Автор: oko | 79446 | 13.10.2017 13:23 |
to Alex
<в отрыве от конкретики - интересная проблема> - эта проблема многих и многих лет (поколений, если расширить область, ага). Старый как мир треугольник "безопасность - эффективность (функциональность) - стоимость". Только, imho, применительно к ГИС, раз уж у нас есть худо-бедно собранная НМД от регуляторов, такого вопроса быть не должно. Во всяком случае, без радикальных отказов по причине "а нам неудобно". Короче, как и везде, решает "путь компромисса". Только чуть-чуть перетянутый в сторону *зачеркнуто* аттестации */зачеркнуто* ЗИ (ИБ), ага... *в сторону* выспался и нашел ошибку в прошлом своем посте. Не 1.5к, а 1.5кк, разумеется. Но всяко меньше первичных затрат... |
Автор: Alex | 79491 | 16.10.2017 11:46 |
>Старый как мир треугольник "безопасность - эффективность (функциональность) - стоимость".
я бы конкретизировал - интересы (требования) бизнеса vs. точка зрения ИБ-шника :) >Короче, как и везде, решает "путь компромисса" согласен |
Автор: sekira | 109711 | 15.12.2021 11:13 |
Как теперь с сегментами подключемыми к ГИС в свете 77 приказа ФСТЭК?
77 пр. п 33. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичные средства или заменены на аналогичные средства, проводятся дополнительные аттестационные испытания в соответствии с настоящим Порядком. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается. 17 приказ п17.3. Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы... Где грань между приемочными испытаниями и дополнительными аттестационными ... и кто должен делать и те и те. Кто сталкивался с нововедениями? |
Автор: oko | 109715 | 15.12.2021 19:04 |
to sekira
Дык, приемочные испытания хоть в ГОСТ 34.603 прописаны, что 17 Приказом и подтверждается. А вот "дополнительные аттестационные" - это новый термин регулятора, который он (наверняка из лучших побуждений, ага) не сподобился объяснить... Пока не сталкивался лично, но, imho, 17 Приказ в данном контексте главнее. Именно поэтому для сложных систем всегда выдавал (и буду вне зависимости от пунктов 77 Приказа) Предписание на эксплуатацию, где явно расписывал, что, как и в каком количестве допускается, а что требует согласования (в текущих реалиях - контрольных испытаний, доп.атт.испытаний или новых аттестационных испытаний). Конечно, все предусмотреть невозможно, но: - так эксплуатант представляет себе хотя бы основные права на шаг вправо-влево (в контексте типовых сегментов - права и порядок их добавления / изменения относительно состояния аттестованной ИС); - УФСТЭК, внесшее подобный объект в реестр, в целом, подтверждает правомочность таких дополнительных уточнений (пусть, согласно 77 Приказу, теперь и может в любой момент "дать заднюю" за счет размазанной по времени экспертизы полученных материалов, ага)... ЗЫ Кстати, приемочные проводит-таки Владелец/Оператор ИС (иными словами, функциональный эксплуатант). Намедни вертел в руках ФГИС, владелец которой выдал явный перечень требований и мер + затребовал акт по результатам испытаний. При этом явно указал, что имеется в виду не аттестат соответствия или иные формы оценки соответствия - достаточно проверить идентичность сегмента, внедрить положенные меры и зафиксировать это актом по соответствующей форме... Всем бы быть такими сознательными - и мир бы стал лучше, НМД чище, а ночи менее бессонными... |
Автор: Анна | 109748 | 09.01.2022 15:48 |
Здравствуйте! Являюсь студентом направления "Информационная безопасность" и прошу вас объяснить/помочь следующий момент:
Нужно провести аттестацию объекта информатизации, расположенного в аэропорту. В моем (возможно, неправильном) понимании некий аэропорт будет являться сегментом одной большой ГИС. И вопрос заключается в том, какой масштаб будет иметь ИС данного аэропорта? Если большая ГИС имеет явно федеральный масштаб, будет ли это переносится на сегмент? А если отдельно аттестуем сегмент, масштаб вообще меняется или нет? Прошу вас помочь разобраться бестолковому студенту с кашей в голове:) |
Автор: Денис | 109749 | 09.01.2022 18:40 |
to Анна.
согласно 17 приказу ФСТЭК России. То, что Вы называете аттестацией можно провести 2мя способами. 1. Распространение действующего аттестата соответствия ГИС на типовые сегменты, которые должны быть аналогичны ГИСу (акт классификации, модель угроз, проект СЗИ, СрЗИ и тд). В таком случае все в Вашей ИС должно совпадать с ГИСом, в том числе и масштаб. Но такое можно делать, если программа и методики аттестационных испытаний той ГИС позволяют распространять аттестат соответствия. Тогда делается акт соответствия и аттестат не выдается. 2. Аттестация новой ИС и подключение ее к ГИСу (согласно мере УПД.16, как внешняя ИС). В таком случае Вы сами назначаете себе нужный масштаб (скорей всего объектовый), создаете СЗИ, делаете свой пакет ОРД и проводите аттестацию. В таком случае выдается аттестат соответствия (более часто встречаемое пока). Скорей всего Вам нужно идти по 2 этапу. Тогда нет, совпадать не должен. Но Вы должны корректно оценить масштаб. Если аттестуете АРМ(ы), расположенные в одном здании, то это объектовый масштаб. А если верхушка аэропорта сидит в другом городе и имеет прямую связь с аэропортом (администраторы безопасности информации и тд), то тут уже можно о другом масштабе задуматься. |
Автор: Денис | 109750 | 09.01.2022 18:43 |
to Анна.
Добавлю. Данное заключение сделано на основе личного опыта и разговоров со ФСТЭК России по этому поводу. Многие владельцы ГИС спорить насчет этого любят. |
Автор: Анна | 109751 | 09.01.2022 19:13 |
to Денис.
Благодарю Вас за подробный ответ! |
Автор: oko | 109753 | 11.01.2022 15:08 |
*в сторону*
Модуль юриспруденции и модуль жизненного опыта в один голос подсказывают, что отнесение какой-либо системы какого-либо аэропорта к ГИС или сегменту ГИС - крайне маловероятное решение. Даже в случае ИС/АС какого-либо ФОИВ/ОИВ, размещающихся на территории аэропорта, ага... |
Автор: Антон К. | 109777 | 28.01.2022 14:15 |
Поделитесь положительным опытом)) Имеется ЦОД, в ЦОДе много ГИС (большинство аттестованы). Если переводить все ГИС в один домен, нужно ли будет проводить переаттестацию или доп. аттестацию?
|
Просмотров темы: 26384