Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
VipNet и SSEP, совместимы ли в работе
Здравствуйте, стоит такая задача: организовать защищённое соединение по передаче ПДн с ГИС (через VPN посредством VipNet).
Мы не являемся ГИС, а только передаём им данные. УЗ ИСПДн - 3. Соответственно, нужно обеспечить СЗИ.
ИСПДн имеет выход в интернет, значит нужна СОВ (по 21 приказу ФСТЭК)
Состав СЗИ примерно такой планирую:
- VipNet (защита ПДн при передаче по сети)
- SSEP+антивирь в комплекте - средство обнаружения вторжений+АВ-защита
- SecretNet 7 - СЗИ от НСД
Вопрос практического характера: кто-нибудь использовал VipNet совместно с SSEP, не будут ли они конфликтовать за счёт того,что в обоих СЗИ есть межсетевые экраны, или, может быть в одном из них МЭ можно отключить, но, опять же, не приведет ли это к сбоям в работе СЗИ и передае ПДн по VPN? ;)
2 раза использовал такое сочетание в первом случае все установилось и работало нормально, а во втором возник конфликт в результате которого пришлось удалить SSEP (может из-за того что схема использовалась на сервере), лично мое мнение лучше отказать от SSEP и использовать ViPNet Client + СЗИ от НСД. А работу клиента организовать во 2 или 3 режиме.
Дело в том, что нам по-любому нужна СОВ(по 21 приказу ФСТЭК) :(
Цитата
lumenaris пишет:
Дело в том, что нам по-любому нужна СОВ(по 21 приказу ФСТЭК)
Вы ничего не путаете? Вы написали, что у вас УЗ-3, а согласно 21-му приказу, на УЗ-3 СОВ не обязательна.
Ну дк комп к интернету подключен
Цитата
lumenaris пишет:
Ну дк комп к интернету подключен
И что с того?? Где написано, что при подключении к Интету обязательна СОВ?
21 Приказ ФСТЭК:
12.При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
б) для обеспечения 3 уровня защищенности персональных данных применяются:
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
А я бы так подчеркнул :)
Цитата
lumenaris пишет:
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случа е актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

Дело в том, что если у вас 3-й уровень защищенности, то СОВ вам необходим только если угроза сетевых вторжений актуальна. Тогда придется применять СОВ и все, как написано в процитированном вами фрагменте. Если угроза неактуальна, следовательно и СОВ не нужна, спите спокойно.

Из процитированного вами отрывка можно сделать и такой вывод: СОВ нужна независимо от того, есть подключение к Инету или нет. :)
Ннну в общем, да, просто мне казалось, что ВСЕ меры из этого приказа обязательны к применению...
Т.о. нужно составить частную модель угроз, из неё убрать все ненужные/неудобные угрозы в ней обозначить, что угрозы, связанные с внешними вторжениями неактуальны и спать спокойно? :)
lumenaris, в общем-то да :)
Обязательными являются только меры, входящие в так называемый "базовый набор" и помеченные знаком "+". Остальные меры вы применяете, если есть такая актуальная угроза, от которой меры из базового набора не защищают.
AlexG, спасибо, очень помогли :)
AlexG, у вас есть согласованные со ФСТЭК подобные модели угроз (где СОВ для УЗ-3 не применяется при наличии выхода в Интернет )? Почему вы так уверены в данном подходе?
Согласен с вами, что в базовом наборе СОВ начинается только с УЗ-2, но при этом п. 12 21-го Приказа не особо предполагает двойной трактовки.
"При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации для обеспечения 3 уровня защищенности персональных данных применяются системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена."
Цитата
Павел пишет:
... но при этом п. 12 21-го Приказа не особо предполагает двойной трактовки. ...
12-й пункт не предполагает двойной трактовки это точно.
"При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации..."

Вдумайтесь. "При использовании". Сперва должна быть определена необходимость использования для УЗ3 сертифицированных СОВ. И лишь затем проверяется соответствие класса СОВ уровню защищенности.
Нет сертифицированных СЗИ - нет требования к классу СЗИ. Именно об этом говорит этот пункт. не больше и не меньше.
Сразу скажу, мне кажется, что однозначного ответа нет, в прошлом комменте я слегка лукавил) Просто хочется прийти к какому-то общему мнению, услышать все за и против.
Хорошо, давай-те порассуждаем.

1. "При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации", а какие еще у нас есть средства защиты информации? Все остальные СЗИ не считаются) Почему не написать, в случае актуальных угроз сетевых вторжений (ну или как-то так) СОВ используется, в случае неактуальности не используется? Нигде про актуальность не сказано. Есть интернет - все, СОВ 4 класса, получите распишитесь.
2. Если требования наличия СОВ для УЗ-3 необязательные, то почему когда эта СОВ есть - требования к сертификации вдруг становятся обязательными? Как-то странно получается.
3. В случае наличия подключения к Интернету. Интернет и в Африке интернет, как в одних моделях угроз эта угроза актуальна, а в других нет?
1. Потому что об этом есть выше. Этот пункт не говорит о необходимости применения или не применения СЗИ. Вообще. Он говорит о том, какие сертифицированные СЗИ _нельзя_ применять для отдельных УЗ.
Впрочем самый главный вопрос - на автономный АРМ ставим МЭ?
Код
в) для обеспечения 4 уровня защищенности персональных данных применяются:
межсетевые экраны 5 класса.
2. Не требования к сертификации, а требования к классу применяемых сертифицированных СЗИ.

В общем не суть. Жду ответа на вопрос в 1м пункте.
Изменено: Владимирович - 13.11.2013 18:34:46
Ах да. И по теме топика - поднимите руки-то те, кто понимает, что у SSEP нет сертификата по любому классу СОВ.
я понял ваш намек)
согласен, если так подходить к вопросу, то получается для УЗ-3 СОВ необязательна. Логика понятна, но че-то какая-то кривоватая она)
Цитата
Павел пишет:
AlexG, у вас есть согласованные со ФСТЭК подобные модели угроз (где СОВ для УЗ-3 не применяется при наличии выхода в Интернет )? Почему вы так уверены в данном подходе?
Выше уже ответили...

Кстати, где написано, что свою модель угроз я должен согласовать со ФСТЭК??
Вот любите вы усложнять ;)
Цитата
Владимирович пишет:
Ах да. И по теме топика - поднимите руки-то те, кто понимает, что у SSEP нет сертификата по любому классу СОВ.
Вобщето есть сертификат до 2016 годаhttp://www.securitycode.ru/products/security_studio_endpoint_protection/sertificates­/
AlexG,
Да нет, никто не усложняет)
Понятное дело, что нигде не сказано, что надо согласовывать МУ со ФСТЭК. Просто это серьезный аргумент в пользу решений
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку