9.7.12

Почему я иногда понимаю ФСТЭК и ФСБ ;-)

Пост в Твиттере вызвал живейший отклик и там и в Facebook, поэтому решил раскрыть тему чуть шире ;-) Итак, в одном печатном издании для наших силовиков опубликована статья одного из лидеров (и пионеров) отечественного рынка ИБ, посвященного теме построения защищенных ЛВС для органов госвласти. В статье рассказывается как решить классическую проблему защиты сведений, составляющих гостайну на предприятии. Традиционно она решалась (и решается до сих пор) "просто" - в режимных помещения устанавливаются АРМы, на которых разрешено вести работу именно с гостайной и ничего более. Безусловно неудобно. Безусловно не хочется ходить в секретную комнату для работы с гостайной. Безусловно не хочется иметь два рабочих места для обработки конфиденциалки и гостайны. А что делать?

Авторы статьи предлагают с помощью двух своих программных продуктов - межсетевого экрана и СЗИ от НСД решить эту проблему кардинально. По мнению авторов именно эти два решения позволяют:
  1. Обрабатывать категорированную информацию (гостайну) на своем рабочем месте без необходимости наличия выделенных режимных помещений.
  2. Отказаться от ежедневного общения с режимным отделом и получении/сдачи носителей для хранения сведений, составляющих гостайну.
  3. Разрешить ввод и обработку на одном и том же АРМе несекретной и секретной информации.
По мнению авторов "Основное ноу-хау состоит  в настройке сертифицированных СЗИ и в конфигурации АРМ пользоваталей", а это в свою очередь позволяет "любому РСО сделать однозначный вывод о том, что средства автоматизации не являются носителями секретной информации". Правда, потом дается противоречащая всему остальному рекомендация "чтобы окончательно исключить нарекания РСО, все помещения, в которых ведется обработка, делаются режимными", но это уже мелочи ;-)

Я достаточно регулярно критикую ФСТЭК и ФСБ за то, как они регулируют область ИБ в России. Но видя такие перлы, я понимаю регуляторов и их желание позакрывать все, всех заставить получать лицензии, а специалистам иметь соответствующее повышение квалификации. Но и решение тоже лежит на поверхности. Пора обновлять СТР-К и СТР с учетом новых технологий, используемых в госорганах, и с учетом новых тенденций в обработке информации ограниченного доступа (разумеется с поправкой на уровень ее секретности). Да и требования по сертификации таких решений тоже надо обновлять и расширять (сейчас ФСТЭК активно эту тему стала осваивать, выпуская новые РД с требованиями к средствам защиты).

ЗЫ. А продавцов компаний-лицензиатов я бы обязал сдавать простой экзамен (можно онлайн) на знание основ регулирования ИБ в госорганах. Это бы позволило снять ряд проблем, включая и те, что описаны в упоминаемой выше статье. В некоторых компаниях-производителях такой подход применяется при получении статуса партнера.

UPDATE: Оказывается в статье не указано два важных момента, точнее три. В статье речь идет о КОНКРЕТНОМ решении для КОНКРЕТНОГО заказчика (хотя об этом ни слова). Также ни слова и о том, что разговор идет о бездисковых рабочих станциях и за скобками остается вопрос с защитой от утечек по техническим каналам, который решается традиционными средствами. И именно на это РЕШЕНИЕ в КОНКРЕТНОМ случае дано добро регулятора.

7 коммент.:

Сергей Борисов комментирует...

Алексей:
справедливости ради укажите какие из требований нарушает предложенное решение: обработка гостайны на АРМ с применением определенных СЗИ?

Игорь комментирует...

"Пора обновлять СТР-К и СТР с учетом новых технологий"

Алексей, ведь еще в прошлом году говорилось (и вы в том числе об этом писали, если не ошибаюсь), что новый СТР-К уже готов и подписан, осталось только дать отмашку на его распространение/внедрение. И где же он? Его не было или он устарел еще не успев выйти в свет? ))

Алексей Лукацкий комментирует...

Сергей, речь не о САМИХ средствах. К ним претензий нет - сертификаты в полном порядке. Вопрос в том, насколько правомерно утверждать, что использование двух ПО снимает необходимость работы в режимном помещении? Это ключевой момент.

Ditrich комментирует...

По моему это утверждение (использование двух ПО снимает необходимость работы в режимном помещении) противоречит самому определению режима секретности. Не стоит переоценивать значение ТСЗИ в этом случае, их использование только небольшая часть необходимых мероприятий по обеспечению режима секретности.

doom комментирует...

Да уж... А все растет из того, что в DoD USA информатизация пришла в эпоху больших компьютеров, когда никаких денег бы не хватило для физического разделения гос. тайны и прочей информации по средствам обработки... Вот они и придумали термин multilevel security...

Unknown комментирует...

На практике мало кто заморачивается с 3 классом, большинство делают 2 или 1 класс и работают с разными уровнями конфиденциальности. Режимным помещение также делать нет особой необходимости - достаточно носители сдавать в РСО. Правда, в любом случае подключения АРМа к интренету стараются избегать. Я не знаю в своем окружении АС с ГТ, чтобы была подключена к интренету.

Алексей Лукацкий комментирует...

А в статье предлагают не сдавать носители в РСО ;-)