Контакты
Подписка
МЕНЮ
Контакты
Подписка

Определение границ ИСПДн - Форум по вопросам информационной безопасности

Определение границ ИСПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: _MK_ | 107247 20.09.2019 09:41
Коллеги, добрый день!

Помогите разобраться. Есть организация с доменной структурой с 2-мя ИСПДн:
1) 1С Бухгалтерия (Зарплата и Кадры); Файловая база на физическом сервере, пользователи подключаются по RDP.
2) Специализированная ИСПДн (обзовем ее СпецИСПДн). 2 физических сервера (БД + Веб-сервер) пользователи подключаются через браузер по Https.
Итого 3 физ. сервера + АРМ пользователей (например, 20 шт.)

Пользователи организации работают в обеих ИСПДн, необходимо определить границы каждой ИСПДн.

Попробуем определить границы ИСПДн 1С Бухгалтерия:
- Сервер 1С;
- АРМ пользователей, которые работают в 1С;
- коммутационное оборудование, обеспечивающее доступ с АРМ пользователей до сервера 1С.
Все логично и вопросов пока не возникает.

Границы СпецИСПДн:
- Серверы (БД + Веб-сервер);
- АРМ пользователей, которые работают со СпецИСПДн...., так.... получается что один и тот же АРМ попадает в обе ИСПДн, чего быть не должно.

Собственно вот и вопрос: как определить границы ИСПДн в данном случае?

Автор: Практик | 107249 20.09.2019 12:58
"один и тот же АРМ попадает в обе ИСПДн, чего быть не должно."
Если есть необходимость и технологическая возможность по задаче работ, можно извращаться сеансами (одно физическое АРМ при 2 пользователях на 1 физлицо). Очистка и разграничение средствами программных СЗИ.
Но практически во всех госструктурах пользователь работает в нескольких независимых ИСПДн (например, про своих сотрудников и про клиентуру) и избегнуть этого нереально.
Так что ваше дело разграничить, защитить и легализовать то, что невозможно предотвратить))))
В ГТ и то поползновения бывают, но там кроме пряников есть другие средства воздействия

Автор: Alex | 107283 26.09.2019 11:47
_MK_ >чего быть не должно

у вас по разному организован доступ к ИСПДн - по rdp и по https. проще организационно запретить одновременно работать в 2 ИСПДн

Автор: _MK_ | 107310 03.10.2019 09:21
Спасибо за ответ!
1. Ваша точка зрения понятна, но тогда возникает вопрос по поводу реализации меры УПД.3 №21 приказа Фстэк:
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

Как реализовать данную меру, если у нас 1 АРМ относится к разным ИСПДн?

Как я понимаю, между информационными системами должен стоять МЭ, который будет осуществлять контроль соединений.
МЭ экран может быть как аппаратным - на периметре информационной системы, так и программный на всех АРМ информационной системы.

Автор: Alex | 107311 03.10.2019 11:07
_MK_ >должен стоять МЭ

да+очистка памяти. если есть vpn-маршрутизатор, поставить на АРМ клиента и программно реализовать разделение ресурсов

Автор: oko | 107313 03.10.2019 13:06
*в сторону*
Слова-то какие мудреные выдумали - "границы ИСПДн"...

to _MK_
Я, конечно, не Кювье, но... у вас браузер самостоятельно ломится по RDP на сервер БД №1 или mstsc лезет через http/https на сервер №2? Если так, то рекомендую проверить ОС на наличие демонов (не те, которые "сервисы *nix", а те, которые из преисподней, ага)...
Не допускается объединение БД ПДн, если они обрабатываются с разной целью. В случае же удаленной обработки, когда АРМ выступает условным "терминалом", достаточно принять меры, чтобы ПДн хранились исключительно в памяти удаленных серверов и не оставались на долгий срок в памяти АРМ. Хоть технические (контроль буферов обмена, контроль устройств ввода-вывода, затирание остаточной информации, etc), хоть организационные (ознакомление с соответствующими правилами и депремирование в случае их нарушения, ага)...

ЗЫ В ИСПДн все можно обосновать через ЧМУ, лепить сертиф.СЗИ только по месту обоснования, остальное решать на уровне "технологического процесса" (читай, СЗИ без сертификатов). Если, конечно, это не ГИС-ИСПДн, ага...
Прошло несколько лет

Автор: утро | 110688 20.02.2023 06:41
"Если, конечно, это не ГИС-ИСПДн, ага..."

Добрый день!
А что с ГИС-ИСПДн не так?
Нельзя использовать вместе с другими ИСПДн?

Автор: oko | 110691 20.02.2023 13:17
to утро
А с ГИС-ИСПДн тезис про вольности Модели угроз и использование СЗИ без сертификата нуждается в серьезном уточнении и допиливании напильником. Ибо это все-таки ГИС, а уже во вторую очередь ИСПДн, ага...

Просмотров темы: 1285

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*