Ситуация примерно такова: есть некая сеть на гос.предприятии. Пришла проверка и по результатам работы написала список замечаний.
Замечания примерно следующие(выписал те что мне не понятны):
1.Отсутствие защиты от несанкционированного доступа
2.Отсутствие обнаружения смены потока данных
3.Отсутствие обнаружения искажения данных
Первое я так понимаю это идентификация и аутентификация пользователей. Сейчас используется типичный принцип доступа к ОС и ресурсам сети по логину и паролю. Но этого видимо мало, как ещё можно усложнить эту процедуру?(Одноразовые пароли, сертификаты или что-то другое).
Второе это расчёт контрольных сумм, протокол TCP вроде как нам предоставляет такую функцию, но она чисто на уровне защиты от сбоев, нежели как защита от специальных вторжений. Чем можно это проконтролировать, программно или аппаратно?
И наконец третье, здесь я теряюсь в догадках.
Натолкните плиз меня на путь истинный, а то я даже не представляю как это всё загуглить. В поисковике в основном все что касается доступа к локалке через инет, а мне именно нужно контроль этого всего внутри локалки.

1) возможно отсутствует Windows NAP сервер, так же возможно DHCP snooping и пр.
3) насчёт обнаружения не уверен, а вот для защиты от искажения используются цифровые подписи.
второе не знаю, увы... может DNSSEC. Тоже было бы интересно услышать ответы специалистов по безопасности.
Кстати, кто приходил и чем проверял?

Надо смотреть в контексте конкретных приложений или служб. Например, HTTP-трафик к сторонним серверам вы никак не защитите, this is by design.

1) возможно отсутствует Windows NAP сервер, так же возможно DHCP snooping и пр. »
С помощью чего это можно организовать и как это отобразиться на трафике и нагрузке серверов?

Кстати, кто приходил и чем проверял? »
Да в общем-то приходили обычные IT спецы вышестоящего органа. Им и проверять ничего не пришлось толком, по сути всё работает на простейшем уровне, без заморочек с безопасностью. Просто для меня локалка ассоциируется с доверенной сетью в пределах здания, при том что доступ на территорию по пропускам. И эти требования-пожелания меня вводят в ступор. По санкционированному доступу в голову приходит двухфакторная аутентификация по токенам, но более чем уверен что на это денег не выделят. А остальные два даже не знаю куда и приткнуть.

Надо смотреть в контексте конкретных приложений или служб. Например, HTTP-трафик к сторонним серверам вы никак не защитите, this is by design. »
Понимаю, в том то и дело что защищать то особо и нечего. По сети гуляет обычная служебная инфа, и используются обычные сервисы. А требования такие как при защите гос.тайны.

Им и проверять ничего не пришлось толком »
и всё же, откуда у них такие выводы? К нам вот, например приходили из Positive Technologies. Кое-что программой своей проверили, кое-что ещё чем-то. Результаты в распечатке показали, там и бала написана их программа.
С помощью чего это можно организовать и как это отобразиться на трафике и нагрузке серверов? »
ну NAP на винде настраивается. И правил там много есть для защиты.
А DHCP snooping - это настройка коммутаторов (http://xgu.ru/wiki/DHCP_snooping).
По сети гуляет обычная служебная инфа, и используются обычные сервисы »
так вот эта обычная инфа и не ложна быть разглашена.
Например, никому не мешает вынести её за пределы офиса, передать третьим лица. Вот и нужна защита от этого.

достаточно просто посмотреть что они предлагают, все это можно сделать самому »
достаточно прочитать услуги интернет провайдеров и делать всё самому. Ан нет, нужно получать лицензию на телематические услуги. Думаю в ИБ ещё по хлеще...

так. стоп флейм. ТС задал конкретные вопросы. Пишите по теме, если что есть ответить.
HTTP-трафик к сторонним серверам вы никак не защитите, this is by design. »
HTTP трафик к сторонним серверам можно просто закрыть.
А к нужным серверам открыть, как вы любите говорить, только в случае обоснованной необходимости, и только при использовании HTTPS.

