Имя: Пароль:
1C
1С v8
Безопасность личных и корпоративных данных в 1С
0 Beduin
 
24.03.22
18:27
После событий в яндексе обратились через знакомых пару клиентов. Хотя, чтобы никто ничего не смог выгрузить из баз 1С. У одного типовая ЕРП, у другого УТ.
Бюджеты предлагают млн+ за быстрые решения проблемы. Накидайте идей. В голове пока только 1С в терминале без выхода в интернет, с возможностью печатать на определенные удаленные принтеры юзеров(тут админам голову ломать)
1 Вафель
 
24.03.22
18:27
а что было в яндексе?
2 Вафель
 
24.03.22
18:28
самое простое. Хранить критичные данные отдельно
3 Beduin
 
24.03.22
18:28
(1) Все знают теперь, сколько соседи жрут.
4 Gary417
 
24.03.22
18:29
оч хороший вариант с терминалом, отключить буферы обмена, удаленные диски, права только у избранных...все перемещения файлов с сервера - логировать
5 Gary417
 
24.03.22
18:30
я такое делал в одной конторе, правда не с 1С, а вообще со всем... но надо очень прилично тюнить терминалку чтобы через окно открытия файлов люди не могли долезть до всяких панелей управления и прочего всего
6 Amra
 
24.03.22
18:30
(0) Как убережешься от админов? Вот когда придумаешь, тогда и приходи
7 Beduin
 
24.03.22
18:30
(6) Не, ну это другое уже.
8 Amra
 
24.03.22
18:33
(7) Сфигали? Большая часть слива данных именно от админов/всех тех у кого есть полный доступ, а не изза "злых нахеров" и рядовых юзверей
9 Вафель
 
24.03.22
18:33
(8) Ну это как обычно: ищем там где светло, а не там где потеряли
10 Beduin
 
24.03.22
18:35
(8) Как админ, может управлять серваком, если у него не будет полных прав? Здесь надо нанимать умело уже и платить достойно, чтобы человек понимал, что потеряет. Но это другой плоскости вопрос.
11 Amra
 
24.03.22
18:37
(10) Да мы поняли - "Как спустить лям ни на что".
12 Gary417
 
24.03.22
18:38
(11) сужение области доступа - тоже важно
когда любой васян чё хочешь сделать может - это хуже когда таких васянов всего три человека
13 Krendel
 
24.03.22
18:42
(0) Субподряд мне
14 Beduin
 
24.03.22
18:48
(13) Да в любом франче возьми. У них средний счет сейчас 500000-15000000 рублей.
15 Мимохожий Однако
 
24.03.22
19:12
(0) Не взлетит. 99% сольёт инсайдер (пользователь, админ и т.п.)
16 Asmody
 
24.03.22
20:51
(0) скриншот в почту.
Как защищаться?
17 Asmody
 
24.03.22
20:53
(10) это главный вопрос.
Сегодня видел вакуху от регионального отделения ПФР. Аж 25 тыр. ИТ-безопаснику предлагают!
18 vde69
 
24.03.22
21:00
(0) ну я как-бы занимаюсь безопасностью связаной с 1с.

для начала ответь на 3 вопроса
1. объект защиты (какие именно данные в базе защищаем)
2. периметр защиты (то есть в каких случаях выход защищаемых объектов считается взомом/сливом)
3. стоимость объекта защиты за периметром защиты (сколько готовы заплатить за защищаемые данные)
19 Beduin
 
24.03.22
21:03
(17) Предпологаю, что ты в курсе как выделяются бюджеты на отделы, которые являются затратными для компании и к прибыли имеют коссвенное отношение.
20 vde69
 
24.03.22
21:06
(19) защита должна быть адекватной по отношении с угрозой.

для достижения этого баланса требуется оценка рисков в денежном эквиваленте. Если после оценки рисков не хватает бюджета - организовать защиту не возможно.

то есть в данном вопросе бюджет - вторичен.... нет необходимого бюджета - нет защиты.
21 Amra
 
24.03.22
21:07
(17) Дай угадаю - саратовского?))
22 vde69
 
24.03.22
21:08
(19) если у тебя нет денег на бензин для преодоления всего пути то отправляться в путь не стоит...
23 Beduin
 
24.03.22
21:09
(18)
1. Контрагенты(контактные лица, адреса, выручка и т.п.) Физические лица(Сведения о доходах, личная информация)
2. То, что наскринить могут я сказал, что от этого защиты нет. И при большом усердии могут по одному объекту накопировать. Это приняли и сказали ок.
3. Тут не так. Скали бюджет, я его написал примерно в (0) Но сейчас это средняя стоимость какого-то проекта в 1С. Я взял время на подумать и постепенно самому интересно стало.
24 Beduin
 
24.03.22
21:10
(20)(22) А сколько просить, 10 лямов? Вот выделили 1-2 млн. Они и сами знают примерно. Им такие же расценки сказали во всех интеграторах. Но не доверяют они им.
25 vde69
 
24.03.22
21:16
(23) есть такое правило - половина сотрудников готова на серьезное должностное преступление за свою годовую зп.

