Межсетевой экран. Примнение. - Форум по вопросам информационной безопасности

Добрый день! Подскажите пожалуйста!

Ситуация такая: три АРМ в одной сети образуют одну АС. Но на одном АРМ(назовём его АРМК) есть конфиденциальная информация, которую он может хранить и отправлять на два других АРМ. То есть конф-я информация поступает сперва на АРМК, тот уже с ней работает. Два других самостоятельно не могут смотреть, что там на АРМК, но могут работать в конф-й информацией. Вопрос в чем: нужен ли в этой АС межсетевой экран? И в какой ситуации он нужен? Надо ли отдели в одной сети АРМК и два других только лишь потому что два других не должны самостоятельно смотреть конфу.

СТР-К пишет: " Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием МЭ...". То есть: если у нас две сетки с разными классами защищенностями (по РД СВТ), то нужен МЭ.

Надеюсь я понятно всё описал) заранее спасибо!

to Алексей
Primo, отключите межсетевые сервисы на АРМК, доступные для остальных АРМ (Samba/Netbios, например). Либо настройте разграничение доступа к информации иными СЗИ (например, через авторизацию при удаленном доступе по тем же Samba/Netbios механизмом какого-нибудь СЗИ НСД)...
Secundo, СТР-К носит рекомендательный характер, который допустимо использовать так, как считает собственник ИОД...
Tertio, оставьте объединение АРМ в одну АС. Если вся эта совокупность имеет подключение к внешним (сторонним) АС или сетям связи - поставьте МЭ на границе сетей. Если нет (автономная АС) - imho, МЭ не нужен...
Last, класс АС считайте как 1Г (т.е. с явным разграничением прав). В матрице доступа распишите, что такие-то СВТ и пользователи имеют право чтения/записи/получения ИОД, а такие-то - хранение/получение/передачу по каналам связи из сторонних АС...

ЗЫ Это при условии, что у вас точно ИОД, не относящаяся к ИОД в гос.органах. Иначе правильнее будет использовать требования не устаревших СТР-К и АС от НСД, а того же 17 Приказа ФСТЭК...

Спасибо!
Уточню.
"Tertio, оставьте объединение АРМ в одну АС. Если вся эта совокупность имеет подключение к внешним (сторонним) АС или сетям связи - поставьте МЭ на границе сетей. Если нет (автономная АС) - imho, МЭ не нужен..." - нужен или не нужен МЭ это решать самим? (наша АС автономная) Ни какими документами не регламентировано?
То есть мы можем сделать Модель угроз, расписать угрозы, нарушителя и сделать выводы, что актуальны такие и такие угрозы, а МЭ не нужен?
Спасибо.

to Алексей
Если АС/ИС автономная (не имеет подключения к иным АС/ИС и сетям связи) - МЭ не нужен, ибо бессмысленен...
Если АС/ИС не классифицирована как ГИС/КИИ/АСУ ТП/ИСПДн - можете обосновать наличие/отсутствие МЭ как угодно, в том числе через Модель угроз. В иных вариантах есть нюансы (см. действующую нормативку по нужному типу и классу АС/ИС)...