инструмента. Причём они сканят не снаружи. А сканят в локалке, заранее требуя доступ туда. Вообщем на основании этого для меня безопасники это клоуны.

anonymous
()
Ответ на: комментарий от anonymous

Русский язык выучи для начала...

anonymous
()
Ответ на: комментарий от anonymous

для меня безопасники это клоуны

Они не способны секурно админить и писать софт, ибо не знают математики. Вместо реальных инструкций по кибербезопасности их кураторы заставляют читать какой-то учебник русского языка. Нормальные админы доступ в локалку и на серваки этим безопасникам не дают, ибо могут закинуть трояна. По реальной ИТ безопасности им сказать нечего. Их злобное траханье мозга только уменьшает безопасность ИТ систем и они даже не могут понять почему. Единственный оставшийся аргумент в этой теме - русский язык....

anonymous
()
Ответ на: комментарий от anonymous

Их злобное траханье мозга только уменьшает безопасность ИТ систем и они даже не могут понять почему.

Кросиво скозал. Схороню.

Единственный оставшийся аргумент в этой теме - русский язык....

Аргумент к чему? Было бы занятно кст взглянуть на топик-стартера сейчас и что у него в мозгах по итогу %)))

DAGAZ
()
Последнее исправление: DAGAZ (всего исправлений: 1)
Ответ на: комментарий от anonymous

Безопасник-это безопасник, а админ-это админ...

anonymous
()
Ответ на: комментарий от anonymous

Единственный оставшийся аргумент в этой теме - русский язык....

Неа, английский. Маны и доки часто написаны не на русском, а на английском...

anonymous
()
Ответ на: комментарий от pento

Прочитал всю ветку, но нормальный ответ теплится в самом начале. Реально не проще ли стартануть с ВУЗа, благо выбора навалом. Сам начинал учиться на инфобезе в ВУЗе, да, полная хрень в первые курсы, по большому счету, но вот структурировать инфу, базовые понятия, навыки получил. Хотя может быть мне с преподами повезло

soty20
()

Какая нога у него маховая, а какая толчковая.

anonymous
()
4 марта 2020 г.

Русский язык вы знаете-уже неплохо. Далее: знание математики, знание какого-либо языка программирования (хотя бы Basic), знакомство с ОС (советую начинать с Linux и Android), играть в игры на комьютере, знание основных правил дорожного движения, знать, что такое алгоритм.

anonymous
()
3 июня 2020 г.

Обновление антивирусных баз СlamAV:

freschclam

Проверка всего диска антивирусом ClamAV:

clamscan . / -r

anonymous
()

начни с запроса в поисковик иб 512 часов и почитай чему там учат, без этого курса занимать должность ИБ «нельзя»

slaveofmoney
()

ВУЗ не предлагать

Тогда ничего.

anonymous
()

rkhunter -c

chkrootkit -x

anonymous
()

Почитай про:

Snort

Suricata

LIDS

Tripware

md5sum

SELinux

Nagios

Tomoyo

anonymous
()

УМВРЧЯДНТ

anonymous
()

Just do it.

anonymous
()

Cтандартные советы по компьютерной безопасности:

  1. Cамый первый уровень безопасности - физический

  2. Самый безопасный режим - OFF

  3. Обновлять систему (update)

  4. Работать под учетной записью пользователя (user), прибегая к записи админа (root) лишь в самых необходимых случаях, например, при обновлении системы

  5. Работать в интернете только при включенном firewall

  6. Иногда запускать антивирус

  7. Иметь backup (архив) своей важной информации

  8. Для удаления вируса из ОЗУ может помочь перезагрузка системы

anonymous
()

Очень сложно давать какие-то общие советы по компьютерной безопасности. Компьютерная безопасность бывает разная: безопасность для серверов, для домашних пользователей, для пользователей мобильных устройств, для хакеров и так далее…

anonymous
()

В российском журнале № 6 за 2010 год «Бухгалтер и компьютер» на стр. 28 была опубликована моя статья «О некоторых правилах безопасной работы на компьютере».

anonymous
()
Ответ на: комментарий от anonymous

pfSense, … - дистрибутивы Linux для создания Firewalls.

pfSense - FreeBSD

anonymous
()

Учебный условный пример настройки firewalld для домашнего компьютера:

apt-get install firewalld

systemctl start firewalld

systemctl enable firewalld

firewall-cmd —permanent —add-port=80/tcp

firewall-cmd —permanent —add-port=443/tcp

firewall-cmd —permanent —add-port=8080/tcp

firewall-cmd —permanent —add-port=21/tcp

firewall-cmd —permanent —add-port=22/tcp

firewall-cmd —permanent —add-port=53/tcp

firewall-cmd —permanent —add-port=3128/tcp

anonymous
()

Обновление системы:

apt-get update

apt-get upgrade

apt-get dist-upgrade

Или через Synaptic.

Журнал регистрации пользователей:

Он тут:

/var/log/messages

CentOS : /var/log/secure

Debian: /var/log/auth.log

anonymous
()

rm /var/log -R - пример удаления файлов логов в linux

anonymous
()

В грамотной и правильной организации вашего рабочего места вам помогут эргономика и научная организация труда.

anonymous
()

Финцерт Центрального Банка России опубликовал исследование об основных типах компьютерных атак в кредитно-финансовой сфере в 2018 году: https://www.cbr.ru/StaticHtml/File/14435/gubzi_17.pdf

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.