Контакты
Подписка
МЕНЮ
Контакты
Подписка

ПДн, УЗ третий, надо ли ставить везде СЗИ от НСД - Форум по вопросам информационной безопасности

ПДн, УЗ третий, надо ли ставить везде СЗИ от НСД - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Александр | 107401 21.10.2019 11:49
Здравствуйте, коллеги.
Есть ЛВС - всего 80 АРМов, в которой есть сервер на котором работает СУБД ПДн (УЗ третий), и к нему с помощью толстого клиента подключаются АРМы, которые обрабатывают те самые ПДн. Количество АРМов с толстым клиентом ограничено лицензией: 60.

Если не отделять эти 20 АРМов, которые не обрабатывают ПДн, от этой ЛВС, то надо ли ставить на эти АРМы СЗИ от НСД?

Автор: oko | 107403 21.10.2019 21:16
to Александр
На этот вопрос ответит лишь безопасник, разобравший вашу ситуацию по косточкам. Потому что первичная задача: сотрудники (не АРМ, не уч.записи пользователей), имеющие права доступа к обработке ПДн, должны получать такую возможность, но остальные сотрудники - нет. А вот для ее решения уже можно:
1. Опоясать все АРМ СЗИ НСД (и те 60, и другие 20), контролируя возможность доступа к СУБД на сервере через локальные настройки ОС на каждом АРМ (конкретные уч.записи, дискреционные права доступа, КЦ, ЗПС, КС МНИ до кучи). Неповоротливый способ, который подходит только в случае, когда вся ЛВС переходит в состояние "защищенная", но АРМ-20 рассматриваются как "менее доверенные" по отношению к АРМ-60 и серверу. Главное: можно ли разграничить потоки данных к вашей СУБД на уровне ОС как сервера, так и каждого АРМ в отдельности?
2. Опоясать СЗИ НСД только АРМ с ПДн (60 шт.), а остальные АРМ (20 шт.) отделить МЭ от сервера, чтобы потоки данных к СУБД шли только от АРМ с ПДн. Классический и оптимальный способ. Однако, слабо защищающий от средней руки инсайдера, способного перехватить администрирование АРМ-20 и поискать уязвимости (аппаратные, программные, логические, организационные) в остальном "защищенном сегменте" ЛВС.
3. Забить на СЗИ НСД и реализовать разграничение и полный контроль доступа на уровне СУБД и ПО, применяемого с ней на клиентской и серверной стороне. Самый гибкий, но и самый трудозатратный (экономика, время, уровень подготовки и проч.) способ.
Иными словами, начать надо с моделирования угроз и нарушителей, с оценки уязвимых мест каждой приведенной схемы, с изучения техпроцесса обработки информации, с понимания общего возможного уровня затрат - по результатам решение само придет, ага...

ЗЫ В КОНФИ и тем более в защите ПДн нет ни одного однозначного требования использовать где-либо СЗИ НСД...

Просмотров темы: 189

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код: