В ежедневной работе мы постоянно сталкиваемся с двумя типовыми вопросами. Они повторяются настолько часто, что стали частью стандартных разборов при консультациях по информационной безопасности.
Первый вопрос касается необходимости использования СКН в ситуациях, когда в Astra Linux уже предусмотрен встроенный учет и контроль съемных машинных носителей.
Второй вопрос связан с тем, считается ли сеть достаточно сегментированной, если маршрутизатор поддерживает VLAN и выполняет фильтрацию трафика.
На первый взгляд такие решения выглядят логичными, однако именно здесь наиболее часто возникают заблуждения. Из-за этого в инфраструктуре появляются формальные нарушения, которых можно избежать при правильном понимании требований.
Ниже мы сделали полный разбор каждого из этих вопросов. Вы можете сразу перейти к интересующей части статьи:
• СКН и Astra Linux, почему встроенного функционала недостаточно
• Сегментирование сети, почему маршрутизатор с VLAN не является межсетевым экраном
Часть 1. СКН: почему встроенного функционала в Astra Linux недостаточно
В последнее время, когда большинство государственных и муниципальных учреждений так или иначе стали использовать импортозамещенное программное обеспечение, а именно сертифицированные операционные системы, все чаще стал появляться вопрос об использовании сертифицированных наложенных средств защиты информации. В частности, речь идет о средстве контроля подключения съемных машинных носителей информации (СКН).
Каждое сертифицированное средство контроля носителей информации в соответствии с методическим документом «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты» должно пройти испытание по данному профилю.
Российские операционные системы, такие как Astra Linux Special Edition, РЕД ОС и другие, не имеют в своих сертификатах испытания по профилю СКН. Это вводит ряд специалистов в заблуждение. Даже если операционная система имеет в себе функционал по учету съемных носителей и логированию подключения, это не означает, что данное решение является сертифицированным, а значит — его использование в качестве контроля подключения съемных машинных носителей информации нелегитимно и ошибочно.
Для перекрытия мер по защите машинных носителей информации необходимо использовать наложенные средства защиты информации, которые имеют в своих сертификатах результаты испытаний по профилю СКН.
В таком случае меры будут являться перекрытыми, и учреждение сможет успешно пройти проверку или аттестацию, подтверждающую, что организация предпринимает необходимые меры по защите обрабатываемой информации.
Часть 2. Почему маршрутизатор с VLAN не является сегментированием сети
Схожая проблема наблюдается и в области межсетевого экранирования. На практике нередко возникает дискуссия о том, может ли использование маршрутизаторов с поддержкой VLAN рассматриваться как полноценное сегментирование сетей.
Современные маршрутизаторы, включая отечественные и зарубежные модели, такие как Cisco или MikroTik, действительно обладают широким функционалом, позволяющим реализовать фильтрацию трафика, разграничение сетей и определенные механизмы контроля доступа. Однако наличие таких технических возможностей не означает, что устройство может быть признано межсетевым экраном.
Ключевым аспектом является правовой статус устройства как средства защиты информации. Согласно требованиям нормативных документов ФСТЭК России, использование технических средств в качестве межсетевых экранов допускается только при наличии действующего сертификата соответствия. Эта позиция однозначно отражена в Приказе ФСТЭК России №21 п.12 и №17 п.26.
Таким образом, даже если маршрутизатор обладает функционалом межсетевого экрана на техническом уровне, без сертификата он не может рассматриваться как межсетевой экран, а его использование будет противоречить требованиям законодательства.
Это принципиальный момент, который специалистам по защите информации приходится разъяснять сетевым администраторам и разработчикам, ориентирующимся в первую очередь на функциональность оборудования, но не учитывающим нормативно-правовые требования.
