Обзор нормативной документации по защите информации

Для обеспечения безопасности информации в современном мире необходимо реализовать множество мер защиты и, к сожалению, не только технических. Организационная часть занимает все больше времени и сил, и мы плачем над этим, но продолжаем жрать кактус.

Читать далее «Обзор нормативной документации по защите информации»

Развлекаемся с Postgres 11 на AstraLinux

Для начала создадим папку, в которую качаем необходимые пакеты. Может занять некоторое время, минут 5.

mkdir -p /opt/distr/postgres
cd /opt/distr/postgres
wget -r --no-parent --no-check-certificate https://repo.postgrespro.ru/pgpro-11/astra-smolensk/1.6/

Качаем ключ репозитория.
wget --no-check-certificate https://repo.postgrespro.ru/pgpro-11/keys/GPG-KEY-POSTGRESPRO

Читать далее «Развлекаемся с Postgres 11 на AstraLinux»

Чек-лист по планированию защищенности

Запрет несанкционированной модификации защищаемой информации. Ограничение доступа в помещения, в которых располагаются ОТСС. Списки допущенных в помещения (можем оставить только на серверную инфраструктуру). Приказ о КЗ (только если его еще нет в организации?). Организация контролируемой зоны и пропускного режима. Как сейчас вообще реализована физзащита, в т.ч. и в лаборатории? Перечень разрешенного к использованию ПО. Инструкция пользователя в части прав, обязанностей и ответственности пользователя. Матрица доступа. Регламент предоставления доступа к ресурсам и ИС. Листы ознакомления и приказ(ы) о вводе в действие вышеперечисленных документов. Технические меры: 1. Разграничение прав доступа (ад или срзи от нсд на файловом сервере), в т.ч. к системным папкам и файлам. 2. Запрет на установку не входящего в перечень разрешенного ПО. 3. Запрет на установку ПО для пользователей. 179 ФЗ. – Запрет удаленного запуска вредоносного кода в обход механизмов защиты операционной системы. Перечень разрешенного к использованию ПО. Инструкция пользователя в части прав, обязанностей и ответственности пользователя. Положение по ИБ в части запрета на использование средств разработки на ОТСС, на которых ведется обработка защищаемой информации. Листы ознакомления и приказ(ы) о вводе в действие вышеперечисленных документов. Технологическая инструкция по настройке АВЗ. Регламент управления уязвимостями с разделами о порядке проведения сканирования на уязвимости, тестирования обновлений и устранения уязвимостей. Технические меры. Средства анализа защищенности (задание на анализ защищенности с периодичностью 3 месяца, рекомендации НКЦКИ и возможно 250 приказ если задают другую периодичность – использовать) – это для всех АРМ и серверов, т.е. их надо включить в задачу по сканированию. Касперский: написать как называются конкретные настройки (нам нужна антивирусная проверка, какая-то штука в касперском которая блокирует небезопасные сетевые подключения, и там вроде было что-то типа превентивной защиты, вдруг это подходит). Это на всех АРМ и серверах (в идеале, если куда-то не получится – пишем куда получилось). Отключение Powershell и cmd на АРМ пользователей. 195 ФЗ. – Защита от утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика. 193 ФЗ. Технологическая инструкция по настройке АВЗ (штука по сетевым атакам, проверка ВПО, обновление в режиме близком к реальному времени). Тут кстати есть прикол, что для сервера АВЗ понадобится выход в интернет для обновления баз, но этим сейчас заниматься не надо. Правила межсетевого экранирования. Технические меры. Могу только предполагать. DLP для хостов и почтового сервера. САВЗ на всех ОТСС в идеале (включена сетевая штука, сама защита, обновление). 193 ФЗ. – Запрет несвоевременного выявления и реагирования компонентами ИС (в том числе средствами защиты информации) на события безопасности информации. 214 ФЗ

Средства Windows AD, которые помогут повысить безопасность

Есть ряд параметров, которые необходимо установить в AD для обеспечения безопасности в организации:

траблшутинг доступ

./путь до консула – запустить вручную

Читать далее «Средства Windows AD, которые помогут повысить безопасность»

Как ввести Astra Linux в домен

Системные – Менеджер пакетов Synaptic
1. Настраиваем репозиторий.
Настройки -> Репозитории.
Отключаем первый репозиторий (он ссылается на диск), подключаем все остальные.
2. Устанавливаем пакеты:
Поиск: fly-admin-ad-client
Ставим галку, жмем применить, жмем применить на верхней панели.
Profit!

Alt+F2, набираем fly-admin-ad-client, появляется интерфейс, вводим в домен.

Дорожная карта по обеспечению безопасности критических объектов

На основании имеющегося у автора опыта и знаний привожу перечень действий и документов для объектов критических информационных инфраструктур (КИИ):

  1. Принятие решения о наличии объекта (объектов) КИИ.
  2. Создание постоянно действующей комиссии по категорированию.

Читать далее «Дорожная карта по обеспечению безопасности критических объектов»

Гайд по разработке ОРД для вашей компании

Неполный перечень организационно-распорядительной документации, которая должна быть у вас в наличии:

  1. Приказ о контролируемой зоне
  2. Инструкция о пропускном режиме
  3. План мероприятий по обеспечению защиты информации (наличие разделов по проведению контроля за обеспечением уровня защиты информации и информированию и обучению работников)

Читать далее «Гайд по разработке ОРД для вашей компании»

Обновление кластера Postgre

ERROR: The default postgresql version is not 12 required by libgvmd

Посмотрим, какие кластеры у нас есть:

sudo pg_lsclusters

У меня их сейчас 2. Новый кластер, который был создан автоматически, мы удалим:

sudo pg_dropcluster --stop 12 main

Обновляем старый кластер:

sudo pg_upgradecluster -v 12 11 main

Удаляем старый кластер:

sudo pg_dropcluster 11 main

При желании\необходимсоти удаляем старую версию PostgreSQL:

apt-get remove postgresql-11

Создание локального репозитория в Astra Linux

Полагаю, что это подходит для очень многих Linux-дистрибутивов. Но до появления Астры в моей жизни локальные репозитории были просто не нужны.

1. Зачем мне локальный репозиторий?

Затем что у меня на машине нет интернета. И не предвидится. И во всей сети нет интернета. Поэтому

2. Из чего делать репозиторий?

Из установочного образа. Или выкачать репозиторий из интернета и притащить на компьютер без интернета на внешнем носителе (осторожно, где-то 25-30 Гб). Качаем:

~$ wget -r --no-check-certificate https://dl.astralinux.ru/astra/frozen/orel-2.12/2.12.14/repository/

Адрес для примера. Список актуальных репозиториев на официальной викистраничке Астры.

3. Размещаем репозиторий.

Создадим каталог /opt/repo.

~$ sudo mkdir /opt/repo

В этот каталог нужно поместить скачанные из репозитория каталоги conf, db, dists и pool.
Теперь надо отредактировать /etc/apt/sources.list. Если на машине нет интернета (а его нет), закомментируем первую строку, во вторую пишем следующее:

deb file:/opt/repo/ orel main contrib non-free

Сохранить. Выполнить

~$ sudo apt update

Если хочется сделать репозиторий доступным по локальной сети, устанавливаем http-сервер (apache), минимально настраиваем на чтение из каталога /opt/repo.
Запись в sources.list на машинах, которые мы подключаем к созданному таким образом http-репозиторию будет выглядеть примерно так:

deb http://ip-address_or_domain-name/repo/ orel main contrib non-free