Автор: Илья | 86786 | 08.02.2018 07:25 |
Здравствуйте! Есть организация аттестованная в соответствии с приказом ФСТЭК № 17 по 2 классу защищенности. В этой организации используется сертифицированное средство СКЗИ для организации защищенной VPN-сети. У одного сотрудника этой организации появилась необходимость в любой момент иметь доступ к ресурсам этой защищенной сети с личного мобильного телефона для чего необходимо установить VPN - клиент, являющийся средством СКЗИ, на данное устройство.
Подскажите , пожалуйста, возможна ли правомерная установка средства СКЗИ на личное мобильное устройство сотрудника и как отразить документально данный факт, чтобы в дальнейшем избежать проблем с регуляторами? |
Автор: WORM, MK | 86790 | 08.02.2018 12:26 |
Правомерная-то возможна, а вот технически....
Да и организационно геморроя много. В любом случае решать эту задачу придется через организация-аттестатора, так что этот вопрос имеет смысл задать ей. |
Автор: Breghnev | 86793 | 08.02.2018 13:22 |
to Илья
Поставить СКЗИ на телефон - полдела. Канал передачи вы защитите. Но добавление в сеть мобильного узла наверняка повлияет на модель угроз: узел этот заведомо не может быть определён как находящийся в пределах контролируемой зоны. |
Автор: oko | 86796 | 08.02.2018 14:26 |
*в сторону*
Не забудьте еще АМДЗ влепить в смартфон-с-СКЗИ при классе КС2 (КС1 никому и нахрен не нужен, честно говоря), ага... Что до ЧМУ, то jailbreak на смартфоне (android-владельцы, вероятнее всего, не будут париться с СКЗИ - это прерогатива руководства, как правило, бездумно следящего за трендами от Apple - угадал?) - это не просто узел-за-КЗ, а весьма вероятный враг в лице всех и вся: кулл-хацкеры, сам владелец, изготовитель любого софта и проч. и проч... И да, задолбаетесь ФСБ объяснять, что сертиф.СКЗИ на смарте вашего руководителя позволяет защитить подключение к корпоративным ресурсам из-за границы нашей необъятной. Там и нарушитель другой, и класс криптосредств куда круче должен быть... Вывод: мочь - можно, но стоит ли оно того... |
Автор: Dfg | 86798 | 08.02.2018 15:33 |
Тема мутная, регулируется мохнатыми РД.
По букве хотя-бы того же 378 приказа ФСБ, минимум КС3, т.к возможен физический доступ к среде функционирования. Это уже будет переносной сундук. А по 152 ФАПСИ от 2001 года, который никто и не думает отменять, ни о каком расположении за пределами КЗ, речи вообще быть не может. Только спец. помещения, все замазать пластилином, крипто-ключи должен переносить специальный почтальон. В итоге любая проверка, при желании срубить палок, легко найдёт вагон и тележку нарушений, при попытке подключения ямобилко к аттестованным системам. В связи с этим возникает он пресный вопрос. Для кого выпускает vipnet свой клиент for android у которого только КС3. И каким образом с такими устройствами ходят всякие чиновники. ( попадались презентации различных ГИС это реализовывали и -наверное??- как-то согласовывались с фсб) |
Автор: Dfg | 86799 | 08.02.2018 15:38 |
Автор: ustav | 86800 | 08.02.2018 15:42 |
"Для кого выпускает vipnet свой клиент for android у которого только КС3" (с)
У него КС1. ЗЫ: наши чиновники с допуском еще и за бугор катаются. ЗЗЫ: если грамотно прописать оргмеры (которые никто не будет соблюдать) - почему бы не согласовать? А 274 УК РФ таким не грозит. |
Автор: Dfg | 86802 | 08.02.2018 15:52 |
To ustav
--если грамотно прописать оргмеры (которые никто не будет соблюдать) - почему бы не согласовать? -- Точно, точно. Типа " пользователь обязуется носить мобилку только по территории гос учреждения ( по территории кз), а в конце рабочего дня сдавать в ящик и опечатывать пластилином" :) |
Автор: oko | 86806 | 08.02.2018 17:05 |
*в сторону*
Тогда в комплект заверните, пожалуйста, базовую станцию. Чтобы своя была на территории, где теперь могу свободно гулять со своим смартом, вооруженным отечественной криптографией... |
Автор: WORM, MK | 86808 | 08.02.2018 17:35 |
Насчет планшетов - таки да, сам не раз видел чиновников с планшетами, входящими в состав аттестованных ГИС. Достает, работает - все норм. Контролируемую зону создает сам себе, глазами. Инструкция у него имеется, все такое...
Ясно, что при необходимости первая же проверка ФСБ может такую лавочку прикрыть, да еще и аттестатора нахлобучить. Что можно Юпитеру, нельзя быку, да. Так что, тов. Илья начинайте не с технических вопросов, а с организационных)) |
Просмотров темы: 4025