Две ГИС на одной виртуализации - Форум по вопросам информационной безопасности

Доброго времени суток, коллеги!
Долго пытался разобраться, а по итогу запутался больше.

Есть две системы ГИС К3.
Что мне мешает разместить обе системы на одной среде виртуализации защищенной vGate?
1. В vGate метки назначены на виртуалки. Сетевые интерфейсы отделены теми же метками мандатного доступа.
Сильно смущает, что vGate не сертифицирован как МЭ, посчитает ли лицензиат эти метки за разделение потоков?
2. Между виртуализацией и сертифицированным МЭ стоят НЕсертифицированные коммутаторы. Везде смотрел, но ни нашел ничего, что бы мне запрещало использовать 2-е ГИС К3 на одном коммутаторе. Коммутаторы используются только для этих двух систем и больше ничего. Находятся на охраняемой территории.

Буду рад, если подскажите.
Заранее спасибо!

to Александр
Все у вас в целом правильно. А частности стоит уточнить/согласовать с теми ребятами, которые будут проводить аттестацию...
Пара уточнений:
- сертиф.коммутаторы по умолчанию не нужны, если вы не юзаете часть их функционала в качестве компонента КСЗИ (например, разделяете сеть VLAN'ами и выдаете это за нечто вроде "контроль потоков информации на канальном уровне", ага)...
- помнится, VGate выполняет далеко не все операции, требуемые по умолчанию для ГИС - внимательно изучите его документацию и сравните с базовыми требованиями к ГИС того же 3 класса...
- вопросы КЗ и охраны уже на уровне организационном, сиречь, прорабатывайте регламенты доступа, разделения полномочий на физ.доступ и проч...
- не забудьте про анализ и выявление уязвимостей в используемых ОПО и ППО, особенно в гипервизорах (судя по vGate, Hyper-V со всеми вытекающими?) - это сейчас крайне "модный" вопрос, ага...

to oko
Благодарю за разъяснение.
Да, базовые требования 17 ФСТЭК тоже учли, просто не стал расписывать.
Нет, не Hyper-V. Мы держимся за VMware.

Не совсем понял про НЕсертифицированные коммутаторы.
Каждая ГИС работает на своем vlan, все это стоит за МЭ. Если с vGate вроде все ясно и там я просто ставлю мандатные метки, то с коммутаторами и их vlan мне немного не понятно.
Верно ли я понимаю, что если мы не заявляем это как некое "контроль потоков информации на канальном уровне", то у нас все хорошо?

Буду благодарен, если сможете еще раз пояснить.

to Александр
VMWare последних версий (старых тем более) тоже имеет ряд зарегистрированных уязвимостей - сверьтесь с БДУ ФСТЭК России (https://bdu.fstec.ru/vul) для очистки совести. Заодно подумайте, какие из этих уязвимостей принципиально закрываются средствами vGate...
vlan сами по себе не являются компонентом защиты в понимании наших норморегуляторов. Можно прикрыться сертификатом на коммутатор, если он есть, но это тоже не панацея. В идеале, в вашей Модели угроз не должно быть актуальных угроз на уровне применяемого коммутационного оборудования - вот этого будет достаточно. Обоснование этих актуализаций надо смотреть по ситуации (и есть ли оно вообще) и с привлечением организации-лицензиата ФСТЭК России по ТЗКИ...
Поэтому для начала советую всю текущую схему работы ваших ГИС изложить на бумаге, привлечь ребят из конторы-лицензиата и спросить их мнения. Если будут грамотные, полезут смотреть фактическую реализацию (или эскизную, если ГИС еще не "построены") и по итогам выдадут свои рекомендации, которых стоит придерживаться. Как минимум, потому что это будут не только ваши решения (владельца/оператора ГИС), но и решения сторонних экспертов...

to oko.
Спасибо огромное. Все понял. Схемой ухе занимаюсь.
Очень хотелось сначала самому разобраться, прежде чем общаться с ребятами из конторы-лицензиата, а то я замечал, что очень они там любят защищать все и вся, а компенсирующие меры не принимать.

Спасибо, тоже сначала не разобрался что к чему