Автор: _MK_ | 107247 | 20.09.2019 09:41 |
Коллеги, добрый день!
Помогите разобраться. Есть организация с доменной структурой с 2-мя ИСПДн: 1) 1С Бухгалтерия (Зарплата и Кадры); Файловая база на физическом сервере, пользователи подключаются по RDP. 2) Специализированная ИСПДн (обзовем ее СпецИСПДн). 2 физических сервера (БД + Веб-сервер) пользователи подключаются через браузер по Https. Итого 3 физ. сервера + АРМ пользователей (например, 20 шт.) Пользователи организации работают в обеих ИСПДн, необходимо определить границы каждой ИСПДн. Попробуем определить границы ИСПДн 1С Бухгалтерия: - Сервер 1С; - АРМ пользователей, которые работают в 1С; - коммутационное оборудование, обеспечивающее доступ с АРМ пользователей до сервера 1С. Все логично и вопросов пока не возникает. Границы СпецИСПДн: - Серверы (БД + Веб-сервер); - АРМ пользователей, которые работают со СпецИСПДн...., так.... получается что один и тот же АРМ попадает в обе ИСПДн, чего быть не должно. Собственно вот и вопрос: как определить границы ИСПДн в данном случае? |
Автор: Практик | 107249 | 20.09.2019 12:58 |
"один и тот же АРМ попадает в обе ИСПДн, чего быть не должно."
Если есть необходимость и технологическая возможность по задаче работ, можно извращаться сеансами (одно физическое АРМ при 2 пользователях на 1 физлицо). Очистка и разграничение средствами программных СЗИ. Но практически во всех госструктурах пользователь работает в нескольких независимых ИСПДн (например, про своих сотрудников и про клиентуру) и избегнуть этого нереально. Так что ваше дело разграничить, защитить и легализовать то, что невозможно предотвратить)))) В ГТ и то поползновения бывают, но там кроме пряников есть другие средства воздействия |
Автор: Alex | 107283 | 26.09.2019 11:47 |
_MK_ >чего быть не должно
у вас по разному организован доступ к ИСПДн - по rdp и по https. проще организационно запретить одновременно работать в 2 ИСПДн |
Автор: _MK_ | 107310 | 03.10.2019 09:21 |
Спасибо за ответ!
1. Ваша точка зрения понятна, но тогда возникает вопрос по поводу реализации меры УПД.3 №21 приказа Фстэк: Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами Как реализовать данную меру, если у нас 1 АРМ относится к разным ИСПДн? Как я понимаю, между информационными системами должен стоять МЭ, который будет осуществлять контроль соединений. МЭ экран может быть как аппаратным - на периметре информационной системы, так и программный на всех АРМ информационной системы. |
Автор: Alex | 107311 | 03.10.2019 11:07 |
_MK_ >должен стоять МЭ
да+очистка памяти. если есть vpn-маршрутизатор, поставить на АРМ клиента и программно реализовать разделение ресурсов |
Автор: oko | 107313 | 03.10.2019 13:06 |
*в сторону*
Слова-то какие мудреные выдумали - "границы ИСПДн"... to _MK_ Я, конечно, не Кювье, но... у вас браузер самостоятельно ломится по RDP на сервер БД №1 или mstsc лезет через http/https на сервер №2? Если так, то рекомендую проверить ОС на наличие демонов (не те, которые "сервисы *nix", а те, которые из преисподней, ага)... Не допускается объединение БД ПДн, если они обрабатываются с разной целью. В случае же удаленной обработки, когда АРМ выступает условным "терминалом", достаточно принять меры, чтобы ПДн хранились исключительно в памяти удаленных серверов и не оставались на долгий срок в памяти АРМ. Хоть технические (контроль буферов обмена, контроль устройств ввода-вывода, затирание остаточной информации, etc), хоть организационные (ознакомление с соответствующими правилами и депремирование в случае их нарушения, ага)... ЗЫ В ИСПДн все можно обосновать через ЧМУ, лепить сертиф.СЗИ только по месту обоснования, остальное решать на уровне "технологического процесса" (читай, СЗИ без сертификатов). Если, конечно, это не ГИС-ИСПДн, ага... |
Автор: утро | 110688 | 20.02.2023 06:41 |
"Если, конечно, это не ГИС-ИСПДн, ага..."
Добрый день! А что с ГИС-ИСПДн не так? Нельзя использовать вместе с другими ИСПДн? |
Автор: oko | 110691 | 20.02.2023 13:17 |
to утро
А с ГИС-ИСПДн тезис про вольности Модели угроз и использование СЗИ без сертификата нуждается в серьезном уточнении и допиливании напильником. Ибо это все-таки ГИС, а уже во вторую очередь ИСПДн, ага... |
Просмотров темы: 1285