Задать вопрос
kumaxim

Максим Кудрявцев

Web-программист
Ответы пользователя по тегу Информационная безопасность

  • Как обезопасить свой бекенд от разработчиков?

    kumaxim
    @kumaxim
    Web-программист
    Тебе нужно сделать так, чтобы у твоего человека не было мотивации тебя подставить.
    Ответ написан
    2 комментария
    2 комментария

  • Нужно ли профильное образование для работы в сфере информационной безопасности?

    kumaxim
    @kumaxim
    Web-программист
    Профильное высшее по ИБ тебе нужно только в случае, если собираешься касаться гос.тайны. Это одно из условий, но либо просто на допуск от 2 уровня и выше(компания уже аккредитована ФСБ по гос.тайне), либо на получении аккредитации твой компанией. Точно не помню.

    Если мы говорим не за гос.тайну - тогда наличие профильного высшего, скорее, хотелка работодателя, чем формальное требование нормативных документов. В этом случае тут на усмотрение твоего будущего руководителя.
    Ответ написан
    1 комментарий
    1 комментарий

  • Какая программа менеджмента паролей подойдет для совместной роботы в IT отделе?

    kumaxim
    @kumaxim
    Web-программист
    Смотрите Vault или KeeWeb

    Однако, это больше менеджеры личных паролей. Домен и управление правами доступа никто при этом не отменяет.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как добиться полного удаления конфиденциальных данных оператором сотовой связи?

    kumaxim
    @kumaxim
    Web-программист
    1.Открывайте Word и пишите письмо оператору, мол я требую прекратить дальнейшую обработку моих персональных данных.
    2.Находите в сети адрес центрального офиса Вашего оператора в том субъекте федерации, где Вы с ним заключали договор
    3.Идете на почту, заполняйте опись вложения, уведомление о вручении и данные на конверте. ВАЖНО! Письмо отправить именно с описью и уведомлением.
    4.Почтовую квитанцию, опись и уведомление о вручении обязательно сохранить.

    Если после этого всех описанных выше действий Вы получайте от оператора какую-то информацию, которая позволяет Вам полагать, что он обработку Ваших персональных данных не прекратил, тогда пишите жалобу в РосКомНадзор. Именно это ведомство занимается вопросами персональных данных в нашей стране. Они обязаны будут провести разбирательство по Вашему обращению и уведомить Вас о результатах. К обращению в эту структуру, разумеется, прикладывайте копии Вашего уведомления, почтовой квитанции, описи и уведомления о вручении с письма.
    Если РосКомНадзор на Ваше обращение никак не реагирует, только тогда Вам есть смысл обращаться в прокуратуру, которая заставит РосКомНадзор работать.
    Ответ написан
    Комментировать
    Комментировать

  • Где описаны стандарты безопасности в веб-приложениях?

    kumaxim
    @kumaxim
    Web-программист
    Первое - смотрите нормативные документы ЦБ. Прямо открывайте сайт cbr.ru(что нашел за 5 минут поиска).
    Далее, многострадальный 152-ФЗ "О персональных данных"
    Также не забываем про РД СВТ и РД АС(если писать код будите)

    PСI DSS - стандарт платежных систем Visa/MasterCard. Если у Вас банк с карточками не работает(например Вы только с расчетными счетами юр.лиц работаете), то он Вам не нужен.
    Ответ написан
    Комментировать
    Комментировать

  • Как происходит слежка в интернете за человеком?

    kumaxim
    @kumaxim
    Web-программист
    Весь трафик сети каждый провайдер собирает внутри своей СОРМ и хранит в течении 12 часов(могу ошибаться). По запросу компетентных органов, провайдер этот самый СОРМ может переключить на хранение чисто Вашего трафика на неограниченно большой период времени.

    Есть еще разные варианты с троянами, скрытыми readmin и т.д. Кстати удаленная блокировка ПК своей ненаглядной, отличный повод встретиться с ней и приятно провести время :-)

    Вообще к системам слежения можно отнести даже программы типа rescueTime, MorivationClock и т.д., потому что они тоже отслеживают Вашу активность, но у них абсолютно иная цель
    Ответ написан
    6 комментариев
    6 комментариев

  • Где взять шаблон ТЗ ИБ для CRM b2c?

    kumaxim
    @kumaxim
    Web-программист
    Любое техническое задание, в первую очередь, пишется на основе требований заказчика и здравого смысла исполнителя.

    Про защиту информации в целом есть ряд руководящих документов(сайт ФСТЭК). Если конкретно для CRM, то в первую очередь смотрим РД "СВТ" и РД "АС".

    Далее есть постановление правительства РФ №1119 и уже упомянутый тут 21 приказ ФСТЭК

    Документы из первой серии рассказывают как надо писать систему под требования безопасности, т.е. какой конкретно функционал должен быть реализован там, каким математическим моделям он должен соответствовать и т.д. Документы второй серии говорят чем именно нужно докомплектовать твою систему, чтобы она была безопасной.

    В случае с твой CRM, ее саму ты напишешь, опираясь на РД. Но вот писать самому ОС, СУБД, межсетевых экранов и прочие компоненты - бессмысленно, на рынке куча готовых решений. Так вот, что именно должны поддерживать ОС, СУБД, FireWall и т.д. это уже описывает 21 приказ.
    Ответ написан
    Комментировать
    Комментировать

  • Как зашифровать интернет канал?

    kumaxim
    @kumaxim
    Web-программист
    Некогда работал с програмно-аппаратным комплектом VipNet. Так вот, есть у них там железки HW100/HW1000. По сути это маршрутизаторы, только с продвинутой поддержкой VPN и сертифицированы по российским стандартам. Так вот, эта самая железка позволяет создавать полутунели, т.е. твоя ЛВС => "открытый трафик" => HW100 => "шифрованый трафик" => сервер в ДЦ.

    Плюс - не надо разворачивать VPN-клиенты на локальный ПК в офисах, что я как понимаю Вы и хотите избежать.

    Детали реализации не подскажу, т.к. работал я с этими решениями года 3-4 назад, но ключевое слово для общения с тех.поддержкой/гуглом - "Полутунель"
    Ответ написан
    2 комментария
    2 комментария

  • Можно ли скрыть файл на ftp для определнных пользователей?

    kumaxim
    @kumaxim
    Web-программист
    Для виртуального хостинга единственный вариант "сокрытия" файла - его шифрование, т.е. закройте нужный Вам файл ionCube или Zend Encoder.

    Если бы был доступ к консоли, т.е. минимум VDS, можно было бы с правами чуть пошаманить, но раз его нет, описывать этот способ не буду.

    UPD:
    Для начала напишите в поддержку Вашего хостинг-провайдера и спросите стоит ли у них на хостинге ionCude(или Zend) Loader. Суть этого шифрования - кодирование текстового скрипта в байт-код, т.е. открывая файл в текстовом редакторе Вы будите видеть какой-то бессмысленный набор символов, однако для PHP это будет по прежнему осмысленный код. Википедия про Zend на этот счет говорит:

    Zend Guard — позволяет закодировать скрипт в байт-код, который потом можно использовать точно также как и обычный, за исключением возможности его отредактировать. Предназначено для защиты интересов и интеллектуальной собственности разработчика. Для работы таких скриптов обязательно нужен Zend Optimizer


    ionCude делает примерно тоже самое. К вопросу что лучше?! Я сам больше симпотизирую Zend, т.к. некогда достаточно активно работал с их инструментами. ionCude не могу сказать лучше или хуже, потому что с ним почти не сталкивался.
    В сети ZendEncoder давно уже на торрентах лежит, однако у ionCube на сайте я видел форму онлайн-шифрования. Так что решай сам что тебе больше нравится. Оба решения с поставленной тобой задачей справятся.
    Ответ написан
    3 комментария
    3 комментария

  • Какие методы противодействия Ddos атакам существуют, что вообще есть по теме полезного?

    kumaxim
    @kumaxim
    Web-программист
    Значит так, господин философ, примитивная защита реализуется на уровне сервера примерно так:
    1)Ставим nginx как бэк-энд apache. Первый у нас будет отдавать юзерам статику, второй - обрабатывать динамику
    2)Под атакой для всех юзеров, которые нас посещают, пытаемся установить javascript'ом свой cookie. Если получается - перед нами человек, нет - бот, который идет в топку
    3)Далее фильтр по белому списку стран. Если у тебя 90% посетителей из РФ - руби остальные страны нафиг.

    Это не сильно затратные меры, по цене протиподействия где-то около 100 баксов опытному админу за настройку.

    Отдельно могу посоветовать посмотреть свой код, может быть где-то можно усилить кэширование, где-то оптимизировать вычисления(для самописных сайтов).

    Далее, если ДДоС предыдущими средствами зарезать не удалось, подключай CDN. Из популярных нынче могу рекомендовать CloudFlare. Есть бесплатный тариф. Если мало - смотри в сторону Amazon S3. Из российских есть от reg.ru Jelastic. Можешь тоже посмотреть, но вопрос про ДДоС советую в тех.поддержку задать отдельно.

    Если ты нарвался на атаку, от которой тебя не спасает даже CDN, значит ты сотрудник правительства РФ, а таких на тостере, лично я, не консультирую.
    Ответ написан
    1 комментарий
    1 комментарий

  • Кто занимался информационной безопасностью?

    kumaxim
    @kumaxim
    Web-программист
    Я хз в какую ты там контору устроился, которая даже ПИШЕТ КОД!!!!
    Я сам учился 5 лет на ИБ, работал около 1.5 лет по специальности. В РФ ИБ по большей части сводится к защите персональных данных, т.к. 152-ФЗ обязал защищать ПДн всех.
    Здесь ситуация такая: есть ряд документов от регуляторов + список сертифицированного ПО. Ты по нормативным документам определяешь класс системы, смотришь какие угрозы из перечня для тебя актуальны и под них покупаешь ПО из списка. Настройка делается по инструкции, там ничего сложного.
    На этом заканчивалось 90% моей работы.
    На остальные 10% приходилось копаться с настройках общесерверного ПО(типа IIS и т.д.).
    Ответ написан
    2 комментария
    2 комментария