233й, опишите свою сеть и место работы более точно (не надо только никаких специфичных названий, позволяющих вычислить контору :) ), что-то типа:

- Госконтора какого типа и какого типа информация обрабатывается в данной сети.
- Находится в одном/двух/трёх/... зданиях.
- Одно/два/три здания находятся на контролируемой территории (т.е. обнесённой забором и с контролируемым входом/выходом).
- На территории конторы также располагаются/не располагаются другие организации/здания.
- Если зданий несколько - каким образом построено соединение между ними.
- Если здание одно, то все ли сетевые коммуникации находятся внутри контролируемого пространства?
- Сетевые устройства и коммуникации физически защищены как-то от несанкционированного доступа к ним?
- и ещё десятки различных вопросов...

Вы вообще специалист какого отдела и какой квалификацией обладаете?

233й, опишите свою сеть и место работы более точно (не надо только никаких специфичных названий, позволяющих вычислить контору ), что-то типа:
- Госконтора какого типа и какого типа информация обрабатывается в данной сети.
- Находится в одном/двух/трёх/... зданиях.
- Одно/два/три здания находятся на контролируемой территории (т.е. обнесённой забором и с контролируемым входом/выходом).
- На территории конторы также располагаются/не располагаются другие организации/здания.
- Если зданий несколько - каким образом построено соединение между ними.
- Если здание одно, то все ли сетевые коммуникации находятся внутри контролируемого пространства?
- Сетевые устройства и коммуникации физически защищены как-то от несанкционированного доступа к ним?
- и ещё десятки различных вопросов...
Вы вообще специалист какого отдела и какой квалификацией обладаете? »

Производственное предприятие в оборонной сфере. В сети как я писал выше служебная инфа. Бухгалтерская отчётность, диспетчерские планы, технологические чертежи и данные, внутренняя почта и т.д То-есть есть инфа не такая чтобы секретная, но и выток её не желателен.
Одно здание, 4 этажа. На контролируемой территории, но на территории есть другие предприятия, в том числе и частные. В здании "наших" только 3 этажа. Все коммуникации внутри этих 3х этажей. Сетевые устройства защищены, провода нет. Я являюсь спецом it отдела, в "единичном" экземпляре. Квалификация средняя, занимаюсь этим без фанатизма. Какие-то сложные вещи может и не потяну, в таком случае возможно привлечении спецов со стороны, хотелось бы самому представлять какие сервисы нужны,а не полагаться на кого-то. Я узнавал у сотрудников похожих предприятий как они с этим справляются, или как они это представляют. Никто не смогу ничего вразумительного ответить. Все ссылаются на то что в локалке такой гемор себе никто обычно придумывает.

1.Отсутствие защиты от несанкционированного доступа
2.Отсутствие обнаружения смены потока данных
3.Отсутствие обнаружения искажения данных »
вспомнил. нам Positive Technologies ещё указали как можно защитится от разных найденных угроз. А вам? неужели не дали никаких рекомендаций?

ALL..

человек ждет конкретных советов и не намерен читать ваши разборки на тему кто круче знает ИТ безопасноть - разборки решайте в РМ!
Кто в теме продолжит флудить - отправится в бан.

233й, Если хотите сами представлять то сходите на курсы по безопасности или хотя бы послушайте онлайн.
Наверно меня сейчас за этот совет в бан отправят :)

233й, а отдела Информационной Безопасности или Режимно-Секретного Отдела (Первый отдел) у вас на предприятии нет? Если нет - грустно и печально, так как по сути это их работа, а не ваша. Наверняка в том же перечне замечаний есть пункт о создании модели угроз, оценка рисков, классификация автоматизированных и информационных систем - если это так, то вам надо ставить вопрос о привлечении подрядной организации, которая сможет всё это сделать для вас (и даже возможно за разумные деньги).

