Требования к паролю фстэк

Требования к паролю фстэк

Охренеть. Мужики, ради бога — ограничьте свою «созидательную» деятельность защитой гостайны.

Алекс,
ситуация, когда в ходе внешнего пентеста удается получить доступ к машине админа, встречается довольно часто. Обычно мы отмечаем это в отчете как ошибку, которую может совершить любой (и я в том числе). Но если при этом на машине этого человека присутствует файлик с паролями пользователей (редко, но бывает), мы обращаем внимание заказчика на профессиональную непригодность этого специалиста. Выводы делайте сами.

Давайте я поясню свою реплику про «созидательную» деятельность, а выводы делайте сами. Итак, вы решили записывать пароли в журнал (файлик, тетрадку и т.п.).

1. Нарушена конфиденциальность пароля, и чыеловек, ведущий журнал, получает неограниченные права на действия в защищаемой системе. Вы же не будете утверждать, что безопасник не является потенциальным нарушителем?

2. В силу п. 1 нарушен принцип неотказуемости от действий. Пользовтель никаму ничего доказывать не должен, это вам придется доказывать, что именно этот человек совершил данное нарушение. Доказательная сила логов основана на том, что «кроме него никто этого сделать не мог — пароль-то никто больше не знает». В вашем случае этот принцип нарушен, и придется искать дополнительные доказательства того, что нарушение совершгшил именно пользователь.

3. Появляется сложность в смене пароля. Мало того, что пользщователь не любит менять пароли, так вы еще и усложнили процедуру: он должен придти к вам, застать вас на рабочем месте, вы сгенерите ему пароль, запишете в журнал, он распишется в получении. Ntv самым вы получили дополнительные трудозатраты на ведение паролей пользователей.

4. Вследствие этого пароли пользователей в вашей системе меняются крайне редко. Правда? А это мегакосяк.

Это минусы. Плюсов не наблюдаю, если видите — расскажите (вариант «по инструкции положено» не рассматривается).

Единственное, ради чего стоит хранить НЕКОТОРЫЕ пароли — это аварийный доступ в систему в экстренной ситуации в отсутствии специалистов, которые должны штатным образом выполнить нужную операцию. Но для этого заводится отдельный «пожарный» пользователь, пароль которого хранится в сейфе в запечатанном конверте и используется только в случае крайней необходимости.

Требования к паролю фстэк

Присоединюсь к Прохожему: учите матчасть.

Средства защиты, применяемые для защиты гостайны, в обязательном порядке сертифицируются (см. положение по сертификации СЗИ, утвержденное Правительством).

BIosmart, Biolink и прочие и прочие системы биометрической аутентификации соответствующих сертификатов не имеют. Более того, РД на биометрическую сертификацию пока нет (если не ошибаюсь, НПФ «Прософт» участвовала в разработке проекта?), а сертификат по ГОСТ 51241 в данном случае за отмазку не катит.

При всем уважении к вашей компании — вы малость не по адресу..

> А то что вы базу данных с отпечатками даже не кодируете

Разве? С трудом верится. Про Прософтовсие сканеры не скажу, но все сканеры отпечатков, которые я видел, работают по одному принципу по «сырому» отпечатку строится вектор папиллярных узлов, а от вектора считается хэш. Сырой отпечаток не хранят — он на фиг никому не нужен, потому что отпечатки получаются разные, а вот вектор на них получается один и тот же. Так что в базе только хэш от этого вектора (обезличенные данные). 🙂

а как с этим быть — все удовлетворяет?

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ
от 6 июля 2008 г. N 512

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ
ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Требования
к материальным носителям биометрических персональных данных и технологиям
хранения таких данных вне информационных систем персональных данных
(утв. постановлением Правительства РФ от 6 июля 2008 г. N 512)

1. Настоящие требования применяются при использовании материальных
носителей, на которые осуществляется запись биометрических персональных
данных, а также при хранении биометрических персональных данных вне
информационных систем персональных данных.
2. В настоящих требованиях под материальным носителем понимается
машиночитаемый носитель информации (в том числе магнитный и электронный),
на котором осуществляются запись и хранение сведений, характеризующих
физиологические особенности человека и на основе которых можно установить
его личность (далее — материальный носитель).

Уважаемый Прохожий, если на диске записывать сырые графические изображения отпечатков пальцев и подписывать каждый файл строчкой — Иванов мизинец левый например :)))) , то тогда можно однозначно определить принадлежность к личности. В нашем случае мы пишем математический шаблон (это набор координат с кодировкой контрольных точек), файл подписан скажем ID1.tml, то как тогда определить кому принадлежит этот шаблон. Только специальной программой, которая сравнивает исходный шаблон с базой.
Предлагаю и обсудить данную тему в форуме

Bio,
а вас неверна исходная предпосылка.
Биометрической информацией является отпечаток пальца, а не связка отпечаток+имя субъекта. Закон нужно читать буквально.

Смотрите так же:  Пособие по ультразвуковой дефектоскопии

По определению, биометрические ПЛ —
сведения, 1) характеризующие физиологические особенности субъекта, 2) _НА_ОСНОВЕ_КОТОРЫХ_ можно установить личность субъекта.

В этом смысле кодировка контрольных точек — это именно сведения о физиологических особенностях, так что 1) выполнено.

Для понятия «установить личность» в законодательств определения нет. Но есть, например, криминалистика, в методиках которых под установлением личности понимают отождествление субъекта (например, неопознанного трупа) с человеком, информация о котором есть в базе данных. В этом смысле отпечатки пальцев — основной инструмент установления личности. А сравнение отпечатков производится именно по контрольным узлам, так что сырой отпечаток и набор контрольных узлов эквивалентны. Кстати, как вы понимаете, не имея сырого отпечатка человека, но имея вектор контрольных узлов, нарушитель может воссоздать изображение, которое будет распознаваться сканером как отпечаток субъекта.

Так что в приведенном вами случае (набор координат с указанием типа папиллярного узла) — это именно биометрические персональные данные (выполнены оба условия).

В сканерах, которые у себя применяют немцы, сделан следующий шаг: на векторах контрольных точек строится мера (т.е. одностороннее преобразование, хоть и не криптографическое). Сканер работает только с мерой, восстановить по ней исходный вектор не получится. В этом случае СКУД работает просто с персональными данными (условие 2 по-прежнему выполнено), но не биометрическими (не выполнено условие 1).

1. Еще раз формулировка: «. сведения о физиологических особенностях. «. ФЗ защищается не изображение отпечатка пальцев, а сведения о физиологических особенностях.(в данном случае — о наличии характерных папиллярных узлов), которые в этом изображении содержатся. Шаблон ведь эти сведения содержит?

2. Для обхода аутентификации по отпечатку пальца нарушителю не нужно воспроизводить исходный отпечаток. Ему нужно воспроизвести какой-нибудь отпечаток, который даст на сканере такой же вектор.(будет соответствовать шаблону). Положа руку на сердце — ваши специалисты смогут с помощью «клея и ножниц» сфабриковать изображение, которое алгоритм вашего сканера распознает как лично ваш отпечаток пальца? Значит, и нарушитель сможет.

3. Незнание формата сообщения не есть способ его защиты 🙂 Спецификации чипа mifare, протокола SMB, протокола ICQ, протокола DECT и т.п. формально никому не раскрывались, что не мешает умельцам клонировать карточки проезда в метрополитене, разрабатывать амбу и Квип, прослушивать DECTовские телефоны. Вопрос мотивации 🙂

4. К слову о «закрытой информации» -во время внедрения ПВДНП шла дикая грызня между ФСБ и МВД. Каждая из сторон твердила, что если базу отпечатков отдать второй стороне, то завтра она будет продаваться на Горбушке. И в обоих случаях опасения имели под собой некоторую основу 🙂

1. C формальной точки зрения Вы правы, да в шаблон пишутся контрольные точки паппиляроного узора, только ведь по ним не возможно воссоздать исходное изображение отпечатка.
2. Есть технология LFD распознавание живой-неживой, у нас на сайте расписана, ссылку на сайт давать не буду чтобы не выглядело как реклама.
3. при желании любую систему можно сломать, даже которая имеет кучу лицензий и сертификатов.
4. При всем желании наша база шаблонов абсолютно бесполезна для МВД и ФСБ, у них особые требования к формату записи дактилокарт.

Вообще, постановление 512 изначально разрабатывалось для биометрических паспортов, т.е. паспорта начали внедрять, а НД никаких не было, смех да и только.

1. По существу я с вами согласен 🙂 Но мы с вами обсуждаем соответствие продукта формальным требованиям закона и подзаконых сактов.