то есть если сотрудник получает 1 лям в год и ему со стороны предложат 100тр за слив контрагентов, он на 99% пошлет их в лес. и тут защита может быть минимальная, достаточная что-бы совсем просто так слили (например настроеный РДП)

а вот если ему предложат за это 1 лям то тут нужны будуут и камеры следящие что-бы он не фоткал экран и закрытое помещение с доступом и какую-то систему логирования запросов...

а вот если ему предложат за это уже 10 лям то тут уже все серьезно, одноразовые пароли, журналы доступа софт слежения за экраном и т.д.

по этому обсуждать защиту без п.3 бесполезно
26 mikecool
 
24.03.22
21:16
(0) делиться будешь?
27 Beduin
 
24.03.22
21:21
(25) Так обсуждают же. Я сказал про админов, что у них полный доступ. Ответили, что это рассматриваем. Типа сами решим. Или ты к тому, что сольют базу, а потом ко мне с претензиями? Тут, согласен. Так как неизвестен источник утечки. Нужно это обговорить. Принимаю твой пункт 3)
28 Beduin
 
24.03.22
21:22
(26) Чем? Копейками этими. Не смеши)
29 vde69
 
24.03.22
21:23
до кучи:

есть пассивная защита (запрет доступа и т.д.)
а есть активная защита (например интерактивный контроль за действиями)

пассивная защита не может обеспечить защиту, она только усложняет взлом/инсайт, но рано или позндо в ней найдут дырочку...
активная защита очень сильно увеличивает вероятность предотвращение взлома/инсайда, но это дорого...
30 АНДР
 
24.03.22
21:58
(0) А что у них уже сделано в рамках 152-ФЗ и прочей безопасности?
Есть строгое распределение по бизнес-процессам? Определение ключевой информации и сотрудников входит в этот лям?
P.S. Терминал мог быть защитой только лет 20 назад.
31 Beduin
 
24.03.22
23:03
(30) Это вы сейчас описываете идеальную компанию. В реальности это расброд и шатание с владельцами-ларечниками, у которых часто даже руководителя ИТ отдела не бывает, а все действия координируются по наитию.
32 Вафель
 
24.03.22
23:24
(31) и эти ларечники платят млн за якобы решение проблемы?
33 ДедМорроз
 
25.03.22
00:06
Тут главный вопрос - защищаться от копирования большой части информации или от просмотра нескольких строк.
Даже открытие форм с детализацией можно отслеживать,и если пользователь открывает большое число форм за малое время,то ему блокируется доступ.
Но защититься от "посмотри данные такого-то контрагента" практически невозможно.
Современные устройства записи изображений позволяют получить картинку с экрана,позволяющую восстановить всю информацию поэтому для копирования информации достаточно создать отчет и поосто пролистать его.
34 Anchorite
 
25.03.22
06:10
(33) >Даже открытие форм с детализацией можно отслеживать,и если пользователь открывает большое число форм за малое время,то ему блокируется доступ.

А как это вообще работает, подскажите.
35 Beduin
 
25.03.22
06:41
(32) У ларечников проблема как оборот удержать в пределах 200 млн, чтобы из 6% не выйти) Миллион для серьезной работы не проблема. Один из них, только за прошлый год больше 10 млн за поддержку и доработки отдал, а в результате до сих пор сомневаются.
36 Beduin
 
25.03.22
06:45
(33) Я про списки тоже думал. Нужно будет ограничить возможность добавления произвольных колонок или вообще запретить отображать списком контрагентов. Сейчас же мониторы по 30 дюймов и больше есть. Выведет на экран по 300 строк и за день все отскринит.
С правами надо решить, чтобы выручка нигде не вылезла, также может списком из заказов делать и потом считать обороты. Работы именно для типовой 1С тут полно и я вообще сомневаюсь (32), что млн хватит. Поэтому в размышлении.
37 БаксПо90
 
25.03.22
06:49
Проблема то не в копировании, так как копировать и просматривать данные может множество лиц. Речь в возможности совершать такое в заданных пределах при нужном контроле.
38 БаксПо90
 
