Объекты ОТСС и ВТСС - Форум по вопросам информационной безопасности

Ребят просьба пожалуйста проконсультировать.

Есть 2 сети:
1 - это сеть с классом К3 (пока буду в такой терминологии описывать)
2 - сеть К1
Поскольку для сети К3 есть доступ в Интернет, то что бы обеспечить интернет для СЕРВЕРА в сети К1 пришлось подключать его (2-я сетевая карта) к коммутатору сети К3.
МЭ заблокировал доступ из сети К3 в сеть К1 (в том числе на сервер).

Ну, это так, вводная, а вопросы такие:
1) Если я правильно понял, то можно считать, что сети разделены, т.е. получилась не одна ЛВС (логическая), а как было 2 сети так и осталось?
2) Т.к. добавились кое-какие ОТСС, то придется проводить спец исследования (в рамках действующей аттестации по КИ). Вопрос в том, ПК в сети К3 при описанном раскладе, надеюсь не нужно будет аттестовать в этом случае?
3) Коммутатор, соединяющий сети и ADSL-модем будет значится в структуре сети К1.
А т.к. это ОТСС, то соответственно нужно будет включать его в тех. паспорт сети ИСПДи - К1, и проводить спец исследования и по ним. Правильно я понимаю?

Дополнение к вопросам:
4) В кабинете, где расположены Коммутатор для К3 и ADSL-модем находятся ПК сети К3 их нужно учитывать как ВТСС?

Досадно

Доброе утро :)
Вот так, "с ходу" мне сложно обоснованно ответить. Поскольку область КИ и ПДн лежит несколько в стороне от моих обычных интересов.
Однако, из общих соображений...
Первое, с чем бы надо было бы определиться, так это с тем, как именно у Вас осуществлена связь между двумя сетями. Если это типовая "витопара", то есть кабель UTP, то никаких оснований считать сети разделёнными нет. Они связаны, причём - "гальванически". То есть сеть К1 просто-напросто имеет выходн не просто за пределв "КЗ" а вообще прямо к "супротивнику". Налицо нарушение, причём серьёзное.
Нужно рассмотреть и ликвидировать, в первую очередь, именно эту коллизию. А уж потом смотреть далее.
Чак

Дело в том, что такая конфигурация (две сети разных классов) - возможна, если есть МЭ на границе. Он есть. Ни один пакет с ПК из сети К3 не проходит к ПК из сети К1 - все блокируются. Так что вопрос № 1 был скорее просто так, на всякий случай.
Важно для меня теперь все это описать для аттестации (ну точнее для "доаттестации", а м/б и переаттестации, посмотрим).
Соответственно важным в описание является разделение техники на ОТСС и ВТСС.
При этом если чисто для сети К1 более или менее понятно:
Системный блок, монитор, клавиатура, мышь, ИБП, принтер, свитч - ОТСС, все остальное к ВТСС.
То для тех же: Системный блок, монитор, клавиатура, мышь, ИБП, принтер, которые раньше были в автономной сети К3 - есть недопонимание. при этом есть еще свитч сети К3 и ADSL-модем.

Лично я думаю, что свитч и ADSL-модем придется отнести к ОТСС, а все ПК с комплектующими из сети К3 к ВТСС.
Но я сомневаюсь.
Прошу, пожалуйста помощи.

Коллега, Вы меня не совсем так поняли :)
Я не говорю о том, могут ли какие-либо пакеты перейти из сети в сеть. Речь о совсем другом.
Если Ваша "закрытая" сетка существует, в ней обрабатывается некая "защищаемая информация", то в соответствии с положениями СТР-К, с п. 5.7.3. эта Ваша сетка не может иметь линии, уходящей куда-то. Тем более, если не выполнено условие п. 5.8.5.
Именно это я и имел ввиду. Между Вашими сетками ОБЯЗАТЕЛЬНО должна быть гальваническая развязка (каким способом из поименованных в СТР-К - вопрос второй).
И вот с этой точки зрения всё то, что гальванически связано с К1 (и, естественно, она сама, все её составляющие) - суть ОТСС; всё, что гальванически "отвязано" - суть уже ВТСС. Именно на этом основании и происходит разделение.
Чак

"И вот с этой точки зрения всё то, что гальванически связано с К1 (и, естественно, она сама, все её составляющие) - суть ОТСС; всё, что гальванически "отвязано" - суть уже ВТСС. Именно на этом основании и происходит разделение"
А вообще вопрос обсуждался и в ГТ в разных темах неоднократно.

