С чего начинается информационная безопасность?

Каждый руководитель организации в своё время сталкивается с вопросом о защите информации. И возникает закономерный вопрос с чего начать?

И тут нужно выбрать один из вариантов решения:

Вариант №1 – прочитать / перелопатить кучу литературы, сайтов по ИБ

Вариант №2 – обратиться к другу, который возможно разбирается в этом

Вариант №3 – нанять стороннюю организацию для выполнения работ по ИБ

В ходе кропотливого выбора, с учётом нашего менталитета, мы выбираем первые два варианта. И в итоге приходим к тому, что на защищаемый актив наворачивается куча никому не нужного решения. В лучшем случае, если это open source, в худшем – если потрачена огромная сумма денег на лицензии.  После чего, «якобы защищенный» сервис ели кряхтит.

С третьим вариантом ситуация не намного лучше, так как кажется на первый взгляд. Компаний предлагающих данный вид услуг огромное множество, однако понимание самого процесса обеспечение ИБ у большинства из них как такого нет.  И как следствие, эти горе безопасники начинают Вам впраривать готовые платные решения, не разбираясь в сути защищаемого актива.

Рассматривая подобные предложения на рынке, я зачастую сталкивался с не пониманием со стороны заказчика самого процесса ИБ и сроков его реализации.

И так,  что бы Вам стало более детально понятно,  опишу основные этапы построения цикличного процесса ИБ в любой организации или на отдельно взятом сервисе:

step_1

Обращаю внимание, что процесс ИБ который Вы выстраиваете должен быть цикличным и предусматривать проведение итераций по вновь создаваемым, либо изменяемым бизнес – процессам.

Этап №1

  • Создание опросников для выявления и идентификации:
    • бизнес-процессов и их владельцев;
    • активов, задействованных в бизнес-процессах
    • активов, создающихся в результате жизненного цикла бизнес-процессов.
  • Обработка заполненных опросников и прочей доступной информации о бизнес-процессах и активах;
  • Создание на их основе новых опросников, с целью:
    • определения категории активов, на предмет их критичности и влияния на бизнес, в случае нарушения определенных свойств активов;
    • идентификации информационных систем участвующих в обработке, хранении и передаче активов.
  • Обработка данных по активам, сбор дополнительной информации, с целью:
    • идентификации основных ролей в информационных системах;
    • определения возможности удаленного доступа к активам;
    • определения основных протоколов доступа к информационным системам;
    • идентификации основных компонентов информационных систем.
  • Обработка имеющихся данных:
    • согласование с бизнес — подразделением перечня актуальных угроз (семейств угроз);
    • моделирование вероятности наступления актуальных угроз;
    • определение величины ущерба, в случае реализации угроз.
  • Классификация идентифицированных активов и оценка рисков.

Этап №2

  • Формирование модели угроз

Исполняя данный этап, необходимо принимать во внимание все возможные вектора атак на различных уровнях, а так же модели предполагаемого нарушителя.

Этап №3

  • Анализ достаточности существующих мер защиты

На основании сформированной модели угроз — проводится анализ имеющихся информационных систем защиты информации и сил для обеспечения данного процесса.

Этап №4

  • Разработка/актуализация дополнительных организационно — технических мер защиты

На основании сформированной модели угроз, с учётом произведенного анализа существующих средств защиты информации:

  1. Приводятся рекомендации по применению дополнительных организационных мер (разработка/изменение политик, порядков, инструкций, приказов и проч.);
  2. Разрабатываются рекомендации по внедрению изменений в существующие системы защиты;
  3. Разрабатывается и согласуется с бизнес — подразделением модель оценки эффективности и окупаемости внедрения новых средств защиты (ROI, TCO, Payback Period);
  4. Приводятся рекомендации по внедрению новых систем защиты.

 

Multi-Server Certificates

Неоднократные запросы побудили меня подготовить и опубликовать эту статью по генерации сертификатов для веб сайтов.

И так, если вы используете различные DNS name к примеру:

msi.example.com

doc.example.com

www.example.com

Необходимо внести изменения в конфигурационный файл openssl.cnf

[root@pdc-tst-app-1 ~]# locate openssl.cnf

/etc/pki/tls/openssl.cnf

[root@pdc-tst-app-1 ~]# nano /etc/pki/tls/openssl.cnf

Переходим в нужные разделы и вносим следующие изменения

# first find the [CA_Default] section

[CA_Default]

….

# uncomment or add

copy_extensions = copy

multi_ssl

# this causes the ca function to copy the extension fields

# from the CSR and should be done on the host which handles

# the CSRs to create the certificates

# now find [v3_req] section

[ v3_req ]

# Extensions to add to a certificate request

 

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

 

subjectAltName = «DNS:msi.example.com,DNS:doc.example.com,DNS:www.example.com»

multi_ssl_2

Вариант

subjectAltName = «DNS:*.example.com»

тоже возможен.

Теперь вы можете сгенерировать запрос Certificate Signing Request (CSR) и подписать его удостоверяющим или корневым центром сертификации.

 

Method 2

Аналогичным образом изменяем настройки конфигурационного файла openssl.cnf:

# find the [req] section

[req]

….

# add or uncomment

req_extensions = v3_req

 

####################################################################

[ req ]

default_bits            = 2048

default_md              = sha1

default_keyfile         = privkey.pem

distinguished_name      = req_distinguished_name

attributes              = req_attributes

x509_extensions = v3_ca # The extentions to add to the self signed cert

 

# Passwords for private keys if not present they will be prompted for

# input_password = secret

# output_password = secret

 

# This sets a mask for permitted string types. There are several options.

# default: PrintableString, T61String, BMPString.

# pkix   : PrintableString, BMPString (PKIX recommendation before 2004)

# utf8only: only UTF8Strings (PKIX recommendation after 2004).

# nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).

# MASK:XXXX a literal mask value.

# WARNING: ancient versions of Netscape crash on BMPStrings or UTF8Strings.

string_mask = utf8only

 

req_extensions = v3_req # The extensions to add to a certificate request

multi_ssl_3

Это позволит вам добавить все расширения в каждый запрос с обязательным использованием ключа -reqexts «v3_req»

Полагаю, создание сертификата для нескольких DNS имен задача не сложная.

Сконфигурировав файл предлагаю перечень команд для быстрого создания сертификатов для веб сервера

openssl req -nodes -new -newkey rsa:2048 -keyout /ca/req/<pdc-tst-aut.pcptst>.pem -out /ca/req/<pdc-tst-aut.pcptst>.pem -reqexts «v3_req»

 

Проверка работоспособности сертификата на сайте

openssl s_client -showcerts -state -CAfile /ca/pdc/<pdc-tst-aut.pcptst>.crt

openssl s_client -connect localhost:636 -showcerts -state -CAfile /ca/pdc/<pdc-tst-aut.pcptst>.crt