Акты классификации ГИСа - Форум по вопросам информационной безопасности

Здравствуйте, тут ушла из одного органа по аттестации в ком.фирму которая решила осуществлять поддержку в области ИБ, до этого особо в конфи старалась не лезть, так что у меня небольшой ступор.

Имеется ГИС к которой орган по аттестации N готовил ОРД, ему присвоили 3 класс защищенности по 17 приказу, и 3 уровень защищенности по 21-ому.
В комплекте ОРД не могу найти классификацию АС и ни одного упоминания, меня сильно берут сомнения по поводу отсутствия упоминания класса защищенности в комплекте ОРД (самих документов по аттестации у меня естественно нет). Надо же классифицировать АС по РД, а то я начинаю в себе сомневаться.
И класс же 1Д?

Извиняюсь, что задаю возможно глупые вопросы, но с гт было как-то проще

Зачем нужно классифицировать ГИС по РД АС, если ГИС уже сертифицирована по 17 и по 21 Приказам ФСТЭК?

Влад, я возможно неправа, так как в этом пытаюсь разобраться, по этому могу ещё тупить.

Вообще я пытаюсь понять, какими мерами регламентируется контроль устройств, могу ли я поменять локальную политику виртуальных дисков с постоянно подключено, на подключение разрешено.
Те кто настраивали эту систему не помнят почему так сделали, потому что к ИБ по профилю работы особо отношения не имеют, а раньше мне не приходилось задаваться такими вопросами.

to Влад
Аттестована же, а не сертифицирована! :)

to turbo_b
АС по РД ГТК от НСД (классы 3Б, 2Б, 1Д, 1Г по КОНФИ) - это уже (чего греха таить, ага) рудимент, обычно применяемый комм.оргами для аттестации своих систем по требованиям безопасности, когда в них обрабатывается та же "Коммерческая тайна". Или организациями, желающими получить лицензию по ТЗКИ. Во всех остальных случаях уже вовсю применяются требования и классификаторы Приказа 21/ПП 1119 (для ИСПДн) и Приказа 17 (для ГИС, ну и, в сущности, для любых КОНФИ-систем). Хотя формально РД никуда не ушли...
Класс 1Д вообще на практике ни разу не встречал. Тоже формально не запрещено, но должно быть железное обоснование, поскольку от 1Г отличается как небо и земля (по предъявляемым требованиям к системе защиты)...
Судя по всему, у вас используется СЗИ НСД SecretNet. Только что такое виртуальные диски? Явного регламента нет - все определяется вашей же Моделью угроз и Техническим проектом системы защиты. А дальше здравый смысл: в вашем случае, если устройство всегда подключено к системе и его отключение - явный признак НСД, то имеет смысл оставить "постоянно подключено"...

to oko

Я участвовала в аттестации ГИС один раз, и то когда только начинала работать, по этому мат.часть знаю плохо (хотя это не оправдание). И 1Д я на практике тоже не встречала, по этому вообще представить не могу что это и зачем.

Все верно. Как мне объяснили, это некая среда виртуализации связанная с бэкапом, пока у меня здесь вопросов больше, чем ответов, а у них ко мне слишком много вопросов с СЗИ (как они получили лицензию на работы я понятия не имею).

Ни в модели угроз ни в тех.проекте, ни в тех.процессе я ничего конкретного не нашла. В моем случае устройство включается только для бэкапа. Я предлагаю разрешить подключение, без лишних сложностей, мужики сидят, боятся, а я не имею багажа опыта в 10 лет, чтоб с легкостью объяснить им что так можно.

Порядок аттестации ГИС по требованиям 17 приказа прописан в самом 17 приказе. В рамках 17 приказа вы сами решаете как именно регламентировать контроль устройств, сами определеяете, имеете ли вы право поменять локальную политику виртуальных дисков и т.п. . Т.е.:

1. Приказ 17 определяет базовые меры защиты
2. Методический документ детализирует базовые меры защиты и дополняет их обязательными мерами усиления
3. Вы самостоятельно решаете, как именно реализовать эти меры защиты и чем их дополнить, после чего описываете свои решения в проектной документации
4. При аттестации проверяется, что ваши решения не противоречат п. 1 и 2.

Теоретически при аттестации должно еще проверяться, что ваши меры защиты действительно защищают от угроз, но до этого аттестаторы пока не доросли :)

to malotavr

Теоретически есть протокол НСД, а вот на сколько там правда написана, лежит на совести каждого аттестатора отдельно :)

Тут сзи настраивали мои новые коллеги, но на основании чего они настроили, они не понимают.

От их настроек в система слишком часто реагирует на то, что обуславливается как инцидент. Внятно мне доказать что эти настройки не излишние мне естественно не могут, от чего у меня происходит разрыв шаблона и сомнения в своей адекватности и компетентности. С органом по аттестации связи нет, так как заказчик не эта контора.

как итог я все таки поменяю настройки, так как внятного требования я не нашла.

"Теоретически при аттестации должно еще проверяться, что ваши меры защиты действительно защищают от угроз"
а можно узнать где это написано, можно даже не в НМД... ?

"так как внятного требования я не нашла"
а требования чего вы искали и не нашли?

*в сторону* не ликбеза ради, но структуризации для...

<а можно узнать где это написано, можно даже не в НМД... ?> - Нигде не написано четко. Однако в том же Приказе №17:
IF:
"Защита информации ... обеспечивается ... путем принятия ... мер ..., направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе..."
&
"Требования ... определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации..."
&
"В информационной системе ... должны быть реализованы меры ..., выбранные в соответствии с пунктом 21 настоящих Требований и обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации"
&
"Выбор мер ... включает:" + "определение базового набора мер (приложение N 2 к настоящим Требованиям)" + "адаптацию базового набора мер..." "уточнение адаптированного базового набора мер ..., в результате чего определяются меры ..., обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации..."
&
"Аттестация информационной системы ... включает проведение комплекса ... мероприятий, в результате которых подтверждается соответствие системы защиты информации ... настоящим Требованиям"
THEN:
Аттестация ИС = проверка соответствия требованиям уточненного адаптированного базового набора мер, т.е. мер, представленных в приложении №2 Требований + мер, нейтрализующих актуальные угрозы. Кстати, во время аттестация должны применяться "испытания ... путем осуществления попыток несанкционированного доступа ... в обход ее системы защиты информации".

Де юре, да, согласен, картина следующая: поглядели Требования? поглядели bdu.fstec.ru? погладели Модель угроз? поглядели ТехПроект? поглядели реализацию системы защиты "на местах"? не нашли противоречий/ошибок/отсутствия реализации? не смогли "пробиться" через систему защиты путем каких-то (незнамо каких) тестовых атак? Выдаем Аттестат соответствия. А за адекватность выбора УБИ и мер их нейтрализации пусть отвечает тот, кто писал приведенные выше документы.
Все остальное - на усмотрение заказчика/разработчика/лицензиата/регулятора...

Коммерческая тайна и 17 приказ... А зачем? Это внутреннее дело фирмы как свою инфу защищать.