Необходимое или достаточное условие? Применяем комплаенс от Регулятора

Необходимое или достаточное условие? Применяем комплаенс от Регулятора

Для экспертного сообщества не остался незамеченным выход в конце 2022 года Методического документа ФСТЭК России «Рекомендации по безопасной настройке операционных систем Linux», областью применения которого обозначены несертифицированные по требованиям безопасности информации ОС Linux (в том числе иностранной разработки), применяемые в государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации.

Без внимания не оставила эти Рекомендации и компания АЛТЭКС-СОФТ - разработчик сертифицированного средства анализа защищенности RedCheck, оперативно добавившая этот комплаенс в библиотеку конфигураций безопасности, поставляемую в составе сканера.

Документ содержит предельно чёткие и понятные настройки для обеспечения минимально допустимого уровня безопасности, удовлетворяющего требованиям Регулятора к защищённым ИС. Настройки сгруппированы по следующим разделам:

  • настройка авторизации в операционной системе;
  • ограничение механизмов получения привилегий;
  • настройка прав доступа к объектам файловой системы;
  • настройка механизмов защиты ядра Linux;
  • уменьшение периметра атаки ядра Linux;
  • настройка средств защиты пользовательского пространства со стороны ядра Linux.

Однако, администраторы ИБ или пользователи специализированных сканеров безопасности с функцией Compliance (аудит конфигураций), заметят, что количество контролируемых параметров в конфигурации Регулятора меньше, чем в комлаенсах от вендоров ОС или экспертных организаций, например, CIS Benchmarks. При этом конфигурация универсальна, её применение возможно на любой ОС Linux, включая устаревшие дистрибутивы.

Так в итоге, какой комплаенс применять если вам необходимо обеспечить безопасное и легитимное функционирование несертифицированных ОС Linux - комплаенс от ФСТЭК России или конфигурацию параметров безопасности для конкретных ОС Linux? Ответ специалистов АЛТЭКС-СОФТ – в первую очередь конфигурацию по рекомендации Регулятора, во вторую, конфигурацию безопасности для конкретной ОС. И в этом нет никаких противоречий или избыточности. Дело в том, что конфигурации безопасности, учитывают уникальные настройки каждого семейства операционных систем и благодаря этому отлично дополняют базовые параметры безопасности, приведенные в Рекомендациях.

Поэтому, если у вас есть сканер безопасности RedCheck или альтернативное средство, осуществляйте контроль настроек в два этапа:

  1. Сначала проведите проверку на соответствие Методическому документу ФСТЭК России. Универсальность этой конфигурации позволит вам оценить базовые настройки безопасности Linux в рамках одной задачи, охватив контролируемые хосты максимально широко.
  2. Убедившись, что ваши контролируемые активы с Linux ОС, соответствуют требованиям документа ФСТЭК России, произведите оценку соответствия специализированной конфигурации из числа предложенных сканером для соответствующей ОС.

Периодичность контроля на соответствие Рекомендациям в виду критичности параметров должна быть чаще, чем периодичность расширенных комплаенс-проверок.

Таким образом, предложенная в методическом документе конфигурация является минимально необходимой, но возможно недостаточной и для вашей системы требуется применение более широких конфигураций параметров безопасности. Помните, что за инциденты безопасности ответственность несёт оператор ИС!

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В России не хватает почти 30 тыс. специалистов по кибербезопасности

Исследование "Зарплаты.ру" и ИТ-школы Skillfactory показало, что российские компании сталкиваются с недостатком специалистов в области кибербезопасности. Почти 33 % компаний планирует нанимать таких ИБ-экспертов в третьем квартале 2023 года.

Как пишут «Известия», прошенные директоры наиболее заинтересованы в найме опытных спецов (34 %) или руководителей отделов (35 %). Только 17 % работодателей ищут специалистов высшего уровня («сеньоров»), в то время как лишь 14 % готовы принять новичков без опыта («джунов»).

О дефиците ИТ-кадров говорят уже давно. Например, такую ситуацию подтверждает Иван Самойленко, управляющий партнер коммуникационного агентства B&C Agency. По его словам, в России не хватает более ста тысяч человек в ИТ, А в сфере ИБ — почти 30 тысяч человек.

Ситуация на рынке напряжённая, отметил Самойленко. С одной стороны, количество киберугроз увеличивается, а с другой — мы имеем нехватку экспертов из-за переезда в другие страны.

Напомним, в сентябре прошлого года в Сбере также заявили, что в России не хватает десятков тысяч специалистов по ИБ. А в январе 2023-го рекрутинговые порталы отметили рост спроса на ИТ-специалистов в России.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru