Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Контролируемая зона
Цитата
Андрей пишет:
Границей будет зона которую вы контролируете! Есть забор, нет забора - совершенно не важно!

Интересно как вы это представляете? КЗ - это то, что конкретно Вы контролируете? Ну метров 30 вперед, так? А там где прошли уже не КЗ? :)
Многие как-то примитивно понимают некоторые термины КЗ, утечка информации по техническим каналам, средста технической разведки. Чтобы лучше разобраться надо читать МВТР. Те кто писал Объектовые руководства меня поймет.
ICQ 377238542
Что такое МВТР и где его взять? "Все компоненты МИС находятся внутри контролируемой зоны". Если у нас кабели идут по воздуху, они в пределах КЗ?
:)
ICQ 377238542
мои телепатические способности сегодня с утра плохо работают, но может быть вот это:
ГОСТ 20.57.406-81. "Методы испытаний изделий электронной техники" Методики оценки возможностей ИТР (МВТР-87 с изменениями)
Защищаемся вместе и по отдельности.
http://a-makarenko.blogspot.com/
Почти. :)
Модель ИТР и другие подобные документы - секретные. Если ты не работал или работаешь в достаточно специализированной организации, то никогда их не увидишь.
Хотя по сути ничего такого особенного в них нет.
ICQ 377238542
Зачем тогда писать "чтобы лучше разобраться надо читать МВТР", если ты читал, то поясни, что и как
Я уже и пояснил. КЗ - это то, что ты контролируешь.
В первом приближении - физический контроль территории (выявление и поиск АУТР, КП и т.д.), сотрудников и лиц находящихся в КЗ.
Во втором - применение организационных и технических мер по недопущению выхода за пределы КЗ оптико-электронных, виброакустических, электромагнитных сигналов.

Ну это так, в целом.

Поэтому я и говорю, что КЗ - это пределы помещения где находятся защищаемые объекты. Расширение этих границ может обойтись вам очень дорого.
ICQ 377238542
Коллеги!
Вопрос определения КЗ - "контролируемой зоны" с одной стороны очень простой, а с современной - очень сложный.

Сначала о простом. Этот термин "КЗ" рожден в СССР, когда были большие организации на несколько кварталов и больше.
Самый простой пример: "почтовый ящик", несколько зданий, общий забор и КПП на входе. Всем входящим запрещен пронос фото-, видео-, радио- и т.п. техники (к которой сейчас отнсят все сотовые телефоны). Людей просто могли обыскать контролеры на входе, да и с собой только еду в прозрачных пакетах можно было проносить. Ну или по специальным пропускам и т.п. Можете поверить совсем недавно именно так и было в очень большом количестве организаций. Смысл "КЗ" - в том, что никто не сможет в эту зону пронести "средства контроля - автономные, носимые или мобильные". И посторонние люди не могут быть в этой зоне (как минимум - без сопровождения). Соответственно и границы КЗ определялись достаточно просто: "по забору". Это было раньше, когда все было гораздо проще.

Теперь все гораздо сложнее, т.к. в одном здании может быть сразу несколько организаций. Теперь понятие "КЗ" надо переводить с советского быта на современный лад. Получается сложно: надо организовать внешнюю охрану так, чтобы никто не смог внести в ВАШУ КЗ средства контроля (разведки). Как я уже написал, сейчас к ним простые сотовые телефоны относятся. Если по вашему зданию ходят посторонние люди, то ваша КЗ и "скукоживается" до стен вашей одной комнаты. В этом плане вопрос очень простой: где нет посторонних и есть контроль, только там и есть ваша КЗ.
Других обоснований нет и быть не может.
В качестве помощи могу подсказать, что существует легальный способ "расширения КЗ": надо всем организациям договориться (в письменном виде) о контролируемой зоне и мерах ее защиты, по типу "отделов" в советском "почтовом ящике". Не забудьте учесть "пронос средств контроля".
Такие взаимные договора позволят вам превратить в КЗ все здание, а, возможно, и "по забору".
Еще надо уточнить по Моделям угроз конкретные "угрозы", т.к. защищаться и контролировать надо только их. Вполне возможно, что получите достаточно большую КЗ и решите все свои проблемы.
Удачи!
Цитата
Олег Варламов пишет:
термин "КЗ" рожден в СССР

Уважаемый Олег Олегович!
Этот термин использовали еще народовольцы и Герцен, а затем - в новых исторических условиях - Карл Маркс и Фридрих Энгельс.
Говорят, о "КЗ" намекал Аристотель в своем споре с Платоном.
А по последним данным, именно "КЗ" использовали древние революционно-настроенные папуасы, когда боролись против первобытной тирании.

Однако демократические историки утверждают, что "КЗ" - это переделанное "ХЗ".
Ситуация следующая. У нашей организации 5 зданий объединенных в локальную сеть. Все здания наша собственность. Через пару месяцев будут строить забор (ограждение) по периметру с видеонаьлюдением на некоторых участках. Будут 2 КПП. Можно ли очерчивать КЗ по периметру забору? Вроде как охаран будет? Нужно каким то образом уйти от Пэмин.
Цитата
Гость пишет:
Ситуация следующая. У нашей организации 5 зданий объединенных в локальную сеть. Все здания наша собственность. Через пару месяцев будут строить забор (ограждение) по периметру с видеонаьлюдением на некоторых участках. Будут 2 КПП. Можно ли очерчивать КЗ по периметру забору? Вроде как охаран будет? Нужно каким то образом уйти от Пэмин.
Конечно. Так почти всегда и делают. И от ПЭМИН уйдете.
Grand Securities - исполнение Закона "О персональных данных"
С ПЭМИН так:

Утечки возможны по радиоэфиру и по сети электропитания.

По радиоэфиру ПЭМИН не актуален если от компьютера до границ КЗ около 12м или больше.
По сети электропитания: если к понижающему трансформатора не подключены сторонние энергопотребители (другие организации, арендующие офисы на вашей территории например). Обратите внимание, что в случае присутствия арендаторов с ПЭМИН по радиоэфиру тоже есть определенные тонкости при определении границ КЗ.
Д. Решетов, НПК "СпецПроект", (812) 612-12-36, dvr@spets-proekt.spb.ru
Почему некоторые чертят КЗ на метр-два больше чем стены здания? Чем это обосновано? Чтобы получить те самые 12 м?
Могу предположить, что в одном-двух метрах от здания мы можем контролировать присутствие посторонних лиц.
Вроде звучит логично, но выглядит *WOW* . Я бы не стал так проводить границу КЗ, особенно если бы проводил аттестацию.
Д. Решетов, НПК "СпецПроект", (812) 612-12-36, dvr@spets-proekt.spb.ru
В том и дело, что по идее нельзя контролировать. Есть пожарные лестницы или просто ктото залезет, спустится по веревке, или у окон первого этажа стоять может. А если у нас ходит охрана по территории, то можно объявить ее контролируемой по периметру забора?
Цитата
Oleg пишет:
А если у нас ходит охрана по территории, то можно объявить ее контролируемой по периметру забора?
Если на територии нет сторонних организаций, если организован пропускной режим для посетителей и автотранспорта, то можно.
Цитата
Дмитрий Решетов пишет:
По радиоэфиру ПЭМИН не актуален если от компьютера до границ КЗ около 12м или больше.
Извините за нескромный вопрос, какой устройство из СВТ и в каком режиме работы так далеко "светит" в эфир?
Вообще говоря "ПЭМИНят" сейчас только мониторы. Откуда цифра 12м? Из гостайны. Возможно там даже 14м, я точно сейчас не вспомню.

Звучит там требование примерно так: если до границ КЗ более этой цифры, то радиоэфир зашумлять не надо, если меньше - извольте поставить Сонату или что-то подобное.
На конфиденциалку и ПДн такие вроде цифры нигде не пробегают. Разве что отдалённо их можно вывести из "Сборника временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам" (это ФСТЭКовская книжка). Если пытаться их получить чтобы "железно" отмазаться от ПЭМИН - то уже промер ПЭМИН и получится. А это уже документальное подтверждение что СЗИ от ПЭМИН можно не ставить.

Только вот где обычным операторам взять необходимое дорогостоящее оборудование? Или платить за промеры лицензиату? Промер ПЭМИН стоит оч. недёшево.
Д. Решетов, НПК "СпецПроект", (812) 612-12-36, dvr@spets-proekt.spb.ru
Цитата
Дмитрий Решетов пишет:
На конфиденциалку и ПДн такие вроде цифры нигде не пробегают. Разве что отдалённо их можно вывести из "Сборника временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам" (это ФСТЭКовская книжка). Если пытаться их получить чтобы "железно" отмазаться от ПЭМИН - то уже промер ПЭМИН и получится. А это уже документальное подтверждение что СЗИ от ПЭМИН можно не ставить.

Только вот где обычным операторам взять необходимое дорогостоящее оборудование? Или платить за промеры лицензиату? Промер ПЭМИН стоит оч. недёшево.
Такие цифры из временных методик вывести нельзя, т.к. все зависит от оборудования и режима работы. Мой небольшой опыт в этой теме подсказывает мне что цифра 4 метра + наличие бетонной стены более реалистична. Но к сожалению даже 4 метра до КЗ очень много, т.к. у некторой части организаций КЗ кончается этажом выше или ниже, соовтественно растояние будет не более 2х метров.
В целом Вы конечно правы. "Железное" подтверждение отсутсвия необходимости в СЗИ от ПЭМИН возможно только после проведения соответствующих замеров. "Не железно" это можно сделать через частную модель угроз или через отсыл к СТР-К.
Изменено: Александр - 12.10.2010 10:24:16
Что вы имеете ввиду под "отсыл к СТР-К" ?
Д. Решетов, НПК "СпецПроект", (812) 612-12-36, dvr@spets-proekt.spb.ru
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку