ИТ vs ИБ

Часто становится камнем преткновения (многие безопасники его не любят, по некоторым причинам)

Это по каким причинам?

На кол таких безопасников нужно сажать

Собственно, в чем причина, как вы думаете?

Безопасникам надо всегда к чему-то прикопаться.

Часто становится камнем преткновения (многие безопасники его не любят, по некоторым причинам)

ИМХО это так. Отсутствие всяких Аккордов, Соболей, токенов, Даллас локов и прочего как бы намекает.

На нем работает много security-железа.

Какого же железа? МЭ? IDS/IPS?

многие безопасники его не любят, по некоторым причинам

С сертификатами/бумагами хуже. Сложнее демонстрировать результаты своей работы.

Проблема в том, что IT практически никогда не знают законодательства в сфере защиты информации, поэтому тупят и считают что службы ИБ до них не по делу домогаются...

p.s. сам сейчас работаю с службе иб

По-моему, одной из функций админа является безопасность настроенной им системы. Может в супер-огромных корпорациях, или там в банках, есть смысл в отдельной ипостаси админов, ориентированных строго на безопасность, но я в таких не работал.

Для Linux-систем в разы меньше сертифицированных СЗИ. Можно сколько угодно говорить про то, что грамотно сконфигурированный linux-сервак фиг завалишь, но если там крутиться защищаемая законом инфа - то объяснять все придется регуляторам, а это бесполезно (сам знаю, т.к. общался с ними довольно много).

Вся линейка Stonegate, на пример. У Fortinet-а свой, сильно перепиленный Linux. У BlueCoat. А это и FW, и IPS/IDS и web-фильтры, и потоковые антивирусы. Вроде, у BlueCoat даже шлюзовая DLP-ха на linux.

О, коллега. Я весь свой трудовой стаж в ИБ.

Только вот, помимо настройки оборудования, ИБ занимается кучей-кучей других вопросов. Которыми не занимаются админы.

Уже не раз опсывал эту проблему с старого акка.

К сожалению у нас в СНГ безопасников по сути то на пальцах сосчитать. Остальные клоуны, которые думают что понимают своё ремесло, владеют им, и вообще. Плюс очень часто неограниченная власть. Смешать эти две вещи - и получим безопасника среднестатистического, которого и есть желание только придушить.

у меня стаж в Иб не очень пока, перешел туда и сис.адмов, теперь понимаю обе стороны конфликта )

одной из функций админа является безопасность настроенной им системы.

Модель угроз делают безопасники, делают в комплексе на все предприятие (охранка+сеть+компы). А когда за сеть и компы отвечают разные люди... Ну ты понял.

Вся линейка Stonegate, на пример. У Fortinet-а свой, сильно перепиленный Linux. У BlueCoat. А это и FW, и IPS/IDS и web-фильтры, и потоковые антивирусы. Вроде, у BlueCoat даже шлюзовая DLP-ха на linux.

Таким не приходилось пользоваться. Все на Cisco и CheckPoint + SIEM системы и много других не менее интересных вещей.
Касаемо наличия сертификатов ФСТЭК, то у RHEL и ALT Linux они имеются соответственно в них можно обрабатывать информация до N-го уровня секретности

безопасника среднестатистического, которого и есть желание только придушить.

Ну ты, что ли, дай описание того, кого ты понимаешь как сабж? Я-то тут представляю вторую сторону конфликта :)

Все на Cisco и CheckPoint

А у CheckPoint не пингвин внутри? А то нам их грозятся поставить вместо Stonegate.

у RHEL и ALT Linux они имеются

ЕМНИП, у них только НДВ и СВТ. НСД не помню, что бы было.

Потому что часто не тех людей берут в безопасники.

Может в супер-огромных корпорациях, или там в банках, есть смысл в отдельной ипостаси админов, ориентированных строго на безопасность, но я в таких не работал.

да они не админы(хотя может где-как, но то, что я видел). Они надзорно-карающий орган. Рисуют периметры беопасности, модели угроз составляют. Затыкают дырки в заборе, из которых может вылезти шальная пасть проверяющего. В общем, не особо то и приятная у ребят работа: делать реальность соответствующей законодательству

Работал в одной компании, там админы болели ылитаризмом, мол они админы, а ты тупой пользователь. Правда пользователи были программерами с 10летним стажем...

запудрить мозги регулятору так, что бы он поверил, что реальность соответствует законодательству

Я бы сказал так :)

очень интересная тема кстати.Одно от другого не далеко ушло ведь, ИТ мало знакомы с текущим законодательством, а ИБ мало знакомы с текущей практикой и реализацией в ИТ... Есть что почитать на эту тему?

Я бы сказал так :)

Ну ок. Я помню еще примерно законодательство по теме из курса ИБ, ужас и мрак. Так что не завидую я вашему брату.

Слушай, а если чего утечет, к примеру, персоналка первой категории, к вам потом какие санкции, при условии что на бумаге все требования к ИСПДн выполнялись?

На тему чего конкретно?

Собственно, в чем причина, как вы думаете?

В over 9000 ЧСВ безопасника

И как этого избежать?

забанить уволить.

Все печально (увы). В текущей редакции 152-ФЗ идет ссылка на возмещение морального ущерба (ст. 1099-1101 ГК РФ). Причем, санкции применяются к юрлицу, а не к отделу ИБ.

Хотя, если у кого-то есть ГТ, то до 20 лет строгача :)

взаимоотношений ИТ и ИБ. как правильно построить ИТ с требованиями ИБ и наоброт, хотя бы рассмотреть теорию, если есть конкретные реализации то вообще шикарно будет.

Потому что часто не тех людей берут в безопасники.

Предыдущий начальник ИБ был бывший командир подводной лодки. Как он всплыл в Ярославле? Загадка. Тем не менее. Вот он страдал паранойей. А сегоднешний начальник ИБ милый и пушистый. Никаких намеков на конфликты.

В текущей редакции 152-ФЗ

его требования хоть кто-то применил полностью к своему предприятию?

Если ты про отечественные стандарты - то увы и ах. Информация собирается по крупицам из интернетов, слухов, выступлений на конференциях. Ситуация усугубляется неоднозначными требованиями регуляторов.

Из вражеских best practice почитай CISSP (есть мануала на русском), попробуй найти ISPME (если получится - делись ссылкой, у меня ток 11 версия, 2011 год, с тех пор должно было обновиться).

CISSP писался без привязки к конкретным стандартам, чем и хорош.

Тебе ехать или шашечки? В смысле - просто однократно внедрено все нужное, или внедрено и поддерживается в актуальном состоянии?

мне ехать и с шашечками. За наводку выше спасибо, поищу по ключевым словам.

Что бы ехать с шашечками, надо готовиться к вечному сексу, простите мой Йиглымский.

Увы, у нас законодательство в сфере ИБ закладывает виражи круче, чем харрикейны.

многие безопасники его не любят

Толсто!
Дай угадаю, они любят «сертифицированное под протухший стандарт, при том только при условии отсутствия подключения к интернету».

так я это понимаю. Отсюда и риторический вопрос: «кто то выполенил все требования ФЗ-152 и регуляторов?», кстати сколкьо их сейчас. Все также 3 (ФСБ, ФСТЭК, роспотребнадзор(?)), они нашли общий язык между собой? с 2011 года не следил за этой темой, с того момента как понял что выполнить их не реально да и сами регуляторы не очень жаждут проверять.

сертифицированных

сертификация зачастую не соответствует современным реалиями, упускает важные аспекты из вида и т.п. или допустим предусматривает заведомо устаревшии версии софта (в котором уже найдены серьёзные уязвимости)
// и.о. Кэпа

Проблема в том, что ИБ практически никогда не знают матчасти в сфере информационных технологий, поэтому тупят и считают что службы ИТ... «ну ты понел»

Часто-часто наблюдаю, что ИТ-отделы и безопасники, мягко говоря, не могут ужиться в одной конторе.

По моему опыту, ИТ и безопасники - одно целое. И с ними вообще никто ужиться не может.

установку обновлений безопасности еще никто не отменял.

«сертифицированное под протухший стандарт, при том только при условии отсутствия подключения к интернету»

Что мы любим - зависит от того, что мы защищаем :)

в нашей конторе сейчас ситуация иная, вся служба иб из бывших it, а бывшие силовики в эконом.безопасности

сертификация зачастую не соответствует современным реалиями

Без бумажки ты никто. Там, где нужны все эти НДВ, НСД и СВТ, сертификат важнее всего остального.

по конечному результату возможно, но проблема в том как ИТ выполнить требования безопасников и при этом безопаснику проконтролировать реализацию в ИТ. а еще кого наказать в случае утечки, приглашать аутсорс?

сертификация зачастую не соответствует современным реалиями, упускает важные аспекты из вида и т.п.

Примеры в студию. Они есть, мне просто интересно, что вы под этим понимаете.

заведомо устаревшии версии софта (в котором уже найдены серьёзные уязвимости)

Обновления можно ставить, но только из сертифицированных источников.

Собственно, в чем причина, как вы думаете?

безопасники блокируют доступ вконтакт

PS А линукс тут при том, что он
многие безопасники его не любят

плохие, плохие безопасники

Люди в принципе понимают одни и те же вещи по-разному. Что для одного пустяк, для другого дилемма.

У меня был всего один эпизод, когда начальник правильно понял требования ИБ, подписал инструкцию, которую я составил и жёстко заставил своих подчинённых соблюдать её положения.

читают что службы ИТ... «ну ты понел»

Угу. Ничо не делают и только мышку возят туда сюда.

Подвох в том, что после актуализации софта, ты лишишься сертификации, потому что на новую версию она может и не распространяться. Примеры были, правда сейчас конкретные запамятовал.

Примеры в студию.

Напрягаю память. Был какой-то сертификат, обязывавший использовать версии ssl/tls, в которых была известна уязвимость и на тот момент имелись уже более свежие версии. Точнее сейчас не помню.

Ну про windows nt 4.0 говорить не будем с его c2, но только без подключения к сети :))

Вот и я к тому, что безопасниками назначают специалистов по «физической безопасности» - охрана объекта, доступ в помещения, предотвращение выноса ценностей за забор.
А для решения проблем информационной безопасности подобные методы не всегда подоходят.

установку обновлений безопасности еще никто не отменял

Вот кусок /etc/apt/apt.conf после установки Secret NET LSP:

	Hold {
		//#SecretNET_EXCLUDE
		^alterator$;
		^alterator-standalone$;
		^coreutils$;
		^cups$;
		^gdm$;
		^gnome-screensaver$;
		^kernel-image-el-smp$;
		^kernel-image-std-def$;
		^libaudit1$;
		^login$;
		^memtest86+$;
		^openssh-server$;
		^packageinstall$;
		^pam-config$;
		^passwd$;
		^polkit$;
		^ppp$;
		^samba$;
		^screen$;
		^shadow-change$;
		^shadow-check$;
		^shadow-edit$;
		^shadow-groups$;
		^shadow-utils$;
		^squid-helpers$;
		^startup$;
		^su$;
		^sudo$;
		^synaptic-usermode$;
		^vixie-cron$;
		^xorg-server$;
		//#END_SecretNET_EXCLUDE
		// Old-style kernels.
		"^(kernel|alsa)[0-9]+-source";
	};