@
Это все равно что открывать rdp наружу и быть уверенным в полной безопасности, используя длинные Пароли. А потом один маленький эксплоит шифрует все до чего у него дотянулись руки )
Size: a a a
2019 July 10
Ш
блин вот госуслуги, чтобы туда зайти мне что нужно криптошлюз ставить?
Если вы хотите иметь административные функции в госуслугах, то вам нужен СКЗИ крипто про и ЭП, на основании чего строится гостовый TLS
ДК
Если вы хотите иметь административные функции в госуслугах, то вам нужен СКЗИ крипто про и ЭП, на основании чего строится гостовый TLS
ну т.е. править ис чтобы работа операторов была по эцп, собствено вернулись к править ис
Ш
Если у вас внутренний пользователь, может получать доступ из вне, без средств защиты, то у вас не верно спроектированная система защиты
ДК
разговор не про это был, а про то что доступ внутреннего и внешнего (третьей строны) пользователя идентичен, и нельзя их разнести так как это не заложено в фунционале ИС. система защиты тут не причем, проблема до нее.
@
блин вот госуслуги, чтобы туда зайти мне что нужно криптошлюз ставить?
Крипто шлюз не нужен , потому что вместо защищённого впн соединения используется https , а в качестве скзи криптопро и КЭП. Мы же это обсуждали про доступ к егисз, видимо забыл. Тогда , насколько помню мы пришли к выводу о том что на данный момент это проблематично , посколько полноценно с гостовым tls нормально может работать только IE
@
разговор не про это был, а про то что доступ внутреннего и внешнего (третьей строны) пользователя идентичен, и нельзя их разнести так как это не заложено в фунционале ИС. система защиты тут не причем, проблема до нее.
Ну почему. Если это веб , что мешает для интранет оставить авторизацию тупо по логопассу ( можно даже http) а для внешних https с сертификатами
ДК
ничего, это переделка ИС) о чем я пишу в третий раз) если в ней это не реализовано, то надо делать.
в госуслугах это реализовано, я их как грубый пример привел, просто не корректный получился)
в госуслугах это реализовано, я их как грубый пример привел, просто не корректный получился)
@
ничего, это переделка ИС) о чем я пишу в третий раз) если в ней это не реализовано, то надо делать.
в госуслугах это реализовано, я их как грубый пример привел, просто не корректный получился)
в госуслугах это реализовано, я их как грубый пример привел, просто не корректный получился)
Ну для веба https это давно мейнстрим и приделать его совсем не проблема. А вот работу с сертификатами по госту да , прийдется допилить
AP
ничего, это переделка ИС) о чем я пишу в третий раз) если в ней это не реализовано, то надо делать.
в госуслугах это реализовано, я их как грубый пример привел, просто не корректный получился)
в госуслугах это реализовано, я их как грубый пример привел, просто не корректный получился)
Не совсем переделка ИС. Интерфейс взаимодействия, как правило, не связан с функционированием самой ИС.
AK
А с чем связано, если ИС умеет только в логин-пароль, например?
AP
Alexander Korb
А с чем связано, если ИС умеет только в логин-пароль, например?
Речь шла про доступ снаружи. Если так, то должна быть как минимум веб морда. Это отдельный компонент, не связанный с функционированием ИС.
AK
да. доступ к данным в ис - через вебморду и логин-пароль. Одинаково - и для внешних пользователей, у которых только свои данные, и у главбуха владельца, у которо доступ к данным всех внешних пользователей
AP
Alexander Korb
да. доступ к данным в ис - через вебморду и логин-пароль. Одинаково - и для внешних пользователей, у которых только свои данные, и у главбуха владельца, у которо доступ к данным всех внешних пользователей
Главбух со своего рабочего места тоже через Интернет заходит? Если нет, то в чем проблема сделать 2 разные морды?
AK
вот и переделка ис. Потому что все вебморды - в комплекте.
AP
Alexander Korb
вот и переделка ис. Потому что все вебморды - в комплекте.
Поставьте WAF и запретите авторизацию с правами отличными от внешнего пользователя со стороны интернет. А главбух пусть ходит по схеме VPN-корпоративная сеть-портал внутри.
..
Хех, только недавно слышал от представителей ФСТЭК что нельзя разделять серверный и пользовательский сегмент, у сегмента должна прослеживаться полная технология обработки данных
Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей)
..
Это цитата из 17 приказа. Я думаю отдельно можно классифицировать сегменты
..
Допустим если серверный сегмент стоит в цоде в котором определен 1 класс то и арм который стоит гдето в деревне тоже должен быть 1 класса?
V
если с данного арма обрабатывается 1млн пдн с биометрией и национальностью - запросто