Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 170 След.
RSS
[ Закрыто ] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
А если следующая структура имеются так же 20 ПК, но из них 10 ПК обрабатывают ПДн, но причем базы с ПДн, служат для разных целей и хранятся локально на каждом ПК. И есть такие ПК из этих 10 у которых по 3 БД для разных целей, как в данном случае выделить ИСПДн?
Цитата
Сергей С. пишет:
Выделение ИСПДн не зависит от архитектуры сети. У вас 2 ИСПДН: Бухгалтенрия(5 компов) и Кадры (1 комп), а то, что эти ИСПДн не отделены (не выделены) от остальной сети - МЭ обязателен при подключении к инету, сегментирование используется для снижения класса, я не помню, чтоб в 58 было обязательное разделение сети, по крайней мере для К2,3

Если вы не отделите ваши 2 ИСПДН от остальных 14 ПК, то защищать вам придется все 20 ПК,
аргументируйте пожалуйста, где я не прав...
Сначала надо выделить все информационные активы и их описать, потом установить, какие из них являются ИСПДн. Все определяется целью обработки.
Какая-то фигня с этими ИСПДн, а конкретно ответить никто не может. Давайте так имеется 5 ПК в общей сети из 20, на этих ПК база с бухгалтерией, база с кадрами, база с клиентами, база с поставщиками, база с внештатными сотрудниками. Везде в принципе разные цели, но базы разнести на отдельные ПК нельзя, так как всем сотрудникам необходимо иметь к ним доступ. Отмечу что эти компы никаким образом не отделены от общей сети.
Александр, почитайте РД, например приказ 3-х...
Вы можете выделить несколько ИСПДН в зависимости от целей обработки,
если они не разделены то должны защищаться по максимальному классу.
Согласно п 3 статьи 5. ФЗ 152 не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях несовметимых между собой. Но вы же не объединяете
базы в одну.
Цитата
Александр пишет:
Отмечу что эти компы никаким образом не отделены от общей сети.
даже правами доступа? даже на уровне папки?
мне тоже интересен такой вопрос, будет ли достаточно в таком случае отделить всех пользователей сети от баз с ИСПДн расставив права на папки / файлы / прописав роли с доступом в программах?
А вы и не обязаны отделять компы (железо). Разграничить доступ - да.
вот, а как именно разграничить в моем случае доступ? на уровне сети, создать виланы, расставить МЭ между ИСПДн? или как я выше написал "расставив права на папки / файлы / прописав роли с доступом в программах"
две испдн: одна к4 (бух+кадр), вторая К1 (рецепты+медкнижки)
есть стая товарищей которым комп нужен постольку-поскольку, отчетики собрать, служебки накатать, они ни в какую испд не входят.
насколько я понял МЭ надо поставить на шлюз который удовлетворяет К1 (высший класс испдн в сети), а юзерам достаточно посечь права доступа? я прав или нет?
Нам упала бумага так можно сказать сверху в которой нужно нарисовать структуру ИСПДн, но мы уже неделю мучаемся не знаем что нарисовать, то ли всю совокупность компов обрабатывающих и не обрабатывающих ПДн, либо каждый комп признать ИСПДн и нарисовать по отдельности. Х.з. и ответить никто не может. Накол надо посадить того кто написал эти определения
МЭ - на границе сети, внутри - раздача слонов прав
Цитата
Александр пишет:
Нам упала бумага так можно сказать сверху в которой нужно нарисовать структуру ИСПДн, но мы уже неделю мучаемся не знаем что нарисовать, то ли всю совокупность компов обрабатывающих и не обрабатывающих ПДн, либо каждый комп признать ИСПДн и нарисовать по отдельности. Х.з. и ответить никто не может. Накол надо посадить того кто написал эти определения
У меня проще - в инструкциях было написано как отдельно писать и что рисовать

1. Рисунок со условной схемой расположения (/\ стрелка вверх, \/ стрелка вниз)
Код
комп ---------> сетка -> серверБД
 /\                      \/  
пользователи  шлюз -> интернет

2. положение компа относительно контролируемой зоны - схематичный рисунок этажа с кабинетами и квадратиком показать все компы ИСПДн, пунктиром - КЗ, на схеме так и описать (1 - каб№1, 2 - КЗ, 3 - комп)

3. структура обработки словами: пользователь авторизуется в домене, потом в БД, работает в ней с ПДн (модифицирует, вносит новое ...), данные хранятся на (сервере, локально)

примерно вот так, см. "5.8 Рекoмендaции по рaзрабoтке Oтчетa о рeзультaтaх прoвeдения внутрeннeй прoвepки"

