Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 6 След.
Ответить
RSS
Подключение информационной системы к сетям общего пользования, Есть или нет?
1. Есть локальная сеть из ~80 машин. В ней 6 компьютеров+сервер состоят в ИСПДн класса K3. Один из 6 компьютеров подключен к интернету и отправляет данные через «Контур-Экстерн» в пенсионный и другие фонды. Можно ли считать, что у ИСПДн не имеется подключения к сетям общего пользования и (или) сетям международного информационного обмена при условии, что доступ к интернету, этому одному компьютеру, предоставляется по требованию, для отправки отчётности? Или же нужно указать, что ИСПДн имеет доступ к международной сети?
2. Если же он имеет доступ, то достаточно ли установить сертифицированный сетевой экран только на одну эту машину, или же нужно устанавливать на все, входящие в локальную сеть и работающие с ИСПДн?
3. Какова будет структура такой информационной системы: локальная или распределённая?
В Вашем случае имеет место локальная ВС с подключением к ССОП и МИО, причем через эти МИО осуществляется передача перс. данных.
Согласно РД, Ваша ИСПДн должна быть подключена к ССОП через межсетевой экран, а стоит ли он на каждом АРМ или на периметре ИСПДн - не суть.
Цитата
AlexG пишет:
В Вашем случае имеет место локальная ВС с подключением к ССОП и МИО, причем через эти МИО осуществляется передача перс. данных.
Согласно РД, Ваша ИСПДн должна быть подключена к ССОП через межсетевой экран, а стоит ли он на каждом АРМ или на периметре ИСПДн - не суть.
1. Т.е., получается, у нас локальная информационная система с наличием подключения к сетям общего пользования?
2. А если у пользователей ИСПДн не будет интернета, но он будет у других участников локальной сети, такая ИСПДн тоже считается с выходом к сетям международного обмена (распределённая)?
Изменено: Сергей - 02.08.2012 15:30:14 (дополнение)
1. Да.
2. Попробуйте нарисовать границы Вашей ИСПДн. Где они проходят? Как отделены АРМ, в к-рых обрабатываются ПДн от всех остальных? И самое главное: имеется угроза вредоносных воздействий из Интернета на ПДн через другие машины локальной сети, соответсвенно, лучше выделить машины с ПДн в отдельный сегмент, отгородив его МЭ.
Итог:
1) В акте классификации пишем:
а) ИСПДн - локальная информационная система
б) Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена - имеется

2) ПО:
а) На каждый компьютер в ИСПДн (6 шт.) ставим персональный МЭ - ViPNet Personal Firewall+Антивирус (Касперский, DrWeb). Нужно ли ещё средство криптографии и шифрования? СЗИ «Dallas Lock 7.7» для предотвращения НСД или что-то такое?
б) На всю локалку Ideco ICS+антивирусы на 6 компов (про Dallas Lock тоже вопрос).
На мой взгляд, нормально.
Криптография нужна, т.к. передача ПДн осуществляется по незащищенному каналу связи.
Необходимость Dallas зависит от модели угроз. У Вас К3, можно было бы и без него обойтись, но поскольку нужно (если нужно?) ограничить доступ к компьютеру, подключенному к Инету, то не помешает.

И еще учтите, что Приказ 58 требует:
"5. Анализ защищенности проводится для распределенных информационных систем и информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) анализа защищенности.
Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему.
6. Обнаружение вторжений проводится для информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений".
1. Т.е. надо закупить ещё что-то вроде "Сетевой сканер безопасности: Ревизор сети 2.0"?
Dallas Lock нужен для аудита действий пользователя и ведения журнала (это указано в требованиях по защите).

2. У нас есть несколько филиалов (находятся в других городах), с которых шлют файлы, содержащие ПДн на отдельное АРМ. Как вы посоветуете организовать обмен? Сделать VPN (CSP VPN Server, CSP VPN Client), или же чем-то шифровать файлы (чем?? есть ли сертифицированные средства?) и посылать по электронке? И как классифицировать данную ИСПДн, как распределённую с подключением к ССОП?
Изменено: Сергей - 02.08.2012 17:28:33
Сергей,
По первому пункту - да, Ревизора Вам вполне хавтит, я думаю.
Журналирование действий пользователей можно оргаанизовать и встроенными в Windows средствами (я считаю, что электронный журнал регистрации действий не явл. средством защиты, и, следовательно, не требует сертификации, но есть и другие мнения :) )
По второму: можно сделать шифрованный канал связи, а можно шифровать сами файлы и передавать, не суть. Важно, что шифровать можно только сертифицированными криптосредствами. Какими - почитайте форум, посмотрите реестр таковых средств на сайте ФСБ..... инфы достаточно. Я, к сожалению, не готов назвать конкрентых технич. решений.
Сеть в Вашем случае будет распределенная с подключением.
Изменено: AlexG - 02.08.2012 17:47:09
AlexG, Спасибо за объяснения.
2Сергей
Зачем Вам Ideco ICS, если вы на каждый АРМ ИСПДн ставите персональный МЭ?
Цитата
Михаил пишет:
2Сергей

Зачем Вам Ideco ICS, если вы на каждый АРМ ИСПДн ставите персональный МЭ?
Я описал два разных варианта действий. Под буквой а и буквой б.
Цитата
Сергей пишет:
чем-то шифровать файлы (чем?? есть ли сертифицированные средства?)
шифровать можно следующим образом:
на АРМ, откуда посылаются файлы, ставите КриптоПРО CSP (лицензия 1800р, если сервак - то 25000) и stunnel,
на принимающий комп ставите также КриптоПРО и stunnel.

Либо ещё есть вариант с cryptcp, входящей в состав КриптоПРО, уточняйте у производителя.
Понятно, как альтернатива Ideco можете ещё посмотреть Altell или ViPnet Coordinator HW 100, прикиньте по ценам, что выгоднее. Ещё про системы обнаружения атак вы забыли.

Если использовать персональные МЭ, то некоторые устанавливают их только на те АРМ, которые имеют подключение к Интернет каналу, на мой взгляд это неправильно, но если стоит задача изо всех сил минимизировать затраты на закупаемые СЗИ, то можно и так поступить.

Как альтернатива персональному экрану ViPNet Client можете посмотреть SSEP Кода безопасности, там и система обнаружения атак и антивирус встроенный есть.

Если VPN строить необязательно можете шифровать просто файлы, смотрите решения опять же VipNet и КриптоПро.

Вобщем есть из чего выбирать, это типовые и наиболее популярные решения. Смотрите, какие из них вам больше подходят.
Если из филиала выгружают файл с ПДн, шифруют его КриптоАрм и отправляют по почте в центр, то такая ИСПДн не будет считаться распределённой, а будет локальной?

Можно ли объединить этот комп, которому шлют файлы для эл-ой подписи и отправки в банк, с центральным ИСПДн "Зарплата и кадры"?
Изменено: Сергей - 03.08.2012 14:44:41
Цитата
Михаил пишет:
Понятно, как альтернатива Ideco можете ещё посмотреть Altell или ViPnet Coordinator HW 100, прикиньте по ценам, что выгоднее. Ещё про системы обнаружения атак вы забыли.
Если использовать персональные МЭ, то некоторые устанавливают их только на те АРМ, которые имеют подключение к Интернет каналу, на мой взгляд это неправильно, но если стоит задача изо всех сил минимизировать затраты на закупаемые СЗИ, то можно и так поступить.
Как альтернатива персональному экрану ViPNet Client можете посмотреть SSEP Кода безопасности, там и система обнаружения атак и антивирус встроенный есть.
Если VPN строить необязательно можете шифровать просто файлы, смотрите решения опять же VipNet и КриптоПро.
Вобщем есть из чего выбирать, это типовые и наиболее популярные решения. Смотрите, какие из них вам больше подходят.
Думаем использовать SSEP+Dallas Lock7.7.
- ssep - Межсетевой экран, Антивирус и антишпион, Средство обнаружения вторжений, Web-контроль, Антиспам.
- Dallas Lock7.7 - Разграничение доступа, Контроль целостности ресурсов, Контроль аппаратно-программной конфигурации, Аудит действий пользователей.
Таким образом, мы закрываем все требования к локальной информационной системе с наличием подключения к сетям общего пользования уровня К3.

*********************************************************
Если из филиала выгружают файл с ПДн, шифруют его КриптоАрм и отправляют по почте в центр, то такая ИСПДн не будет считаться распределённой, будет локальной?

Можно ли объединить этот комп, которому шлют файлы для эл-ой подписи и отправки в банк, с центральным ИСПДн "Зарплата и кадры"?
Изменено: Сергей - 03.08.2012 17:48:45
Сергей, у вас 2 возможных разных подхода - описать обработку ПД в рамках вашего офиса и удаленного как одну распределенную ИСПДн или как взаимодействие двух локальных ИСПДн. Делайте как хотите. От названия по факту ничего не изменится.
По поводу объединения ИСПДн - опять же, делайте как хотите. Преимущество объединения - меньше количество бумажек. Главное правильно сформулируйте цели ИСПДн, обобщайте. Есть формальное требование - обработка различных по цели ПД в одной ИСПДн запрещена, но всегда можно придумать обобщенную цель, которой соответствовали бы разные ПД.
Если у вас К3, то как средство от нсд можно использовать сертифицированную фстэк винду, зачем вам лишний геморрой с далас лок.
почему заморачиваетесь на испдн в плане являются они распределенными или локальными? если трафик выходит за пределы КЗ шифруйте его, если нет, то нет. ЭЦП обеспечивает достоверность и конфиденциальность информации.
Изменено: Александр - 06.08.2012 12:34:29
Цитата
Александр пишет:
Если у вас К3, то как средство от нсд можно использовать сертифицированную фстэк винду, зачем вам лишний геморрой с далас лок.

почему заморачиваетесь на испдн в плане являются они распределенными или локальными? если трафик выходит за пределы КЗ шифруйте его, если нет, то нет. ЭЦП обеспечивает достоверность и конфиденциальность информации.
Спасибо за подсказки.

Ещё интересует, куда вписывать данные по каждой машине (серийные номера, конфигурация и т.п.): в какой-то отдельный документ или в описание ИСПДн?
Цитата
Сергей С. пишет:
Паспорт ИСПДн
Ясно.

А обязательно ли нужны данные документы или же можно некоторые пропустить?
+ Типовая форма матрицы доступа сотрудников к сведениям конфиденциального характера.
- Типовая форма акта установки средств защиты информации.
+ Типовая форма описания конфигурации и топологии.
- Типовая форма схем расположения объекта информатизации относительно границы КЗ, размещения АС и ЗП относительно контролируемой зоны, схем коммуникаций и электропитания объекта, топологической схемы.
+ Типовая форма технического паспорта информационной системы персональных данных.
- Типовая форма заключения о готовности СЗИ к эксплуатации.
- Акт ввода автоматизированной системы/ИСПДн в эксплуатацию.
- Перечень программного обеспечения автоматизированной системы/ИСПДн.
- Уровень подготовки персонала по ИБ.
Страницы: 1 2 3 4 5 6 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку