Автор: Макс | 43077 | 06.04.2013 08:05 |
Ребят просьба пожалуйста проконсультировать.
Есть 2 сети: 1 - это сеть с классом К3 (пока буду в такой терминологии описывать) 2 - сеть К1 Поскольку для сети К3 есть доступ в Интернет, то что бы обеспечить интернет для СЕРВЕРА в сети К1 пришлось подключать его (2-я сетевая карта) к коммутатору сети К3. МЭ заблокировал доступ из сети К3 в сеть К1 (в том числе на сервер). Ну, это так, вводная, а вопросы такие: 1) Если я правильно понял, то можно считать, что сети разделены, т.е. получилась не одна ЛВС (логическая), а как было 2 сети так и осталось? 2) Т.к. добавились кое-какие ОТСС, то придется проводить спец исследования (в рамках действующей аттестации по КИ). Вопрос в том, ПК в сети К3 при описанном раскладе, надеюсь не нужно будет аттестовать в этом случае? 3) Коммутатор, соединяющий сети и ADSL-модем будет значится в структуре сети К1. А т.к. это ОТСС, то соответственно нужно будет включать его в тех. паспорт сети ИСПДи - К1, и проводить спец исследования и по ним. Правильно я понимаю? |
Автор: Макс | 43078 | 06.04.2013 08:43 |
Дополнение к вопросам:
4) В кабинете, где расположены Коммутатор для К3 и ADSL-модем находятся ПК сети К3 их нужно учитывать как ВТСС? |
Автор: Макс | 43090 | 07.04.2013 19:26 |
Досадно
|
Автор: Chechaco, MASCOM | 43094 | 08.04.2013 09:10 |
Доброе утро :)
Вот так, "с ходу" мне сложно обоснованно ответить. Поскольку область КИ и ПДн лежит несколько в стороне от моих обычных интересов. Однако, из общих соображений... Первое, с чем бы надо было бы определиться, так это с тем, как именно у Вас осуществлена связь между двумя сетями. Если это типовая "витопара", то есть кабель UTP, то никаких оснований считать сети разделёнными нет. Они связаны, причём - "гальванически". То есть сеть К1 просто-напросто имеет выходн не просто за пределв "КЗ" а вообще прямо к "супротивнику". Налицо нарушение, причём серьёзное. Нужно рассмотреть и ликвидировать, в первую очередь, именно эту коллизию. А уж потом смотреть далее. Чак |
Автор: Макс | 43098 | 08.04.2013 10:17 |
Дело в том, что такая конфигурация (две сети разных классов) - возможна, если есть МЭ на границе. Он есть. Ни один пакет с ПК из сети К3 не проходит к ПК из сети К1 - все блокируются. Так что вопрос № 1 был скорее просто так, на всякий случай.
Важно для меня теперь все это описать для аттестации (ну точнее для "доаттестации", а м/б и переаттестации, посмотрим). Соответственно важным в описание является разделение техники на ОТСС и ВТСС. При этом если чисто для сети К1 более или менее понятно: Системный блок, монитор, клавиатура, мышь, ИБП, принтер, свитч - ОТСС, все остальное к ВТСС. То для тех же: Системный блок, монитор, клавиатура, мышь, ИБП, принтер, которые раньше были в автономной сети К3 - есть недопонимание. при этом есть еще свитч сети К3 и ADSL-модем. Лично я думаю, что свитч и ADSL-модем придется отнести к ОТСС, а все ПК с комплектующими из сети К3 к ВТСС. Но я сомневаюсь. Прошу, пожалуйста помощи. |
Автор: Chechaco, MASCOM | 43104 | 08.04.2013 12:58 |
Коллега, Вы меня не совсем так поняли :)
Я не говорю о том, могут ли какие-либо пакеты перейти из сети в сеть. Речь о совсем другом. Если Ваша "закрытая" сетка существует, в ней обрабатывается некая "защищаемая информация", то в соответствии с положениями СТР-К, с п. 5.7.3. эта Ваша сетка не может иметь линии, уходящей куда-то. Тем более, если не выполнено условие п. 5.8.5. Именно это я и имел ввиду. Между Вашими сетками ОБЯЗАТЕЛЬНО должна быть гальваническая развязка (каким способом из поименованных в СТР-К - вопрос второй). И вот с этой точки зрения всё то, что гальванически связано с К1 (и, естественно, она сама, все её составляющие) - суть ОТСС; всё, что гальванически "отвязано" - суть уже ВТСС. Именно на этом основании и происходит разделение. Чак |
Автор: sekira | 43107 | 08.04.2013 13:22 |
"И вот с этой точки зрения всё то, что гальванически связано с К1 (и, естественно, она сама, все её составляющие) - суть ОТСС; всё, что гальванически "отвязано" - суть уже ВТСС. Именно на этом основании и происходит разделение"
