Автор: bwn | 78425	01.10.2017 17:46
Добрый день, уважаемые коллеги. Интересует вопрос: при защите конфидента по РД от НСД интересует момент с затратами, связанными с реализацией мер по 3б или 1г. Что будет являться более затратным??? Данный вопрос адресован прежде всего людям, столкнувшимся с этим на практике, которые смогут дать четкий и объективный ответ. p.s. заранее спасибо

Автор: oko | 78427

02.10.2017 10:15

to bwn 3Б вообще исчез из поля зрения давно - не используйте этот класс (совет, не обоснованный законодательством, но с практической стороны общения с регулятором)... Если под Конфидентом понимается их линейка DallasLock 8.0-K или -С - они позволяют выполнить требования от 3Б до 1Г включительно (-С так вообще до 1Б). Главное, это умение настройки и реализации организационных мер... Т.е. разницы никакой в вашей ситуации. Разве что при 1Г журналы будут толще, а инструкций больше (не только админ же, ага). Тут весь вопрос, насколько вам критичен "русский лес"...

Автор: sekira | 78429	02.10.2017 12:37
Под какие требования и для чего создаете систему? "но с практической стороны общения с регулятором" а можно поподробнее... в чем проблема?

Автор: oko | 78431

02.10.2017 12:53

to sekira Проблема в недостаточном взаимопонимании понятия "пользователь" (в случае 3Б - "администратор")... Поясню на примере (это реальный диалог с представителями регулятора). Если 1 человек работает с системой, то "под кем"? Под уч. записью админа - это бред, там большинство функций СЗИ не работает. Под уч. записью юзера? Тогда в системе будет зарегистрировано минимум две уч. записи. Так что же имелось в виду в РД 90х гг. - пользователь как человек или как уч. запись? Таким образом куда как проще сделать 2Б вместо 3Б, даже при 1 фактическом человеке (разница все равно не ощутима). Чтобы "не бесить"...

Автор: Сергей И, ОГВ | 78433	02.10.2017 13:31
Так как есть ГОСТовское понятие пользователь автоматизированной системы, то скорее всего и имелся ввиду пользователь, как человек. Брать количество учётный записей за основу определения режима работы (однопользовательский или много пользовательский), по-моему, нет никакого смысла, т.к. не учётная запись является "слабым звеном", а человек. И чем их больше в системе, тем более она уязвима.

Автор: sekira | 78434	02.10.2017 13:37
"там большинство функций СЗИ не работает" те которые требуются для 3Б - работают. "пользователь как человек" конечно как человек, не было тогда учеток в современном понимании (я про 80 года с чего РД писалось) Чтобы "не бесить". Дак напишите человечески и не беситесь. Самое смешное что это все слова, просишь ссылки и письмено - тишина.

Автор: Александр | 78436	02.10.2017 14:19
"Слабым звеном" - это не грамотный Администратор ИБ. Давно заметил, приезжает команда аттестовывать объект (орган, лицензиат) - вставляют флешки с тестами, запускают тесты.Возможно всю информацию скопировать в теневом режиме с вашего диска. Не пускайте органы с флешками - только диски одноразового применения.

Автор: oko | 78437

02.10.2017 15:01

to sekira <те которые требуются для 3Б> - ах, ну да, формальный подход, как же я мог забыть: статКЦ, логинИАФ и маркировка МНИ, всем и каждому root-права - достойный пример системы защиты... <не было тогда учеток в современном понимании> - ага, а код писали на Cobol исключительно под однозадачный DOS... <Дак напишите человечески и не беситесь> - просили пример из практики - пожалуйста, но я бы не брезговал (вне зависимости от наличия или отсутствия бумажки)... to Александр <Не пускайте органы с флешками - только диски одноразового применения> - а еще не давайте им админских прав. Правда, тогда они большинство действий выполнить не смогут. Но кому какое дело? Недобросовестные лицензиаты с перезаписываемым МНИ - вот ключевой канал утечки! Размещение, замеры, ознакомление с документацией (включая результаты проверок), конечно, шелуха...

Автор: oko | 78439	02.10.2017 15:06
to Сергей И В части логики про людей и уч. записи - полностью согласен. Но от этого не легче (иногда)...

