forum.lissyara.su

GhOsT_MZ писал(а):Ну вырост по количеству пользователей не предвидится в ближайшие N-лет, так что, обйдемся 3560G. Хоть и стекирование интересная фича, но переплачивать за нее процентов так 20-30 не очень хочется.

Кстати да, может кто-нибудь сталкивался с сертифицированием ФСТЭК? Реально ли сертифицировать 3560G для сети К2/К3 (пока класс не определен, но точно не К1)?

ИМХО, вы не должны сертифицировать оборудование, это задача производителя. Вы сертифицируете свою ИС, для более успешного прохождения сертификации конечно лучше конечно использовать оборудование с сертификатом, но не обязательно, если у вас не супер-секретные данные. Но это повторяюсь лично мое мнение.

Daywalker писал(а):

GhOsT_MZ писал(а):Ну вырост по количеству пользователей не предвидится в ближайшие N-лет, так что, обйдемся 3560G. Хоть и стекирование интересная фича, но переплачивать за нее процентов так 20-30 не очень хочется.

Кстати да, может кто-нибудь сталкивался с сертифицированием ФСТЭК? Реально ли сертифицировать 3560G для сети К2/К3 (пока класс не определен, но точно не К1)?

ИМХО, вы не должны сертифицировать оборудование, это задача производителя. Вы сертифицируете свою ИС, для более успешного прохождения сертификации конечно лучше конечно использовать оборудование с сертификатом, но не обязательно, если у вас не супер-секретные данные. Но это повторяюсь лично мое мнение.

Ну тут все сложнее. Отчасти согласен, но законы у нас идиотские. Дело в том, что 100 пользователей делятся на 2-3 группы. Что мне на данный момент предлагают: поставить между ними фаервол (на минуточку, 100-мегабитный), плюс за ним же спрятать все сервера, ну и на рабочии станции поставить Vipnet, от которого все нереально тормозит. На мое недоумение по поводу понижения производительности безопасники-внедренцы разводят руками, предлагая криптошлюз континент. Когда я говорю, что мол мое решение с сегментированием сети и PVLAN Edge (нормальный PVLAN не поддерживается свитчами уровня доступа), молча кивают гривой и говорят что так нельзя, так как эксесс-левел свитчи не сертифицированы, следовательно, нужно сегментировать сеть на физическом уровне, после чего у меня начинает почти истерика, ибо свитчи хоть и старые (C2950T-24 и C2950T-48), но тем не менее не копеек стоят, чтобы их так бездарно использовать. Вообщем, пока вот такая вот война у меня. И самое что интересное, если память не изменяет, то для К2/К3 нужен сертификат лишь об отсутствии скрытых функций, на баги различные никто ничего не проверяет, следовательно, какбы мое решение не было бы безопаснее того, что мне предлагают.

На самом деле моя цель проста - сделать нормальную сеть на достаточно качественном оборудовании.... но руки у меня связаны.

Начался оффтоп, но человек, назначенный за исполнение ФЗ-152 (и прочих к нему дополнений) своею волей решает как правильно, ибо ему и только ему отвечать перед законом в случае проверки. Поэтому если будет тормозить, но при этом вы пройдете проверку, то пусть будет так, чем ничего тормозить не будет, но на основании нарушения ФЗ-152, приостановят деятельность вашей фирмы и вы останетесь без работы.

Daywalker писал(а):Начался оффтоп, но человек, назначенный за исполнение ФЗ-152 (и прочих к нему дополнений) своею волей решает как правильно, ибо ему и только ему отвечать перед законом в случае проверки. Поэтому если будет тормозить, но при этом вы пройдете проверку, то пусть будет так, чем ничего тормозить не будет, но на основании нарушения ФЗ-152, приостановят деятельность вашей фирмы и вы останетесь без работы.

Я посмотрел бы каким образом приостановят деятельность федеральной службы (исполнительная ветвь власти). А вообще, оффтоп оффтопом, но документацию и аттестат будет делать сторонняя организация, а тут уже с них спрос будет.

GhOsT_MZ писал(а):

Daywalker писал(а):Начался оффтоп, но человек, назначенный за исполнение ФЗ-152 (и прочих к нему дополнений) своею волей решает как правильно, ибо ему и только ему отвечать перед законом в случае проверки. Поэтому если будет тормозить, но при этом вы пройдете проверку, то пусть будет так, чем ничего тормозить не будет, но на основании нарушения ФЗ-152, приостановят деятельность вашей фирмы и вы останетесь без работы.

