Автор: turbo_b | 77684 | 11.09.2017 15:19 |
Здравствуйте, тут ушла из одного органа по аттестации в ком.фирму которая решила осуществлять поддержку в области ИБ, до этого особо в конфи старалась не лезть, так что у меня небольшой ступор.
Имеется ГИС к которой орган по аттестации N готовил ОРД, ему присвоили 3 класс защищенности по 17 приказу, и 3 уровень защищенности по 21-ому. В комплекте ОРД не могу найти классификацию АС и ни одного упоминания, меня сильно берут сомнения по поводу отсутствия упоминания класса защищенности в комплекте ОРД (самих документов по аттестации у меня естественно нет). Надо же классифицировать АС по РД, а то я начинаю в себе сомневаться. И класс же 1Д? Извиняюсь, что задаю возможно глупые вопросы, но с гт было как-то проще |
Автор: Влад | 77686 | 11.09.2017 15:45 |
Зачем нужно классифицировать ГИС по РД АС, если ГИС уже сертифицирована по 17 и по 21 Приказам ФСТЭК?
|
Автор: turbo_b | 77687 | 11.09.2017 16:13 |
Влад, я возможно неправа, так как в этом пытаюсь разобраться, по этому могу ещё тупить.
Вообще я пытаюсь понять, какими мерами регламентируется контроль устройств, могу ли я поменять локальную политику виртуальных дисков с постоянно подключено, на подключение разрешено. Те кто настраивали эту систему не помнят почему так сделали, потому что к ИБ по профилю работы особо отношения не имеют, а раньше мне не приходилось задаваться такими вопросами. |
Автор: oko | 77695 | 11.09.2017 23:12 |
to Влад
Аттестована же, а не сертифицирована! :) to turbo_b АС по РД ГТК от НСД (классы 3Б, 2Б, 1Д, 1Г по КОНФИ) - это уже (чего греха таить, ага) рудимент, обычно применяемый комм.оргами для аттестации своих систем по требованиям безопасности, когда в них обрабатывается та же "Коммерческая тайна". Или организациями, желающими получить лицензию по ТЗКИ. Во всех остальных случаях уже вовсю применяются требования и классификаторы Приказа 21/ПП 1119 (для ИСПДн) и Приказа 17 (для ГИС, ну и, в сущности, для любых КОНФИ-систем). Хотя формально РД никуда не ушли... Класс 1Д вообще на практике ни разу не встречал. Тоже формально не запрещено, но должно быть железное обоснование, поскольку от 1Г отличается как небо и земля (по предъявляемым требованиям к системе защиты)... Судя по всему, у вас используется СЗИ НСД SecretNet. Только что такое виртуальные диски? Явного регламента нет - все определяется вашей же Моделью угроз и Техническим проектом системы защиты. А дальше здравый смысл: в вашем случае, если устройство всегда подключено к системе и его отключение - явный признак НСД, то имеет смысл оставить "постоянно подключено"... |
Автор: turbo_b | 77698 | 12.09.2017 09:53 |
to oko
Я участвовала в аттестации ГИС один раз, и то когда только начинала работать, по этому мат.часть знаю плохо (хотя это не оправдание). И 1Д я на практике тоже не встречала, по этому вообще представить не могу что это и зачем. Все верно. Как мне объяснили, это некая среда виртуализации связанная с бэкапом, пока у меня здесь вопросов больше, чем ответов, а у них ко мне слишком много вопросов с СЗИ (как они получили лицензию на работы я понятия не имею). Ни в модели угроз ни в тех.проекте, ни в тех.процессе я ничего конкретного не нашла. В моем случае устройство включается только для бэкапа. Я предлагаю разрешить подключение, без лишних сложностей, мужики сидят, боятся, а я не имею багажа опыта в 10 лет, чтоб с легкостью объяснить им что так можно. |
Автор: malotavr | 77733 | 12.09.2017 14:26 |
Порядок аттестации ГИС по требованиям 17 приказа прописан в самом 17 приказе. В рамках 17 приказа вы сами решаете как именно регламентировать контроль устройств, сами определеяете, имеете ли вы право поменять локальную политику виртуальных дисков и т.п. . Т.е.:
1. Приказ 17 определяет базовые меры защиты 2. Методический документ детализирует базовые меры защиты и дополняет их обязательными мерами усиления 3. Вы самостоятельно решаете, как именно реализовать эти меры защиты и чем их дополнить, после чего описываете свои решения в проектной документации 4. При аттестации проверяется, что ваши решения не противоречат п. 1 и 2. Теоретически при аттестации должно еще проверяться, что ваши меры защиты действительно защищают от угроз, но до этого аттестаторы пока не доросли :) |
Автор: turbo_b | 77774 | 12.09.2017 14:56 |
to malotavr
Теоретически есть протокол НСД, а вот на сколько там правда написана, лежит на совести каждого аттестатора отдельно :) Тут сзи настраивали мои новые коллеги, но на основании чего они настроили, они не понимают. От их настроек в система слишком часто реагирует на то, что обуславливается как инцидент. Внятно мне доказать что эти настройки не излишние мне естественно не могут, от чего у меня происходит разрыв шаблона и сомнения в своей адекватности и компетентности. С органом по аттестации связи нет, так как заказчик не эта контора. как итог я все таки поменяю настройки, так как внятного требования я не нашла. |
Автор: sekira | 77810 | 12.09.2017 19:56 |
"Теоретически при аттестации должно еще проверяться, что ваши меры защиты действительно защищают от угроз"
а можно узнать где это написано, можно даже не в НМД... ? "так как внятного требования я не нашла" а требования чего вы искали и не нашли? |
Автор: oko | 77811 | 12.09.2017 20:57 |
*в сторону* не ликбеза ради, но структуризации для...
<а можно узнать где это написано, можно даже не в НМД... ?> - Нигде не написано четко. Однако в том же Приказе №17: IF: "Защита информации ... обеспечивается ... путем принятия ... мер ..., направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе..." & "Требования ... определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации..." & "В информационной системе ... должны быть реализованы меры ..., выбранные в соответствии с пунктом 21 настоящих Требований и обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации" & "Выбор мер ... включает:" + "определение базового набора мер (приложение N 2 к настоящим Требованиям)" + "адаптацию базового набора мер..." "уточнение адаптированного базового набора мер ..., в результате чего определяются меры ..., обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации..." & "Аттестация информационной системы ... включает проведение комплекса ... мероприятий, в результате которых подтверждается соответствие системы защиты информации ... настоящим Требованиям" THEN: Аттестация ИС = проверка соответствия требованиям уточненного адаптированного базового набора мер, т.е. мер, представленных в приложении №2 Требований + мер, нейтрализующих актуальные угрозы. Кстати, во время аттестация должны применяться "испытания ... путем осуществления попыток несанкционированного доступа ... в обход ее системы защиты информации". Де юре, да, согласен, картина следующая: поглядели Требования? поглядели bdu.fstec.ru? погладели Модель угроз? поглядели ТехПроект? поглядели реализацию системы защиты "на местах"? не нашли противоречий/ошибок/отсутствия реализации? не смогли "пробиться" через систему защиты путем каких-то (незнамо каких) тестовых атак? Выдаем Аттестат соответствия. А за адекватность выбора УБИ и мер их нейтрализации пусть отвечает тот, кто писал приведенные выше документы. Все остальное - на усмотрение заказчика/разработчика/лицензиата/регулятора... |
Автор: Dfg | 77813 | 12.09.2017 22:23 |
Коммерческая тайна и 17 приказ... А зачем? Это внутреннее дело фирмы как свою инфу защищать.
|
Просмотров темы: 5773