25.03.22
06:50
Но вообще , скорее всего данные стащит или кто нибудь из службы безопасности или какой нибудь самый любимый менеджер. Остальные обычно слишком линивы для такого.
39 БаксПо90
 
25.03.22
06:52
А так, критичиские данные всегда шифруют , а один эс это не умеет делать , вроде бы.
Потом нужен непрерывный аудит действий с критичиски важной инфой .. а это затратно.
Не знаю что там утащили у яндекса .. но если у них утащили, то можно представить, что их возможности на порядка два выше чем у простых так сказать ларечников
40 Beduin
 
25.03.22
07:09
(39) Не возможности выше, а никто не заморачивается с песочницей для разработки со случайными значениями. И сотня разрабов крутят реальные данные в процессе реализации задач. Достаточно просто доступ к информации на прод, оставить паре человек. И проблема утечки сузится на порядки.
41 Anchorite
 
25.03.22
07:12
(39) > аудит действий с критичиски важной инфой
А как это вообще можно реализовать в случае с 1с? Стандартные же конфигурации вроде бы не предусматривают ничего такого или всё-таки предусматривают?
42 БаксПо90
 
25.03.22
07:15
(41) ну, да .. там нет механизма по которому можно понять сколько данных было отдано и кому ..и соответственно все те кто имеет доступ к потерянным данным под подозрением ..
43 Anchorite
 
25.03.22
07:19
(42) Интересно, что имелось в виду здесь:
(33) >открытие форм с детализацией можно отслеживать,и если пользователь открывает большое число форм за малое время,то ему блокируется доступ
— может, всё-таки есть что-нибудь. Не с нуля же он собирался это сам создавать.
44 БаксПо90
 
25.03.22
07:21
(40) ну, я не знаю что там в яндексе случилось .. но в компаниях такого уровня .. на работу даже с телефонами где есть камеры не пускают ..
но все это дорого и к сожалению плохо реализуемо ..
но во всяком случае таблицы с контактами клиентов точно нужно изолировать и мониторить .. все остальное не так вопиюще орет о потере данных ..
все остальное все равно в публичныйц доступ не попадет .. просто приедет налоговик и попросит денег)
45 Bigbro
 
25.03.22
07:21
я конечно не эксперт, но в случае если всерьез заморачиваться - придется отказаться от всех стандартных механизмов которые собственно и составляют преимущество 1с и удобство работы.
взамен них наделать свои наборы полномочий. свои формы для всего и вся. свои отчеты с заранее сформированными вариантами которые нельзя изменить и т.д.
короче изуродовать систему до уровня неудобства работы какого-нибудь сапчика образца 90х годов.
с десятком транзакций доступных и двумя сотнями кодов которые пользователь должен помнить наизусть чтобы выполнять свои 2-3 функции в системе.
ну и полное логирование каждого чиха.
46 БаксПо90
 
25.03.22
07:23
(43) да нет там ничего, кроме журнала регистрации и событий которые туда пишутся .. все остальное надо дописывать ..
а по сути у тебя должен в любом запросе стоять счетчик выданных записей .. я не знаю .. может средсва баз данных умеют отдавать какую то статистику , но думаю такое только оракл умеет
47 Anchorite
 
25.03.22
07:26
(46) Понятно, спасибо. А МССКЛ-то неужели не умеет?
48 БаксПо90
 
25.03.22
07:26
(45) тебе выше написали .. про критические данные и их стоимость ..
периметры правда это слишком классический подход к защите .. а с учетом того что внутри периметра не пойми кто .. то к вопросу лучше творчески подходить ..
закладки, провакации .. и прочие мероприятия ..
если конечно базу можно вообще утащить, то это эпик фейл ..
вот например я работал по удаленке в одной компании .. там дня по два решали ..что бы мне там лишнюю папку открыть ..
но через два месяца я у них все равно базу тиснул .. так как устал работать по удаленке ..
а ведь после такого они заставят в офис ехать и работать в запертой комнате
49 Anchorite
 
25.03.22
07:27
(47) Фунциональность-то довольно очевидная и весьма полезная при отладке и тестировании производительности.
50 DEVIce
 
25.03.22
07:28
(4) Кому очень надо, будут файлы открывать в соответствующем редакторе или просмотрщике и фотографировать на мобилку.
51 DrZombi
 
гуру
25.03.22
07:33
(0) Смешные... люди... Им надо описать все возможности получения информации, и пояснить, что не нужна порой сама БД с функциями и процедурами от Программиста....
Нужны просто цифры, сделанные по принскрину :)))

А так же можно поставить камеру и просто снимать все на нее, через плече :)

Смотри в (16) Человек дело говорит... Но фотоаппаратом + Файнрайдером обладают ВСЕ.... Вы можите сказать - "А как же лицензия?" ... Ответ - "Кому нужна лицензия, когда ваши картинки получены незаконным путем" :)
52 DrZombi
 
гуру
25.03.22
07:35
+(0)  Вывод один, все работают в Офисе, под наблюдением секюрити.
Никто не подключается удаленно :)

...Карановирус уже умер, как только на всех объявили санкционными :)
53 Mihenius
 
25.03.22
10:03
(0) Как в гос органах.

