ПДн, УЗ третий, надо ли ставить везде СЗИ от НСД - Форум по вопросам информационной безопасности

Здравствуйте, коллеги.
Есть ЛВС - всего 80 АРМов, в которой есть сервер на котором работает СУБД ПДн (УЗ третий), и к нему с помощью толстого клиента подключаются АРМы, которые обрабатывают те самые ПДн. Количество АРМов с толстым клиентом ограничено лицензией: 60.

Если не отделять эти 20 АРМов, которые не обрабатывают ПДн, от этой ЛВС, то надо ли ставить на эти АРМы СЗИ от НСД?

to Александр
На этот вопрос ответит лишь безопасник, разобравший вашу ситуацию по косточкам. Потому что первичная задача: сотрудники (не АРМ, не уч.записи пользователей), имеющие права доступа к обработке ПДн, должны получать такую возможность, но остальные сотрудники - нет. А вот для ее решения уже можно:
1. Опоясать все АРМ СЗИ НСД (и те 60, и другие 20), контролируя возможность доступа к СУБД на сервере через локальные настройки ОС на каждом АРМ (конкретные уч.записи, дискреционные права доступа, КЦ, ЗПС, КС МНИ до кучи). Неповоротливый способ, который подходит только в случае, когда вся ЛВС переходит в состояние "защищенная", но АРМ-20 рассматриваются как "менее доверенные" по отношению к АРМ-60 и серверу. Главное: можно ли разграничить потоки данных к вашей СУБД на уровне ОС как сервера, так и каждого АРМ в отдельности?
2. Опоясать СЗИ НСД только АРМ с ПДн (60 шт.), а остальные АРМ (20 шт.) отделить МЭ от сервера, чтобы потоки данных к СУБД шли только от АРМ с ПДн. Классический и оптимальный способ. Однако, слабо защищающий от средней руки инсайдера, способного перехватить администрирование АРМ-20 и поискать уязвимости (аппаратные, программные, логические, организационные) в остальном "защищенном сегменте" ЛВС.
3. Забить на СЗИ НСД и реализовать разграничение и полный контроль доступа на уровне СУБД и ПО, применяемого с ней на клиентской и серверной стороне. Самый гибкий, но и самый трудозатратный (экономика, время, уровень подготовки и проч.) способ.
Иными словами, начать надо с моделирования угроз и нарушителей, с оценки уязвимых мест каждой приведенной схемы, с изучения техпроцесса обработки информации, с понимания общего возможного уровня затрат - по результатам решение само придет, ага...

ЗЫ В КОНФИ и тем более в защите ПДн нет ни одного однозначного требования использовать где-либо СЗИ НСД...