Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Почему я иногда понимаю ФСТЭК и ФСБ ;-)

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
Опубликовано в:
Пост в Твиттере вызвал живейший отклик и там и в Facebook, поэтому решил раскрыть тему чуть шире ;-) Итак, в одном печатном издании для наших силовиков опубликована статья одного из лидеров (и пионеров) отечественного рынка ИБ, посвященного теме построения защищенных ЛВС для органов госвласти. В статье рассказывается как решить классическую проблему защиты сведений, составляющих гостайну на предприятии. Традиционно она решалась (и решается до сих пор) "просто" - в режимных помещения устанавливаются АРМы, на которых разрешено вести работу именно с гостайной и ничего более. Безусловно неудобно. Безусловно не хочется ходить в секретную комнату для работы с гостайной. Безусловно не хочется иметь два рабочих места для обработки конфиденциалки и гостайны. А что делать?

Авторы статьи предлагают с помощью двух своих программных продуктов - межсетевого экрана и СЗИ от НСД решить эту проблему кардинально. По мнению авторов именно эти два решения позволяют:
  1. Обрабатывать категорированную информацию (гостайну) на своем рабочем месте без необходимости наличия выделенных режимных помещений.
  2. Отказаться от ежедневного общения с режимным отделом и получении/сдачи носителей для хранения сведений, составляющих гостайну.
  3. Разрешить ввод и обработку на одном и том же АРМе несекретной и секретной информации.
По мнению авторов "Основное ноу-хау состоит  в настройке сертифицированных СЗИ и в конфигурации АРМ пользоваталей", а это в свою очередь позволяет "любому РСО сделать однозначный вывод о том, что средства автоматизации не являются носителями секретной информации". Правда, потом дается противоречащая всему остальному рекомендация "чтобы окончательно исключить нарекания РСО, все помещения, в которых ведется обработка, делаются режимными", но это уже мелочи ;-)

Я достаточно регулярно критикую ФСТЭК и ФСБ за то, как они регулируют область ИБ в России. Но видя такие перлы, я понимаю регуляторов и их желание позакрывать все, всех заставить получать лицензии, а специалистам иметь соответствующее повышение квалификации. Но и решение тоже лежит на поверхности. Пора обновлять СТР-К и СТР с учетом новых технологий, используемых в госорганах, и с учетом новых тенденций в обработке информации ограниченного доступа (разумеется с поправкой на уровень ее секретности). Да и требования по сертификации таких решений тоже надо обновлять и расширять (сейчас ФСТЭК активно эту тему стала осваивать, выпуская новые РД с требованиями к средствам защиты).

ЗЫ. А продавцов компаний-лицензиатов я бы обязал сдавать простой экзамен (можно онлайн) на знание основ регулирования ИБ в госорганах. Это бы позволило снять ряд проблем, включая и те, что описаны в упоминаемой выше статье. В некоторых компаниях-производителях такой подход применяется при получении статуса партнера.
Оцените материал:
Total votes: 97
Тэги: 
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.