1) Все рабочие компьютеры находятся в своей экстранет без доступа в интранет/интернет, с блокировкой доступа к внешним носителям, с полными протоколами действий пользователоей + проактивное ПО вы выявлению подозрительных действий. В каждый кабинет видеокамера направленная на экран монитора. По периметру стоят глушилки от звуко-визуального контроля. В отдельных зонах радио глушилки. + строгий пропускной режим с охраной. Таким образом формирируется контролируемая зона, куда достаточно сложно получить доступ. Чтобы туда устроится на работу одна проверка занимает до 6 месяцев.
2) На ВСЕ! здание 1 компьютер с доступом в интернет и доступ к внешним носителям. Этот компьютер не имеет доступа в 1) и имеет полный протокол действий + камера сверху висит.

Тут думаю в 1 млн не уложишься точно, а так у нас все это есть в продаже, разработчики наши (даже в последнее время глюков меньше стало). Но смогут ли они так работать?
И самый главный момент, а не получится ли что затраты на защиту будут больше чем стоит информация?
И еще, будет большой перекос на службу безопасности, не смогут ли ее перекупить?
54 Mihenius
 
25.03.22
10:07
(0) Обратись в любую контору по обеспечению 152ФЗ/187ФЗ/Гостайне - узнаешь порядок цифр только на одни документы уже волосы начнут шевелится.
55 Mihenius
 
25.03.22
10:09
(54) И еще такие конторы сразу спрашивают вам защита нужна "на бумаге для галочки" или настоящая.
Разница в цене может в разы отличаться.
56 vde69
 
25.03.22
10:31
Дам пример активной защиты который я реально реализовывал, и он реально работает...

Есть система СКД (вход по карточкам). При запуске 1с она проверяет в системе СКД сотрудник в офисе или нет. Если сотрудник не в офисе - система шлет письмо безопасникам, и они решают что делать, могут заблокировать 1с или виндовую учетку или устроить маскишоу....

Таким образом за первые 3 месяца эксплуатации поймали несколько сотрудников которые ходили под чужими учетками винды. После показательных наказаний передача учеток в компании вроде почти прекратилась.

Это я к чему, да к тому, что это и есть АКТИВНАЯ защита и такие виды защиты намного эффективнее любых запретительных (пассивных)
57 Вафель
 
25.03.22
10:38
(53) В обычной торговой конторе никто так не будет охранять данные
58 Mihenius
 
25.03.22
12:45
(57) Ну частично реализовать это можно.
Стандартными VipNet+SecretNet (или их аналоги, это самое распространенное)+IDS/IPS получится порядка 30-40 тыс 1 р.м.
+ на сервер 100-200

Но это будет фиктивная защита, по факту передадут ключ от компа другому человеку например и все.
И нет защиты от фотофиксации.

С другой стороны без службы ИБ от этого всего толку 0.
59 ДедМорроз
 
25.03.22
19:52
И контрагенты - они в большинстве заполняются по ИНН
Поэтому,важность составляют контакты работников контрагента и сцммы оборотов,а это проще вообще показывать только избранным.

Открытие форм отслеживается по подписке,смотрим количество форм за какой-то промежуток времени,и если их больше,чем нужно,то просто запрещаем открывать.
Очень простая доработка,на которую натолкнула защита конфигурации битфинанс.
60 Вафель
 
25.03.22
20:59
Самое главное отчет по взаиморасчетам не давать делать. А если сделали то вот она вся "конфиденциальная" информация и утекла
62 ДедМорроз
 
25.03.22
23:26
Там еще цены для контрагента,тоже очень важная информация.
Обычно,ее достаточно,чтобы контрагента сманить,а уже оборотки - это для понимания деятельности и оценки существенности контрагента.
Просто,для контрагента,котопый покупает на 10-15 тыс.в год цена может быть любой,и уводить такого нет сиысла,а вот если это миллионы,то это лакомый кусок.
Пользователь не знает, чего он хочет, пока не увидит то, что он получил. Эдвард Йодан