Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1
Защита виртуальной инфраструктуры
Цитата
Светлана пишет:
Подскажите, если у меня сделан отказоустойчивый кластер средствами Windows Server, то это виртуализация?

Нужно ли обеспечивать защиту по 21 приказу ФСТЭК (т.е. например тот же VGate ставить)?
Отказоустойчивый кластер - группа серверов, спроектированная в соответствии с методом обеспечения высокой доступности и гарантирующий минимальное время простоя за счёт аппаратной избыточности. Это вовсе не означает, что у Вас виртуализация.

Если Вы применяете платформу MS Hyper-V, то да, у Вас виртуальная инфраструктура.

Если у Вас на данных серверах обрабатываются персональные данные, то построение системы защиты необходимо выполнять в соответствии с требованиями Приказа ФСТЭК № 21.

Для защиты виртуальных инфраструктур, построенных на платформе Hyper-V, могу посоветовать решение ПАК СЗИ от НСД «ГиперАккорд» http://www.accord.ru/hyper-accord.html.
Есть ли у кого нибудь пример журнала учета паролей?
Пароль должен хранится в тайне, а не в журнале. Тем более, когда люди у вас в журнале расписываются, они видят чужие пароли. Это 100% компрометация!
Отключение USB портов на АРМ, Отключение USB портов на АРМ
В СЗИ от НСД "Аккорд" реализован механизм, который позволяет разграничить доступ к USB-портам для конкретных пользователей или групп пользователей.
Терминальная бухгалтерия, Нужно ли защищать бухгалтерию, работающую с 1С в терминальном режиме?
Павел, я когда писал, то указывал, что необходимые мероприятия по защите информации определяются в зависимости от актуальных угроз, т.е. определяются актуальные угрозы, типы угроз, уровень /класс защищенности системы, осуществляется выбор необходимых мер, нейтрализующих актуальные угрозы, и построение СЗПДн, с учетом особенностей применяемых ИТ.
Подчеркиваю, что приведенный мною вариант набора СЗИ, скажем так по максимуму. Естественно набор СЗИ будет зависеть от актуальных угроз, применяемых ИТ в системе и уровня/класса защищенности.
Требования к обеспечению доверенной загрузки СВТ и аутентификации устройств для систем определенного уровня /класса защищенности есть - внимательнее читаем Приказы ФСТЭК.
Терминальная бухгалтерия, Нужно ли защищать бухгалтерию, работающую с 1С в терминальном режиме?
- что тогда будет входить в ИСПДн "Бухгалтерия" ?
все технические средства Вашей ИСПДн;

- где будет граница контролируемой зоны ИСПДн "Бухгалтерия" ?
Смотрим определение: Контролируемая зона -территория, здание, часть здания, помещение), в котором исключено неконтролируемое посторонних лиц, а также транспортных, технических и иных материальных средств.

Тут Вы определяете сами, где у Вас будут проходить границы КЗ (в зависимости от реальных обстоятельств).
Т.е. это может быть как и периметр территории Вашего предприятия, так и границы помещений где расположены тех средства ИСПДн.
Терминальная бухгалтерия, Нужно ли защищать бухгалтерию, работающую с 1С в терминальном режиме?
Добрый день.
Тут конечно в зависимости от актуальных угроз и нарушителя безопасности. Но если в общем случае, то:
Для защиты непосредственно СТД Вам необходимо обеспечить:
для серверов СТД: доверенную загрузку ОС, надежную идентификацию/аутентификацию пользователей, разграничение доступа пользователей к ресурсам сервера. Между клиентом и сервером необходимо обеспечить взаимную аутентификацию технических средств. В качестве решения можно посоветовать ПАК «Аккорд-Win32 TSE»(«Аккорд-Win64 TSE»), в качестве аппаратных идентификаторов пользователей используется ШИПКА.
Для клиентских мест:
Если в качестве клиента используется полнофункциональная ПЭВМ, то необходимо обеспечить доверенную загрузку ОС, идентификацию/аутентификацию пользователей в локальной ОС и на терминальном сервере, разграничение доступа пользователей к ресурсам ПЭВМ. В качестве решения можно посоветовать ПАК «Аккорд-Win32» или ПАК «Аккорд-Win32».
Если используются терминальные станции, то необходимо позаботиться о безопасной загрузке ОС терминальной станции по сети. В качестве решения можно посоветовать ПАК «Центр-Т».
Также необходимо обеспечить антивирусную защиту серверов и полнофункциональных ПЭВМ, с помощью межсетевых экранов выделить ИС в отдельный сегмент, принять необходимые организационные меры.
[ Закрыто] Испдн и терминальный доступ
Цитата
Сергей Полонов пишет:
Имеется ИСПДн 1 класса, обрабатывающая специальную категорию ПДн.

Если все ПДн будут обрабатываться на сервере, к которому клиенты будут подключаться через удаленный рабочий стол, можно ли понизить требования для клиентов и аттестовать только сервер?

Нет, понизить для них требования нельзя. Клиенты терминальной информационной системы являются ее такой же неотъемлемой частью, и для построения информационной системы с равным уровнем защищенности, необходимо обеспечивать и их защиту в том числе.
Подробнее про построение системы защиты и аттестацию терминальной ИСПДн можно почитать тут http://www.okbsapr.ru/attestatispd.html. Проект делали совсем недавно.
[ Закрыто] Тупые вопросы, которые вы хотели, но боялись спросить, Разное
Цитата
IvanovSV пишет:
Вопрос думаю тупой:
Есть обычная испдн КС3. Данные хранятся в облаке (отечественном). АРМ операторов в обычной локалке. К Облаку цепляются через инет. Понятно, что защита организована.
Появилась необходимость в организации удаленного приема граждан. Т.е. мы приехали к гражданину с ноутбуком и МФУ. И спец должен внести данные в систему.
Как лучше организовать данный процесс - и самое главное, чем защитить бук под с мобильным инетом?
В решении вашего вопроса можно посоветовать применение СОДС "МАРШ!". Его применение позволит обеспечить достаточный уровень защищенности ПДн во время сеанса связи с облаком.

МАРШ представляет собой загрузочное USB-устройство с собственным микропроцессором, управляющим доступом к нескольким аппаратно разделённым областям памяти на основании назначенных для них атрибутов, содержащее загрузочную ОС, набор функционального ПО, СЗИ НСД и СКЗИ(VPN-клиент).