Автор: bwn | 78443

02.10.2017 19:36

to sekira to oko Посмотрел на вашу точку зрения. Но как насчет таких систем, пример: корпоративная система передачи данных, системы резервного копирования - для какого-то одного объекта??? Ведь там протекает конфидент, пользователем является админ, то бишь является единственным пользователем. Какой смысл такие системы классифицировать как 2б или 1г??? Ведь при том же 3б будет меньше мороки + дешевизна? P.S. Просьба высказать свое мнение к такому примеру, как вы считаете насчет этого. Интересно как вы смотрите на это

Автор: genomm | 78444

03.10.2017 07:33

to bwn Я думаю, что описанные Вами системы по ГТ аттестуют редко и поэтому лицензиаты по "умолчанию" лепят 1Г потому что так удобнее для них - по цене и потому что у них программка "для штамповки документов" заточена под 1Г и любое изменение класса приходится править в ручную :)) Если у Вас один человек обслуживает сервер то и аттестуйте по 3Б, то что у него 2 учетки не меняет ничего. Единственно, если у Вас носители есть разного уровня конфиденциальности, то это тоже необходимо учитывать - если например у Вас есть сервер резервного копирования который управляется ОС установленной на 1 диске,а сама КИ копируется в отдельное хранилище управляемое этим сервером или же просто на другие диски, то это уже АС с носителями разного уровня конфиденциальности и тогда 2Б. но это конечно мое мнение...

Автор: Александр | 78445

03.10.2017 09:02

bwn Да по деньгам все примерно одно и тоже будет, что 1г, 2б! 3б - ни кто не классифицирует - фстэк ругается.... У вас еще наверно должен играться конкурс. Если нет денег вообще не аттестуйте систему, у вас дсп - это ваша информации, которая принадлежит вам, что хотите и делайте, сильно не накажут, так как ни кто не знает что у вас там, никто к вам не придет... у вас нет государственной информации (ГИС, ГТ). А так вообще есть статья расходов, на которую выделяют деньги, иначе не целевое использование - но это относительно гт. Да даже если у вас ИСПДн обрабатывалось вам надо уведомить роскомнадзор, что вы оператор испдн. А так, он о вас знать не знает... начинается беготня, когда кто-то пишет заявление о хищение персональных данных - передаче третьим лицам.

Автор: oko | 78447

03.10.2017 10:14

*в сторону* ох уж эти сказочки, ох уж эти сказочники... 1. <описанные Вами системы по ГТ аттестуют редко> - вообще не аттестуют, ведь 3Б, 2Б и 1Г - это КОНФИ, а не ГТ... 2. <системы резервного копирования> - аттестовать сервер резервного копирования можно отдельно (выделенно), если это автономное хранилище. Но тогда проще резервные копии делать на те же CD/DVD и класть их в сейф, чем держать полноценный сервер, не подключенный ни к чему. Раз уж есть желание минимизировать издержки, ага. Потому что иначе сервер будет в составе некоторой сети. И должен быть аттестован в составе этой сети (АС, ИС, без разницы) как ее непосредственная логическая и физическая единица... 3. <корпоративная система передачи данных> - такая система уже предполагает минимум две машины, работающие по принципу прием-передатчика. И наверняка с двумя и более сотрудниками. Т.е. вне зависимости от того, что считать пользователем АС (сотрудника или уч.запись в ОС) - это уже многопользовательская АС (ИС)... 4. <потому что у них программка "для штамповки документов"> - без комментариев. Если наблюдали такое в живую - меняйте лицензиата и не пользуйтесь более его услугами... 5. <3б - ни кто не классифицирует - фстэк ругается> - +1. Официальная позиция ФСТЭК может расходиться с мнением конечных представителей регулятора на объектах. И проще первично сделать тот же 2Б (напоминаю, с позиции затрат разница минимальна и ... ее явно не нащупать), чем потом кому-то что-то долго и упорно доказывать. Но это опять-таки "по просьбе трудящихся поделиться практическим опытом". И да, все может разниться в зависимости от региона нашей необъятной Родины. Конечное решение каждый все равно принимает самостоятельно... 6. <Если нет денег вообще не аттестуйте систему, у вас дсп> - с первым согласен, со вторым... imho, следует применять требования ГИС (сейчас набегут и скажут, что формально я не прав, но мне наплевать - давно пора переходить на новые документы по ЗИ КОНФИ, чем морочить себе и другим голову с РД 90х гг.)... 7. <Да даже если у вас ИСПДн> - если у топикстартера ИСПДн, то ему нужны совсем другие НМД. РД АС от НСД (3Б, 2Б и 1Г) тут вообще не при чем... 8. Перечитайте РД АС от НСД (раз уж на нем свет клином сошелся) и запомните, что под 3Б, 2Б, 1Д и 1Г не требуется применения сертифицированных средств защиты информации. Следовательно, либо реализуйте требования любыми доступными способами (тогда вопрос затрат не уместен), либо, раз уж заморочились на продукцию Конфидента с сертификатами, реализуйте любую схему под любой класс. Если я правильно понял, и речь идет о линейке DallasLock, то она позволяет выполнить требования от 3Б до 1Г включительно. Разница будет только в настройке (10-15 минут времени) и толщине бумаг (как внутренних распорядительных, так и аттестационных). Если это критичные затраты, то я умываю руки... ЗЫ Если по п. 2 и 3 у вас, тов. bwn, работает только 1 сотрудник (админ, сам с собой общающися в рамках корпоративной системы передачи данных и сам со своей машины резервирование на соседний сервер осуществляющий), то да, можете попробовать подвести это все под 3Б. Только тогда я в упор не понимаю желания избежать затрат, поскольку такая схема первично крайне затратна и неэффективна. Либо вы чего-то не договариваете (особенно в части "протечек конфидента")...

