Аппаратная часть - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=14787&from=0

К списку тем | Добавить сообщение


Автор: ГОСТ | 76503 28.08.2017 10:53
Добрый день. Подскажите пожалуйста, как правильно описать в паспорте ИСПДн аппаратную часть виртуальных серверов?

Автор: ТП | 76505 28.08.2017 11:00
А что такое паспорт ИСПД?

Автор: ГОСТ | 76507 28.08.2017 11:04
технический паспорт информационных систем персональных данных

Автор: Влад | 76511 28.08.2017 11:48
Утвержденной регулятором формы Паспорта на ИСПДн нет, соответственно, описание произвольное.

Раз уже хотите описать аппаратную часть, то приведите наименование и серийный номер оборудования (хостовое оборудование) на котором развернуто ПО виртуализации, этого вполне будет достаточно.

Автор: Константин | 76512 28.08.2017 12:17
А где вообще сказано про технический паспорт для ИСПДн?

Автор: sekira | 76530 28.08.2017 14:24
нигде

Автор: Константин | 76532 28.08.2017 14:49
Вот и мне кажется, что нигде

Автор: oko | 76534 28.08.2017 15:13
*в сторону* у меня стойкое чувство дежа вю... ах да, конечно... но, чтобы не развивать холивар касательно корректности употребления термина "Технический паспорт" заново, просто оставлю это здесь: http://www.itsec.ru/forum.php?sub=14479&from=0&format=printer-friendly...

to Влад
+1

to ГОСТ
Если совсем подробно, то лучше всего отдельными полями таблицы по следующему принципу:
- если без кластеризации, то Сервер "марка" -> системный блок №такой-то -> роли (ВМ) такие-то;
- если с кластеризацией, то аналогично, но системные блоки серверов роли идут подпунктами единого пункта типа "кластер среды виртуализации" (нечто подобное).
Потом уже роли (ВМ) отдельно расписать по функционалу, назначению и составу ПО...

Автор: sekira | 76542 28.08.2017 20:31
"просто оставлю это здесь"
для ИСПДн ГОСТы по аттестации не обязательные если не приняты в Программе и методики "необязательной" аттестации.

Автор: Евгений | 76559 29.08.2017 14:49
sekira | 76542
А как же статья 6 162-ФЗ "О стандартизации в РФ"?

Автор: sekira | 76562 29.08.2017 15:50
"...связанных с такой продукцией, устанавливается Правительством Российской Федерации."

Где для ПДн или ИСПДн?

Где написано что при аттестации ИСПДн я обязан это делать в соответсвии с ГОСТами по аттестации? И готовить документацию на ИСПДн в соответсвии с этими ГОСТами?

Автор: Евгений | 76567 29.08.2017 16:59
sekira | 76562
ПП РФ 1567 Положение о стандартизации в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией.

Автор: sekira | 76570 29.08.2017 17:48
Где написано что при аттестации ИСПДн я обязан это делать в соответсвии с ГОСТами по аттестации?
Это написано п4 раздел 12.

"И готовить документацию на ИСПДн в соответсвии с этими ГОСТами?"
А это нет.

Автор: oko | 76572 29.08.2017 20:15
*в сторону* Про аттестацию ИСПДн вообще нигде не написано (кроме инфосообщения ФСТЭК с пометкой "может быть"). Впрочем, и не запрещено...

А разве в ГОСТ по аттестации не указано обязательное предоставление ТехПаспорта владельцем ОИ/АС/ИС? Форму ТехПаспорта, конечно, не устанавливают (на то есть СТР и СТР-К), но требование наличия, если мне не изменяет склероз, было...

Автор: sekira | 76779 30.08.2017 11:15
Давайте разделять требования к объекту и требования к аттестации объекта. Требования к ИСПДн в ФЗ, ППр и приказе 21 + доп ведомственные и организационные. В ГОСТах по аттестации требования к аттестации не к СЗИПДн в ИСПДн (хотя по факту логически выскальзывают и требования). То есть если вы собрались аттестовывать ИСПДн то получаете дополнительно требования (например иметь Тех.паспорт и т.д там много чего не буду цитировать) только потому что собрались выполнить необязательное требование?

р 12 п.2 посмотрите б) "объект стандартизации" - продукция, процессы, связанные с такой продукцией, терминология, условные обозначения, исследования (испытания) и измерения, методы испытаний, маркировка, процедуры оценки соответствия продукции;

где тут требования к СЗИПДн в ИСПДн?
Для ГОСТов объект стандартизации - не требования к СЗИПДн, а процесс необязательной аттестации ИСПДн если он ведется. А так конечно все тонкости и конкретика обговариваются в Программе и методиках испытаний.

Автор: Alex | 76979 04.09.2017 12:57
2 oko
> Про аттестацию ИСПДн вообще нигде не написано

ТС идёт в правильном направлении, систематизация знаний ещё никого не испортила.
полагаю, стоит обратить внимание на ст. 24 федерального закона от 27.12.2002 N 184-ФЗ (ред. от 29.07.2017) "О техническом регулировании"

Автор: sekira | 76981 04.09.2017 14:43
А где то написано в требованиях к СЗИПДн что для ИСПДн эта статья работает?

Автор: Alex | 76983 04.09.2017 15:35
sekira, я написал только, что если ТС решил систематизировать документы по ПДн, ему поможет указанная статья.
флейм по поводу необходимости использования ГОСТ при оформлении, проведения оценки соответствия установленным порядком и пр. разводить не вижу смысла

Автор: oko | 76986 04.09.2017 22:11
to Alex
*в сторону* еще 5 копеек для полноты копилки, ага? :)
Primo, вопрос топикстартера состоял вообще в другом (не про оценку соответствия и порядок аттестации - это уже косвенный флуд, который мы тут коллективно развили)...
Secundo, про оценку соответствия только ленивый не нагуглит ФЗ-184...
Tertio, мой пост про "отсутствие необходимости в аттестации" предназначался тов. sekira. У нас такая *зачеркнуто* традиция */зачеркнуто* мода (допускаю, что в одностороннем порядке, но я уже давно правила игры принял, ага) - сыпать друг на друга риторическими вопросами и аналогичными ответами...

Автор: sekira | 76990 05.09.2017 07:44
"сыпать друг на друга риторическими вопросами и аналогичными ответами... "
а вдруг мы чего то не знаем и нас поправят :))

Автор: Alex | 77133 05.09.2017 14:28
2 oko
ну, раз уж вопросы-ответы риторические, то уж не обессудьте))

желание ТС
> описать в паспорте ИСПДн аппаратную часть виртуальных серверов

это уже означает, что ТС начал работы по приведению ИСПДн в некое соответствие, n'est-ce pas?

>вопрос топикстартера состоял вообще в другом (не про оценку соответствия и порядок аттестации...)

с этим кто-то спорит?

>мой пост про "отсутствие необходимости в аттестации" предназначался тов. sekira...

"простите, это частная драка или могут участвовать все?"

2 sekira
>а вдруг мы чего то не знаем и нас поправят

действительно, стоит немного пофорсить перед рядовыми пользователями и сразу ЧСВ поднимается до небес. фу-фу-фу

Автор: sekira | 77135 05.09.2017 15:09
"могут участвовать все"
все

"пофорсить перед рядовыми пользователями и сразу ЧСВ поднимается до небес. фу-фу-фу"
ЧСВ тут не причем

Автор: Alex | 77137 05.09.2017 15:19
> все

вопрос, как справедливо заметил тов.oko, риторический

> ЧСВ тут не причем

значит, вы не совсем корректно выразили свою мысль в обсуждаемом сообщении. стоит внимательнее выбирать слова

Автор: oko | 77148 05.09.2017 23:57
to Alex
*в сторону* это мазохизм какой-то - обязательно лезть в драку, тем более в частную...
Какое отношение приведенный вами ФЗ имеет к процедуре составления ТехПаспорта? Или к виртуализации, в которой основной проблемой описания 'по ГОСТ' является множественность функционала и единичность аппаратуры его размещения? Читай, конкретная и явно указанная проблема топикстартера, ага...
Притягивать же к этому 'оценку соответствия' равносильно дальнейшим опусам про ЧСВ - 0 конструктива и, следовательно, 0 ценности. Собственно, causa finita - все дальнейшее приравнивается к флуду. А попытка поймать на слове - к троллингу, причем низкопробному...

ЗЫ в принципе, не против (даже за - оживим форум, ага) - развлекайтесь. Но не забывайте о 0 потенциале подобных развлечений теперь в этой теме...

to sekira
Т.е. вы с предложенной традицией тоже согласны? :)

Автор: sekira | 77175 06.09.2017 06:56
"ФЗ имеет к процедуре составления ТехПаспорта"
Не стал уточнять а то ведь "стоит внимательнее выбирать слова"

"вы с предложенной традицией тоже согласны? :)"
я держался как мог...

Автор: Alex | 77352 06.09.2017 11:55
2 oko

>*в сторону* это мазохизм какой-то - обязательно лезть в драку, тем более в частную...

возвращаю вам слова о выборе слов, ибо форум публичный.

касательно "описания по ГОСТ" возвращаю вас к посту тов.sekira № 76562

2 oko & sekira
>Какое отношение приведенный вами ФЗ имеет к процедуре составления ТехПаспорта

полагаю, корректнее термин "техническая документация". в указанной статье ФЗ есть описание того, что она должна и может содержать (при условии пропуска терминов о стандартизации).

>Притягивать же к этому 'оценку соответствия'

_декларация_ соответствия.

как уже писал, флейм по поводу необходимости использования ГОСТ при оформлении, проведения оценки соответствия установленным порядком и пр. разводить не вижу смысла.

Автор: oko | 77365 06.09.2017 14:14
to Alex
Вы у меня пока ничего не занимали, так что не беспокойтесь - возвращать не обязательно...
<полагаю, корректнее термин "техническая документация" ... в указанной статье ФЗ есть описание...> - топикстартеру уже объяснили, что ТехПаспорт (закрепленное понятие из ГОСТ и НМД по ЗИ) для ИСПДн не обязателен, но, если хочется, то внести в него можно данные так-то и так-то. Был бы вопрос про проектную документацию - был бы другой ответ (вероятнее всего, повторяющий ваши отсылки). А отвечать на незаданные вопросы можно либо от безделья, либо от избытка экстрасенсорных способностей. Вы к какому случаю относитесь, позвольте полюбопытствовать?
<как уже писал, флейм ... разводить не вижу смысла.> - согласны ли вы со словами своей песни - если да, то зачем петь? (с)

Автор: Alex | 77368 06.09.2017 15:57
2 oko

>топикстартеру уже объяснили, что ТехПаспорт
а он спрашивал о техпаспорте? или это появилось несколько позже?

>Вы к какому случаю относитесь, позвольте полюбопытствовать?

особенно любопытен ваш вопрос о экстрасенсорных способностях в разрезе вашего же сообщения № 76534:
>у меня стойкое чувство дежа вю... ах да, конечно... но, чтобы не развивать холивар касательно корректности употребления термина "Технический паспорт" заново, просто оставлю это здесь:...

врочем, мы уже выяснили, что это риторические вопросы и ответы, примите именно так и мои, тем более, что наши разногласия не носят антагонистический характер.
на этом закругляюсь с флеймом

Автор: oko | 77369 06.09.2017 17:10
to Alex
<а он спрашивал о техпаспорте?> - ГОСТ | 76503 (собственно, первый вопрос темы): "...как правильно описать в паспорте ИСПДн аппаратную часть виртуальных серверов?" И чуть дальше сообщение ГОСТ | 76507, расставляющее все точки над i...

