как кто делал?
админы должны иметь возможность админить сервак, но при этом не должны уметь ничего изменить в учетках, под которыми 1С и скуль крутятся.
почему админы не могут тупо взять диски, скопировать их и гуляй вася - регламентированный доступ в серверную + видеонаблюдение

(27) ну это смотря какой админ и степень его ответственности

(28) это действенная мера, получаем на выходе людей, которые по идее не "хотят проблем". но почему никто не берет во внимание, что такого рода "правонарушение" может быть лишено улик тем же самым админом?..

(30) вспомнился петр первый с его переписывалтщиком тайных писем, который читать и писать не умел, перерисовывал письма. поступало и такое предложение, поиск и прием на работу сильно ограниченного человека... но это долго и не факт, что получится... после этих обсуждений по другому рассматриваешь скопление баранов в некоторых местах )

(33) Ну купите детектор лжи и проверяйте админа ежедневно.

(33) у вас параноя ?
если админ прошел проверки и что то нарушил есть несколько статей УК РФ, по которым нормальным админам не хочется отбывать срока и платить.
репутация, она дорого стоит

это ты наверно про Сноудена прочитал :):)

(36) строгость наказания не ограждает. огрождать должна неотвратимость. если нет компетентных лиц, которые смогут выявить факт незаконных действий, то как можно "поймать" сисадмина?

(35) не найти такого админа ) + обман детектора никто не отменял + стоимость спеца по работе с детектором + привыкание испытуемого + суммарная лень все системы с детектором (обоих участвующих)

(38) подбирать на такие должности людей надо, раз дрожите за свои нетленки, а не нанимат случайных эникейщиков

+ да, и вы не ответили на вопрос, почему вам надо доверять беззаговорочно и все, а админу нет?
вы лучше\чеснее\без греха или еще что то?

(41) (20)

Что-то я Сноудена вспомнил... политики сделали публичное заявление о необходимости сделать так, чтобы с секретной информацией люди вообще не работали, а компы сами всё делали... вот здесь то же самое ;0)

В банках, к слову, всё главным образом держится на чесности сотрудников.

Нифига не понял. Если не админы, то кто этим должен заниматься? Одинесник чтоли?

Проблема изменения данных решается электронной подписью.
То есть, если в базе хранятся подписанные данные, то изменить их без изменения подписи нельзя, а подпись на ключе пользователя.
Доступ к данным на чтение решается шифрованием - то есть данные как бы есть, а расшифровать их тот, кто имеет физический доступ к серверу не сможет.
Единственная проблема - которая никак не решается - удаление данных - если стёрли всё, что отражало какие-то данные, то никто и не узнает, что они были, но эта проблема решается репликацией серверов, когда к каждому имеет доступ свой админ.

(38) ок. кто и какими средствами будет ограждать сисадмина в пределах сферы его деятельности?

(47) регламенты по идее, выполняемые уже другими сотрудниками. просмотр "сценария" проведенной работы, аудиты доступов и т.д.

А всё от того, что кто-то не хочет платить денег сисадмину, и пытается решить административные проблемы техническими средствами.

(46) думали об элекстронной, но тут больше конттроль на изменение... ОС и софта, которые могли бы работать на всех уровнях с пользователями с электронной подписью не знаю.
(49) дело не в деньгах

(0) представь что ты загнал свой форд фокус 1998 года сервисменам и сказал "парни, надо поменять цилиндры, но нельзя открывать капот".

(51) не так. у меня не пашет мотор. но доступа к мотору нет. я приехал в сервис, говорю откройте капот и выйдите из гаража, когда закончу, вернетесь и закроете капот.

тебе надо чтоб аккаунты с абсолютными правами на систему не могли лезть в твои данные? Они всегда смогут это сделать. И если ты сделаешь даже систему аудита изменения прав и ролей, они смогут эту систему "притушить".

Эта задача административного характера, комплексная. Доверие, мотивация, СБ, правильно выстроенный взаимный контроль (два человека, которые не могут договориться по правилам системы) - эти вещи давно уже есть, незачем велосипеды строгать.

(53) "админы" ПВО москвы с суперпупер радаром могут его отключить (в боевом режиме)? решается ли это за счет регламентов или они изобрели велАсАпед в виде аппаратной защиты?

(52) А ты тем временем ключ к замку капота выточишь.

(55) ящик в ящике, у меня доступ только к внутреннему, доступ к внешнему не у меня

(54) а сотрудник ФАПСИ (переводчики) могу слить инфу в инет, или решается аппаратной защитой

(13) Даже если у вас будет разделение обязанностей между админами, то где гарантия, что админ бд не сольет данные? Причем ему для этого не надо даже близко подходить к серверной , он это сделает средствами sql-сервера, причем под благовидным предлогом, например тот же самый бэкап бд.

(54) не знаю про ПВО, косвенно знаю как это реализовано в РВСН.

(58) +1. Недавно когда вскрыли Adobe ID, банально стащили бэкап.

(58) разделение как у судов и прокуроров. ни тем, ни другим не совсем выгодно отдавать свое друг другу.

(60) правильно бекапы надо защищать

(59) там скорее регламенты или аппаратная (системная) защита?

(62) Если у вас такая серьезная компания, может вам всё же к специалистам обратиться? Лучше всего в сферу банковской безопасности. Шифрование, аудит, разделение прав. А там будете искать соотношение "цена потери"-"цена безопасности".
Никто готовых решений под ключ вам сюда не выложит.

(64) ну тогда уж не банковской, а ФСБшной

(62) как ты их защитишь, если у админа бд прямая обязанность создавать бэкапы, он же и защищать их должен, кроме этого никто не отменял сохранение результата запроса в файл, а это можно откуда угодно сделать, главное знать логин и пароль к бд, а админ как раз их будет знать.

(63) там скорее военная присяга и трибунал за разглашение военной тайны, а еще есть особый отдел, который проводит отбор кандидатов, которые будут иметь доступ к этой самой тайне

(65) Черт знает - мне почему-то кажется, что в ФСБ просто в случае чего решают вопрос силовыми методами, топорно, а банки всё же нацелены на то, чтобы вернуть(и не дать стянуть) деньги.

(64) есть нюансы. ответов конкретных не ожидал. дискус он коварен, может иногда преподносить сюрпризы )

(68) напоминаю, что наше ГБ было впереди планеты всей, и методы этих банков тоже оттуда.

(70) силовые методы хороши когда знаешь кто и знаешь где + именно на своей террмитории или дружественного государсва. иначе силу применять не к чему

начни отсюда, а уж потом определяй
http://www.pandia.ru/text/77/139/12-8.php

(72) а давай с реального примера. ты не встречал задач связанных с кассирами? кассир должен выдавать деньги, оформлять все операции, не знать какова з.п. которую он всем раздает, и какой остаток в кассе. дело не в особом порядке, которого надо придерживаться... СК и прокуроры работают над одним и тем же, соблюдая все регламенты, но чтото же у них все равно конфиденциально, и никто не хочет это отдаватьь другим.

Я плотно работал со службами, связанными с защитой ИБ

СК и прокуроры работают над одним и тем же, соблюдая все регламенты, но чтото же у них все равно конфиденциально, и никто не хочет это отдаватьь другим.
потому как у них есть разные уровни допуска к инфе, и  не надо путать теплое с мягким

Это пользователи. Задача разделения доступа пользователей давно изучена и решена

(75) не знаю точно. может ты знаешь. но оба ведомства от скандалов по крышеванию казино это не спасло.

(76) то что в (73)? верно. так и есть. вот по сути надо будет сделать тоже самое, но с админами, превратить их в недоадминов

интересно, каким боком крышевание связано с защитой ИБ и разграничению доступа к инфе,
что то каша какая то у вас

(79) я могу представить как

но с админами, превратить их в недоадминов расттреливать, после выполнения операций с сервером
(80) у меня сложилось впечатление, что вы апсолютно не понимаете ничего в защте ИБ, поэтому что то объяснять бесполезно

(78) И что такие кассиры есть?

(82) а то )

(81) у вас возможно есть представление о том "как правильно". но есть ситуации когда "как правильно" не корректно рассматривать, ибо как правильно не будет удовлетворять некоторым запросам.

(83) Это все работает, пока кассиру самому не интересна вся эта информация.
Хотя остаток он реально может не знать

Но главный кассир все равно будет

(86) по поводу главных я ничего не говорил )

лупите линтер и не парьтесь

(87) так администратор это и есть главный.
А дёшево и сердито проблема решается тем, что у админа не будет, ни физического, ни удалённого доступа к серверу, админь сервак сам, а потом запирай его на ключ. Ключ сдавай директору. Пользователи будут к нему подключаться и работать, но без прав на компрометацию информации.

>>а давай с реального примера. ты не встречал задач связанных с кассирами? кассир должен выдавать деньги, оформлять все операции, не знать какова з.п. которую он всем раздает

Подробнее можно , очень интересно как вы вопрос этот решили ?

(87) Тогда нужно разделение чтоб каждый этап не мог ничего отдельно, только вместе

(90) какой именно?

эмммм а кто отвечает за букапы базы???

если это админ - значит у него доступ должен быть
если это 1сник - значит 1сник совмещает прога и админа дба....


всех остальных админов (кроме дба) вполне реально отцепить от 1с, самый простой способ - создание им простых учеток и делегирование части админских прав....

букапы = бекапы

кстати я работал в банке :) у нас было 3 группы админов, с разными правами и разным доступом....

(92) чтобы кассир не знал за какую сумму, лежащую в кассе, он отвечает.
(93) резервные копии можно делать автоматом, а наружу выдавать уже зашифрованный.
(95) не было тех кто имеет полный доступ?

