Поведайте вот что...

Подводные камни?

Крайняя говнистость темы и где-то шизофреничность всех этих инструкций с подходом не важно насколько оно реально безопасно, важно как по бумагам.

Подводные камни?

От бардака всё равно не избавит, потому что все «самые умные и хитрые» и на ИБ и на безопасника и на админа всем с высокой колокольни начхать, даже если в регламентах за нарушение расстрел пропишешь.

Как не изгаляйся, основной формой утечки будут унесённые домой флэшки/ноуты/телефоны, почта и WhatsApp, по которому будут слать всё от ПДн до гостайны, положив с пробором на ГОСТ, секретку и всё вот это. ЭЦП директора с правом первой подписи у всех, кроме дворников и сторожей - это вообще святое. Потому что «мало-ли чего там этот ушлёпок очкастый сказал, мне НАДА !!!» (с).

Поэтому, главное здесь грамотно составить регламенты, план и модели угроз и вести журналы. Чтобы при первом же залёте по регламенту был в дерьме кто угодно, но не ты.

В трёх абзацах краткое изложение ~10 лет работы с госниками.

В нескольких конторах это решили запуском десктоп оси с ВМ

Десктоп превращается в тупой графический терминал

Ничего не потерять, ни чего не унести домой, никаких троянов на флешках

Ты же с этим работал? Нет?

Все, что касается персоналки регламентирует ФСТЭК, все что криптуется - ФСБ.

Ну а конкретнее, хотелось бы кук бук получить… вообще скорее всего придется к нашим спецам обратится по вопросам документации…

а какой ни будь Nextcloud отечественный есть?

Это ваша личная инициатива? Лучше не лезьте. Вы с первых же шагов складирования информации в потусторонние облака нарушите 152-ФЗ, требующий сертификации всего, начиная с необходимости криптованных каналов передачи данных и сертификации хранилища, если вы имеете дело с персональными данными. Разграничивать же документацию на содержащую персоналку и не содержащую, кторую можно пихать куда угодно - видимо придется тоже вам, да еще следить за исполнением этого разграничения.

Разумеется, скорее всего всем будет наплевать, но вы спрашивали о подводных камнях :)

криптованных каналов передачи данных и

канал уже есть

сертификации хранилища

цод наш стоит на учете в профильных органах

поэтому нужно просто найти сам облачный сервер, и уже от его стоимости думать, есть ли смысл… но экономическое обоснование сейчас не будем сочинять

Ничего не потерять, ни чего не унести домой, никаких троянов на флешках

А Ctrl-C в ВМ с последующим Ctrl-V на десктопе?

Да дело даже не в этом, в том, что от ходящих по рукам флешек и компьютеров облачное хранилище все равно не защитит и это придется решать организационными и техническими мероприятими. А когда вы это решите - вы увидите, что, оказывается, все равно где находится хранилище - в чужом облаке или в своем недооблаке, проблему то вы уже решили )

«МойОфис», например. Их продукты в Реестре есть.

++

++

Поскольку там с хранением доки бардак, флешки непонятные, какие то непонятные компы которые потом идут по рукам прочего персонала, думаю почему бы не предложить людям спасение от постоянных потерь данных.

Ну ты им объясни на пальцах, что это зашквар и назад пути нет, прокачай тему на своей волне.

А Ctrl-C в ВМ с последующим Ctrl-V на десктопе?

а не работает, только принт-скрин

Конкретнее нужно составлять модель угроз, это есть все на сайте фстэк, ты должен это знать, учитывая, где работал. Иначе я начинаю сомневаться в твоей профпригодности.

Это же наверняка кучей документов регламентировано.

Клали все на это. Вон спецбатальон МВД данными о передвижении членовозов обменивался в чатике вацапа. Некомпетентность и разгильдяйство – девиз отечественной информационной безопасности.

Хранение данных в облаке на работе.

нужны «православные» облака в аттестованных ЦОД.

Защищенный по ГОСТу канал данных.

локальный сервер на Astra Linux SE с поднятой ALD твоя тема

Некомпетентность и разгильдяйство – девиз отечественной информационной безопасности.

Недавно в одну контору просили отправить по электронной почте документы которые согласно Постановления Правительства РФ N**** надо хранить подальше от посторонних. Их специалист мне 10 минут рассказывал как архиважно блюсти, но ситуация требует исключения из правил. Попросил его прислать мне открытый pgp-ключик, оказалось он не в теме. Предложил ему вариант: запароленный zip-архив по электронной почте, а пароль по SMS, это тоже показалось ему сложным. В итоге отправил по почте заказным письмом с описью, несмотря на возражения.

А Ctrl-C в ВМ с последующим Ctrl-V на десктопе?

Не работает.

В десктопной оси все отключено.

Логин идет сразу в VM.

классика.жпг, а почта, на которую отправить просили, надеюсь, не на mail.ru была? А то были у нас кадры, которые ДСП документы каким-то хером отправили на частный почтовый ящик.

отправил по почте заказным письмом с описью

А разве не для этого Фельдъегерская служба существует? Или контора рожей не вышла?

Понятно что нужны «православные» облака в аттестованных ЦОД.
Защищенный по ГОСТу канал данных.

Такое обычно покупают только когда сверху требуют, а не по собственной инициативе. И смысл только в том чтобы купить (у правильной конторы), а не в том чтобы этот шлак реально использовать.

Подозреваю что nextcloud недостаточно кривой и дырявый, чтобы быть среди отечетственного софта для госструктур

А можно про дырявость, ничего серьезного не находил, нет, для госструктур он не подходит по по определению, для себя можно юзать?

Нагуглил вот тут список выявленных в свое время багов по безопасности (не уверен что полный)

https://www.cvedetails.com/vulnerability-list/vendor_id-15913/Nextcloud.html

в основном старые версии, т.е. 15 и старше

Как не изгаляйся, основной формой утечки будут унесённые домой флэшки/ноуты/телефоны, почта и WhatsApp,

А зачем всё это ограничивать, может лучше сделать так, чтобы это имело приемлемые формы?

Например возми Antox или Briar, удали из них бекдоры и зонды, если они есть, добавь нужные патчи безопасности, типа привязки ID нод к определённым IP адресам или диапазонам подсетей и пусть сотрудники ими пользуются заместо вацапа.

Тоже и с флешкой, сделай собственный носитель с шифрованием и паролем доступа который надо набрать на миниатюрном тачскрине, может просто переработай под такую флешку сотовый телефон выпаяв из него wifi, gsm и прочие комуникационные чипы.

А потом продай всё это на ЛОРе, наверняка такие девайсы и мессенжеры нужны не только в твоей фирме.

И если что то можно будет кивать на пользователей которые сами поставили себе месенжер от анонима из тора.

Ну а чтобы согнать пользователя с вацапа и прочего сделай патч к фаерволу роутера который будет портить некоторый процент сетевых пакетов этих приложений.

В общем сейчас нужно найти что почитать по ОРД, и облачные решения (сами программные серверы, оборудование будет свое).

причём тут облако?

для орд нужно правильная платформа, а облачная она или нет дело 10. если орд будете делать сами - бардака будет в 10 раз больше.

А зачем всё это ограничивать, может лучше сделать так, чтобы это имело приемлемые формы?

Не поможет.

Во-первых, и сейчас на паре объектов есть работающий Conversations (даже с видеозвонками!) - абсолютно поуху, как сливали WhatsApp/почта так и шлют, потому что привычно. Да фиг бы с ним, если только между своими.

Во-вторых, пользователям ложить на всю защиту, охраняемый контур и т.д. Им надо документы передавать. А какой-нибудь VipNet - это «сложна и нипанятна».

Эффективно бороться с внутренними угрозами - это вообще проблема. Только драконовские меры со стороны руководства (!), а не админа и безопасника могут помогать. Но руководству, местами, тоже поуху, пока задница не горит.

Ну а чтобы согнать пользователя с вацапа и прочего сделай патч к фаерволу роутера который будет портить некоторый процент сетевых пакетов этих приложений.

Тогда придётся ещё намертво рубить в радиусе предприятия всю мобильную связь и мобильный интернет соответственно.

Тогда придётся ещё намертво рубить в радиусе предприятия всю мобильную связь и мобильный интернет соответственно.

Всё рубить не надо, просто опусти до GSM и если даже GPRS и останется, по вацапу звонить и передавать файлы всё равно уже не будут, а если и будут, то долго и значит захотят пенреходить на более быстрые каналы.

А какой-нибудь VipNet - это «сложна и нипанятна».

Из поиска Утки:

ViPNet CSP 4.2 — российский криптопровайдер, сертифицированный ФСБ России

Может проблема не столько в самой программе, а в том что она связана с ФСБ?
Кто захочет сам на себя то доносы писать?
Предложим им использовать PGP.

Conversations

Это плохое предложение:

1. У хммпа имидж сложной в настройке программы требующей регистрации домена в интернете под собственный сервер.
   По этой причине люди вне предприятия им точно не захотят пользоваться, а свои будут брать только под большим давлением.
2. По этой же причине никому не нужен чььзный сервер предприятия, вы ведь на нём не разрешаете регистрироваться посторонним лицам, а значит даже те, кто готов убедить людей из своих контактов перейти на тот или иной месенжер делать этого не станет.
3. Где гарантия что логи сервера предприятия не будут использованы как доказательная база при уголовном деле по утечкам секретной документации?
   Это ещё одна причина не использовать этот сервер.

По этому лучше проведите ревизию Tox или Briar и эту отревизированную версию людям и предлагать.
К стати оба мессенжера не имеют привязки к телефону и адресуются по ключу, то есть для создания аккаунта нигде регистрироваться не нужно.

А какой-нибудь VipNet - это «сложна и нипанятна».

И неудобно

Поэтому будут делать как удобно.

Так я о том и пишу. Люди, если им за это ничего материального не будет, кроме ругани безопасника, на которого поуху, будут пользоваться тем чем привыкли, а не тем, что предписано. И клали они на любую конфиденциальность.

Ну напишешь докладную о выявленном инциденте безопасности, ну укажешь там какую-нибудь секретаршу и какого-нибудь коммерческого директора. Если руководство блюдёт, то будет им выговор. Если руководство как обычно, то толку от докладной, кроме халявного виски с внеочередным оральным праздником у руководителя? Разве что в случае больших разборок можешь предъявить, что действовал согласно утверждённому регламенту.

Может VipNET не удобен как конкретная программа, а не вообще?

Что если надо сделать редизайн его интерфейса пользователя?

Может VipNET не удобен как конкретная программа, а не вообще?

Это VPN-сеть так-то (ГОСТ, ФСТЭК и вот все эти аббривеатуры), со всеми вытекающими, т.е. ограничена кол-вом клиентов. Поверх её, в принципе можно развернуть что угодно. Есть там и почтовик свой - ну Почта, как почта.

Что если надо сделать редизайн его интерфейса пользователя?

Это к Инфотексу. Они это не сильно любят, т.к. сертификация. Обновление тоже нифига не бесплатное, причём и шлюзов и каждого клиентского места.

Проблема не ВипНета, проблема в том, что рядовой пользователь не хочет разбираться и заморачиваться вопросом, какую инфу можно передавать по открытым каналам связи и выносить за пределы охраняемого периметра, а какую нет, если ему за это ничего не будет.

Весь этот твой пост состоит из одного большого перечисления минусов этой сети.

попробуй посадить предприятие на Tox и GPG.

Вообще мне кажется что ты тут ищещь не совета, а индульгенцию для своей совести.

ну укажешь там какую-нибудь секретаршу

Которая получает 3 копейки, с которой взять нечего, и которая работой не дорожит, потому что тут же найдет такую же

и какого-нибудь коммерческого директора.

После жалобы на которого ты будешь уволен

А разве не для этого Фельдъегерская служба существует?

Существует, у них пункт приемки в 70 км от меня. Сходил к безопаснику в муниципальную администрацию, он эти бумаги тоже подписывал, спросил: «эти документы ДСП?», он сказал: «нет, Постановление не обязывает ставить гриф секретности». После этого отправил по почте.

По этому лучше проведите ревизию Tox или Briar и эту отревизированную версию людям и предлагать.

Сразу видно у человека нет опыта работы с другими человеками.

Вообще мне кажется что ты тут ищещь не совета, а индульгенцию для своей совести.

Вообще он свой опыт описал. И я с ним согласен.