Автор: Алексей | 108015 | 19.03.2020 16:46 |
Добрый день! Подскажите пожалуйста!
Ситуация такая: три АРМ в одной сети образуют одну АС. Но на одном АРМ(назовём его АРМК) есть конфиденциальная информация, которую он может хранить и отправлять на два других АРМ. То есть конф-я информация поступает сперва на АРМК, тот уже с ней работает. Два других самостоятельно не могут смотреть, что там на АРМК, но могут работать в конф-й информацией. Вопрос в чем: нужен ли в этой АС межсетевой экран? И в какой ситуации он нужен? Надо ли отдели в одной сети АРМК и два других только лишь потому что два других не должны самостоятельно смотреть конфу. СТР-К пишет: " Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием МЭ...". То есть: если у нас две сетки с разными классами защищенностями (по РД СВТ), то нужен МЭ. Надеюсь я понятно всё описал) заранее спасибо! |
Автор: oko | 108017 | 20.03.2020 11:29 |
to Алексей
Primo, отключите межсетевые сервисы на АРМК, доступные для остальных АРМ (Samba/Netbios, например). Либо настройте разграничение доступа к информации иными СЗИ (например, через авторизацию при удаленном доступе по тем же Samba/Netbios механизмом какого-нибудь СЗИ НСД)... Secundo, СТР-К носит рекомендательный характер, который допустимо использовать так, как считает собственник ИОД... Tertio, оставьте объединение АРМ в одну АС. Если вся эта совокупность имеет подключение к внешним (сторонним) АС или сетям связи - поставьте МЭ на границе сетей. Если нет (автономная АС) - imho, МЭ не нужен... Last, класс АС считайте как 1Г (т.е. с явным разграничением прав). В матрице доступа распишите, что такие-то СВТ и пользователи имеют право чтения/записи/получения ИОД, а такие-то - хранение/получение/передачу по каналам связи из сторонних АС... ЗЫ Это при условии, что у вас точно ИОД, не относящаяся к ИОД в гос.органах. Иначе правильнее будет использовать требования не устаревших СТР-К и АС от НСД, а того же 17 Приказа ФСТЭК... |
Автор: Алексей | 108064 | 13.04.2020 13:53 |
Спасибо!
Уточню. "Tertio, оставьте объединение АРМ в одну АС. Если вся эта совокупность имеет подключение к внешним (сторонним) АС или сетям связи - поставьте МЭ на границе сетей. Если нет (автономная АС) - imho, МЭ не нужен..." - нужен или не нужен МЭ это решать самим? (наша АС автономная) Ни какими документами не регламентировано? То есть мы можем сделать Модель угроз, расписать угрозы, нарушителя и сделать выводы, что актуальны такие и такие угрозы, а МЭ не нужен? Спасибо. |
Автор: oko | 108066 | 13.04.2020 14:54 |
to Алексей
Если АС/ИС автономная (не имеет подключения к иным АС/ИС и сетям связи) - МЭ не нужен, ибо бессмысленен... Если АС/ИС не классифицирована как ГИС/КИИ/АСУ ТП/ИСПДн - можете обосновать наличие/отсутствие МЭ как угодно, в том числе через Модель угроз. В иных вариантах есть нюансы (см. действующую нормативку по нужному типу и классу АС/ИС)... |
Просмотров темы: 953