Почему я иногда понимаю ФСТЭК и ФСБ ;-)

Пост в Твиттере вызвал живейший отклик и там и в Facebook, поэтому решил раскрыть тему чуть шире 😉 Итак, в одном печатном издании для наших силовиков опубликована статья одного из лидеров (и пионеров) отечественного рынка ИБ, посвященного теме построения защищенных ЛВС для органов госвласти. В статье рассказывается как решить классическую проблему защиты сведений, составляющих гостайну на предприятии. Традиционно она решалась (и решается до сих пор) «просто» — в режимных помещения устанавливаются АРМы, на которых разрешено вести работу именно с гостайной и ничего более. Безусловно неудобно. Безусловно не хочется ходить в секретную комнату для работы с гостайной. Безусловно не хочется иметь два рабочих места для обработки конфиденциалки и гостайны. А что делать?

Авторы статьи предлагают с помощью двух своих программных продуктов — межсетевого экрана и СЗИ от НСД решить эту проблему кардинально. По мнению авторов именно эти два решения позволяют:

  1. Обрабатывать категорированную информацию (гостайну) на своем рабочем месте без необходимости наличия выделенных режимных помещений.
  2. Отказаться от ежедневного общения с режимным отделом и получении/сдачи носителей для хранения сведений, составляющих гостайну.
  3. Разрешить ввод и обработку на одном и том же АРМе несекретной и секретной информации.

По мнению авторов «Основное ноу-хау состоит  в настройке сертифицированных СЗИ и в конфигурации АРМ пользоваталей«, а это в свою очередь позволяет «любому РСО сделать однозначный вывод о том, что средства автоматизации не являются носителями секретной информации«. Правда, потом дается противоречащая всему остальному рекомендация «чтобы окончательно исключить нарекания РСО, все помещения, в которых ведется обработка, делаются режимными«, но это уже мелочи 😉

Я достаточно регулярно критикую ФСТЭК и ФСБ за то, как они регулируют область ИБ в России. Но видя такие перлы, я понимаю регуляторов и их желание позакрывать все, всех заставить получать лицензии, а специалистам иметь соответствующее повышение квалификации. Но и решение тоже лежит на поверхности. Пора обновлять СТР-К и СТР с учетом новых технологий, используемых в госорганах, и с учетом новых тенденций в обработке информации ограниченного доступа (разумеется с поправкой на уровень ее секретности). Да и требования по сертификации таких решений тоже надо обновлять и расширять (сейчас ФСТЭК активно эту тему стала осваивать, выпуская новые РД с требованиями к средствам защиты).

ЗЫ. А продавцов компаний-лицензиатов я бы обязал сдавать простой экзамен (можно онлайн) на знание основ регулирования ИБ в госорганах. Это бы позволило снять ряд проблем, включая и те, что описаны в упоминаемой выше статье. В некоторых компаниях-производителях такой подход применяется при получении статуса партнера.

UPDATE: Оказывается в статье не указано два важных момента, точнее три. В статье речь идет о КОНКРЕТНОМ решении для КОНКРЕТНОГО заказчика (хотя об этом ни слова). Также ни слова и о том, что разговор идет о бездисковых рабочих станциях и за скобками остается вопрос с защитой от утечек по техническим каналам, который решается традиционными средствами. И именно на это РЕШЕНИЕ в КОНКРЕТНОМ случае дано добро регулятора.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Сергей Борисов

    Алексей:
    справедливости ради укажите какие из требований нарушает предложенное решение: обработка гостайны на АРМ с применением определенных СЗИ?

    Ответить
  2. Игорь

    "Пора обновлять СТР-К и СТР с учетом новых технологий"

    Алексей, ведь еще в прошлом году говорилось (и вы в том числе об этом писали, если не ошибаюсь), что новый СТР-К уже готов и подписан, осталось только дать отмашку на его распространение/внедрение. И где же он? Его не было или он устарел еще не успев выйти в свет? ))

    Ответить
  3. Алексей Лукацкий

    Сергей, речь не о САМИХ средствах. К ним претензий нет — сертификаты в полном порядке. Вопрос в том, насколько правомерно утверждать, что использование двух ПО снимает необходимость работы в режимном помещении? Это ключевой момент.

    Ответить
  4. Ditrich

    По моему это утверждение (использование двух ПО снимает необходимость работы в режимном помещении) противоречит самому определению режима секретности. Не стоит переоценивать значение ТСЗИ в этом случае, их использование только небольшая часть необходимых мероприятий по обеспечению режима секретности.

    Ответить
  5. doom

    Да уж… А все растет из того, что в DoD USA информатизация пришла в эпоху больших компьютеров, когда никаких денег бы не хватило для физического разделения гос. тайны и прочей информации по средствам обработки… Вот они и придумали термин multilevel security…

    Ответить
  6. Unknown

    На практике мало кто заморачивается с 3 классом, большинство делают 2 или 1 класс и работают с разными уровнями конфиденциальности. Режимным помещение также делать нет особой необходимости — достаточно носители сдавать в РСО. Правда, в любом случае подключения АРМа к интренету стараются избегать. Я не знаю в своем окружении АС с ГТ, чтобы была подключена к интренету.

    Ответить
  7. Алексей Лукацкий

    А в статье предлагают не сдавать носители в РСО 😉

    Ответить