Автор: Александр | 107401 | 21.10.2019 11:49 |
Здравствуйте, коллеги.
Есть ЛВС - всего 80 АРМов, в которой есть сервер на котором работает СУБД ПДн (УЗ третий), и к нему с помощью толстого клиента подключаются АРМы, которые обрабатывают те самые ПДн. Количество АРМов с толстым клиентом ограничено лицензией: 60. Если не отделять эти 20 АРМов, которые не обрабатывают ПДн, от этой ЛВС, то надо ли ставить на эти АРМы СЗИ от НСД? |
Автор: oko | 107403 | 21.10.2019 21:16 |
to Александр
На этот вопрос ответит лишь безопасник, разобравший вашу ситуацию по косточкам. Потому что первичная задача: сотрудники (не АРМ, не уч.записи пользователей), имеющие права доступа к обработке ПДн, должны получать такую возможность, но остальные сотрудники - нет. А вот для ее решения уже можно: 1. Опоясать все АРМ СЗИ НСД (и те 60, и другие 20), контролируя возможность доступа к СУБД на сервере через локальные настройки ОС на каждом АРМ (конкретные уч.записи, дискреционные права доступа, КЦ, ЗПС, КС МНИ до кучи). Неповоротливый способ, который подходит только в случае, когда вся ЛВС переходит в состояние "защищенная", но АРМ-20 рассматриваются как "менее доверенные" по отношению к АРМ-60 и серверу. Главное: можно ли разграничить потоки данных к вашей СУБД на уровне ОС как сервера, так и каждого АРМ в отдельности? 2. Опоясать СЗИ НСД только АРМ с ПДн (60 шт.), а остальные АРМ (20 шт.) отделить МЭ от сервера, чтобы потоки данных к СУБД шли только от АРМ с ПДн. Классический и оптимальный способ. Однако, слабо защищающий от средней руки инсайдера, способного перехватить администрирование АРМ-20 и поискать уязвимости (аппаратные, программные, логические, организационные) в остальном "защищенном сегменте" ЛВС. 3. Забить на СЗИ НСД и реализовать разграничение и полный контроль доступа на уровне СУБД и ПО, применяемого с ней на клиентской и серверной стороне. Самый гибкий, но и самый трудозатратный (экономика, время, уровень подготовки и проч.) способ. Иными словами, начать надо с моделирования угроз и нарушителей, с оценки уязвимых мест каждой приведенной схемы, с изучения техпроцесса обработки информации, с понимания общего возможного уровня затрат - по результатам решение само придет, ага... ЗЫ В КОНФИ и тем более в защите ПДн нет ни одного однозначного требования использовать где-либо СЗИ НСД... |
Просмотров темы: 978