Я посмотрел бы каким образом приостановят деятельность федеральной службы (исполнительная ветвь власти). А вообще, оффтоп оффтопом, но документацию и аттестат будет делать сторонняя организация, а тут уже с них спрос будет.

С них спроса не будет. Они сделают свою часть и будут свободны. А назначенный за это человек будет отвечать в случае проверки. И проверяющим дела не будет до сторонней компании.

P.S. Извиняюсь за оффтоп, дальнейшую дискуссию можно перенести в другое место.

Разве при наличии аттестата ответственность не ложится на аттестующий орган, если сеть соответствует документации, составленной организацией, выдавшей аттестат?
Просто меня уверяли, что ответственность все таки ложится на эту стороннюю организацию.

PS: модеры, по возможности, выделите этот оффтоп в отдельную тему

Ну собственно апну тему парой вопросов, выделенных из массы умных (и не очень) мыслей:
1) Нужно ли сертифицированное оборудование для защиты ИСПДн К2/3, если оно в принципе не имеет сертификата (коммутаторы серийно не сертифицируются). Именно для защиты, так как это оборудование будет учавствовать непосредственно в защите ИСПДн.
2) В приказе 58-п говорится, что доступ должен разграничаться списками доступа. Собственно, взяв тот же 3560G и создав в нем кучу виланов для отделов, как я и хочу, можно настроить маршрутизацию между виланами и соответственно ограничивать доступ списками доступа на самом коммутаторе. При наличии сертифицированного коммутатора можно ли выдать это за защиту? Придеруться ли, что фильтрация выполняется не межсетевым экраном, а коммутатором?
3) Ну и главный ворос, можно ли сертифицировать 3560G для защиты ИСПДн К2/3? Если да и кто-то сталкивался с подобными задачами, то какие сроки и стоимости таких работ?

PS: завтра выложу мою наработку в плане организации сети, если не сложно, подскажите, что можно оптимизировать, и можно ли вообще такое строить с учетом защиты ИСПДн.

Daywalker писал(а): С них спроса не будет. Они сделают свою часть и будут свободны. А назначенный за это человек будет отвечать в случае проверки. И проверяющим дела не будет до сторонней компании. ...

Именно с них и будет спрос. А вас в случае чего просто поставят в известность и попросят исправить недостатки в установленные сроки.

Напомню, что только средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия.
Вы можете например использовать Kaspersky Work Space Security (сертифицированная версия) (описание с сертификатами:http://www.altx-soft.ru/groups/page-66.htm).
Антивирус + МСЭ хотя и локальный, а дополнительно разграничить доступ на сетевом оборудовании (так сказать перестраховаться).
Требование о сертифицированных средствах защиты вы выполните при этом защиты будет двойной, на каждой машине по МСЭ + разграничение на сетевом оборудовании.
Принимать решения о том, что и как сделать нужно с той организацией которая будет проводить аттестацию вашей ИС.

Вот собственно вспомнил, что собирался выложить схему сферической сети в вакууме в надежде дельных предложений по оптимизации и оценки возможности использования сия чуда для обработки ПД в соответствие со 152-ФЗ.
Данная схема пока только на "бумаге", следовательно, допусмы коррективы.
Планируется, что ASA5510 и 3560G будут иметь сертификаты ФСТЭК для К2 (очень надеюсь, что на этот класс).

Сферическая сеть в ваккуме:
http://s2.ipicture.ru/Gallery/Viewfull/8469765.html

Насколько я я знаю, отдельной сертификации средств защиты для персональных данных нет.
Да и вообще для каких либо АС. Есть сертификация на соответствие определенных требований.
Например требования для антивирусов или МСЭ.
Эти требования для разных продуктов и задач разделяют тоже на классы.
По хорошему в некоторых сертификатах, если почитать то написано, что соответствует требованиям таким то такого класса и может применяться в АС такого то класса.
Но бывает что пишут только класс соответствия, а класс АС не пишут.
Класс соответствия средств защиты и класс АС не одно и тоже.
Поэтому писать о том, что есть/будут сертификаты для ПД определенного класса неправильно.

В принципе безопасники из конторы, которая будет аттестовать сеть навели на сертифицированный WS-C3750G-24TS-S1U, так что, думаю проблем не будет. Ну а с асой сертифицированной проблем в принципе не ожидалось. Но вот впаривают мне сначала SSM-4G, потом начали IPS модуль, стоимость в половину стоимости самой асы...