(95) O! я о том же )

(95) полный доступ имел только начальник департамента IT

резервные копии на автомате - считай их нет. битый бекап еще хуже чем его отсутствие, по этому регламент должен содержать контрольные проверки целостности бекапов (обычно раз в месяц разворачивали и проверяли)

(95) те кому делегированы отдельные права, вроде, эникеями зовутся. Неужели права администратора домена разрезали?

(97) только у нас было 5 разных доменов ....

(100) именно это я и наблюдал ) + компы и серваке без доменов

(99) у меня например были права именения составом части груп AD в 3х доменах, для предоставления доступа пользователям касамого 1с. Но админские права были только на 2х серверах

(101) все равно главный вопрос это (93)

(102) но при злом умысле вы могли зайти под любым 1с пользователем? И эти сервера с 1С?

(71) Я что-нибудь говорил про силовые методы? Это вы их выдумали зачем-то.

(93) а как не дать админу локальных машин, того же 1сника, поставить кейлогер, а потом зайти с его правами в базу?

(105) возникло недопонимание, что такое ГБ?

внезапно, госбезопасность

(104) я мог, при злом умысле я мог даже в диасофт влезть, хоть у меня туда доступа вообще не было....

и я кстати показывал админам как я это могу сделать... дырки есть всегда...

вопрос не дырках а в правилах!

(106) локальная политика перекрывается доменной и закрывам физический доступ к консольному управлению.

(110) можно поставить дрова на принтер, но нельзя другой драйвер?
Что есть "консольное управление"?

(111) можно ограничить список цифровых подписей для системных файлов. Тупо файлы с подписью 1с и HP можно ставить, а с остальными нет....

кстати очень распространено когда доступ к гипервизру виртуального жестко ограничен у админов....

в таких крутых конторах не бывает китайских железок с неподписанными дровами ...
(113) так я о клиентских машинах, и о эникее, который их обслуживает

+ и могу ошибаться, но при наличии локальных прав администратора с правом загрузки драйверов (0 кольцо), можно сделать очень многое, от пропатчивания до замены ядра ОС.

(114) колгейт какую ЦП имеет???

вообще любой юзер при желание ломанет все что угодно, задача безопасности не в том что-бы защитит от инсайда....

опять возвращаемся к базовым понятиям безопасности
1. объект защиты
2. периметр защиты
3. стоимость объекта за периметром

без определения этих 3х величин обсуждать вообще можно только сферического коня в вакуме

Пароли в 1С свои, авторизация на SQL внутренняя.
Чего еще надо то?

Доступ на базы админ ДБА настроит.
Бэкапы - да , вопрос.

(118) значит нужен ДБА или это делает 1сник. Но администратор системы всё равно будет иметь доступ к данным, пусть с большим количеством преград.

Немного странный подход, как у параноиков. Вы или верите людям которые на вас работают, или не верите и увольняете их. Важно не обижать  людей и не держать палку в той же руке, в которой корм.

(0) "СисАдмин - Царь и Бог" (с) и это Аксиома.

(0) Дружить с админом надо

(120) есть хорошая пословица "Доверяй, но проверяй", по этому безопасность всегда делит на разные отделы "исполнителей" и "контролеров". Знаю контору (сам там не работал) где за то что исполнитель и контролер курят вместе в курилке полагается штраф.

(123) А если
а) курилка одна
б) они после работы вместе пиво пьют?

(123) А кто контролирует "контролеров", а тех кто? Ну короче, вы понимаете.

(120) Меньше знаешь крепче спишь. Я за то что бы не знать что делается в бд родной фирмы и что бы при этом все знали что я не знаю. Тогда есть шанс что никто левый не захочет с паяльником требовать от меня данных. Да если и захочет. Ну дам я ему свой пароль, а дальше что?

(126) А дальше будет глубже и горячее, так как тот кто с паяльником будет думать что ты его наипал ! ИМХО. По этому лучше слить информацию по максимум сохранить по максимуму свою никчемную жизнь, но не медля сообщить об этом владельцу информации !

На самом деле, есть хороший способ - называется - удалённый доступ через КВМ-консоль, операции которой записываются отдельной машиной, к которой доступа у админа нет.
В итоге, админ может всё, что угодно делать с сервером, но все действия записываются в журнал, который потом можно просмотреть.
Аналогично можно и RDP-трафик записать.

(26) Юниксы разные бывают. Вот есть(была по крайней мере) система МСВС, российская военная адаптация редхата вроде бы.. Там мандатный доступ, рут не имеет права доступа к данным.

(4) учи матчасть

(0) если база на оракле на последней и причём не стандарт - там такая возможность есть, не т.е. если  DBA даст себе прав на получение данных из базы (а не только словаря БД) - все заинтересованные службы согласно настроек БД будут оповещены + эти операции будут записаны в логи.  Но увы для сервера 1С-Предприятие нужна учётка с полными правами на всё... т.е. тут всё упирается в 1С. С другой стороны если это так критично вполне реально вынести критичные данные в стороннюю БД на оракле и уже из приложения коннектится к ней, это сложнее но проблема будет полностью закрыта.