Использование СКЗИ с несертифицированными устройствами

[arteic]

Здравствуйте! Учусь по направлению информационная безопасность, мне задали задание. Необходимо найти нпа, регулирующие пожключение сертифицированых средств защиты информации к несертифицированным устройствам. Для усложнения задания сказали, что СКЗИ у нас является устройство для уничтожения информации методом магнитно-силового воздействия, а несертифицированным компьютер, который может считывать определённые показатели с него. Также сказали узнать, возможно ли такое пожключение, если СКЗИ предназначено для работы с государственной тайной. Я уже долго пытаюсь найти регулирование в этом вопросе, но никаких четких формудировок в нпа не нашел.

 

[Koloboking]

Здравствуйте! Учусь по направлению информационная безопасность, мне задали задание. Необходимо найти нпа, регулирующие пожключение сертифицированых средств защиты информации к несертифицированным устройствам. Для усложнения задания сказали, что СКЗИ у нас является устройство для уничтожения информации методом магнитно-силового воздействия, а несертифицированным компьютер, который может считывать определённые показатели с него. Также сказали узнать, возможно ли такое пожключение, если СКЗИ предназначено для работы с государственной тайной. Я уже долго пытаюсь найти регулирование в этом вопросе, но никаких четких формудировок в нпа не нашел.

Ситуация:​

Имеется СКЗИ (устройство уничтожения информации магнитно-силовым методом) — предназначено для работы с государственной тайной.
Оно подключено к обычному ПК (не сертифицированному), который может считывать параметры состояния или активности этого устройства.

Допустимо ли? Нет, это запрещено.​

На основании:​

Приказа ФСБ № 378 — запрещено подключение СКЗИ, работающих с ГТ, к несертифицированным устройствам;
ФСТЭК № 239 — любое информационное взаимодействие требует соответствия уровням доверия и сертификации;
ГОСТ 58149-2018 — устройства уничтожения не должны допускать даже потенциальную утечку данных или состояния.

Как это обосновать формально:​

Согласно Приказу ФСБ № 378, СКЗИ, предназначенные для обработки сведений, составляющих государственную тайну, не допускаются к подключению к несертифицированным вычислительным средствам.
Кроме того, в соответствии с ФСТЭК № 239, любое информационное взаимодействие между сертифицированными и несертифицированными компонентами должно обеспечивать соблюдение уровня доверия.
Следовательно, даже пассивный обмен техническими метаданными (например, температурой, активностью уничтожения) с несертифицированным ПК недопустим.
Особенно это касается устройств, выполняющих функции СКЗИ по ГОСТ 58149-2018, предназначенных для уничтожения носителей, содержащих государственную тайну.

Что можно было бы сделать, чтобы подключение стало допустимым?​

Использовать сертифицированный контроллер, согласованный с ФСТЭК/ФСБ.
Реализовать одностороннюю гальваническую развязку (небинарный контроль сигнала).
Произвести аттестацию системы в целом, включая интерфейс.