Автор: 12 | 78465	03.10.2017 18:31
Перечитайте РД АС от НСД (раз уж на нем свет клином сошелся) и запомните, что под 3Б, 2Б, 1Д и 1Г не требуется применения сертифицированных средств защиты информации.... Ага, а аттестуем АС по СТР-К (с учетом п. 2.16)...

Автор: oko | 78475

03.10.2017 22:53

to 12 Топикстартер не уточнил, "коммерс" он или "государево лицо". В контексте РД АС от НСД отталкиваюсь от "коммерса", поскольку для "госов" уже давно имеется Приказ 17 (сие мнение неоднократно высказывал). Есть тому еще один косвенный факт топикстартера - вопрос, касающийся в первую очередь затрат (государевы лица как правило таких вопросов не задают - бюджет либо есть, либо нет)... Ежели затрагивать СТР-К, то для "коммерсов" актуален п. 2.3, что согласуется с РД АС от НСД в части сертификации СЗИ. Так что убедительная просьба, на слове в дальнейшем не ловить...

Автор: Александр | 78477

04.10.2017 09:14

BWN - а можно спросить, вас кто просит аттестоваться то?) Если в частная контора, и у вас есть "грязные делишки", которые вы желаете скрыть - вы можете сами все защитить, аттестовывать необязательно. А если гос - вы же не на свои кровные тратите, аттестуйте по 1г) СТР - К Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.) (далее - коммерческая тайна), данный документ носит рекомендательный характер. К коммерсантам никто не придет, зря только время терять))) Для защиты информации рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства обработки и передачи информации, технические и программные средства защиты информации. При обработке документированной конфиденциальной информации на объектах информатизации в органах государственной власти Российской Федерации и органах государственной власти субъектов Российской Федерации, других государственных органах, предприятиях и учреждениях средства защиты информационных систем подлежат обязательной сертификации.

Автор: bwn | 78482

04.10.2017 11:11

Прочел все, что тут писали. система на коммерч конторе. to oko почему вы решили, что эти две системы одновременно работают и там один админ на две системы?) Я приводил примеры систем, где в принципе возможно содержать одного пользователя ( то бишь админа). Просто мне интересно было узнать от работников по ИБ, которые "имеют большой опыт в реализации ИБ", применяют ли классы из НСД АС 90-ых годов 3 класс и какова цена за реализацию данного класса. Но в ходе обсуждения был также затронут 2 класс. В итоге, поправьте меня, если я что-то не так понял: классы защищенности 3 и 2 "не имеют право на существование", поэтому если конфидент, то лучше ставить 1г и не придется доказывать что-то регуляторам. Но про регуляторов тоже не понятно. Как мне кажется, то регуляторы просто привыкли видеть везде 1г, и поэтому, когда всплывает 3г или 2г, то они "входят в зону дискомфорта", поэтому приходится обосновывать класс (3 или 2).

Автор: bwn | 78483

04.10.2017 11:20

to genomm <у Вас есть сервер резервного копирования который управляется ОС установленной на 1 диске,а сама КИ копируется в отдельное хранилище управляемое этим сервером или же просто на другие диски, то это уже АС с носителями разного уровня конфиденциальности и тогда 2Б> хмм... т.е. вы хотите сказать, что "разный уровень конфиденциальности" - децентрализованная обработка и хранение конфидента??? Я почему-то думал, что "разный уровень конфиденциальности" - это документированная конфиденциальная информация, которая отображает, какая информация при потери приносит "сильный ущерб" или "незначительный".

Автор: oko | 78486

04.10.2017 13:48

to bwn Еще раз (повторение, мать его, ага): 1. В КОНФИ используются де юре все классы (от 3Б до 1Г). Де факто, 3Б класс - это рудимент (и реальных АС, в которых только один пользователь=сисадмин=админ безопасности крайне мало). А для представителей Регулятора в некоторых регионах нашей необъятной такой класс как 3Б вообще как бельмо в глазу. Именно по этим причинам проще классифицировать АС как 2Б (если равные права), либо как 1Д/1Г (если права разделены). Чтобы минимизировать затраты хотя бы нервного плана, ага... 2. При использовании существующих СЗИ, имеющих сертификаты ФСТЭК, разницы по затратам между АС 3Б / 2Б / 1Д и 1Г будут минимальны. Существенными они могут быть только в случае "ну очень хитрых" систем. Лучше про систему конкретно скажите, а не обсуждайте сферического коня в вакууме... 3. В тему коней. АС, состоящие из рабочих станций и серверов + сервера резервного копирования, куда имеет доступ только (исключительно) 1 лицо - он же админ - это крайне неэффективные АС (особенно в коммерческом секторе). Тогда вопрос о затратах первично некорректен. Если же они подключены к другим АС и производят совместную обработку защищаемой информации, то они - часть (сегмент) таких многопользовательских АС. И уж явно здесь не будет идти речь о 3Б... 4. Задам давно тревожащий меня вопрос: что такое "конфидент" в вашем понимании? Контекст, в котором вы это употребляете, становится все загадочнее с каждым новым сообщением...