по поводу "признать каждый комп ИСПДН" сначала обозначь цели обработки данных в ИСПДн, потом уже можно группировать разные информационные системы с одинаковыми целями в одну ИСПДн, к примеру бухи пользуются 1Цэ + налогоплательщик ЮЛ + Атсрал (сдача отчетности), цель одна - бухучет, значит весь этот головняк можно объявить одной ИСПДн, даже если стоят на разных кампах, просто корректно описать в отчете обследования и в модели угроз (который наполовину копипаста с отчета и строится по результатам отчета внутреннего обследования ИТ-хозяйства)
Изменено: Rimsky - 10.08.2011 10:57:47
:( ой-ёй-ёй...., как все запущено.
давайте расскажу как было у нас (правда по старым документам, делали аттестацию).
В отделе 3 компа, на один комп установлена программа, обрабатывающая ПДн(это ОТСС - основные средства), входит в локальную сеть организации, 2 ПК - ВТСС (вспомогательные средства)- ИСПДн не установлены и доступа иметь к ИСПДн не должны, также входят в локальную сеть.
Для защиты на ОТСС установлен «Блокпост-Экран 2000/XP» (для защиты ресурсов рабочей станции, находящейся в сетевом окружении) + «Блокхост-сеть» (для комплексной и многофункциональной защиты от несанкционированного доступа (НСД) информационных ресурсов)+ антивирусник.
ФСТЭК при проверке остался доволен
Цитата
Ирина Петрова пишет:
ой-ёй-ёй...., как все запущено.
я неправ? расскажите, исправлюсь, пока не поздно перед проверкой ;)
Цитата
Rimsky пишет:
я неправ? расскажите, исправлюсь, пока не поздно перед проверкой
я не про Вас! я в общем! т.к. по вопросам защиты конфиденциальной информации (в т.ч. и ПДн) все так сложно, даже ситуация которую я описала для примера - уже устарела, т.к. порядок обработки ПДн изменился ... :(
Однако, если у кого то такой режим обработки, то можно воспользоваться такой схемой. Но предупреждаю сразу, что у нас Блокхост конфликтовал с DrWeb.
Изменено: Ирина Петрова - 10.08.2011 11:59:53
Народ мы вот уже полезли в такие дебри, защищать я понимаю как, куда и что ставить тоже знаю, модель угроз написать тоже умею. Меня интересует, что следует считать ИСПДн? Просто многие знакомые и незнакомые эксперты утверждают по разному. А именно, попробую описать каким образом. Если в организации имеется локальная ИС из 20 ПК и она используется для обработки ПДн, не важно на скольких компах, то все равно она целиком и полностью остается единой ИС и является ИСПДн, а вот если есть разделение МЭ на сегменты, т.е. отделение компов обраб. ПДн от других компов, то можно считать что ИСПДн это только те ПК на которых ведется обработка. Другие говорят так исходя из определения ИСПДн совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств, т.е. ИСПДн являются только те компы которые хранят ту самую БД с ПДн или компы имеющие доступ к ПДн. Вот как быть с этими противоречиями кто прав я так и не могу понять????
Сложность в том, что если сеть (компы на которых обрабатываются ПДн) не сегментированы физически, то имея соответствующие права доступа я могу их обрабатывать на любом компе сети. То есть выделить ИСПДн как сервер+4конкретных компа невозможно. Или оргмеры, запрещающие обработку на других компах, не входящих в список.
Изменено: Сергей С. - 10.08.2011 12:10:06
Цитата
Александр пишет:
так исходя из определения ИСПДн совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств,
Уважаемый, так Вы ж сами себе ответили! Все компы имеющие доступ к ПДн или которые могут иметь (независимо - легальный или нелегальый) будут входить в ИСПДн, для того и предназначена СЗИ, чтобы дать доступ только тем, кто имеет легальный доступ и ограничить нелегальный (несанкционированный). Как только Вы настроите системы защиты 5 ПК (закроете их МЭ и т.д.), то в ИСПДн будут входить только эти компы+принтер (к которому доступ также будут иметь только эти 5 компов. Все остальные средства, расположенные в кабинетах, где стоят эти 5 компов, будут рассматриваться как ВТСС.
Если на каждом из 5 компов обрабатываются разные персональные данные и доступ у ним имеет только пользователь этого компа, то защищать можно как в приведенном мной примере. Если требуется доступ с других компов, то требования как к локальной сети и как уж Вы будете ее выделять - другой вопрос.
А если ПДн храняться на сервере, то здесь еще более страшная история...
Изменено: Ирина Петрова - 10.08.2011 12:21:36
Цитата
Ирина Петрова пишет:
А если ПДн храняться на сервере, то здесь еще более страшная история...
это почему?
ИМХО намного проще, ИСПДн=сервер+АРМы, на серваке права разрулил на SQL/папки, если мелкие проги - удаленным доступом пустил кого нужно, все остальные за "периметром".
Попробуем отделить мух от котлет.
Предлагаю Александру такой вариант:
Выделить 3 ИСПДн по целям обработки. 1 - сотрудники (бухи, кадры, внештатные сотрудники);
2 - клиенты; 3 - поставщики. Определиться с классом этих ИСПДн, если класс везде одинаков, то защищать
все эти машины в одном сегменте отделенном от остальных машин ЛВС межсетевым экраном.
Если классы разные, то либо защищать ИСПДн по максимальному классу в одном сегменте, либо отделять
ИСПДн с наивысшим классом еще одним МСЭ, от оставшихся двух ИСПДн.
В вашем случае, скорее всего, у всех 3 ИСПДн будет класс К3.

Если разграничивать правами доступа на папки, то в качестве средства защиты используется ОС, следовательно она должна быть сертифицирована.
Цитата
Rimsky пишет:
ИМХО намного проще, ИСПДн=сервер+АРМы
Проще, если всю сеть признать ИСПДн, то есть все компы, какие есть будут иметь доступ к ПДн (кому надо и не надо), причем если пользователи будут иметь равный доступ - ваще просто!
Изменено: Ирина Петрова - 10.08.2011 13:03:31
Страницы: Пред. 1 2 3 4 5 ... 170 След.
Читают тему (гостей: 4, пользователей: 0, из них скрытых: 0)