А вообще вопрос обсуждался и в ГТ в разных темах неоднократно. К сожалению в НМД другие определения ОТСС и ВТСС. Про гальванику там нет ни слова. Обрабатывает защищаемую информацию - ОТСС. Расположено совместно - ВТСС. Остается класс ТС которые не обрабатывают защищаемую информацию но входят в состав технических средств информационной системы (ИБП, мышь, не секретные флешки, коммутаторы после шифратора и т.д) и необходимы для функционирования объекта. Этот клас ТС неподходит ни под определение ОТСС ни под ВТСС. Негласно специалисты такой класс (исходя из элементарной физики техканалов) относят к ОТСС пользуясь критерием гальваники приведенный Чаком. Но в соответствии с действующими документами по ГТ и КИ этот вопрос "белое пятно НМД"! Поэтому и путаница. |
Автор: Макс | 43120 | 08.04.2013 20:19 |
Chechaco:
5.7.3. Информация, составляющая служебную тайну, и персональные данные могут обрабатываться только в изолированных ЛВС, расположенных в пределах контролируемой зоны, или в условиях, изложенных в пунктах 5.8.4. и 5.8.5. следующего подраздела. 5.8.4. Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". 5.8.5. Для защиты конфиденциальной информации при ее передаче по каналам связи из одной АС в другую необходимо использовать: • в АС класса 1Г - МЭ не ниже класса 4; • в АС класса 1Д и 2Б, 3Б - МЭ класса 5 или выше. На сервер сети К1 установлен МЭ VipNet Client 3.1 Который насколько я знаю в составе комплекса ViPNet CUSTOM 3.1 имеет достаточный уровень для защиты такой сети. ------------- Что касается ОТСС,то согласно СТР-К Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В контексте настоящего документа к ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, используемые для обработки конфиденциальной информации. Про гальванику здесь ничего не сказано (я понимаю, что Чак ведет речь уже к законам физики - все это хорошо, но меня интересуют нормы права). Так вот. ПК в сети К3 они конечно тоже являются обработчиками ПД, но все таки я описываю сеть К1. а исходя из пунктов 5.8.4 и 5.8.5 СТР-К сети у меня отделены. Значит согласно определению ОТСС ПК в сети К3 не участвуют в обработки ПД класса К1, а следовательно не долны быть отнесены к ОТСС для сети К1. Ну как-то так, мне кажется. |
Автор: sekira | 43121 | 08.04.2013 20:43 |
Я бы не стал цитировать пункты закрытых документов в открытой сети !!!
Не долны быть отнесены к ОТСС для сети К1 - никто не мешает подсоеденится к линиям и снять сигналы ПЭМИН по гальванически соединенным линиям (хоть и являющимися ВТСС формально) в данном случае. Деление на ОТСС и ВТСС делается для того что бы оценить инструментально защищенность ОИ от утечки по техническим каналам. Дак и оперируйте элементарной физикой описывающих процессы ПЭМИН, и при анализе угроз в модели угроз и при построении адекватной (в зависимости от актуальных угроз) СЗ ИСПДн! Прятаться за иногда неблагорозумие и нечеткость формулировок НМД мне кажется не совсем правильно. |
Автор: Макс | 43124 | 09.04.2013 06:19 |
>Я бы не стал цитировать пункты закрытых документов в открытой сети !!!
Да фигня все это на постном месте - надувание щек, со стороны ФСТЭК, тем более я цитирую пункты из документа, выложенного в Интернете, т.е., судя по всему, не окончательной редакции. --- Скажу честно, мне все это нужно лишь для одной цели: что бы ежели ФСТЭК пришли проверять, то все было бы ровно и спокойно. И потому мне нужно соблюсти формальности, ибо если говорить серьезно, то в нашем случае в модели угроз м/б реально только одна угроза, ну две - это считывание информации с экрана и действия сотрудников, да и то последняя маловероятна. Но формальности, есть формальности. А еще есть такой момент как, "отдать кучу бабок всякого рода исследования и аттестацию". Насколько я понял, отнесение оборудования к ОТСС - это фактически влечет увеличение стоимости работ. Поэтому мне нужно максимально возможно снизить эту стоимость. И если п. 5.8.4. допускает подключение к сети другого класса, то почему мы не вытянуть из это все что можно? Вот.)) |
Просмотров темы: 16949