Thursday, August 20, 2009

NIST SP 800-53 Updated (Recommended Security Controls for Federal Information Systems and Organizations)

На днях вышел обновленный NIST SP 800-53 (третья редакция), Recommended Security Controls for Federal Information Systems and Organizations. Восьмисотая серия "специальных публикаций" (SP = Special Publications) это набор стандартов, выпущенных лабораторией информационных систем (ITL) Американского национального института стандартов и технологий (NIST) для примемения в правительственных информационных системах. NIST SP 800-53 описывает стандартную библиотеку мер безопасности (контролей) с привязкой к критичности системы. Из нового:
  • Полностью переработанные приложения G и H с описанием требований к "программе обеспечения информатионной безопасности" и привязкой контролей SP 800-53 к ISO 27001.
  • Для каждого контроля теперь определен приоритет.
  • Текст/содержание контролей сильно пререработан.
  • Много новых дополнений (enhancements) - опциональных компонентов контролей, которые могут применяться в зависимости от классификации системы.
  • Целый ряд новых контролей. Некоторые старые контроли убраны или объединены с существующими, при этом нумерация была сохранена.
Я всегда относился к этому стандарту как к хорошему каталогу мер безопасности, на основе которого можно строить свои базовые требования (baselines), рекомендации при оценке рисков, технические политики и стандарты а также проводить некоторые виды аудитов. В таком варианте применения документ очень полезен, всем рекомендую ознакомиться.

NIST SP 800-53 rev.3:
http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final-errata.pdf

Список всех NIST SP:
http://csrc.nist.gov/publications/PubsSPs.html

Thursday, August 6, 2009

Transparent NTLM in Firefox

Недавно выяснил, что оказывается еще с незапамятных времен Firefox на Windows поддерживает прозрачную NTLM аутентификацию с использованием нативных библиотек. Единственное что надо сделать чтобы все это заработало - указать в настройках для каких доменов или серверов такая аутентификация разрешена. Обычным способом (about:config) надо поправить следующие параметры:
network.automatic-ntlm-auth.trusted-uris
network.negotiate-auth.trusted-uris
И в обоих указать имя внутреннего домена, используемое в корпоративной сети - например "some-company.com" (без кавычек!). Для всех серверов в этом домене Firefox будет пытаться использовать прозрачный NTLM.