Использование СКЗИ с несертифицированными устройствами

  • Автор темы Автор темы arteic
  • Дата начала Дата начала

arteic

New member
18.05.2025
1
0
Здравствуйте! Учусь по направлению информационная безопасность, мне задали задание. Необходимо найти нпа, регулирующие пожключение сертифицированых средств защиты информации к несертифицированным устройствам. Для усложнения задания сказали, что СКЗИ у нас является устройство для уничтожения информации методом магнитно-силового воздействия, а несертифицированным компьютер, который может считывать определённые показатели с него. Также сказали узнать, возможно ли такое пожключение, если СКЗИ предназначено для работы с государственной тайной. Я уже долго пытаюсь найти регулирование в этом вопросе, но никаких четких формудировок в нпа не нашел.
 
Здравствуйте! Учусь по направлению информационная безопасность, мне задали задание. Необходимо найти нпа, регулирующие пожключение сертифицированых средств защиты информации к несертифицированным устройствам. Для усложнения задания сказали, что СКЗИ у нас является устройство для уничтожения информации методом магнитно-силового воздействия, а несертифицированным компьютер, который может считывать определённые показатели с него. Также сказали узнать, возможно ли такое пожключение, если СКЗИ предназначено для работы с государственной тайной. Я уже долго пытаюсь найти регулирование в этом вопросе, но никаких четких формудировок в нпа не нашел.

Ситуация:

Имеется СКЗИ (устройство уничтожения информации магнитно-силовым методом) — предназначено для работы с государственной тайной.
Оно подключено к обычному ПК (не сертифицированному), который может считывать параметры состояния или активности этого устройства.

Допустимо ли? Нет, это запрещено.

На основании:

Приказа ФСБ № 378 — запрещено подключение СКЗИ, работающих с ГТ, к несертифицированным устройствам;
ФСТЭК № 239 — любое информационное взаимодействие требует соответствия уровням доверия и сертификации;
ГОСТ 58149-2018 — устройства уничтожения не должны допускать даже потенциальную утечку данных или состояния.

Как это обосновать формально:

Согласно Приказу ФСБ № 378, СКЗИ, предназначенные для обработки сведений, составляющих государственную тайну, не допускаются к подключению к несертифицированным вычислительным средствам.
Кроме того, в соответствии с ФСТЭК № 239, любое информационное взаимодействие между сертифицированными и несертифицированными компонентами должно обеспечивать соблюдение уровня доверия.
Следовательно, даже пассивный обмен техническими метаданными (например, температурой, активностью уничтожения) с несертифицированным ПК недопустим.
Особенно это касается устройств, выполняющих функции СКЗИ по ГОСТ 58149-2018, предназначенных для уничтожения носителей, содержащих государственную тайну.

Что можно было бы сделать, чтобы подключение стало допустимым?

Использовать сертифицированный контроллер, согласованный с ФСТЭК/ФСБ.
Реализовать одностороннюю гальваническую развязку (небинарный контроль сигнала).
Произвести аттестацию системы в целом, включая интерфейс.
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab