Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Раздел "Публикации"
Добрый день! Прочитал статью "Проблемы и решения по защите персональных данных в информационных системах персональных данных". Вот цитата:
"Особую привлекательность с точки зрения архитектуры построения систем приобретает технология терминального доступа, при которой вся обработка данных осуществляется на сервере, а рабочие станции используются только для отображения информации и получения данных от пользователя. При правильном использовании подобный подход позволяет снизить класс конечных рабочих станций до третьего и значительно сэкономить на средствах защиты и аттестации по требованиям безопасности. Кроме того, сокращаются затраты на управление информационной инфраструктурой и закупки средств вычислительной техники за счет централизации системы и снижения требований к аппаратным характеристикам компьютеров пользователей"
Как-то смутно описано (с моей точки зрения) предлагаемое решение.
Во-первых, технология терминального доступа значительно "упрощает" защиту ПДн, когда передаваемые ПДн между терминальным сервером и рабочими станциями являются обезличенными. А если учесть, что во многих случаях к технология терминального доступа применяется для предоставления доступа к ресурсам удалённым пользователям, то в данном случае ИСПДн будет распределённой и потребуется аттестация.
Во-вторых, что значит "вся обработка осуществляется на сервере, а на рабочие станции используются только для отображения информации ..."? Согласно ФЗ-152, сбор, уточнение (обновление, изменение), использование, распространение (в том числе передачу), тоже считаются обработкой. Получается ни одна из этих операций не будет выполняться на рабочих станциях? Как-то не верится.
В-третьих, что значит снизить класс конечных рабочих станций посредством технологии терминального доступа? Снизить класс можно двумя способами: уменьшить объём обрабатываемых ПДн и категорию. Категорию можно снизить только, если на терминальном сервере будет осуществляться процедура обезличивания (это в статье не отмечено).

PS. Прошу правильно расценить назначение данных комментариев. Моей целью не было показать, что статья плохая. Хотелось просто внести ясность в содержание статьи.
Добрый день, Антон.

Несомненно, применять технологию терминального доступа имеет смысл в достаточно крупных системах; при этом на рабочих станциях информация только отображается (что, как Вы абсолютно правильно заметили, попадает под понятие обработки в терминах 152-ФЗ). Поскольку класс системы определяется, в том числе, количеством одновременно обрабатываемых записей, а количество обрабатываемых на рабочей станции записей в системе терминального доступа - это фактически количество отображаемых на экране сведений, то класс рабочих станций можно понизить. Более того, большинство требований по защите персональных данных может быть реализовано непосредственно на терминальном сервере (в том числе контроль доступа и регистрация событий), что снижает затраты на защиту рабочих станций.

Любая достаточно крупная система относится к классу К2 или К1, что, в соответствии с "Основными мероприятиями..." ФСТЭК России, требует ее аттестации. Если же система является распределенной, то наличие или отсутствие терминального доступа этот факт никак не изменяет. В то же время, применение технологии терминального доступа позволяет ограничиться аттестацией серверного сегмента, поскольку рабочие станции за счет снижения объемов могут быть отнесены к классу К3.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)