Просмотр темы - Организационные проблемы. Указ президента N611

[elavar Профиль]

Допустим, локальная сеть сертифицирована на уровень "1В" и защищена меэжсетевым экраном 3-го класса. Т.е. уровенень защиты достаточный для работы с секретными документами. Можно ли в такой сети уверенно работать с несекретными конфиденциальными документами, но при этом зная, что для них нарушается указ президента РФ N611 от 12.05.2004?

Пояснения: В пункте 1 указа N611 от 12.05.2004 говориться про невозможность включения в состав средств международного информационного обмена фактически ЛЮБЫХ систем. В то же время в ряде действующих руководящих документов говорится, что достаточно защитить локальную сеть межсетевым экраном соответствующего класса.

[Harry33 Профиль СайтICQ]

elavar
Если я правильно понимаю речь идет об этом

[elavar Профиль]

Федеральный закон "Об участии в международном информационном обмене":
"Международный информационный обмен - передача и получение информационных продуктов, а также оказание информационных услуг через Государственную границу Российской Федерации."
"Средства международного информационного обмена - информационные системы, сети и сети связи, используемые при международном информационном обмене."

Поскольку указ N611 перечеркивает множество предыдущих нормативных документов, то теперь вопросы:

1. ПК подключен к интернету через модем. Следовательно, участвует в международном информационном обмене. В то же время этот же ПК подключен к локальной сети, по которой циркулирует конфиденциальная информация. Я могу при этом уверенно утверждать, что локальная сеть не участвует в международном информационном обмене (участвует только один ПК)?

2. На предприятии четыре ПК, объединенные локальной сетью. Один из них подключен к интернет и на нем работает proxy -сервер позволяя другим компьютерам при правильной их настройке так же ходить в интернет. Реально нужно всего два компьютера, задействованные в "международном информационном обмене". Можно поставить в локальной сети два соединенных меж собой свича, подключив 2 интернет-компьютера к одному из них, остальные 2 компьютера - к другому. При этом я могу утверждать, что у меня две локальные сети, при чем одна из них не участвует в международном информационном обмене?

[Harry33 Профиль СайтICQ]

elavar
1. Нет это не допустимо и нарушает 611 указ
2. Тоже нет. Сети физчески связаны. Логическое разделение - недостаточно.

Сеть, внутри которой циркулирует информация, требующая ограничение доступа должна быть полностью изолированной. Т.е. не допускать возможность выхода информации за ее пределы. При наличии физически связаных сетей - возможность обмена существует, вне зависимости от наличия или отсутствия технических средств контроля информационных потоков.

[elavar Профиль]

Harry33,
поясни пожалуйста, где именно есть четкие указания про именно физическое разделение сетей. Почему логического разделения недостаточно? Ведь можно логически разделять множеством способов - от примитива до VPN, включая межсетевые экраны (сертифицированные на любой уровень). Физическое разделение - это, конечно, круто и наверняка. Но крайне нужно и обоснование такой жестокости. Я пытаюсь лишь найти компромис.

[Dmitriy Профиль]

2 elavar:
Хотелось бы уточнить
- что значит что сеть сертифицирована? для работы с ГТ она должна быть аттестована, а в этом случае о подключении к МИС не может идти и речи.
- О какой информации идет речь. Если о комерческой тайне. либо информации не принадлежащей государству, то сам владелец вправе определять достаточность проводимых мероприятий по защите (об информации, информатизации и защите информации)
А вообще, все упомянутые правовые акты - словоблудие. Так, п1 611 относится к субъектам международного инф. обмена - т.е. тем кто обменевается информацией через границу РФ. Оставльных, стало быть, не касается?

[Harry33 Профиль СайтICQ]

Dmitriy
Касается есть еще документ об участии в международном обмене, там эти понятия четко регламентированы, в ближайшее время мы выложим все законодательные акты, имеющие отношение к этому

[Teodor Профиль]

[elavar Профиль]

Да, действительно, проблема в необходимости защиты именно персональных данных, которые определил ни собственник, ни директор - их определило государство. Если бы защтщаемая информация была секретной или организация была бы государственной, то вопросов бы не было.

Существует такой документ, как СТР-К. В нем в пункты 5.2.3 и 5.3.3 четко определяют минимальные уровни защищенности для АС, обрабатывающих:
- служебную тайну - 3Б,2Б,1Г;
- персональные данные - 3Б,2Б,1Д;
- коммерческую тайну - 3Б,2Б,1Д.
В СТР-К так же есть пункт 2.3, который говорит, что "Для негосударственных информационных ресурсов (составляющих коммерческую, банковскую тайну и т.д.) данный документ носит рекомендательный характер". Под "и т.д.)" понимаются и персональные данные. Пункт 2.4 гласит, что "Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов". Его читаем так: режим защиты персональных данных определяется руководителем предприятия т.к. ни где не оговорено, что собственником персональных данных на частном предприятии является кто-нибудь еще.

С одной стороны, согласно СТР-К, частнику можно и не сильно стараться. С другой стороны, он может попытаться обеспечить для своей локальной сети уровень защищенности 1Д.

Существует такой руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации». Согласно нему требуется для классов защищенности:
4.3. Наличие администратора (службы) защиты информации в АС – 1В, 1Б, 1А
4.6. Использование сертифицированных средств защиты – 1В, 1Б, 1А.
Т.е. для 1Д сертифицированные средства защиты даже не предусмотрены.

Осталось выполнить условия 611 указа. Т.е. нужно разделить локальную сеть на две - в одной есть возможность работы в интернет и получение электронной почты, во второй нет. Вопрос в том, как обеспечить такое разделение. С одной стороны межсетевой экран может быть сколь угодно дырявым т.к. его не нужно сертифицировать, с другой стороны, можно поставить межсетевой экран 4-го класса защищенности (к сожалению, 5-го уровня - нельзя).

Согласно РД "Средства вычислительной техники. Межсетевые экраны
Защита от несанкционированного доступа к информации
Показатели защищенности от несанкционированного доступа к информации",
"МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС". Там же в пункте 2 определены требования к межсетевым экранам. По ним можно по крайней мере определить, что такое межсетевой экран и что он должен делать, если выполнение всех его функций не планируется проверять в ГТК.

Для передачи конфиденциальной информации по открытым сетям информация должна быть зашифрована. При чем внутреннее шифрование именно сертифицированными средствами предусмотрено только для АС класса защищенности 1Б и 1А.

Вот интересно, существует целый класс сертифицированных программных продуктов для шифрования, в том числе и электронной почты. При чем некоторые предназаначенны для передачи данных в налоговую, пенсионный фонд и т.д. и т.п. (в явном виде изначально содержащие персональные данные). Как же теперь передавать всю эту почту, если такой компьютер нельзя физически подключать ни к одной сети, способной доставить данные до адресата? Проблема осложняется тем, что некоторым из этих сертифицированных средств требуется именно реальный IP из интернет (для корректной работы LDAP или же спец. средства не умеют работать через proxy). Далеко не каждый даже сертифицированный на высокий класс межсетевой экран способен реально допустить такую проброску в локальную сеть (внешний IP адрес в зону приватных IP) без создания угрозы снижения уровня защищенности. Каким же образом налоговая и пенсионный фонд разворачивает такую масштабную незаконную деятельность?

611 указ напрямую затрагивает публичную часть деятельности пенсионного фонда и налоговой инспекции, а так же программых средств других направлений деятельности по сбору и обмену данными. Деятельность всех удостоверяющих центров для ЭЦП, получается, незаконна? Неужели не понятно, что если шифровать, то информацию ограниченного распространения. Но как потом это передать или получить? Необходима изначально грамотная организация подключения таких средств - чтобы не пришлось в экстренном порядке переделывать.

Все равно осталось не понятно: почему так широко распространено мнение, что везде и всегда требуется именно физическое разделение сетей? Идея физического разделения прозвучала не только здесь, на других конференциях, но и в других местах. Хотелось бы знать объективное положение - буква закона дорого стоит. К сожалению, объективного и внятного разъяснения ни от кого пока не получил (даже читая два акта обследования конкретной проблемной сети и рекомендации по устранению...). Блин, с меня требуют уже отчет по устранению неизвестно чего от неизвестно каких проблем. Главное, чтобы было все законно и грамотно обосновано. А я сам так ничего и не понял

Этот текст будет отправлен на конференцию через Амстердам и Великобританию. Но перед этим он покинет пределы планеты Земля (связь через спутник) и может быть открыто перехвачен инопланетянами. А вы говорите про какую-то Америку...

[Harry33 Профиль СайтICQ]

elavar

Проблемы в этой части законодательства действительно присутствуют и не малые. Комментировать я не берусь, попробую связаться с людьми, которые занимаются вопросами защиты информации на профессиональном уровне, возможно удастся получить вразумительный ответ.