Jump to content

Recommended Posts

Доброго времени суток. Назрел следующий вопрос.

В организации имеется две сети. Одна из них изолирована от интернета. И имеет из-за этого низкий класс ИСПДн. Вторая организованна с помощью вашего программного продукта. Координатор расположен за сетевым шлюзом и клиент общается через него находясь в незащищенной сети предприятия. Вот есть 2 вопроса. Данная схема сети випнет является ли безопасной с точки зрения ФСТЭК? сертификацию проходили, но толком не вдавались в подробности. И второй вопрос: из изолированной сети есть машина, которую было бы удобно сделать общим узлом в двух сетях. Если туда поставить випнет клиент и две сетевых карты, при должных настройках не изменится ли класс ИСПДн изолированной сети? И со стороны практической защиты, будет ли компьютер и та сеть находится в безопасности?

. Было бы здорово ваш ответ подкрепить официальным документом. Заранее спасибо за ответ

Share this post


Link to post
Share on other sites

Точка зрения ФСТЭК не заканчивается только на сетевых экранах. Вы должны закрыть угрозы (и не только сетевые). Все актуальные угрозы (прошедшие актуализацию в модели угроз) должны быть так или иначе нейтрализованы. Нейтрализованы они могут быть любыми мерами: организационными, техническими, криптографическими и тому подобное. Даже если просто стоит межсетевой экран - это не значит, что сеть защищена. То есть, должен быть грамотно настроен сетевой экран, который разрешает только то-то и то-то. Официальная точка зрения ФСТЭК и реальная практическая безопасность очень близки (всё-таки, не дураки там сидят). Мы смотрим в угрозах от чего мы должны защититься и какие угрозы даёт тот или иной информационный поток, какие риски он порождает. И тут никак использование сертифицированных программных продуктов без продуманной системы защиты не спасёт. Всё, что требуется формально от контролирующих органов - это использование сертифицированных программных продуктов. И это оправдано с точки зрения национальной информационной безопасности. Всё, что касается организации защиты - это должны делать лицензиаты контролирующих органов, которые знают как и что защитить. Но для полноценной защиты необходимо знать все информационные потоки и на них ориентироваться.

Что касается двух сетевых карт, то это будет работать, только режим безопасности на обоих сетевых картах будет одинаковый. Разный можно устанавливать только на координаторе. Всё-таки клиент - это персональный, а не межсетевой экран (как координатор).

Share this post


Link to post
Share on other sites

Я бы для начала посмотрел схему сети и потоков...

Если мы соединяем две ИСПДн с разными классами, то средства ЗИ выбираем по наивысшему классу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.