Что дороже при реализации мер по 3б или 1г - Форум по вопросам информационной безопасности

to bwn
Я думаю, что описанные Вами системы по ГТ аттестуют редко и поэтому лицензиаты по "умолчанию" лепят 1Г потому что так удобнее для них - по цене и потому что у них программка "для штамповки документов" заточена под 1Г и любое изменение класса приходится править в ручную :)) Если у Вас один человек обслуживает сервер то и аттестуйте по 3Б, то что у него 2 учетки не меняет ничего. Единственно, если у Вас носители есть разного уровня конфиденциальности, то это тоже необходимо учитывать - если например у Вас есть сервер резервного копирования который управляется ОС установленной на 1 диске,а сама КИ копируется в отдельное хранилище управляемое этим сервером или же просто на другие диски, то это уже АС с носителями разного уровня конфиденциальности и тогда 2Б. но это конечно мое мнение...

bwn
Да по деньгам все примерно одно и тоже будет, что 1г, 2б! 3б - ни кто не классифицирует - фстэк ругается.... У вас еще наверно должен играться конкурс. Если нет денег вообще не аттестуйте систему, у вас дсп - это ваша информации, которая принадлежит вам, что хотите и делайте, сильно не накажут, так как ни кто не знает что у вас там, никто к вам не придет... у вас нет государственной информации (ГИС, ГТ). А так вообще есть статья расходов, на которую выделяют деньги, иначе не целевое использование - но это относительно гт. Да даже если у вас ИСПДн обрабатывалось вам надо уведомить роскомнадзор, что вы оператор испдн. А так, он о вас знать не знает... начинается беготня, когда кто-то пишет заявление о хищение персональных данных - передаче третьим лицам.

*в сторону* ох уж эти сказочки, ох уж эти сказочники...

1. <описанные Вами системы по ГТ аттестуют редко> - вообще не аттестуют, ведь 3Б, 2Б и 1Г - это КОНФИ, а не ГТ...

2. <системы резервного копирования> - аттестовать сервер резервного копирования можно отдельно (выделенно), если это автономное хранилище. Но тогда проще резервные копии делать на те же CD/DVD и класть их в сейф, чем держать полноценный сервер, не подключенный ни к чему. Раз уж есть желание минимизировать издержки, ага. Потому что иначе сервер будет в составе некоторой сети. И должен быть аттестован в составе этой сети (АС, ИС, без разницы) как ее непосредственная логическая и физическая единица...

3. <корпоративная система передачи данных> - такая система уже предполагает минимум две машины, работающие по принципу прием-передатчика. И наверняка с двумя и более сотрудниками. Т.е. вне зависимости от того, что считать пользователем АС (сотрудника или уч.запись в ОС) - это уже многопользовательская АС (ИС)...

4. <потому что у них программка "для штамповки документов"> - без комментариев. Если наблюдали такое в живую - меняйте лицензиата и не пользуйтесь более его услугами...

5. <3б - ни кто не классифицирует - фстэк ругается> - +1. Официальная позиция ФСТЭК может расходиться с мнением конечных представителей регулятора на объектах. И проще первично сделать тот же 2Б (напоминаю, с позиции затрат разница минимальна и ... ее явно не нащупать), чем потом кому-то что-то долго и упорно доказывать. Но это опять-таки "по просьбе трудящихся поделиться практическим опытом". И да, все может разниться в зависимости от региона нашей необъятной Родины. Конечное решение каждый все равно принимает самостоятельно...

6. <Если нет денег вообще не аттестуйте систему, у вас дсп> - с первым согласен, со вторым... imho, следует применять требования ГИС (сейчас набегут и скажут, что формально я не прав, но мне наплевать - давно пора переходить на новые документы по ЗИ КОНФИ, чем морочить себе и другим голову с РД 90х гг.)...

7. <Да даже если у вас ИСПДн> - если у топикстартера ИСПДн, то ему нужны совсем другие НМД. РД АС от НСД (3Б, 2Б и 1Г) тут вообще не при чем...

8. Перечитайте РД АС от НСД (раз уж на нем свет клином сошелся) и запомните, что под 3Б, 2Б, 1Д и 1Г не требуется применения сертифицированных средств защиты информации. Следовательно, либо реализуйте требования любыми доступными способами (тогда вопрос затрат не уместен), либо, раз уж заморочились на продукцию Конфидента с сертификатами, реализуйте любую схему под любой класс. Если я правильно понял, и речь идет о линейке DallasLock, то она позволяет выполнить требования от 3Б до 1Г включительно. Разница будет только в настройке (10-15 минут времени) и толщине бумаг (как внутренних распорядительных, так и аттестационных). Если это критичные затраты, то я умываю руки...

ЗЫ Если по п. 2 и 3 у вас, тов. bwn, работает только 1 сотрудник (админ, сам с собой общающися в рамках корпоративной системы передачи данных и сам со своей машины резервирование на соседний сервер осуществляющий), то да, можете попробовать подвести это все под 3Б. Только тогда я в упор не понимаю желания избежать затрат, поскольку такая схема первично крайне затратна и неэффективна. Либо вы чего-то не договариваете (особенно в части "протечек конфидента")...

Перечитайте РД АС от НСД (раз уж на нем свет клином сошелся) и запомните, что под 3Б, 2Б, 1Д и 1Г не требуется применения сертифицированных средств защиты информации....
Ага, а аттестуем АС по СТР-К (с учетом п. 2.16)...

to 12
Топикстартер не уточнил, "коммерс" он или "государево лицо". В контексте РД АС от НСД отталкиваюсь от "коммерса", поскольку для "госов" уже давно имеется Приказ 17 (сие мнение неоднократно высказывал). Есть тому еще один косвенный факт топикстартера - вопрос, касающийся в первую очередь затрат (государевы лица как правило таких вопросов не задают - бюджет либо есть, либо нет)...
Ежели затрагивать СТР-К, то для "коммерсов" актуален п. 2.3, что согласуется с РД АС от НСД в части сертификации СЗИ. Так что убедительная просьба, на слове в дальнейшем не ловить...

BWN - а можно спросить, вас кто просит аттестоваться то?) Если в частная контора, и у вас есть "грязные делишки", которые вы желаете скрыть - вы можете сами все защитить, аттестовывать необязательно. А если гос - вы же не на свои кровные тратите, аттестуйте по 1г)

СТР - К
Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.) (далее - коммерческая тайна), данный документ носит рекомендательный характер.

К коммерсантам никто не придет, зря только время терять)))

Для защиты информации рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства обработки и передачи информации, технические и программные средства защиты информации.
При обработке документированной конфиденциальной информации на объектах информатизации в органах государственной власти Российской Федерации и органах государственной власти субъектов Российской Федерации, других государственных органах, предприятиях и учреждениях средства защиты информационных систем подлежат обязательной сертификации.

Прочел все, что тут писали.

система на коммерч конторе.

to oko почему вы решили, что эти две системы одновременно работают и там один админ на две системы?)
Я приводил примеры систем, где в принципе возможно содержать одного пользователя ( то бишь админа).

Просто мне интересно было узнать от работников по ИБ, которые "имеют большой опыт в реализации ИБ", применяют ли классы из НСД АС 90-ых годов 3 класс и какова цена за реализацию данного класса. Но в ходе обсуждения был также затронут 2 класс.

В итоге, поправьте меня, если я что-то не так понял: классы защищенности 3 и 2 "не имеют право на существование", поэтому если конфидент, то лучше ставить 1г и не придется доказывать что-то регуляторам.
Но про регуляторов тоже не понятно. Как мне кажется, то регуляторы просто привыкли видеть везде 1г, и поэтому, когда всплывает 3г или 2г, то они "входят в зону дискомфорта", поэтому приходится обосновывать класс (3 или 2).

to genomm
<у Вас есть сервер резервного копирования который управляется ОС установленной на 1 диске,а сама КИ копируется в отдельное хранилище управляемое этим сервером или же просто на другие диски, то это уже АС с носителями разного уровня конфиденциальности и тогда 2Б> хмм... т.е. вы хотите сказать, что "разный уровень конфиденциальности" - децентрализованная обработка и хранение конфидента??? Я почему-то думал, что "разный уровень конфиденциальности" - это документированная конфиденциальная информация, которая отображает, какая информация при потери приносит "сильный ущерб" или "незначительный".

to bwn
Еще раз (повторение, мать его, ага):
1. В КОНФИ используются де юре все классы (от 3Б до 1Г). Де факто, 3Б класс - это рудимент (и реальных АС, в которых только один пользователь=сисадмин=админ безопасности крайне мало). А для представителей Регулятора в некоторых регионах нашей необъятной такой класс как 3Б вообще как бельмо в глазу. Именно по этим причинам проще классифицировать АС как 2Б (если равные права), либо как 1Д/1Г (если права разделены). Чтобы минимизировать затраты хотя бы нервного плана, ага...
2. При использовании существующих СЗИ, имеющих сертификаты ФСТЭК, разницы по затратам между АС 3Б / 2Б / 1Д и 1Г будут минимальны. Существенными они могут быть только в случае "ну очень хитрых" систем. Лучше про систему конкретно скажите, а не обсуждайте сферического коня в вакууме...
3. В тему коней. АС, состоящие из рабочих станций и серверов + сервера резервного копирования, куда имеет доступ только (исключительно) 1 лицо - он же админ - это крайне неэффективные АС (особенно в коммерческом секторе). Тогда вопрос о затратах первично некорректен. Если же они подключены к другим АС и производят совместную обработку защищаемой информации, то они - часть (сегмент) таких многопользовательских АС. И уж явно здесь не будет идти речь о 3Б...
4. Задам давно тревожащий меня вопрос: что такое "конфидент" в вашем понимании? Контекст, в котором вы это употребляете, становится все загадочнее с каждым новым сообщением...

bwn | 78443
Вот Вы говорите дешевизна, а в чем эта дешевизна заключается? Secret Net, Dallas Lock, Страж, любое другое СЗИ от НСД стоит так же что для 3Б, что для 2Б, что для 1Г. Пакет документов по аттестации тот же самый, так о какой можно говорить дешевизне?
Другой момент, Ваш админ уходит в долгий больничный, ломается Ваша система нужно восстановить данные из бэкапа у Вас система 3Б. Вопрос кто будет восстанавливать, при условии что доступ имеет только 1 админ.

Александр | 78436
Вот Вы говорите теневое копирование. А администратор безопасности (ответственный за эксплуатацию) на что? Просто так для галочки? Система защиты информации на что, просто так для галочки? И так повсюду назначают администратором, первого попавшегося сотрудника, который первый раз компьютер видит,а потом удивляются.