Автор: Евгений | 78488

04.10.2017 14:18

bwn | 78443 Вот Вы говорите дешевизна, а в чем эта дешевизна заключается? Secret Net, Dallas Lock, Страж, любое другое СЗИ от НСД стоит так же что для 3Б, что для 2Б, что для 1Г. Пакет документов по аттестации тот же самый, так о какой можно говорить дешевизне? Другой момент, Ваш админ уходит в долгий больничный, ломается Ваша система нужно восстановить данные из бэкапа у Вас система 3Б. Вопрос кто будет восстанавливать, при условии что доступ имеет только 1 админ. Александр | 78436 Вот Вы говорите теневое копирование. А администратор безопасности (ответственный за эксплуатацию) на что? Просто так для галочки? Система защиты информации на что, просто так для галочки? И так повсюду назначают администратором, первого попавшегося сотрудника, который первый раз компьютер видит,а потом удивляются.

Автор: Александр | 78489

04.10.2017 15:01

Евгенией, знаю что вы все знает и понимает, и не буду спорить Члены аттестационный комиссии проводят тесты, в разных режимах работы. Идет тест, на свои флешечку инфу себе возьмут, никто не заметит, даже самый крутой ИБ. Поэтому диск одноразового применения - для тестов. А потом с ними записываете результаты тестов, уже в неконфиденциальном режиме!!! Другой выход берете свою флешку копируете на них тесты на свою, смотрите что к чему там, что за тесты. Они работают с вашей флешкой, в конце вы со своей флешки, им отдаете то, что считаете нужным. Флешка ваша должна прописана быть во всех "бумажках" Да про галочку вы правы(((, в наше время - назначают первого попавшегося, еще на него кучу обязанностей наваливают. Они даже не хотят читать инструкции по настройке СЗИ, только комп включить и выключить могут, и в ворде работать. Им некогда учить проблемы СЗИ, всякие глюки, которые могут быть. С одной стороны они правы...

Автор: oko | 78492	04.10.2017 15:46
to Александр Это если на объектах есть проверенные флешки под "неконфиденциальную" сессию only. В противном случае, втыкать их аттестаторам будет некуда, ага... Грамотный специалист и на CD вынесет вам все, что захочет, ежели дадите ему админские права. И даже не узнаете, что он что-то вынес... Единственный возможный вариант - доверять. Не хочется? Проверять. Но уже без "галочек"...

Автор: CrBi | 78928	10.10.2017 07:33
1 Перед аттестацией сторонней организацией выпускаем акт о стирании информации в связи с повторной аттестацией и стираем все на АС. 2 В некоторых ведомствах, согласно отраслевым документам по ЗИ (согласованным с ФСТЭК России) для 3Б можно не устанавливать СЗИ от НСД (экономия). Например ноутбук хранится в охраняемом кабинете с постановкой на охрану, а в нерабочее время в сейфе и т. п.

Автор: sekira | 78929	10.10.2017 08:03
"В некоторых ведомствах, согласно отраслевым документам по ЗИ (согласованным с ФСТЭК России) " А вот это очень интересно?! Фстек согласовал не выполнять часть требований для 3Б?

Автор: WORM, MK | 78937	10.10.2017 15:01
"А вот это очень интересно?! Фстек согласовал не выполнять часть требований для 3Б?" Почему не выполнять? Выполнять оргмерами. Видел даже такие АС класса 3А, хотя и довольно давно.

Автор: CrBi | 78980	11.10.2017 10:52
Они и сейчас показывают свои документы (отраслевые) и просят 3А им так реализовывать.

Автор: sekira | 78984	11.10.2017 11:16
"должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов" "должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды" Оргмерами?

Автор: WORM, MK | 78992	11.10.2017 14:06
"Оргмерами?" Ну да. А как еще? Пользователь один, остальные отсекаются оргмерами (папака с ноутом хранится в РСО и выдается только ему). Теоретически все правильно....если ФСТЭК не против :)) В общем, кому-то можно, кому-то нет.

Просмотров темы: 7406

Copyright © 2004-2019, ООО "ГРОТЕК"