На мой взгляд, биометрические методы аутентификации гораздо надежнее чем криптографические, а тем более — чем «алфавитно-цифровые пароли условно-постоянного действия». Но увы — есть формальные требования, которые приходится выполнять. Вот такие дурацкие у нас законы 🙂

2. Про LFD знаю. Но мы спорим о другом — есть ли в ваших шаблонах биометрические ПД? Они там есть.

3. Поэтому сертификат — необходимое, но отнюдь не достаточное условие.

4. Вопрос не в пользе ваших шаблонов для спецслужб. Просто аргумент «никто не воспользуется, потому что это закрытая информация» в нынешние времена звучит очень неубедительно, тем более для госорганов 🙂

Требования к паролю фстэк

Дано:
1)есть аттестованные две информационные системы из N
2) Для доступа к АРМ используется Jacarta + пароль
3) Для доступа к одной из ИС которая лежит в общем доступе используются индивидуальные пароли выдаваемые админом.
Надо:
1) написать политику парольной защиты
2) можно ли не заставлять пользователей менять пароли в ИСПДн? и как это лучше написать
3) как часто надо менять пароли на серверах?
4) можно ли не менять пароли раз в N месяцев при использовании jacarta?

В ИСПДн 4 и 3 уровней защищенности — пишите пароль в jacarta и не парьтесь. Ибо на такие ИСПДн требование АНЗ.5 не распространяется (см. 21 Приказ ФСТЭК). Менять следует только в случае возможной атаки или явной компрометации (ибо ИАФ.4).
В ИСПДн 2 и 1 уровней защищенности — раздельно jacarta+пароль, либо jacarta со встроенным в нее паролем + pin-код доступа к памяти jacarta (что суть тот же пароль, только короче и цифернее). Частота смены произвольная, исходя из внутреннего решения по организации-владельцу ИСПДн. Опять-таки, смена в случаях подозрений на атаку и т.п.
Главное, чтобы все это не противоречило выводам разработанной для этой ИСПДн Модели угроз и нарушителей.

Смотрите так же:  Приказ мчс о доходах

ЗЫ И, кстати, что такое «ИС которая лежит в общем доступе»?

Требования к паролю — Форум по вопросам информационной безопасности

Требования к паролю — Форум по вопросам информационной безопасности

В РД ФСТЭК по АС. К соответствующим классам.

Кто подскажет класс для Медецинских учережденний?

Кто подскажет класс для Медецинских учережденний?

Вопросы в некуда !!

Скачайте РД на АС на сайте фстек. Посмотрите какая у вас система многопользовательская, с какими правами и т.д. И классифицируйте систему по РД АС.

Если у вас ИСПДн (обрабатываете персональные данные), то скачайте трехстороний приказ (ФСТЭК, ФСБ, Минсвязь) по классификации ИСПДн и классифицируйте вашу систему.

Linux не линукс всеравно там определяющие признаки совсем другие. Просто почитайте.

Есть ли какие-то требования к паролю по закону о персональных данных?

В соответствии с требованиями ст.19 ФЗ «О персональных данных» Правительство выпустило Постановление №1119, в котором в зависимости от объема обрабатываемых данных определяется требуемый уровень защиты (цифра от 1 до 4).

ФСТЭК РФ в соответствии с ФЗ и ПП-1119 выпустило 2 приказа : для гос.учреждений — Приказ №17, для коммерческих учреждений — Приказ №21, в которых указывается какие меры защиты должны быть внедрены, и если это принципиально, то их характеристики. Парольная защита указана для всех 4 уровней защищенности, однако, параметры этой парольной защиты не указаны. Таким образом по факту они могут быть выбраны Вами любыми, если Вы в случае проверки докажете невозможности их взлома полным перебором за время его (пароля) жизни (иначе это будет противоречить тому же Приказу №21).

Дальше Вы должны отталкиваться от скорости перебора и вычислять по ней требуемую информационную емкость (энтропию) пароля. Явных требований к набору символов энтропия не задает, но увеличивая наборы, Вы фактически позволяете сделать пароль короче (при той же информационной емкости). И очень советую внедрять в системе таймаут (например, 2 минуты) после 5-10 неверных попыток подбора пароля. Иначе требуемая минимальтная длина у Вас выйдет просто нереальная для запоминания рядовому пользователю.

