Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

Аттестация сегмента ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 >

Автор: oko | 79446 13.10.2017 13:23
to Alex
<в отрыве от конкретики - интересная проблема> - эта проблема многих и многих лет (поколений, если расширить область, ага). Старый как мир треугольник "безопасность - эффективность (функциональность) - стоимость". Только, imho, применительно к ГИС, раз уж у нас есть худо-бедно собранная НМД от регуляторов, такого вопроса быть не должно. Во всяком случае, без радикальных отказов по причине "а нам неудобно". Короче, как и везде, решает "путь компромисса". Только чуть-чуть перетянутый в сторону *зачеркнуто* аттестации */зачеркнуто* ЗИ (ИБ), ага...

*в сторону* выспался и нашел ошибку в прошлом своем посте. Не 1.5к, а 1.5кк, разумеется. Но всяко меньше первичных затрат...

Автор: Alex | 79491 16.10.2017 11:46
>Старый как мир треугольник "безопасность - эффективность (функциональность) - стоимость".

я бы конкретизировал - интересы (требования) бизнеса vs. точка зрения ИБ-шника :)

>Короче, как и везде, решает "путь компромисса"

согласен
Прошло несколько лет

Автор: sekira | 109711 15.12.2021 11:13
Как теперь с сегментами подключемыми к ГИС в свете 77 приказа ФСТЭК?
77 пр. п 33. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичные средства или заменены на аналогичные средства, проводятся дополнительные аттестационные испытания в соответствии с настоящим Порядком. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.

17 приказ п17.3. Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы...

Где грань между приемочными испытаниями и дополнительными аттестационными ... и кто должен делать и те и те. Кто сталкивался с нововедениями?

Автор: oko | 109715 15.12.2021 19:04
to sekira
Дык, приемочные испытания хоть в ГОСТ 34.603 прописаны, что 17 Приказом и подтверждается. А вот "дополнительные аттестационные" - это новый термин регулятора, который он (наверняка из лучших побуждений, ага) не сподобился объяснить...
Пока не сталкивался лично, но, imho, 17 Приказ в данном контексте главнее. Именно поэтому для сложных систем всегда выдавал (и буду вне зависимости от пунктов 77 Приказа) Предписание на эксплуатацию, где явно расписывал, что, как и в каком количестве допускается, а что требует согласования (в текущих реалиях - контрольных испытаний, доп.атт.испытаний или новых аттестационных испытаний). Конечно, все предусмотреть невозможно, но:
- так эксплуатант представляет себе хотя бы основные права на шаг вправо-влево (в контексте типовых сегментов - права и порядок их добавления / изменения относительно состояния аттестованной ИС);
- УФСТЭК, внесшее подобный объект в реестр, в целом, подтверждает правомочность таких дополнительных уточнений (пусть, согласно 77 Приказу, теперь и может в любой момент "дать заднюю" за счет размазанной по времени экспертизы полученных материалов, ага)...

ЗЫ Кстати, приемочные проводит-таки Владелец/Оператор ИС (иными словами, функциональный эксплуатант). Намедни вертел в руках ФГИС, владелец которой выдал явный перечень требований и мер + затребовал акт по результатам испытаний. При этом явно указал, что имеется в виду не аттестат соответствия или иные формы оценки соответствия - достаточно проверить идентичность сегмента, внедрить положенные меры и зафиксировать это актом по соответствующей форме...
Всем бы быть такими сознательными - и мир бы стал лучше, НМД чище, а ночи менее бессонными...
Прошло несколько недель

Автор: Анна | 109748 09.01.2022 15:48
Здравствуйте! Являюсь студентом направления "Информационная безопасность" и прошу вас объяснить/помочь следующий момент:
Нужно провести аттестацию объекта информатизации, расположенного в аэропорту. В моем (возможно, неправильном) понимании некий аэропорт будет являться сегментом одной большой ГИС. И вопрос заключается в том, какой масштаб будет иметь ИС данного аэропорта? Если большая ГИС имеет явно федеральный масштаб, будет ли это переносится на сегмент? А если отдельно аттестуем сегмент, масштаб вообще меняется или нет? Прошу вас помочь разобраться бестолковому студенту с кашей в голове:)

Автор: Денис | 109749 09.01.2022 18:40
to Анна.

согласно 17 приказу ФСТЭК России.
То, что Вы называете аттестацией можно провести 2мя способами.

1. Распространение действующего аттестата соответствия ГИС на типовые сегменты, которые должны быть аналогичны ГИСу (акт классификации, модель угроз, проект СЗИ, СрЗИ и тд). В таком случае все в Вашей ИС должно совпадать с ГИСом, в том числе и масштаб.
Но такое можно делать, если программа и методики аттестационных испытаний той ГИС позволяют распространять аттестат соответствия. Тогда делается акт соответствия и аттестат не выдается.

2. Аттестация новой ИС и подключение ее к ГИСу (согласно мере УПД.16, как внешняя ИС).
В таком случае Вы сами назначаете себе нужный масштаб (скорей всего объектовый), создаете СЗИ, делаете свой пакет ОРД и проводите аттестацию. В таком случае выдается аттестат соответствия (более часто встречаемое пока).

Скорей всего Вам нужно идти по 2 этапу. Тогда нет, совпадать не должен.
Но Вы должны корректно оценить масштаб. Если аттестуете АРМ(ы), расположенные в одном здании, то это объектовый масштаб. А если верхушка аэропорта сидит в другом городе и имеет прямую связь с аэропортом (администраторы безопасности информации и тд), то тут уже можно о другом масштабе задуматься.

Автор: Денис | 109750 09.01.2022 18:43
to Анна.

Добавлю.

Данное заключение сделано на основе личного опыта и разговоров со ФСТЭК России по этому поводу. Многие владельцы ГИС спорить насчет этого любят.

Автор: Анна | 109751 09.01.2022 19:13
to Денис.

Благодарю Вас за подробный ответ!

Автор: oko | 109753 11.01.2022 15:08
*в сторону*
Модуль юриспруденции и модуль жизненного опыта в один голос подсказывают, что отнесение какой-либо системы какого-либо аэропорта к ГИС или сегменту ГИС - крайне маловероятное решение. Даже в случае ИС/АС какого-либо ФОИВ/ОИВ, размещающихся на территории аэропорта, ага...
Прошла пара недель

Автор: Антон К. | 109777 28.01.2022 14:15
Поделитесь положительным опытом)) Имеется ЦОД, в ЦОДе много ГИС (большинство аттестованы). Если переводить все ГИС в один домен, нужно ли будет проводить переаттестацию или доп. аттестацию?

Страницы: < 1 2 3 4 5 6 >

Просмотров темы: 26384

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*