Нет необходимости устанавливать на ноутбук СЗИ от НСД, криптосредство и т.д.
Терминальное решение и защита ПДн
Цитата
dcrow пишет:
Такое решение полностью сертифицированно? Иначе смысла в нем не вижу.
Комплекс "Центр-Т" использует защитные механизмы уже сертифицированных программно-аппаратных комплексов.
Механизм идентификации/аутентификации пользователей при запуске системы либо при осуществлении доступа к приложениям на сервер хранения и сетевой загрузки осуществляется с помощью защитных механизмов ПСКЗИ ШИПКА (имеет сертификат ФСТЭК № 1227).
Механизм идентификации/аутентификации пользователей на терминальном сервере осуществляется с помощью защитных механизмов ПАК "Аккорд-Win32" TSE (имеет сертификат ФСТЭК № 239) либо ПАК "Аккорд-Win64" TSE (имеет сертификат ФСТЭК № 2400).
Терминальное решение и защита ПДн
Цитата
dcrow пишет:
Что еще нужно внедрить в эти тонкие клиенты?
Для УЗ2 и УЗ1 необходимо обеспечить еще и доверенную загрузку вычислительной техники, это касается и терминальных станций.
Могу посоветовать для рабочих станций довольно интересное решение ПАК "Центр-Т" http://www.proterminaly.ru/center_terminal.html
Терминальное решение и защита ПДн
Цитата
dcrow пишет:
Такой вопрос
если тонкий клиент без жесткого диска и встроенный памяти вообще, то получается единственное средство защиты, которое надо на него ставить это средство аутентификации, например по смарт картам?
А все остальное ставить уже на сервер.
Количество тонких клиентов примерно 800-900 на 4 сервера, все они объединены в сеть.
Нужно каждый сервер заряжать по максимуму по 21 приказу и ставить аппаратные межсетевые экраны?
dcrow, для начала надо определить актуальные угрозы и необходимый Уровень защищенности (УЗ) для Вашей системы. Далее уже подумать о создании системы защиты. Если у Вас получается, например, УЗ2 и выше, то необходимо обеспечить доверенную загрузку ОС сервера, надежную идентификацию/аутентификацию пользователей, разграничение доступа пользователей к ресурсам сервера. Для терминальных станций также необходимо позаботится о безопасной загрузке образа ПО терминальной станции (обеспечить контроль целостности и подлинности загружаемых образов). Незабываем об антивирусах для серверов, межсетевом экранировании, системах обнаружения вторжений, средствах анализа защищенности и других мерах защиты, в том числе и организационных.
п. 2.7. ТТ, возник вопрос)
Можно разработать внутренний нормативный документ, который будет регламентировать порядок обращения с СКЗИ в вашей организации. В данном документе обозначить, что у Вас есть Ответственный пользователь СКЗИ (назначается приказом) для осуществления мероприятий по организации и обеспечению безопасности персональных данных с использованием СКЗИ.

На него возлагаем более административные функции, например:
проверку готовности работников к самостоятельному использованию СКЗИ и составление соответствующих заключений;
поэкземплярный учет и хранение ключей, СКЗИ, эксплуатационной и технической документации к ним;
учет физических лиц, непосредственно допущенных к работе с СКЗИ;
контроль соблюдения регламентированных условий использования СКЗИ;
расследование и составление заключений по фактам нарушения правил использования СКЗИ, которые могут привести к снижению уровня защиты и т.д.


А непосредственно пользователи СКЗИ (админы VPN-серверов в Вашем случае (также назначаются приказом)), будут выполнять уже более технарские функции в соответствии с эксплуатационной документацией на СКЗИ, ну конечно прописать, что они обязуются не разглашать сведения о СКЗИ и криптоключах, соблюдать правила пользования и требования по обеспечению безопасности СКЗИ и криптоключей к ним; своевременно сообщать ответственному пользователю СКЗИ обо всех нештатных ситуациях, связанных с функционированием СКЗИ ну и т.д.

В приказе о назначении ответственных сделать ссылку на такую инструкцию, мол в работе руководствоваться данным документом.
Несколько ИСПДн
Теоретически можно подготовить такой документ для всех ИСПДн, будет он называться примерно так - «Модель угроз безопасности персональных данных при их обработки в информационных системах персональных данных «Название Вашей Организации».
Для начала Вам в разделе «Описание объекта информатизации» необходимо пояснить, что у Вас есть такие то ИСПДн (перечислить их и для каждой привести характеристики).
Далее попробовать провести типизацию ИСПДн – рассмотреть ряд ИСПДн с идентичными признаками (состав, структура, хар. безопасности, реализованные орг меры........). Если это получилось, то задача для Вас несколько упрощается, т.к. набор актуальных угроз для однотипных ИСПДн будет одинаков. Т.е. хорошо бы если у Вас получилось не больше 2 -3 типов ИС, иначе можно просто запутаться в документе (при ссылке на ту или иную таблицу или на раздел для какого нибудь аналитического вывода), документ получится очень большим и по структуре будет очень сложным для восприятия. В этом случае, как отмечал Владимирович, делать модель угроз целесообразнее для каждой ИСПДн отдельно.
Страницы: 1