Определение требований к системе защиты информации ИС — Форум по вопросам информационной безопасности

Определение требований к системе защиты информации ИС — Форум по вопросам информационной безопасности

Добрый день, уважаемые коллеги.

Требуется определить исходные требования к системе защиты информации в ИС.
ИС не является ни ГИС/МИС, ни ИСПДн, ни КСИИ, не обрабатывает ГТ. Из конфиденциального — только пароли пользователей.

Вижу 2 варианта — определить по:
1) РД. Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации»
(утв. решением Гостехкомиссии России от 30.03.1992).

2) Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» от 11.02.2014.

Но в 1 случае ИС не попадает ни в какой класс, а во 2 случае возникает СОВ, что «несколько не устраивает». Может есть еще какие-либо способы определить исходные требования к системе защиты информации в ИС?

Приветствую!
Три вопроса.
Первый: точно ли в ИС нет явно определенной законом ИОД? А не явно? Так сказать, «чисто для себя» (она же КОНФИ)? Полностью общедоступных ИС не бывает.

Второй, вытекающий из ответа на первый: зачем определять класс ИС по существующей принятой системе классификаций, если она не обрабатывает информацию ограниченного доступа, установленную законодательством? Пароли к таковой не относятся, если только. эти пароли не являются объектом коммерческой тайны (смешно, честное слово) или входят в замшелые самопальные инструкции безопасников-параноиков из области ГТ и КСИИ, ага.

И третий (самый любопытный). Это ж как вы ИС с «конфи-паролями only» умудрились предварительно классифицировать как ГИС или ИСПДн 2 и выше класса/уровня защищенности, чтобы на выходе обязательность применения СОВ получить? И вдогонку: как применение СОВ поможет защитить пароли пользователей от компрометации (камень в огород «компенсирующих мер», ага) ? 🙂

ЗЫ Если все-таки вся соль только в паролях (мне даже интересно, что же это за ИС такая — на ум приходит только Интернет-кафе с паролем от админской машины), то называется это «политика обращения с ИАФ и ключевой информацией в организации». В оной же «политике» все требования указываются самостоятельно и, зачастую, исходя исключительно из здравого смысла.

> Второй, вытекающий из ответа на первый: зачем определять класс ИС по существующей принятой системе классификаций, если она не обрабатывает информацию ограниченного доступа, установленную законодательством?

Ну, например, если это общедоступный портал нормативно-правовой информации (доступ на редактирование надо ограничивать, однако). Если мы хотим такой портал действительно защитить, имеет смысл смотреть на нее, как на систему 4го класса защищенности. Или корпоративная Вики — мы, например, активно используем вики как базу общедоступных (в пределах компании) знаний по технологиям, реализуемым в наших продуктах.

> И вдогонку: как применение СОВ поможет защитить пароли пользователей от компрометации (камень в огород «компенсирующих мер», ага)

Смотрите так же:  Сколько будет налог на 220 лС 2019

Теряюсь в догадках, чем именно вы собираетесь защищать, например, веб-форму аутентификации пользователя от атаки подбора на учетки со словарными паролями? 🙂 Таких учеток в среднестатистической информационной системе порядка трех процентов.

Возможно, топикстартер имеет в виду, что эта система не имеет внешних интерфейсов (угрозу компьютерных атак он считает неактуальной), обрабатывает общедоступную информацию, но для доступа не ней требуется ввод доменных логина и пароля (конфиденциальность которых таки надо обеспечивать). Просто ему забыли рассказать, что в методическом документе ФСТЭК слово «базовая» применительно к мере защиты не означает «обязательная» 🙂

ИС — общедоступный портал с отчетами по деятельности госкорпорации, доступ на редактирование и просмотр некоторых категорий информации надо ограничивать. При этом Заказчик настаивает что конфиденциалки нет и требует определить перечень мер по защите (целостность, доступность).

По РД классифицировать никак не получилось. По ГИС — масштаб:федеральный, степень ущерба: не может быть определена/низкая/низкая, уровень значимости:УЗ 3, класс защищенности:К2.

Что методика ФСТЭК не обязательна, но может быть использована это в ней написано, просто подустал чето перебирать нормативку. Никогда еще с таким не сталкивался, уж лучше ГИС с ИСПДн в перемешку, там хоть понятно от чего плясать.

