Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Закон допускает VLAN?!?!
Вопрос заключается в следующем, чтобы получить аттестат соответствия требованиям безопасности по ФЗ№152 и лицензию на ТЗКИ допускается ли использование VLAN? можем ли мы купить 1 МЭ соответствующий высшему классу, а потом делить сеть на вируальные локальные сети с разными классами!
Я думаю, если 351 указ Президента позволяет через сертифицированные МЭ подключаться к инету, то для разделения внутренней сети на подсети с разными классами ИСПДн и подавно можно, более того, это даже необходимо делать, что бы минимизировать расходы на обеспечение безопасности.
При этом встаёт вопрос о сертификации используемых средств защиты:
предварительная постановка:
у вас наверняка клиенты с ПДн подключены к разным коммутаторам локальной сети, на соответствующих портах которых поднят VLAN персональных данных.
Вы наверное обеспечите пропуск всего трафика в этот VLAN и из этого VLAN через ваш МЭ с помощью центрального маршрутизатора (маршрутизирующего коммутатора.
Ваши коммутаторы и провода должны быть в контролируемой зоне, например, коммутаторы - в шкафах, закрываемых на ключ, в провода в кабельных каналах, доступ к которым также доказуемо ограничен (например доступ в здание - по пропускам).
Собственно вопрос:
как доказать проверяющим (или аттестующим), что эти коммутаторы и центральный маршрутизатор не являются средствами защиты ПДн, а средством защиты является только ваш МЭ?
Если не докажите - надо сертифицировать как минимум каждый коммутатор, на портах которого поднят этот VLAN.
К сожалению у существующих сертифицированых МЭ в сертификатах нет ни слова о VLAN.... Это технология не ведома ФСТЭК.
Цитата
Oleg пишет:
К сожалению у существующих сертифицированых МЭ в сертификатах нет ни слова о VLAN.... Это технология не ведома ФСТЭК.
А как же Континент-IPC100, Континент-IPC1000, Континент-IPC25(mini)?
Cisco ASA 5510 и ASA 5505 сертифицированны, и поддерживают VLAN! И с другой стороны, ведь все работы по ПД делаются на усмотрение оператора, а с аттестуемым органом можно договоритьься!
Цитата
Татьяна С пишет:
а с аттестуемым органом можно договоритьься!
Орган аттестации заинтересован, чтобы Ваша ИСПДн соответсвовала всем требованиям и нормам, и в случае недочета, укажут на ошибки. Они лицензией своей рисковать не будут.
Цитата
Grentus пишет:
Цитата
Oleg пишет:
К сожалению у существующих сертифицированых МЭ в сертификатах нет ни слова о VLAN.... Это технология не ведома ФСТЭК.
А как же Континент-IPC100, Континент-IPC1000, Континент-IPC25(mini)?
И что? там сертификат на МЭ и крптуху и все. Ни о каком VLAN речи не идет. Все дело в сертификатах товарищи. Это как в касперском есть МЭ а толку?
В касперком есть анализ защищенности и обнаружение вторжений...
А вот по какой методике такие СЗИ в принципе должны пройти "оценку соответствия"?
Такой вопрос. Как смотрит закон в сторону такой программы openvpn при организации передачи денных между организациями здравоохранения?
Цитата
Oleg пишет:
Цитата
Grentus пишет:
Цитата
Oleg пишет:
К сожалению у существующих сертифицированых МЭ в сертификатах нет ни слова о VLAN.... Это технология не ведома ФСТЭК.
А как же Континент-IPC100, Континент-IPC1000, Континент-IPC25(mini)?
И что? там сертификат на МЭ и крптуху и все. Ни о каком VLAN речи не идет. Все дело в сертификатах товарищи. Это как в касперском есть МЭ а толку?

В сертификате VLAN не может быть упомянут т.к. руководящего документа на VLAN – нет. Поэтому, не надо проводить параллелей с МЭ в касперском.
Цитата
Гость пишет:
В касперком есть анализ защищенности и обнаружение вторжений...
А вот по какой методике такие СЗИ в принципе должны пройти "оценку соответствия"?

На сегодняшний день САЗ и СОВ сертифицируют на соответствие ТУ и/или НДВ.
Цитата
Grentus www.ispdnaudit.ru пишет:
Цитата
Oleg пишет:
Цитата
Grentus пишет:
Цитата
Oleg пишет:
К сожалению у существующих сертифицированых МЭ в сертификатах нет ни слова о VLAN.... Это технология не ведома ФСТЭК.
А как же Континент-IPC100, Континент-IPC1000, Континент-IPC25(mini)?
И что? там сертификат на МЭ и крптуху и все. Ни о каком VLAN речи не идет. Все дело в сертификатах товарищи. Это как в касперском есть МЭ а толку?

В сертификате VLAN не может быть упомянут т.к. руководящего документа на VLAN – нет. Поэтому, не надо проводить параллелей с МЭ в касперском.
А как вы думаете для чего тогда система сертификации? В каждом сертификате на каждое СЗИ и в приложении к сертификату и к руководству по установке должно быть четко описано на что сертифицировано СЗИ , причем любое. Нигде о VLAN нет ни слова. И никого не интересует что нет РД. Все РД вообще знаете каких годов? Там о VLAN и не мечтали еще. По вашим словам можно вообще все применять, лишь бы был сертифкат. Просто читать его нужно. Этак и венду тогда можно применять на все? Сертификат ведь есть. Маршрутизацию она ведет, мэ есть и еще кучу хороших технологий о которых нет РД.
Изменено: Oleg - 21.02.2011 15:57:05
Вот инфо по защите персональных данных http://dorf.host.sk 8)
Таки тема VLAN не раскрыта!!

Наша организация (ООО) арендует два смежных помещения в бизнес-центре. Нам запретили протягивать свои провода - провели внутри стены к каждому компьютеру провод и розеточку врезную поставили, далее эти провода идут к их "умным" свитчам, и далее к нашему серверу (используется только как интернет-шлюз + интернет-сайт наш на нем работает), установленному в серверной этого бизнес-центра (размещать сервер внутри наших помещений нам тоже запретили).

Насколько я понимаю, везде используется VLAN - и при соединении наших компьютеров к серверу, и при подключении самого сервера к интернету.

В одном из наших помещений обрабатываются данные наших клиентов.
1. Самописная программа, подключающаяся через интернет к базе данных центрального филиала в другом городе (данные категории 2).
2. Программа, работающая с локальной (архивной) базой данных (данные категории 2).
3. Локальный бумажный архив (в нем данные категории 2, которые содержатся в обеих программах/базах).

В другом нашем помещении:
1. Бухгалтерией обрабатываются данные данные наших работников (данные категории 3) - базы 1C находятся на компьютере БУХ1, к нему подключается БУХ2 через локалку.
2. Бумажные документы бухгалтерии (данные категории 3).
3. База MS Access с данными клиентов (данные категории 2) - стоит и используется только на БУХ2.

Нет, ну ладно мы компы защитим. Но как нам с сетью быть-то? Она то мне кажется не соответствует закону о защите ПД?

Посоветуйте, пожалуйста, как нам быть?
Я предлагаю обратиться к физической сути вещей.) Да да, не меньше)
Итак, VLAN - технология объединения компов в виртуальные сети на канальном уровне. Маршрутизация трафика, несанкционированный доступ к информации, подмена адресов, различного типа атаки, все это происходит на сетевом уровне. Каким образом применение технологий канального уровня в сети должно заменять, исключать или вообще как то воздействовать со средствами маршрутизации, средствами защиты сети на сетевом уровне??
Если вам так сложно воспринимать эту технологию, представьте что VLAN это средство объединения сетей, так, как будто они объединены на прямую, выделенным кабелем, без всяких сетевых устройств.
Предлагаю не париться с VLAN, а просто использовать комп с несколькими сетевыми картами, на котором установлен МЭ. Ну это самый простой вариант.
ICQ 377238542
2.3. Требования к четвертому классу защищенности МЭ.
2.3.1. Управление доступом.
Данные требования полностью включают аналогичные требования пятого класса (п.2.2.1).
Дополнительно МЭ должен обеспечивать:
- фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
- фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
- фильтрацию с учетом любых значимых полей сетевых пакетов.

2.4. Требования к третьему классу защищенности МЭ.
2.4.1. Управление доступом.
Данные требования полностью включают аналогичные требования четвертого класса (п. 2.3.1).
Дополнительно МЭ должен обеспечивать:
- фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;
- фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя;
- фильтрацию с учетом даты/времени.
ICQ 377238542
Сделайте свою ВПН. Закроете большинство проблем, в т.ч. и выход на внешний сервак.
Цитата
Гость пишет:
Таки тема VLAN не раскрыта!!

Наша организация (ООО) арендует два смежных помещения в бизнес-центре. Нам запретили протягивать свои провода - провели внутри стены к каждому компьютеру провод и розеточку врезную поставили, далее эти провода идут к их "умным" свитчам, и далее к нашему серверу (используется только как интернет-шлюз + интернет-сайт наш на нем работает), установленному в серверной этого бизнес-центра (размещать сервер внутри наших помещений нам тоже запретили).

Насколько я понимаю, везде используется VLAN - и при соединении наших компьютеров к серверу, и при подключении самого сервера к интернету.

В одном из наших помещений обрабатываются данные наших клиентов.
1. Самописная программа, подключающаяся через интернет к базе данных центрального филиала в другом городе (данные категории 2).
2. Программа, работающая с локальной (архивной) базой данных (данные категории 2).
3. Локальный бумажный архив (в нем данные категории 2, которые содержатся в обеих программах/базах).

В другом нашем помещении:
1. Бухгалтерией обрабатываются данные данные наших работников (данные категории 3) - базы 1C находятся на компьютере БУХ1, к нему подключается БУХ2 через локалку.
2. Бумажные документы бухгалтерии (данные категории 3).
3. База MS Access с данными клиентов (данные категории 2) - стоит и используется только на БУХ2.

Нет, ну ладно мы компы защитим. Но как нам с сетью быть-то? Она то мне кажется не соответствует закону о защите ПД?

Посоветуйте, пожалуйста, как нам быть?
Так как каналы связи не в вашей собственности (вы их не контролируете), то придется их защищать, криптовать - шифровать сертифицированными средствами. Например VipNet или Застава, Континент, Trust Access.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку