Jump to content

Recommended Posts

Доброго времени суток. Назрел следующий вопрос.

В организации имеется две сети. Одна из них изолирована от интернета. И имеет из-за этого низкий класс ИСПДн. Вторая организованна с помощью вашего программного продукта. Координатор расположен за сетевым шлюзом и клиент общается через него находясь в незащищенной сети предприятия. Вот есть 2 вопроса. Данная схема сети випнет является ли безопасной с точки зрения ФСТЭК? сертификацию проходили, но толком не вдавались в подробности. И второй вопрос: из изолированной сети есть машина, которую было бы удобно сделать общим узлом в двух сетях. Если туда поставить випнет клиент и две сетевых карты, при должных настройках не изменится ли класс ИСПДн изолированной сети? И со стороны практической защиты, будет ли компьютер и та сеть находится в безопасности?

. Было бы здорово ваш ответ подкрепить официальным документом. Заранее спасибо за ответ

Share this post


Link to post
Share on other sites

Точка зрения ФСТЭК не заканчивается только на сетевых экранах. Вы должны закрыть угрозы (и не только сетевые). Все актуальные угрозы (прошедшие актуализацию в модели угроз) должны быть так или иначе нейтрализованы. Нейтрализованы они могут быть любыми мерами: организационными, техническими, криптографическими и тому подобное. Даже если просто стоит межсетевой экран - это не значит, что сеть защищена. То есть, должен быть грамотно настроен сетевой экран, который разрешает только то-то и то-то. Официальная точка зрения ФСТЭК и реальная практическая безопасность очень близки (всё-таки, не дураки там сидят). Мы смотрим в угрозах от чего мы должны защититься и какие угрозы даёт тот или иной информационный поток, какие риски он порождает. И тут никак использование сертифицированных программных продуктов без продуманной системы защиты не спасёт. Всё, что требуется формально от контролирующих органов - это использование сертифицированных программных продуктов. И это оправдано с точки зрения национальной информационной безопасности. Всё, что касается организации защиты - это должны делать лицензиаты контролирующих органов, которые знают как и что защитить. Но для полноценной защиты необходимо знать все информационные потоки и на них ориентироваться.

Что касается двух сетевых карт, то это будет работать, только режим безопасности на обоих сетевых картах будет одинаковый. Разный можно устанавливать только на координаторе. Всё-таки клиент - это персональный, а не межсетевой экран (как координатор).

Share this post


Link to post
Share on other sites

Я бы для начала посмотрел схему сети и потоков...

Если мы соединяем две ИСПДн с разными классами, то средства ЗИ выбираем по наивысшему классу.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.