Как вариант — в соответствии с п.6.3.1 ГОСТ 51583-2014 сделать модель угроз, позакрывать в ней угрозы средствами защиты информации и все? Насколько такой подход применим, Гуру?

to Александр
1. Подход с Моделью (+ЧТЗ, в котором уже требования по результатам анализа угроз безопасности) без приплетения 17, 21 и иных приказов идеален. Раз уж заказчик такой настойчивый (что конфиденциалки нет, ага). Только не совсем по приведенному ГОСТ. Скорее по адаптации (самопальной) одной из существующих Методик (рекомендую Проект Методики-2015 ФСТЭК, она оптимальнее в вашем случае). Ибо ГОСТ все-таки для вновь создаваемых систем. Т.е. применим в случае, когда система разрабатывается с 0 или модернизируется не столько в части ЗИ, сколько по общему функционалу. Если ваша ИС уже существует и работает, но в нее надо внедрить подсистему ЗИ, то ГОСТ, пожалуй, не подойдет. + в нем методика анализа и описания УБИ не расписана все-таки.
2. Ошибочка классификации у вас. 17 Приказ: «Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.» А в части конфиденциальности, как я понимаю, у вас «не может быть определена». Так что итоговый класс по ГИС — К3 — т.е. без СОВ и СДЗ. Над чем, собственно, я ранее и недоумевал.
3. Кстати, ИС автономна по отношению к другим ИС, в которых ИОД однозначно циркулирует? Т.е. как идет наполнение ИС общедоступной информацией: автоматизированные скрипты поиска и заполнения полей БД или все-таки подключение и частичный ручной ввод из других ИС? Просто в ином случае, imho, этот «портал» надо рассматривать как часть конфиденциальной ИС, ее рубеж, «открытый контур», так сказать. Ну, это если Проект Методики-2015 для моделирования угроз применять, ага. И вот так, пожалуй, будет вернее всего (и с позиции закона, и с позиции здравого смысла).

ЗЫ И вообще, еще раз обращаю внимание: классифицировать ИС (АС) с целью внедрения (выполнения) требований ЗИ по факту защиты одного из компонент этой самой системы ЗИ (пароли и права доступа, ага) — это чистой воды оксюморон. Аля бородатый анекдот про «нашу страну», «тонны стали» и «экскаваторы» или то самое «У попа была собака».

Другие публикации:

  • Автостраховка осаго отзывы Страховая компания МАКС - отзывы Специалисты СК на сайте Последние отзывы о компании Не можем вписать новое водительское Добрый день. В сентябре месяце оформили полис ОСАГО в вашей СК. ХХХ 0055101395 от 05.09.2018 на имя Токарева Василия Александровича. На […]
  • Мировой суд 1 ленинского района чебоксары Суды города Чебоксары Вас вызвали в суд или наоборот хотите подать в суд, но не знаете где находятся суды в г.Чебоксары или не знаете как до суда доехать? Специально для вас мы подготовили список судов Чебоксар: Верховный суд, Арбитражный суд, районные суды […]
  • Московский городской суд госпошлина реквизиты апелляция Московский городской суд Адрес: 107076, г. Москва Богородский Вал ул., 8 метро "Преображенская площадь", последний вагон из центра, на выходе по лестнице налево, выход к ДК Моссовета, далее идете прямо по тротуару метров 50, первый поворот направо за […]
  • Требования к программам по фгос 2019 Утвержденные федеральные государственные образовательные стандарты на 2018-2019 годы Перечень утвержденных федеральных государственных образовательных стандартов Федеральные государственные образовательные стандарты (ФГОС) представляют собой совокупность […]
  • Сколько сбербанк рассматривает документы на квартиру Порядок действий при оформлении ипотеки Со Сбером не получится? Ха-ха. Купили 3 недели назад квартиру, взяв кредит у Сбера. Правда, покупали новостройку. Что, кстати, сейчас намного сложнее сделать через ипотеку. Со вторичкой они вообще легко и просто […]
  • Антонова татьяна александровна нотариус Нотариус Антонова Татьяна Александровна Московская городская нотариальная палата г. Москва, г. Московский, мкр. 3, д. 1, офис 1 (495) 984-86-44 не известно Лицензия №000508 от 30.12.1994 Приказ №504 от 17.08.2012 Информация получена из открытых […]

Вам также может понравиться