Если подходить к сути вопроса - у вас в сети есть информация, являющаяся хоть и не гостайной, но тем не менее конфиденциальной (а также коммерческой тайной). Так как вы госконтора на вас распространяются кроме основных законодательных актов РФ отраслевые положения и стандарты. Так как у вас информация о сотрудниках наверняка хранится и обрабатывается в том числе и на компьютерах, то значит и положения об персональных данных также требуют от вас соблюдения. Чтобы во всём этом разобраться самостоятельно - надо сначала детально изучить множество законов, стандартов и других нормативных документов (часть из них наверняка будет с грифом ДСП и если их нет в вашем Первом отделе - придётся заказывать их копии), после чего разобраться как они друг с другом стыкуются (а стыкуются они очень сложно, вызывая огромную кучу вопросов и нюансов). Переварив всё это надо будет понять, что конкретно требуется от вас и какова будет зона вашей ответственности (и нагрузка) после того как вы всё это сделаете. Если я правильно понял, то от вас требуют привести вашу ЛВС в предаттестационное состояние. Т.е. у вас должен быть подготовлен полный пакет документов, описывающий и регламентирующий работу вашей сети, классифицирующий информацию, обрабатываемую в ней, описывающий модели угроз, оценку имеющихся рисков, описывающий то как вы и что защищаете, и если не защищаете, то по каким причинам. Это была только административная часть - то есть работа в основном с людьми и бумагами.

Затем вам придётся на основании подготовленных документов и изученных стандартов переделать вашу сеть в то что должно быть - при этом наверняка многим это не понравится и отсутствие у вас административного ресурса приведёт к тому, что работать всё будет по старому или по новому, но с нарушениями вами же регламентов. Сюда же будет входить приобретение/замена/унификация/обновление программ, компьютеров, сетевого оборудования, серверов, сервисов и т.п. В дальнейшем на вас также ляжет постоянное документирование изменений состояния вашей системы.

P.S. Если вам оно действительно надо и интересно - определите какая информация (наивысший её гриф) обрабатывается в вашей сети, после чего ищите специализированные курсы (там разжёвывают закон и дают азы для самостоятельной работы) и учитесь-учитесь-учитесь. Если же вам это не надо и нести ответственность за всё это вы не хотите - поставьте перед руководством вопрос о привлечении подрядных организаций - та же Positive Technologies запросто вам подготовит всё от А до Я (но за приличные деньги). После чего убедитесь, что вы там не прописаны как самый крайний ))) и продолжайте заниматься своими делами. Есть огромная доля вероятности того, что следующая проверка удовольствуется готовым пакетом документов и работами, выполненными подрядной организацией.

xoxmodav, спасибо за развёрнутый ответ!
Режимный отдел у нас есть, и моя должность полностью этому отделу подконтрольна. Есть спец оборудование которое используется чисто для обработки секретной информации. Оно никак в сеть не завязано. Персональные данные мы сами не обрабатываем, всего лишь по старинке их оформляем на бумаге и передаем в общую структуру управления компании. Конфиденциальная информация бывает разной, и не всегда по законам подлежит защите. Про коммерческую я вообще молчу. И если брать по модели угроз, то себестоимость вытока этой информации(что гуляет в локалке) и соответственно ущерба от этого будет получаться ниже чем стоимость обеспечения мер безопасности в том виде как они прописаны в законах. Моя позиция получилась по средине, с одной стороны есть невменяемые требования, с другой начальство ставит задачу "решить" и дать официальный ответ на верх. Речь не идёт о каких то стандартизированных принципах обеспечения защиты(модель угроз, разработка/внедрение ксзи, аттестация), а всего лишь в неких превентивных мерах, благодаря которым можно обеспечить необходимый минимум защиты который устроит вышестоящие органы. Кроме того не забывайте что это гос. структура и с финансами очень напряжено.

233й, госструктуры разные бывают и далеко не у всех проблемы с финансированием. Опять же - если у вас была проверка, которая не потребовала ничего из перечисленного мной (то что требуется по законодательству), а также весьма спокойно относится к соблюдению законодательства РФ, то лучше всего у них же и узнать - какие именно меры, настройки, оборудование и программы лучше всего применить, чтобы они устроили их в качестве исправления выявленных недостатков и зачли в случае последующих проверок.

233й, госструктуры разные бывают и далеко не у всех проблемы с финансированием. Опять же - если у вас была проверка, которая не потребовала ничего из перечисленного мной (то что требуется по законодательству), а также весьма спокойно относится к соблюдению законодательства РФ, то лучше всего у них же и узнать - какие именно меры, настройки, оборудование и программы лучше всего применить, чтобы они устроили их в качестве исправления выявленных недостатков и зачли в случае последующих проверок. »

Наверное так и придётся сделать.