Безопасность удаленного подключения к ИС - Форум по вопросам информационной безопасности

Есть ИСПДн, аттестованная по классу К3. Основная часть пользователей подключается к данной системе по защищенной сети. Но возникла необходимость организации подключения к системе через открытую сеть с машин не входящих в защищенную сеть. Настроить доступ решено следующим образом:
- поднимается виртуальный сервер с установленным клиентом работы в ИС, являющейся ИСПДн. Сервер являющийся контролером домена.
- в AD заводится необходимое количество пользователей, которые будут работать с системой удаленно. В настройках пользователей приписывается авторизация по смарт-картам.
- В настройках удаленного доступа на сервере включается использование TLS для защиты соединения, сертификат будет ГОСТовский.
- На сервере и на клиентских машинах устанавливается сертифицированная версия КРИПТО CSP c лицензией Winlogon.
- для авторизации на сервере используется сертифицированная смарт-карта с записанным гостовским ключем, настроенным для работы с Winlogon.
- после авторизации пользователем на сервере запускается клиентская часть ИС по логину и паролю.

Насколько безопасен такой механизм предоставления доступа к ресурсам ИСПДн?

Приветствую!
Безопасен на столько, на сколько реализуете...
А вот с аттестацией такой системы будут проблемы. Как минимум по 2 причинам:
1. Классов защищенности для ИСПДн уже давно нет. Есть Уровни защищенности (которые определяются ПП 1119). Классы защищенности есть для ГИС и АС.
2. Виртуализация. Которая тоже подлежит защите. И как правило (по особенностям общения с регуляторами) - только сертифицированными средствами. А это дорого, долго, не удобно и не всегда (не для всех гипервизоров) применимо. Почитайте 21 Приказ ФСТЭК.

To oko
По 21 аттестация не нужна ;)

To Артемий
Если у клиентов известны внешние белые ip, можно усилить дав доступ только им.

to Dfg
Про аттестацию топикстартер первично сказал - я всего лишь указал на сложности при последующей аттестации (буде таковая понадобится). К тому же сакральный смысл мероприятий по "оценке защищенности" регулятором до сих пор не пояснен, да и самим регулятором понимается не иначе как "аттестация".
Кстати, imho, ограничение по белым ip настолько же бесполезно, насколько и все приведенные выше мероприятия. Нужны не ГОСТ-смарт-карты-winlogon'ы, а полноценный VPN средствами отдельного маршрутизатора/firewall'a. Внутри которого другими средствами уже можно реализовать и ИАФ, и УПД, и РСБ, и проч. как на уровне ОС, так и на уровне используемых программ (СУБД?). Удаленный доступ (мы говорим об RDP, не так ли?) + winlogon в Win тянет за собой кучу мелких дыр безопасности, которые позволят нарушителю и ИАФ через смарт-карту обойти, и трафик раскрыть, и т.д. и т.п.

Всегда полезно прикрывать любые порты хоть для -сертифицированной- криптухи, хоть для какой удаленки, через МЭ по белым спискам. Чтоб ЦРУшники не пробили из под тора, мегасекретными приват сплоитами и не залезли в скромную испдн скромного отечественного оператора пдн.

Дык, тогда не суть белые ip, а суть нормальный firewall. А как будет техпроцесс обмена данными реализован - вторичное дело (если, конечно, его "задумку" вообще можно нормально закрыть). Кстати, большинство криптомаршрутизаторов отечественного производства (из зарубежных только VPN на Cisco в руках вертел, поэтому сравнить не с чем) именно по такому принципу работают - acl у них не настраивается в явном виде, но любые соединения они принимают только после подтверждения источника по криптоключам (сертификатам) не важно на какой порт.