Автор: lex | 99732 | 14.08.2018 10:58 |
Добрый день!Уважаемые коллеги,наша организация осуществляет удаленную поддержку пользователей подведомственных учреждений по средствам удаленного подключения по Ammyy Admin, на ПК пользователей к которым подключаемся установлен КриптоПро CSP в документации на который прописано:
"1. Необходимо исключить возможность удаленного управления, администрирования и модификации ОС и её настроек; 2. Должна быть отключена возможность удаленного администрирования ПЭВМ с установленным СКЗИ «КриптоПро CSP» v 4.0." Есть ли выход,компромисс? Если прописать инструкцию для пользователей,где прописать что разрешено подключение только с правами просмотра экрана,без прав управления мышью и администрирования,будет ли это все равно нарушением. |
Автор: Влад | 99745 | 14.08.2018 11:28 |
>>> 2. Должна быть отключена возможность удаленного администрирования ПЭВМ с установленным СКЗИ «КриптоПро CSP» v 4.0.
Это требование или рекомендация? Внимательно изучите документ. |
Автор: lex | 99749 | 14.08.2018 12:31 |
Я думаю это требование или я не прав?
"ЖТЯИ.00087-01 91 02. Крипт оПро CSP. Руководство администратора безопасност и. Использование СКЗИ под управлением ОС Windows 10.1. Организационно-технические меры защиты от НСД Должен быть реализован следующий комплекс организационно-технических мер защиты от НСД: 29. Должна быть отключена возможность удаленного администрирования ПЭВМ с установленным СКЗИ «КриптоПро CSP» v 4.0." |
Автор: oko | 99772 | 14.08.2018 17:16 |
to lex
<наша организация осуществляет удаленную поддержку ... по средствам ... Ammyy Admin> - сочувствую... <Я думаю это требование или я не прав?> - формуляры, к сожалению, редко кто читает. В том ваше счастье. А вообще... в любом случае нарушаете, если не формальные требования, то логику ИБ/ЗИ. Меняйте техпроцесс, используйте защищенные каналы и средства удаленного администрирования (защищенные не в смысле <только с правами просмотра экрана...>) и будет счастье. А лучше те же средства и время потратить на обучение пользователей и создание устойчивой системы, к которой не надо удаленно подключаться, ага... |
Автор: Константин | 99915 | 15.08.2018 13:23 |
2 lex
ЖТЯИ.00087-01 91 01. Руководство администратора безопасности. Общая часть страница 5 Настоящее Руководство содержит общее описание средства криптографической защиты информации «КриптоПро CSP» v. 4.0 КС1 (ЖТЯИ.00087-01) исполнения 1-Base и РЕКОМЕНДАЦИИ по использованию СКЗИ в различных автоматизированных системах. В зависимости от комплектации и используемой программно-аппаратной среды функционирования СКЗИ следует руководствоваться также документами [9] - [21]. Инструкции администраторам безопасности и пользователям различных автоматизированных систем, использующих «КриптоПро CSP» v. 4.0, должны разрабатываться с учетом требований настоящего Руководства. В общем, основное это соблюдать требования Формуляра, а остальное на ваше усмотрение |
Автор: Олег, Оттуда | 100010 | 16.08.2018 06:47 |
"подведомственных учреждений по средствам удаленного подключения по Ammyy Admin"
Как сказал великий oko: "в любом случае нарушаете, если не формальные требования, то логику ИБ/ЗИ" И вообще, любую логику нарушаете хотя бы выбором продукта. Или готовы поспорить, что это самый защищенный продукт и вообще, его (или его производителя) никто никогда не ломал и не встраивал вредоносы? Только сертифицированными средствами можно связывать "подведомственные" учреждения. |
Автор: lex | 100021 | 16.08.2018 09:13 |
Спасибо,уважаемые коллеги,за живое обсуждение!Подключатся в любом случае удаленно нам придется к пользователям,обслуживаем бухгалтерское ПО с которым постоянные проблемы. В настоящее время есть предписание регулятора: "выявлены следующие недостатки: используется программное обеспечение, имеющие возможность удаленного управления, администрирования и модификации оперативной системы и ее настроек Ammyy Admin (требования п. 15.4 Руководства администратора безопасности ЖТЯИ.00050-03 90 02). Предлагается исключить возможность удаленного управления,администрирования и модификации операционной системы и ее настроек".
to oko, to Олег, Оттуда У нас 50 % клиентов находятся в защищенной КСПД, сеть ViPNet.Остальные вне нашей КСПД. Посоветуйте пожалуйста сертифицированные продукты, программные решения которые можно использовать для организации удаленного подключения как в пределах КСПД так и за ее пределами. Желательно с наименьшим бюджетом для внедрения, являемся муниципальной организацией,деньги выбить как всегда сложно. |
Автор: Константин | 100029 | 16.08.2018 09:41 |
2 lex
А перейти на Vipnet вместо КриптоПро? я правда документацию их не читал, но возможно у них нет такого требования в документации.. |
Автор: Евгений | 100076 | 16.08.2018 14:07 |
Средства криптографической защиты и удаленных доступ не совместимые вещи.
|
Автор: oko | 100093 | 16.08.2018 16:29 |
to Евгений
<Средства криптографической защиты и удаленных доступ не совместимые вещи> - скажите это Активу и КриптоКом с их защитой RDP и SSH, согласованной с "другим" регулятором... to lex Смотреть вашу схему подключения надо, чтобы нечто конкретное посоветовать и не ошибиться. В простейшем случае: любое сертиф. vpn-решение или сертиф. tls-решение поверх транспортного протокола + децентрализованное средство администрирование. Т.е., к примеру, RDP через каналы, закрытые ViPNet. Или тем же переводом на ГОСТ-SSL через КриптоПро. Или вообще взять сертиф.ФСТЭК ПАК, позволяющий VPN без сертификата ФСБ. Тоже вариант (хоть и несколько неказистый, в зависимости от того, "под кем" первоочередно ходит ваша организация - под ФСТЭК или под ФСБ)... |
Просмотров темы: 4122