А@
Имеет ли БИОС отношение к ИС? О каких пользователях БИОС идёт речь? По сути там одна неперсонифицированная учётка не имеющая отношения к ИС, которую и учёткой трудно назвать. Требования к длине пароля, символам пароля предъявить нельзя.
Size: a a a
2021 March 22
AK
То есть вы не регламентируете в ИС доступ к настройкам БИОС?
А@
Alexander Korb
То есть вы не регламентируете в ИС доступ к настройкам БИОС?
Я ищу требования регуляторов к этим регламентированиям
un
Я ищу требования регуляторов к этим регламентированиям
Автоматизированные системы.
Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации
Не подходит?
Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации
Не подходит?
А@
Подходит. Какой пункт?
@
Случайно, простите!
NY
Было же это в госте, про пароли на настройки Биос
RR
мы запустили очередную пентест-лабораторию Test lab, присоединяйтесь, это бесплатно https://habr.com/ru/post/544206/
СС
Странный вопрос задали. Есть ли в нормативке по ИБ требования к паролям на BIOS? Навскидку в приказах ФСТЭК, ГОСТ 57580 и т.п. про BIOS явно ничего не пишется. Требования к учётным записям и паролям пишут для уровней ОС, приложений и т.п.
ГОСТ 57580, см РД.16
А@
ГОСТ 57580, см РД.16
Это тоже не про требования к паролям. И только на АРМ пользователей.
СС
Это тоже не про требования к паролям. И только на АРМ пользователей.
Требование к наличию пароля. К сложности требований нет, определяете самостоятельно, можете погуглить руководства а-ля cis benchmarks, возможно что-то есть по безопасной настройке. То, что только на АРМ - согласен, странно
А@
Требование к наличию пароля. К сложности требований нет, определяете самостоятельно, можете погуглить руководства а-ля cis benchmarks, возможно что-то есть по безопасной настройке. То, что только на АРМ - согласен, странно
Руководства "вероятного противника"? 😉
СС
Руководства "вероятного противника"? 😉
Ясно. Ну ок, сами тогда придумывайте)
А@
Так там особо не придумаешь. От версии биоса всё зависит.
2021 March 23
АБ
Руководства "вероятного противника"? 😉
С учетом рекомендаций ФСТЭК в рамках моделирования угроз использовать документы вероятных противников, нет ничего странного использовать их же требования к паролю на БИОС.
AK
Я ищу требования регуляторов к этим регламентированиям
А кажется, что наоборот - пытаетесь вывести БИОС из множества паролей, доступных в ИС
А@
Alexander Korb
А кажется, что наоборот - пытаетесь вывести БИОС из множества паролей, доступных в ИС
Возможно. В моей, неправильной картине мира ПО БИОС, прошивки контроллеров, всяческие фирмваре не входили в состав ПО ИС. Поэтому учётные записи администраторов и пользователей я рассматривал начиная с уровня системного ПО. На этом уровне и требования к паролям пользователей искал. Если мы включаем всё ПО железа в состав ПО ИС, то и остальные требования по целостности ПО и т.п. нужно на него распространять видимо. Примем к сведению...
AK
Ну, кроме биосов, еще много всего вкусного может оказаться в ИС. Циски например, а там тоже пароли.
N
Alexander Korb
Ну, кроме биосов, еще много всего вкусного может оказаться в ИС. Циски например, а там тоже пароли.
Оргтехника, ip камеры, поточные сканеры, интерфейсы управления серверного оборудования, схд, nas, )) и там пароли
2021 March 24
N.
Народ привет. Пишу док по корпоративной почте. Подскажите плис какие обязанности должен выполнять ибэшник ?( кроме как работа с инцидента ничего найти не могу (