Архив форумов ЦИТФорума

[jana]

В пределах организации имеются две сети - одна с открытой информацией, соединённая к тому же с Интернет, другая с закрытой (имеющей гриф). Из открытой сети необходимо передавать (довольно часто) информацию в закрытую сеть, т.е. подключением/отключением проводка здесь не обойдётся. Наверно не нужно говорить о том, что утечка информации из закрытой сети недопустима.
Вопросов собственно два:
1.Как должно быть организовано такое соединение сетей, чтобы его можно было атестовать (вопрос для тех, кто с этим сталкивался или читал о таком)?
2.Как бы Вы сами организовали такую передачу (буду благодарна за любые идеи)?

[Алекс]

А как они соединялись до этого? В смысле, куда "проводок" втыкался?
Я бы предложил, для начала, поставить роутер с запрещением передачи пакетов из защищенной сети куда-либо. Далее - спецы, кто работал с такими системами, подскажут, надеюсь. Я сам не сталкивался. ...Пока...
_________________
Удачи!

[Andy_user]

Попытайтесь найти документ "Специальные требования и рекомендации по технической защите конфиденциальной информации".
Этот документ был одобрен решением коллегии Гостехкомиссии Росии от 02.03.2001 года № 7.2
Интересен пункт 5.7 "Защита информации при межсетевом взаимодействии".
Сразу необходимо оговориться, предпологается, ни одна из ЛВС не должна иметь выход в сеть общего пользования типа Internet. (Для гос учереждений это обязательно, для негосударственных организаций - носит рекомендательный характер).
5.7.2 Контроль взаимодействия ЛВС с другими вычислительными сетями должен быть постоянным и осуществляться с использованием сертифицированных по требованиям безопасности информации средств контроля (средств обнаружения вторжения, мониторинга сети, активного аудита и т.п.). Коммуникационное оборудование и все точки соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны.
5.7.3 При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) рекомендуется разделять трафик отдельных сетевых фрагментов с учетом решаемых задач пользователей ЛВС.
5.7.4. Подключение ЛВС к другой автоматизированной системе (локальной или распределенной) должно осуществляться с использованием межсетевых экранов

Также интересен параграф 6 "Рекомендации по обеспечению защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования".
Там написано много, коротко можно сформулировать так:
- криптография;
- межсетевые экраны;
- VPN;
- контроль (вторжения, аудит, анализ защищенности и т.д.);
- аутентификация пользователей;
- ответственность пользователей.

[jana]

1.Раньше эти сети никак не соединялись - делаем это впервые, причём буквально в приказном порядке: "Чтоб сделали и всё !"
2.Предприятие государственное, да ещё и большое (около 3500 компьютеров) - отсюда и все проблемы.
3.Спасибо, документ обязательно сейчас поищу.
4.Буду благодарна за любые высказывания.

[jana]

Неплохой документ, но к сожалению пункт 2.2 гласит:
"Требования и рекомендации настоящего документа распространяются на защиту:
-конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне..."
, т.е.как раз к моему случаю не подходит. Ну или скажу более мягко - не совсем то, хотя и безусловно полезно.
А вообще ещё посоветуюсь с ребятами из "Информзащиты" - они эти документы хорошо знают.

[Andy_user]

Позвольте чуть поворчать...
Ну что Вам стоило в первом же посте упомянуть 2 факта:
- государственная организация;
- наличие сведений, составляющих государственную тайну.
В этом случае нужны совсем другие документы, и сразу же Вас направили в организации типа "Информзащита" или "Атлас".

[cerber]

У меня соединение такое:
Между сетями стоит комп с двумя сетевухами, на нём стоит Kerio Winroute 4.2.5. В итоге из внешней сетки доступа нет, зато из внутренней во внешнюю доступ есть.

[cerber]

У меня соединение такое:
Между сетями стоит комп с двумя сетевухами, на нём стоит Kerio Winroute 4.2.5. В итоге из внешней сетки доступа нет, зато из внутренней во внешнюю доступ есть.
В WinRout'e убрана галка о трансляции сетевых адресов на сетевухе которая смотрит во внитреннюю сеть.

[Простой парень]

[watcher]

одним firewall'om вы все равно не отделаетесь!
(будь он трижды сертифицирован)
а проектированием "закрытых" сетей занимается ФАПСИ
можно долго и упорно говорить о мерах защиты и т.д
но наладить конторе "защиту" парой-тройкой постов все равно никто не сможет!
+ надо прочитать много стандартов и ГОСТОв на эту тему
определить для себя предметную область
цели и риски безопасности и т.д

[Dmitry.Karpov]

Я бы решал эту задачу созданием "буферной зоны", куда имеют доступ люди из обеих подсетей. Разумеется, надо будет настраивать FireWall так, чтобы все имели доступ только туда, куда им положено. И наконец, рекомендую отказаться от M$явных технологий типа NetBIOS (доступ к файлам и принтерам), а использовать олько Internet-протоколы - почту, FTP, HTTP и т.д..

И наконец, если вам реально нужна защита - как можно меньше используйте Windows.
_________________
Благословен Бог, сотворивший меня сисадмином!

[jana]

Насчёт буферной зоны у меня тоже мысли были, по-видимому это действительно стоит проработать, а вот по поводу Windows - как переубедить, а главное переучить, несколько тысяч пользователей работать скажем под Linux. У нас QNX стоит на машинах с операциями "в реальном времени", так любо дорого посмотреть как народ водя пальцем по подробной инструкции как запустить единственную программу пытается сделать это в течении нескольких часов. С Linux-ом конечно дела обстоят полегче, но не на много. Да и w2k у нас везде купленный. Кроме того, покажите мне такой софт, в котором не было бы брешей и ошибок, а ведь только Windows (NT SP3, SP5 и 2000) прошёл сертификацию для нашей деятельности. Можно конечно пытаться использовать Windows только на станциях, но тут же возникают мелкие, но ужасно гнусные проблемы несовместимости то в одном, то в другом - как то не получается стройной и красивой системы.

[ALEX_SE]

Нехило!
Хочу сказать кое-что, как сотрудник занимающийся защитой информации составляющей государтсвенную тайну.
1. В СТР-97, и в новой Инструкции по работе со сведениями составляющими гостайну (взямен 0126) однозначно запрещено какими-бы то нибыло способами соединять сети где обрабатываетсяч инфа имеющая гриф секретности, с сетями которые каким-либо образом имеют выход "в мир".
2. Если "несекретная" сеть выхода "в мир" не имеет, то соединение осуществляется посредством сертифицированых МСЭ, соответствующего класса, и правильно аттастованных. При этом ПД ИТР следит за обеими сетями.
Решения типа WinRoute или iptables тут не приемлимы совершенно. Я не говорю что они хуже сертифицированых (хотя на самом деле это так отчасти - они не обеспечивают нужный уровень логов - почитайте рекомендации и требования ГТК). Но вот как Вы, будучи хоть впятеро умнее меня, сможете доказать свою правоту, если я буду Вас проверять, и у меня в руках будет инструкция - а у Вас только теория, хоть и правильная

[Amodeus]

Полностью согласен с ALEX_SE.
И мне стало интересно следующее.
1. Это как это так компьютеры с информацией составляющей гос тайну должны обмениваться информацией с компами не содержащими такой информации и наоборот.
2. Есть ли на данном предприятии отдел режима и безопасности (так называемый первый)? А если есть почему они еще не в местах не столь отдаленных в месте с руководством?
3. Насколько я помню, на таких предприятиях каждый комп категорируется на работу с той или иной информацией, даже не секретной. Самая низкая степень 4, для работы с ДСП.
4. Речи ни о каком инете быть не может на компах с тайнами. Если кто хочет поспорить, посоветуйтесь сперва с 1 отделом.
5. Для документооборота и файлообмена используются только сертифицированные ФСБ, ГТК и ранее ФАПСИ средства.
Я не говорю уже о другом комплексе организационно технических мероприятий направленных на защиту от утечки информации (ПдИТР). Кстати должны быть инструкция по ПдИТР утверждаемая на определенные сроки. Так что ранееуказанная задача просто незаконна, и предприятие подлежит проверке уполномоченных на это органов

Могу написать еще много интересного по этому поводу. Но по понятным причинам не буду.

[ALEX_SE]