К сожалению в НМД другие определения ОТСС и ВТСС.
Про гальванику там нет ни слова. Обрабатывает защищаемую информацию - ОТСС. Расположено совместно - ВТСС.
Остается класс ТС которые не обрабатывают защищаемую информацию но входят в состав технических средств информационной системы (ИБП, мышь, не секретные флешки, коммутаторы после шифратора и т.д) и необходимы для функционирования объекта.
Этот клас ТС неподходит ни под определение ОТСС ни под ВТСС. Негласно специалисты такой класс (исходя из элементарной физики техканалов) относят к ОТСС пользуясь критерием гальваники приведенный Чаком. Но в соответствии с действующими документами по ГТ и КИ этот вопрос "белое пятно НМД"!
Поэтому и путаница.

Chechaco:
5.7.3. Информация, составляющая служебную тайну, и персональные данные могут обрабатываться только в изолированных ЛВС, расположенных в пределах контролируемой зоны, или в условиях, изложенных в пунктах 5.8.4. и 5.8.5. следующего подраздела.

5.8.4. Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".
5.8.5. Для защиты конфиденциальной информации при ее передаче по каналам связи из одной АС в другую необходимо использовать:
• в АС класса 1Г - МЭ не ниже класса 4;
• в АС класса 1Д и 2Б, 3Б - МЭ класса 5 или выше.

На сервер сети К1 установлен МЭ VipNet Client 3.1
Который насколько я знаю в составе комплекса ViPNet CUSTOM 3.1 имеет достаточный уровень для защиты такой сети.
-------------
Что касается ОТСС,то согласно СТР-К
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В контексте настоящего документа к ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, используемые для обработки конфиденциальной информации.

Про гальванику здесь ничего не сказано (я понимаю, что Чак ведет речь уже к законам физики - все это хорошо, но меня интересуют нормы права).
Так вот.
ПК в сети К3 они конечно тоже являются обработчиками ПД, но все таки я описываю сеть К1. а исходя из пунктов 5.8.4 и 5.8.5 СТР-К сети у меня отделены. Значит согласно определению ОТСС ПК в сети К3 не участвуют в обработки ПД класса К1, а следовательно не долны быть отнесены к ОТСС для сети К1.
Ну как-то так, мне кажется.

Я бы не стал цитировать пункты закрытых документов в открытой сети !!!

Не долны быть отнесены к ОТСС для сети К1 - никто не мешает подсоеденится к линиям и снять сигналы ПЭМИН по гальванически соединенным линиям (хоть и являющимися ВТСС формально) в данном случае.

Деление на ОТСС и ВТСС делается для того что бы оценить инструментально защищенность ОИ от утечки по техническим каналам. Дак и оперируйте элементарной физикой описывающих процессы ПЭМИН, и при анализе угроз в модели угроз и при построении адекватной (в зависимости от актуальных угроз) СЗ ИСПДн! Прятаться за иногда неблагорозумие и нечеткость формулировок НМД мне кажется не совсем правильно.

>Я бы не стал цитировать пункты закрытых документов в открытой сети !!!
Да фигня все это на постном месте - надувание щек, со стороны ФСТЭК, тем более я цитирую пункты из документа, выложенного в Интернете, т.е., судя по всему, не окончательной редакции.
---
Скажу честно, мне все это нужно лишь для одной цели: что бы ежели ФСТЭК пришли проверять, то все было бы ровно и спокойно.
И потому мне нужно соблюсти формальности, ибо если говорить серьезно, то в нашем случае в модели угроз м/б реально только одна угроза, ну две - это считывание информации с экрана и действия сотрудников, да и то последняя маловероятна.
Но формальности, есть формальности.
А еще есть такой момент как, "отдать кучу бабок всякого рода исследования и аттестацию".
Насколько я понял, отнесение оборудования к ОТСС - это фактически влечет увеличение стоимости работ.
Поэтому мне нужно максимально возможно снизить эту стоимость.
И если п. 5.8.4. допускает подключение к сети другого класса, то почему мы не вытянуть из это все что можно?
Вот.))