<в разрезе вашего же сообщения № 76534> - экстрасенсорикой (повторюсь: ответом на незаданные вопросы) я балуюсь в других темах, в этой замечен не был. А что до приведенного поста - там ответ и тов. ГОСТ по теме, и другим товарищам уже в сторону от темы, но на затронутые моменты, т.е. causa justa...

ЗЫ сдается мне, у вас синдром диагонального чтения. Это, конечно, не порок, но в некоторых случаях весьма смахивает на dolus malus...

Автор: Alex | 77370 06.09.2017 18:44
2 oko

>И чуть дальше сообщение ГОСТ | 76507, расставляющее все точки над i...

трудно требовать от человека, спрашивающего помощи в столь простом для постоянных обитателей данного сайта вопросе, точности формулировок. и уж тем более, затевать из-за этого спор, превращая его в casus belli.

>ЗЫ сдается мне, у вас синдром диагонального чтения

:) эмм, переход на личности. закон Годвина в действии? Iuppiter iratus ergo nefas?

Автор: oko | 77371 06.09.2017 20:13
to Alex
Без нацизма и молний, что вы. Всего лишь наблюдение по факту анализа сообщений. К тому же, чем лучше знаешь особенности собеседника - тем проще будет вести диалог...
<трудно требовать от человека, спрашивающего помощи в столь простом ... вопросе, точности формулировок> - для вас вопрос конкретики росписи среды виртуализации в тех.документации по ЗИ прост? Тогда зачем вы ссылаетесь на общие положения ФЗ, когда стоило бы сразу дополнить тему полезной отсылкой топикстартера к ГОСТ Р 56938-2016? Раз уж предположили, что вопрос был задан неточно, а у остальных участников попросту зашкалило ЧСВ...
<трудно требовать ... и уж тем более затевать из-за этого спор> - спорить на форуме никогда не трудно. Но вы правы - не затевайте - никто не против...
<Iuppiter iratus ergo nefas> - вот за этот ликбез спасибо, возьму в коллекцию :)

Автор: Alex | 77396 07.09.2017 12:26
2 oko

>Всего лишь наблюдение по факту анализа сообщений

:)

>для вас вопрос конкретики росписи среды виртуализации в тех.документации по ЗИ прост

раз накал страстей снизился, то данный конкретный вопрос от ТС об описании в "паспорте ИСПДн аппаратную часть виртуальных серверов" прост. собственно, вы ответили на него в посте №76534. "что ж тебе ещё надо, хороняка?" (с)
то, как вы сейчас формулируете вопрос, не коррелирует с исходным вопросом. dolus malus?

>полезной отсылкой топикстартера к ГОСТ Р 56938-2016

тов. oko, вы хотите его послать или помочь? ГОСТ Р 56938-2016 "ЗАЩИТА ИНФОРМАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ТЕХНОЛОГИЙ ВИРТУАЛИЗАЦИИ. Общие положения"

>а у остальных участников попросту зашкалило ЧСВ

вы не слишком внимательно читали, в какой связи я писал. меня это тоже не красит, ибо не сдержался

Автор: oko | 77402 07.09.2017 15:13
to Alex
*в сторону* в эфире передача "рабочий перерыв" с пометкой "не удержался"...
1. Установленной формы описи среды виртуализации в ОРД по ЗИ (к которой относится ТехПаспорт ОИ) нет. Ни структуры, ни перечня. Неожиданно, не правда ли?
2. Кроме названия, откройте, пожалуйста, приложение Б ГОСТ Р 56938-2016 и поглядите схемы. Это утвержденный вариант структурной схемы среды виртуализации, допустимый для технической документации (вы же за такой термин ратовали, ага?). Аналогичным образом можно изобразить функциональные связи и иные "разрезы", буде оно требуется. И никто не сможет сказать слова против...
3. Мой вариант был предложен в силу того, что вопрошающий хотел (конкретно) опись аппаратной платформы и (конкретно) в техническом паспорте, в котором особая детализация, imho, не требуется и избыточна. Но это вовсе не означает, что такой ответ допустим и верен - в силу п. 1 и 2...
Вывод: вопрос далеко не прост... Увы, ответов на него мало - все больше поисков всяких долусов и казусов...

<вы хотите его послать или помочь?> - разумеется послать и отделаться... ведь ГОСТ по своей конкретике не сравним с отсылками к ФЗ-184 и его 24 статье...
<вы не слишком внимательно читали, в какой связи я писал> - возможно... но я стараюсь, очень стараюсь быть внимательным... как минимум читать кому чей пост адресован...

Автор: Alex | 77406 07.09.2017 19:03
2 oko,

1. с этим кто-то спорил?
2. а с этим кто-то спорит? проблема в другом и она описана в вашем п.3.

поскольку,
>разумеется послать и отделаться... ведь ГОСТ по своей конкретике

ну вот и разница в методологии. хотя бы посылали в соответствующий сто ибб (или как он там?).
а на досуге попробуйте найти недостатки в предложенной вами в посте №76534 таблицы при сравнении с структурной схемой в ГОСТе, абстрагируясь от обязательности его использования.

>как минимум читать кому чей пост адресован

повторяю, эта драка публичная.
а если вы изволите дурачиться, см. п.№ 76572 "*в сторону* Про аттестацию ИСПДн" и мой ответ п. 76979

если угодно продолжить, пишите aka at pкcc.ru, мне пора домой

Автор: oko | 77408 07.09.2017 23:21
to Alex
*в сторону* черт возьми, прямо подмывает в лучших традициях воскликнуть "Тов. ******, разлогиньтесь!" (отсылка к давним дискуссиям, ага)

Обидно, однако. А ведь хотелось:
а) напомнить, что вы спорили, разумеется, не с пунктами, а с выводом - он там, кстати, чуть ниже написан;
б) уточнить, что СТО БР ИББС имеет отношение к ОРД по ИСПДн как ершик к унитазу - применить можно, но польза будет только в рамках специализированных операций;
в) удивиться, что раз уж вы читали <особая детализация, imho, не требуется>, то должны понимать, что искать <недостатки ... таблицы при сравнении с структурной схемой в ГОСТе> бессмысленное занятие;
г) указать, что спешить с советами, путая "аттестацию" (про которую для ИСПДн нет указаний, ага) и "сертификацию" (про которую ст. 24 ФЗ-184, ага), а также ИСПДн с "продукцией" - стыдно;
д) отметить, что вдвойне стыдно - апеллировать к подобной безграмотности (минимум трижды, ага).
Сочувствую, что публичную драку приходится превращать в приватную - помню, как это важно для вас. Понимаю обстоятельства, дом - это святое (тем паче, что в нем из всех средств коммуникации только почта). Увы, я не домушник и тем более не любитель приватных Интернет-чатов. Но не беспокойтесь, ежели в будущем драка начнется без вас - постараюсь маякнуть - благо, адрес теперь имеется...

Автор: Alex | 77428 08.09.2017 12:06
2 oko

> Автор: oko | 77408 07.09.2017 23:21

Три дня я гналась за Вами — да! — чтобы сказать Вам, как Вы мне безразличны! (c)

>Обидно, однако. А ведь хотелось

.

Автор: oko | 77506 08.09.2017 13:37
to Alex
Уточните, пожалуйста, это крик из окна дома или попытка вернуться в общий мордобой? Смахивает на крик, но кто знает...
Просто это важно, от этого зависит дальнейший диалог. В первом случае, пожалуй, его придется закончить, поскольку интимность кухни (или других комнат) с вами - это уже перебор...
Другое дело второй случай. Буде вы-таки вернулись, то извольте объяснить, что не понятно или с чем не согласны по п. а) - д) сообщения 77408? Только, пожалуйста, без отсылок к безразличию - в конце концов, изначально вы ко мне обратились, а не наоборот (<см. п.№ 76572 "*в сторону* Про аттестацию ИСПДн" и мой ответ п. 76979>, ага)...

Просмотров темы: 8328


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100