А
Вряд ли оператор установит требования по аттестации для АРМ, используемом только лишь для ввода данных
Size: a a a
2019 July 29
АС
В общем я понял, надо запросить требования оператора, отсюда и плясать так я понимаю? Если есть требовария, аттестуем, если нет - то сами делаем оценку и все
Запросите, но если будут заставлять переаттестовывать запрашивайте причины и основания для этого.
Потому что объективных причин для ежегодной переаттестации нет (возможно ежегодный технический контроль, но не переаттестацию)
Потому что объективных причин для ежегодной переаттестации нет (возможно ежегодный технический контроль, но не переаттестацию)
AK
Лицензия к иб вообще отношения не имеет. Это не характеристика сзи, а вопрос соблюдения прав на по.
Э
Всем спасибо за помощь и разъяснения
АС
Alexander Korb
Лицензия к иб вообще отношения не имеет. Это не характеристика сзи, а вопрос соблюдения прав на по.
+
А
Alexander Korb
Лицензия к иб вообще отношения не имеет. Это не характеристика сзи, а вопрос соблюдения прав на по.
Если лицензия истекла, то можно считать, что СЗИ нет, а это напрямую влияет на ИБ)
AK
Отсутствие лицензии по-разному выражается. Криптопро, например, 3 месяца полностью работоспособно,
2019 July 31
l
Добрый день. Поделитесь, пожалуйста, мыслями по поводу угроз в случае, если учетные записи доменных пользователей входят в группу локальных администраторов. Хотел бы услышать Ваше мнение насколько это критично с точки зрения безопасности и возможно ли их решить с помощью, напр, СЗИ от НСД на рабочиз местах.
PK
Добрый день. Поделитесь, пожалуйста, мыслями по поводу угроз в случае, если учетные записи доменных пользователей входят в группу локальных администраторов. Хотел бы услышать Ваше мнение насколько это критично с точки зрения безопасности и возможно ли их решить с помощью, напр, СЗИ от НСД на рабочиз местах.
Лучше так не делать. Многие сзи от нсд работают только исходя из отсутствия у пользователя админских прав.
А
в правилах пользования СКЗИ тоже обычно пишут, что у пользователя должны быть минимально необходимые права
ВА
Добрый день. Поделитесь, пожалуйста, мыслями по поводу угроз в случае, если учетные записи доменных пользователей входят в группу локальных администраторов. Хотел бы услышать Ваше мнение насколько это критично с точки зрения безопасности и возможно ли их решить с помощью, напр, СЗИ от НСД на рабочиз местах.
Дак вроде best practices в ИБ -принцип предоставления минимальных прав
@
Тот самый случай, когда об удобстве и комфорте подумали и сделали, а про меры безопасности забыли
S
Добрый день. Поделитесь, пожалуйста, мыслями по поводу угроз в случае, если учетные записи доменных пользователей входят в группу локальных администраторов. Хотел бы услышать Ваше мнение насколько это критично с точки зрения безопасности и возможно ли их решить с помощью, напр, СЗИ от НСД на рабочиз местах.
Не совсем корректный вопрос, ИМХО. А как предлагается раздавать права локальных админов на ПК, например, в организации от 500 ПК и более? Кроме как через группы АД, это не делают. Другой вопрос, как формировать эти группы?
S
Тот самый случай, когда об удобстве и комфорте подумали и сделали, а про меры безопасности забыли
По большому счету, дело не в удобстве, а в бардаке, творящемся в УЦ, в том числе, в аккредитованных.
ВА
Не совсем корректный вопрос, ИМХО. А как предлагается раздавать права локальных админов на ПК, например, в организации от 500 ПК и более? Кроме как через группы АД, это не делают. Другой вопрос, как формировать эти группы?
А зачем вообще локальные админы нужны, когда есть доменные? И вообще какой смысл простого пользователя заносить в группу локальных админов? Чтобы он наставил кучу ПО не связанного с исполнением служебных обязанностей.
С
ЛОкальные админы нужны чтобы сисадмину не напрягаться
ВА
Локальный админ нужен для первоначальной настройки ПК после установки ОС, пока ПК еще не внесен в домен. А дальше все манипуляции производятся под учеткой доменного админа.
V
Локальный админ нужен для первоначальной настройки ПК после установки ОС, пока ПК еще не внесен в домен. А дальше все манипуляции производятся под учеткой доменного админа.
плохая затея так то на рабочих пк бросать токены доменных админов. есть групповые политики, через которые можно в локальные админы добавить доменную группу предназначенную для установки по и прочего на рабочие станции
V
как то однобоко получается. ИБ - принцип минимальности, но админ ленив и заходит с учетной доменного админа, чтобы поставить винзип на винду сотрудника, которая может не обновлялась уже 2 года и на 30% состоит из кейлоггеров и троянов
l
А зачем вообще локальные админы нужны, когда есть доменные? И вообще какой смысл простого пользователя заносить в группу локальных админов? Чтобы он наставил кучу ПО не связанного с исполнением служебных обязанностей.
Например, случай, когда предыдущие системные администраторы при добавлении компа в домен забывали убрать права локального администратора