Вопрос по информационной безопасности

Приветствую, Яповчане. Если есть знающие, может кто подскажет. Вообще суть вопроса в чем - есть две информационные системы персональных данных, К3 и К4. У них доступ в интернет нет. Внимание вопрос: может ли быть доступ с армов сотрудников, работающих в этих ИСПДн при условии, что они работают за координатором VipNet? Что-то я читаю-читаю, и никак конкретных пунктов найти не могу.

ну ты понял

Боюсь, он на это не ответит))

Да

Доступ с армов куда?

До интернета, я так понял, ответ ДА!

Ты капец нашел где спрашивать.

ну сообщество большое, разные профессии есть, вот и стало интересно)

Т.е. я правильно понимаю, что это регламентируется просто межсетевым экранированием и наличием координатора в данном случае?

Хех, я, конечно, не специалист по информационной безопасности, хоть как раз такую специальность когда-то и получал, но в чем проблема-то? Ну, есть у сотрудника доступ со своего АРМ в интернет - и дальше что? Запретить ему установку и запуск любых приложений, кроме тех, которые нужны для работы - и всё. Доступ в интернет организовать через http-прокси.

Это само собой. Проблема только в том, что сотрудник же может скопировать данные и отправить либо себе на почту, либо кому-то. Конечно он так же и на флешку может скопировать, но это легко ограничивается настройкой средств защиты)

Я только про это хотел написать, если сотрудник захочет - он найдет способ данные забрать, вплоть до того, что тупо снимок экрана сделает или на листочек перепишет. Т.е. можно заранее утверждать, что все данные, до которых у сотрудника есть доступ, он в любой момент может передать третьим лицам. Запретами это не проконтролируешь.

Это сообщение отредактировал VSC - 13.12.2017 - 16:31

может скопировать если у него будет флешка. он может эти данные сфотографировать на мобильник. либо видео. если говорить о ИБ то онли железный ящик и сотрудник входит туда после рентгена. А так мертвому припарка, для галки если только что регламент исполняется.

Да, к сожалению, согласен с Вами, но нам же необходимо исполнять законодательство. Да и проверки регулятора никто не отменял)

для того, чтобы данные не утекали, возле каждого пользователя надо ставить по автоматчику

У нас сделано так, что при работе с инф. базами интернет отключается (к базам подключение через удаленный рабочий стол), а когда базы отключены - интернет работает. Как технически это организованно не знаю.

А для подключения стандартная виндовая удаленка используется?

К4 нет уже, да, и 21 халявный вебинар по этой теме в академии АйТи, зарегайся и задай там вопрос, советую. Яп ответил тебе, да буков много писать надо, извини

Удаленный рабочий стол это зло для ИСПДН

Кстати, да. Я про этот момент забыл. Только переделывали акты на К3.
За подсказку спасибо)

Это сообщение отредактировал CBETJIbIu - 13.12.2017 - 16:59

Да, стандартная виндовая удаленка. Сервер с базой в отдельной сети.При подключении к серверу с базой отрубается интернет и доступ к другим общим ресурсам. Доступ только к сети с базой остается.

Это сообщение отредактировал dmitral - 13.12.2017 - 17:26

а откуда нам известно, что автоматчик не подкуплен ?


ТС, убивай всех по окончанию рабочего дня и новых на след. день набирай, делов-то!

идея
только она не гарантирует, что в процессе рабочего дня юзер ничего не скопирует и не сфоткает))

Это сообщение отредактировал CBETJIbIu - 13.12.2017 - 17:17

Легко это как? Системник в сейф?

И для начала бы озаботится тем чтобы техвозможности скопировать не было. Например организовать базу данных не в эксельном файле который можно скопировать а в бд с разграничением доступа типа sql и чтобы юзер мог работать единовременно только с одной записью.

А по делу - подозреваю что стандарты инфобезопасности рф не считают каким либо послаблением наличие какого либо прокси или шифровальщика будь то випнет, впн или тор. Сеть есть сеть. Да и випнет это довольно таки размытое понятие. Вопрос как настроен прокси то бишь как они его называют координатор, есть ли мобильные узлы у которых все реализовано как софт итдитп... Почти уверен что хакер хорошей квалификации получив доступ к мобильному узлу випнет легко может организовать на его базе шлюз.

Зачем же сейф. Средства скзи позволяют добавить только те usb, которые имеют доступ к данной рабочей станции. Остальные просто не будут работать.
Что касается работы с экселем - мне казалось, такого уже нет
Дело не в послаблении, в 21 приказе ФСТЭК ясно говорится какие средства какого класса в каких ИС применять. Поэтому межсетевой экран и защита сети - необходимая мера, вытекающая из модели угроз.
Випнет потому и сертифицирован ФСБ, что не все так просто. Тем более мобильные клиенты у нас не используются)

Это сообщение отредактировал CBETJIbIu - 13.12.2017 - 17:32